IPv6 не нужен?

    Недавно прочитал заметку, смысл которой сводится к тому, что не мешало бы проверить, вдруг вы уже используете IPv6 и ничего не замечаете. Следствием этого, на мой взгляд, является другой смысл, что для подавляющего большинства IPv6 ничего нового не принесёт: сайты будут так же открываться, а телефоны так же звонить.

    Последнее время IPv6 перестал быть новым, возможно это относится только к моей среде общения, но говорить об IPv6 как о новом протоколе — перестали. Читать о том как здорово поднимать туннели ради доступа к заветному и недоступному уже совсем неинтересно. IPv6 стал одним из… Казалось бы, наконец-то, можно кричать «Ура!», но став одним из, он потерял драйвер роста, превратившись в заурядный. Доказать потребителю что ему надо именно это стало сложнее, потребитель не готов платить за один из…

    Под катом продолжение истории, о том, как мы купили билеты на поезд IPv6 и остались на перроне, в общем смысле история провала, надеюсь, не окончательного. Это именно история, как работает IPv6, я думаю, уже все знают, минимум технических деталей и настроек, максимум личных впечатлений.

    Примерно чуть больше года назад было решено отдать IPv6 нашим абонентам. После первых экспериментов прошло достаточно времени, мы смотрели на график Google и хотели не опоздать. Абоненты для нас это пользователи услуг регионального провайдера интернет, классический tirple play: доступ к интернет (без PPPoE и VPN), телевидение (мультикаст) и телефония. Предпосылки, если ссылаться на приведённый график очевидны — туннельные протоколы почти ушли, родного контента стало больше, все большие сайты и хостинги включили IPv6 по умолчанию, магистральные операторы не берут дополнительную плату за dualstack адрес на стыках. Фактически пользоваться интернет в IPv6 стало можно, а быть первым в регионе и перетащить к себе под крыло ещё чуть-чуть абонентов — заманчивая идея.

    Начало


    Сначала получили адреса с префиксом /32, совершенно свободно обычным для провайдера способом через RIPE или LIR. Предполагалось, что на время тестов хватит и /48, но потом во время проектирования стало понятно, что /32 самый раз.

    С аплинками было чуть посложнее (сейчас, наверное, уже нет), но такой магистральный провайдер нашёлся, подняли BGP в IPv6 обменялись префиксами. На текущий момент BGP fullview в IPv6 порядка 22000 префиксов, что очень мало если сравнивать с IPv4 где их больше 500000. Нашёлся даже пиринг партнёр, который был не против поднять с нами IPv6 сессию.

    Если вы строите сети хотя бы пять лет, у вас должно было смениться пару поколений устройств, если вы строите сети больше 10 лет, даже используя одного вендора, в сети должен был образоваться некоторый сумбур из устройств, которые исправно работают, но которые совершенно не подходят под новые реалии. Определённо было известно, что если на маршрутизаторе не заявлена поддержка IPv6, то IPv6 там не будет, никакого подвоха от коммутаторов мы не ожидали. Предполагаемая зона охвата на чистом IPv6 составляла примерно 30%, без замены оборудования.

    Абонентские оконечные устройства. Здесь как оказалось совершенно неизведанная территория. Если с операционными системами всё более или менее ясно, то с домашними маршрутизаторами кто во что горазд. Решено было разбираться по ходу дела, главным казалось, настроить магистральную сеть.

    Контроль доступа, биллинг, полисинг — прикладное программное обеспечение самая проблемная часть если верить обзорам IPv6 и литературе которая была изучена. Но и здесь не виделось больших проблем, что сложного заменить один адрес на другой, тем более железо нам бодро рапортовало что всё это умеет.

    Проект


    Если на секунду покажется что /32 это много, следует отогнать от себя эти мысли — /32 это впритык. С таким количеством адресов появляется соблазн сделать всё правильно и структурно и на всю жизнь:
    • /60 — абоненту. Можно и /64, конечно, но /60 это же навсегда, и не надо будет что-то отдельно придумывать для тех кому надо будет побольше;
    • /52 — на узел, из расчёта 256 абонентов;
    • /40 — на район, из расчёта 4096 узлов, по количеству виланов на устройство;
    • остальное это районы, максимум 256 минус служебные сети.

    Итого 256*4096*256 = 2^28 ~ около 268 миллионов абонентов у каждого из которых, ну очень много адресов. С этим всё в порядке.

    Так как изначально было очевидно, что всем не получится отдать родной IPv6, то тем, кому не повезло, IPv6 решено было отдавать в туннелях. Хотелось чтобы всё происходило автоматически без дополнительной настройки. Идеальным вариантом мог бы стать teredo, но у него не было поддержки наших IPv6 адресов, только зарезервированный диапазон. Это касается и 6to4, реализация которого подразумевает наличие публичного IPv4 на интерфейсе. Поэтому основным туннельным протоколом был выбран чистый туннель, как в туннельных брокерах. Пусть это и требовало некоторой настройки, но однократной, и поддержка на устройствах была гораздо шире.

    Реализация


    Магистральные маршрутизаторы. Тут почти всё хорошо. Всё, что новее 5-ти лет и заявлено как маршрутизатор, или если это L3 коммутатор не самый младший в линейке, имеет поддержку IPv6. В разной степени проработанности, но базовые функции OSPFv3, ACL, ND, DHCPv6 включая snooping, диагностические утилиты, обычно присутствуют.

    Конечно, некоторые устройства подвержены детским болезням:
    • Повышенная нагрузка на CPU (особенно это касается OSPFv3), хотя IPv6 как раз и должен был решить проблему недостатка вычислительной мощности;
    • Некоторые производители придумывают совершенно жуткие синтаксические конструкции, чтобы вписать настройку IPv6 в существующий интерфейс;
    • Базовые команды диагностики не всегда корректно работают. Даже попытка проверить что-то ping может завершиться печально.

    Но это всё проходит и починится в ближайшее время, как я думаю. Единственно чего вдруг не стало хватать это wildcard mask, иногда было бы полезно, но такого не будет никогда — IPv6 другой протокол.

    Коммутаторы удивили своим избирательным подходом. Возможно, если вы не используете мультикаст в своей сети и различные варианты его фильтрации, то всё будет хорошо. Но если используете, то с большой вероятностью мультикаст трафик IPv6 зафильтруется как неизвестный. Поэтому для коммутаторов также надо явно смотреть поддержку IPv6, чтобы не было сюрпризов. Зона охвата после этого открытия немного уменьшилась.

    Туннели. Как ни странно, самое простое и самое эффективное решение. Поднятие серверов и настройка не отняла много времени. Поднимаем sit интерфейс и запоминаем маршруты на подключенных абонентов через него. Был написан интерфейс для абонентов позволяющий понять, пользуетесь ли вы туннелем, и если нет, что надо сделать, чтобы его настроить.

    Дополнительно подняли teredo relay на miredo. Teredo сам по себе очень интересный протокол, даже если у вас только IPv6 сеть, но вы не забываете об обделённых вынужденных пользоваться teredo, поднятие teredo relay в вашей сети очень сильно улучшит им жизнь. Раз в 10, если судить по пингам. Конечно, это касается только ваших серверов, никакого транзитного трафика бежать через ваш релей не будет.

    Устройства абонентов повели себя по-разному. Фактически Windows и Linux не принесли сюрпризов. В разных системах и версиях имеются разные приоритеты для IPv6, где-то на первом плане DHCPv6, где-то, даже если все адреса IPv6 получены, всё равно работаем через IPv4. Так как IPv4 выключать не собирались, то здесь решено было действовать по факту, если не работает чиним. Многие роутеры в свою очередь порадовали наличием возможности включения механизмов туннелирования и также достаточно умным поведением, даже без запроса DHCPv6-PD они смогли распределить выделенный им префикс /64 на свою локальную сеть.

    А вот железный полисер нас подвёл. При всём своём авторитете марки и расписанном функционале, не смог переварить наши требования, просто отказался применять новые адреса. Но не всегда, а через раз, как бы я могу как и обещал, но не буду. Поэтому временно была пересмотрена стратегия выделения адреса, только /64 на абонента.

    Заработало


    Когда были готовы настройки магистральных узлов и серверы туннелей, мы разрешили абонентам пользоваться IPv6. Разрешили пользоваться, но самим абонентам не сказали. Таким образом у кого устройства были настроены на автоматическое получение IPv6 (все современные ОС), те должны были получить адреса и начать использовать новый протокол по назначению. Для всех тех, кто каким-то образом узнал об IPv6, но не смог настроить нативно, тем предлагалось перейти на сервер туннелей для настройки.

    Так работало 3 месяца, за которые:
    • Нативный трафик IPv6 линейно рос и добрался примерно до отметки 1-2% от общего трафика;
    • Структурно: в основном web и видео через web, никакого торрента;
    • Количество абонентов тоже линейно росло до примерно такой же величины;
    • На сервере туннелей зарегистрировалось порядка 1000 абонентов, которые генерировали трафик сравнимый с нативным;
    • Даже трафик через teredo relay составил 50 Кбит/c.

    А потом мы всем сказали что у нас есть IPv6. И вместо ожидаемого перехода к взрывному росту показателей, получили довольно странную картину. К нам стали звонить абоненты и просить им всё настроить не понимая зачем это надо, совсем не понимая, вообще. А мы внезапно для себя не смогли объяснить:

    • Много адресов. В среднем активных устройств на абонента, которым требуется доступ в интернет 2-3, может, побольше — гаджетомания побеждает. Но даже сейчас это покрывается с лихвой частным адресным пространством без IPv6. Хоть каждому абоненту до 2^24, хотя на всех абонентов 2^24 — сейчас этого более чем достаточно;
    • Каждый адрес публичный. Сейчас у нас все адреса при доступе к интернет получают уникальный публичный адрес через NAT. Да через NAT, но с точки зрения конечного абонента NAT как первичный фильтр очень хорош. IPv6 подставляет под удар каждое подключенное устройство;
    • IPv4 кончаются. Если перейти от NAT к PAT(NAPT) при мультиплексировании 1 к 2, экономия 2 раза — в два раза больше подключенных абонентов. Такое мультиплексирование незаметно вообще, никому, 1 к 10 более реальные значения. А для тех кому действительно нужны публичные адреса после такого перехода они легко найдутся. Это не отменяет того факта что IPv4 кончаются, но провайдеры с полностью понятной технологией NAT это заметят самые последние. Многие наверняка уже использую NAPT или уже cgNAT, но IPv4 ещё можно купить или арендовать, причём достаточно свободно. Цены выросли, список предложений сократился, но до ситуации «нету ничего» ещё минимум пару лет;
    • Автоматические настройки. Для провайдера stateless технологии ужасны, тотальный контроль залог успеха. Гигантское количество IPv6 адресов разных типов на одном интерфейсе, гигантские возможности потенциальной ошибки. Если не следить за адресами, большая часть сети превратится в ботнет и уже будет поздно что-то менять;
    • Multicast против Broadcast. Коммутаторам всё равно, даже иногда плохо, логика начинает сбоить при использовании различных фильтров. На сетевом уровне, вместо 192.168.0.255/24 такой же FF02::1, т.е. тоже всё равно.


    Итого


    Оставили работать только сервер туннелей, последняя регистрация на котором была 9 марта, через 7 месяцев как убрали новость об IPv6. Остальное выключили через пару дней после объявления, поняв что единственным результатом это больше звонков от тех кто хочет что-то сделать, но не знает зачем, и почти полную неготовность даже в ближайшей перспективе софтверной обвязки. Те, кто знал зачем, сделал это сам. Сейчас доделываем биллинг, обновляем прошивки и оборудование и приходим к понимаю что IPv6 такой же протокол как и IPv4, интернет к этому стал готов и поэтому сам по себе «новый» протокол стал неинтересен. Спешить никуда не надо. Ни один конкурент за это время не предложил ничего, хотя почти все зарезервировали себе IPv6 префиксы.

    Для всех тех, кто думает что у его провайдера нет IPv6, попробуйте поискать — может быть, уже есть, просто вам это не нужно?
    Support the author
    Share post

    Similar posts

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 128

    • UFO just landed and posted this here
        +4
        и в ответ: «да, есть! Но только с нашим роутером (купите или в аренду) и только за доп. бабки. Что? Просто дать настройки, а вы свой сами настроете? Нет, ваш роутер однозначно не будет работать! Да нам пофиг какой у вас роутер — он не будет работать так, как наш! Почему? Просто в наш вкорячена наша кастомизированная прошивка специально для IPv6»
          0
          А в этом и есть суть провала. Если мы попробовали и выключили, то в случае кастомной прошивки сделали чтобы работало, но только для галочки, ибо вроде надо, но не нужно (в этом случае не нужно провайдеру).
          • UFO just landed and posted this here
          0
          А о каком городе речь?
            0
            Волгоград. Но вообще мне представляется что ситуация очень типичная, в целом, как минимум по России.
            +4
            А это ничего. Когда через пару лет RIR'ы раздадут то последнее из IPv4, что у них осталось, кроме IPv6 вариантов не будет. Либо за бешеные деньги арендовать/выкупать IP у других (что не очень вяжется с политикой RIR'ов), либо двигаться в сторону v6.
              +1
              Тут проблема в том, что это хлеб/соль для RIRов.

              Так что я думаю биржу откроют. А ipv6 застопорится пока не будут поправлены баги (а то вышло то, для чего разрабатывали, все дырявое, SLAAC только дома можно использовать, большее адресное пространство в принципе с текущими технологиями идет во вред, раздавать их надо было как v4 в 90х).
                +1
                Для RIR'ов хлеб-соль (если я правильно понял что вы имели в виду) — это членские взносы, которые платят LIR'ы, а LIR'ы никуда не денутся. Когда будут существовать популярные сервисы, работающие IPv6-only, то проблемы вида «D-Link глючит при работе с IPv6 со включенным IGMP Snooping» будут решаться заменой D-Link'ов на более современные.
                +6
                RIR'ы уже, считай, раздали. last /8 уже фиг знает сколько. А 1000 адресов per LIR — это детский лепет и никакой роли не играет.

                Сейчас заканчивается этап проедания нахапанного и начинает выходить на передний план первичный вторичный рынок.

                Поясняю насчёт «первичного вторичного рынка». Это когда адреса покупаются на вторичном рынке у компаний, которые их получали пока адреса раздавались легко и свободно, и которые ничего такого особого не думали. Всякие хостеры-неудачники, у которых из активов только IP, крупные конторы, которые адреса получали «под задел», который не пригодился и т.д. То есть сейчас пылесосят «завалявшееся».

                Когда этот ресурс закончится (а он весьма ощутим, на самом деле), то в дело пойдёт уже «коммерческий вторичный рынок». Когда будут не «завалявшееся» собирать, а резать наименее интересные проекты ради адресов — они будут весьма и весьма ценными на рынке.
                  +1
                  вспоминается песня «хоронили тёщу — порвали три бояна».
                  Уже лет 5 слышу, что кончается IPv4. Всё никак не кончится.
                  В моём городе один не безывестный федеральный провайдер стал сажать всех за NAT-ы. На разные ресурсы ходим под разными белыми IP адресами. Называется технология carrier grade nat
                    0
                    Провайдеры меньше всего заинтересованы в том чтобы прямо сейчас развивать IPv6. Это ж нужно апгрейдить сети, дополнительно обучать саппорт и еще много-много других затрат. Они это всё сделают конечно, но только тогда, когда прижмёт. А прижмёт когда появится ощутимый процент важных сервисов, работающих только по v6.
                  +2
                  Я давно хочу подключить IPv6, но не подключаю потому что лень. Лень настраивать защиту локальной сети, когда с IPv4 и NAT она уже есть. Лень думать, где же я могу налажать с настройками. Лень разбираться во всей этой кухне типов адресов. Обычные пользователи лишь дополняют картину, не понимая, зачем им может быть нужен IPv6. Нужно готовое устройство, которое пользователь может поставить у себя вместо роутера/за роутером, которое просто «сделает хорошо».
                    +7
                    Проблема надумана.

                    В начале нулевых разве не то же самое было? Когда диалап выдавал реальные адреса, у рядового пользователя не было фаерволла, всё было открыто наружу, кулхацкеры лазили по шарам, делали что хотели. До сих пор помню спам и ASCI-art-картинки сомнительного содержания, приходящие через виндовую службу сообщений, которая net send, пока не поставил Outpost.

                    Когда люди со временем более-менее поймут, что такое внешний адрес, они просто перестанут выключать, повсеместно рекомендуемый, «этот ненужный дурацкий брандмауер, из-за которого ничего не работает». Его блокировки входящих по умолчанию вполне хватит оградиться от внешнего мира для рядового пользователя. В юзерских дистрибутивах линукс тоже разрешено только NEW,RELATED в iptables на вход.
                      0
                      Да не нужно ничего включать или выключать, в роутерах есть свой файрвол, разрешающий входящий трафик только при наличии правила или запроса через UPnP/NAT-PMP от приложения.
                      Хотя у настройщиков всякое может быть, ведь они даже не отличают NAT от FW.
                        0
                        NEW,RELATED
                        Сильно. А ESTABLISHED — нафиг?
                          +2
                          Кому надо, те поняли, что я опечатался.
                      0
                      Вот это сильно смущает. "Да через NAT, но с точки зрения конечного абонента NAT как первичный фильтр очень хорош. IPv6 подставляет под удар каждое подключенное устройство"

                      Мне проще noip.me платить копейку, чем думать о том, что все моё домашнее хозяйство нараспашку всему миру только потому, что я хочу время от времени заглядывать на свою ip-камеру.
                        0
                        Действительно, все в инете не настолько важно, вот on-demand NAT был бы удобен да и для человека с мини устройствами настроить порт проброс — не проблема.
                        +4
                        Для всех тех, кто думает что у его провайдера нет IPv6, попробуйте поискать — может быть, уже есть, просто вам это не нужно?
                        Надо же, оказывается есть у моего провайдера IPv6, ещё с 2013-го года.
                        Сейчас нашёл в модеме галочку для активирования IPv6. Результат теста на сайте test-ipv6.com — 10/10.
                        Модем получил префикс /56, вся эпловская техника и Synology NAS получили по нескольку IPv6-адресов (зачем одному устройству 6 IPv6-адресов?), и только андроид и Windows-Phone остались на IPv4.

                        Вопрос только — зачем оно мне и как всё вернуть обратно? ;-)
                          +4
                          Насчёт 6 адресов на устройстве.

                          Один из этих адресов локальный, для работы протоколов настройки и для общения внутри локальной сети. Один статический для входящих соединений. А остальные, скорее всего, временные — для исходящих.

                          В IPv6 есть такая штука, как временный адрес для исходящих соединений. Они могут ротироваться по времени или по количеству соединений для предотвращения сканирования портов.

                          Суть в том, что адрес меняется, а старые соединения остаются висеть на предыдущем адресе, и чтобы не разрывать их, этот адрес объявляется как устаревший, и новые соединения его уже не будут использовать. Соответственно, когда отвалится последний коннект от старого адреса, он просто удалится с интерфейса.
                          +1
                          На самом деле траффика по ipv6 очень мало. Например, проекты ориентированные на европу и западную аудиторию — 1.35% IPv6 в 2014 году, и в текущем 2015 всего 0.75% на 4 полных месяца.
                            +6
                            А это смотря с какой стороны смотреть. Я не знаю чего ожидал топикстартер, но вся статья — просто показатель того, что люди плохо умеют «работать» с экспонентой.

                            График Google показывает не только то, что IPv6 пользователей мало, но и что их количество растёт примерно раза в два за год. То есть через 3-4 года их будет половина. А ещё через 2-3 года вы обнаружите, что разные программы просто-напросто не работают без IPv6 (при значительном перевесе в пользу людей с IPv6 окажется выгоднее работать с ними, чем мучиться с поддержкой клиентов без IPv6). Что, я уверен, окажется «неожиданностью» для многих провайдеров. Как неожиданностью оказалось отключение Java через несколько лет после первого звоночка.

                            Собственно все новые технологии через это проходят. Много народу в 2002м году купились на поддержку 3G? А лет через 10 операторы без 3G просто начали тихо терять клиентов и, в общем, практически кончились. Экзотика типа сетей 2G/4G от Tele2 в Туле не в счёт — это всего лишь способ как-то выжить в ситуации, когда 3G уже «нужен позарез», а его нету.
                              0
                              Оффтоп конечно, но «Экзотика типа сетей 2G/4G от Tele2 в Туле не в счёт — это всего лишь способ как-то выжить в ситуации, когда 3G уже «нужен позарез», а его нету.» Зачем нужен 3Г при развёрнутом 4Г? Телефоны служат недолго. Через 3-4 года о 3Г уже и не вспомнят.
                              Вот с 2Г — засада, пока в 4Г нет и не предвидится голосвоых каналов — непонятно, как дальше пойдёт развитие классической телефонии.
                                0
                                предвидется в LTEA
                                  0
                                  Есть же Voice over LTE. У моего опсоса, например, есть, но скорее теоретически.
                                  На практике это работает только с некоторыми брендированными смартфонами Самсунга и Сони, и не со всеми симкартами. Так что хотя у моего айфона передача данных по 4G теоретически до 100 мбит/с (реальных я видел 45 мбит/с), но для звонков он переключается в 2G/3G.
                                    0
                                    В том-то и прелесь классической телефонии, что она не брендирована и хорошо стандартизирована. Была. А звонить через ИП и через скайп можно.
                                    0
                                    Оффтоп конечно, но «Экзотика типа сетей 2G/4G от Tele2 в Туле не в счёт — это всего лишь способ как-то выжить в ситуации, когда 3G уже «нужен позарез», а его нету.» Зачем нужен 3Г при развёрнутом 4Г?
                                    Там нет развёрнутого 4G. Там не получилось запустить 3G сеть (частот не досталось) и у Tele2 начали уходить клиенты. В качестве решения была форсированно запущена сеть 4G. Которая пока что работает по принципу «тут густо, тут пусто». Хотя когда покрытие будет нормальное без 3G уже можно будет и обойтись, конечно.
                                      +1
                                      Мегафон активно переводит абонентов на 4G, вероятно, для освобождения 3G под голос. А VoLTE уже работает у T-Mobile, наши тоже тестируют.
                                  0
                                  IP6 не пользуюсь, хотя возможность есть, для дома арендую статический IP уже 4 года 30 рублей в месяц. И честно говоря не вижу проблем. Но принудительный переход на IP6 меня бы взбудоражил.

                                  Я вообще считаю, что принудительно делать такие вещи не предупредив пользователя — просто издевательство.

                                  Недавно Ростелеком прошил удаленно мне прошивку на IP/TV не спросив меня — и меня это бесит, т.к. теперь телевизор каждые 30 минут предлагает прочитать какое то сообщение когда я смотрю «важную телепрограмму».

                                  ЗЫ: У меня такое ощущение, что роутеры Ростелекома, которые ставят пользователям дома следят за нами.
                                    –2
                                    Ростелеком — самый худший интернет провайдер в России.
                                      0
                                      Приставки IPTV как минимум собирают статистику по просматриваемым каналам и передачам.
                                      Тоже пользуюсь Ростелекомом, во-первых, потому что это единственный доступный провайдер. Но и даже если придут другие, то отзывы о них не лучше. Да и, в принципе, всё устраивает и на Ростелекоме. Кроме сабжа. Нет у нас до сих пор IPv6. Только через 6to4 настроил… но это костыль.
                                        0
                                        >>Недавно Ростелеком прошил удаленно мне прошивку на IP/TV не спросив меня
                                        это называется TR069
                                        +5
                                        Сейчас у нас все адреса при доступе к интернет получают уникальный публичный адрес через NAT.
                                        Не совсем понял. Т.е. У вас NAT, но с выделением личного IP каждому клиенту, но это не Full Cone? А почему? Есть какие-то технические выигрыши от такого подхода?

                                        AYrm, Disasm, в некоторых роутерах, фильтр входящих соединений включается одной галкой или выбором в комбобоксе. Мне больно видеть, что в 2015 кто-то может оправдывать NAT, да еще и говорить, что это удобно.
                                          +3
                                          Фильтр входящих соединений хитрая штука. Для большинства устройств в изначальном исполнении он включает кучу исключений для разных видов трафика. Надо каждый раз следить, чтобы прошивка не посчитала, что «запрещено всё», кроме SMB, например… С NATом же сложнее обратиться к узлу, который не имеет глобального адреса.

                                          В теории — да, межсетевой экран может заменить нат и быть лучше ната. Но на практике никто среди домашних пользователей этим заморачиваться не будет. Нет адреса — нет проблем.

                                          Есть разница — надо приложить услилия, чтобы разрешить входящие из вне и надо приложить усилия, чтобы такие подключения запретить.
                                            0
                                            Да, именно так. Технически это очень помогает в работе с органами. В своё время этим решали проблемы гиков при переходе/отказе от подключения абонентов по VPN, когда мы посчитали что заменить публичный IP на интерфейсе на частный да ещё и за PAT, было бы не комильфо.
                                              0
                                              Прошу прощения, что-то я недопонимаю. У вас отдается статический серый IP клиенту, который каждый раз мапится в разные белые IP-адреса, при этом нет PAT, и это не Full Cone NAT? А в чем смысл тогда? Почему не просто firewall с запретом входящих соединений?
                                                +3
                                                Мы отдаём не один IP, а некоторую частную статическую сеть абоненту. Как только устройство из этой сети хочет попасть в интернет оно мапится Full Clone в разные публичные адреса (при активном использовании интернет, публичный адрес не меняется), каждое устройство в свой IP.
                                                Смысл — каждый абонент имеет публичный адрес, максимально столько сколько мы ему отдали сеть. Мы эти самые публичные адреса экономим, потому что имеем общий пул адресов меньше общего количества всех наших абонентов и тем более в несколько раз меньше чем всего у абонента возможных устройств. Здесь вопрос не безопасности, вопрос выгоды.
                                                На границе сети мы не запрещаем ничего, кроме того что явно представляется злонамеренным. Некоторые абоненты активно используют возможность именно внешних соединений на свои устройства. И не у каждого нашего абонента есть дома роутер, у некоторых только коммутаторы.
                                                  +2
                                                  А, теперь понял, у вас Full Cone. Это здорово, на самом деле, молодцы!
                                              0
                                              Для меня сети — это не проф.занятие. По мере необходимости. Выбрать себе хороший роутер и поставить на него DD-WRT у меня знаний и мотивации хватит. Процентов 30 настроек (я надеюсь) я могу понять. Остальное просто стараюсь не трогать.

                                              Так вот я примерно понимаю, как это работает и чем отличается выделенный IP от локального IP в моей локальной сети. И что попасть ко мне внутрь не так просто хотябы шкодным детишкам моего уровня знания сети. Если я не хочу, чтобы эту камеру было видно — её не будет «снаружи» видно. А вот как поступать в ситуации IP6 мне не понятно. И что самое противное — мне не 25 лет и море времени впереди когда я кидался разбираться с 3dmax только потому, что мне надо было сделать разовую работу. Так что становиться сисадмином для личного пользования не вариант.
                                                +3
                                                NAT, который у вас на роутере настроен по дефолту вместе со всеми костылями к нему и благодаря которому у вас есть это некоторое чувство защищённости — это далеко не самая простая вещь в настройке и работе. И то, что для вас это выглядит просто, является лишь тем, что эти настройки вшиты и по дефолту включены. Ничего не стоит сделать то же самое на роутере с IPv6, за исключением того, что сам механизм работы этой защиты архитектурно сильно проще.

                                                То есть это некоторый вопрос времени, пока не появятся т.н. Best Practices и производители роутеров не начнут это делать в каждом роутере (если уже не начали)
                                                  –2
                                                  У Apple нормальная поддержка IPv6 давно есть, а с китайцами всё как обычно.
                                                    0
                                                    У Apple до недавнего времени не было IPv6 на 3G интерфейсе.
                                                      –3
                                                      Я про роутеры.
                                                        +5
                                                        Могу ошибаться, но по–моему, на рынке роутеров Apple — не слишком значимый игрок.
                                                +3
                                                Зачем внешний адрес устройству, к которому обращений из инета не должно быть в принципе? Зачем сначала решать проблему «как сделать устройство доступным снаружи» — а потом решать «как же этот доступ теперь перекрыть»?

                                                И по поводу настроек роутера. Я попросту не знаю, где фильтр входящих соединений включается. В веб-интерфейсе роутера есть три таблицы правил, и я не знаю, какая из них за что отвечает. Ни то маркетологи, ни то дизайнеры сильно постарались, чтобы названия тех страниц были совершенно непонятными.

                                                Можно, конечно же, провести серию экспериментов и понять, какая таблица за что отвечает — но зачем, если можно включить NAT нажатием одной кнопки?
                                                +1
                                                Больше всего в IPv6 я не понимаю отказ от ната. Да, адресов дофига и в теории всем хватит. Но нат из механизма решения проблемы дефицита адресов давно превратился в механизм безопасности. Всё-таки это сложно через интернет обратиться к немаршрутизируемой глобально сети.
                                                Кто мешал сохранить нат? Я понимаю, что он ломает концепцию условно неограниченного количества адресов для каждой вещи. Но разве все устройства IoT должны быть видны из всей глобальной сети?
                                                  0
                                                  Ну, по крайней мере, реализации-то в том же линуксе есть, но NAT, в целом, нужен редко, если только для удобства какой-нибудь адрес короткий замапить.
                                                  И да, NAT никогда не был средством безопасности.
                                                    +10
                                                    Он не разрабатывался как средство безопасности, но он им является де-факто.
                                                    Миллионы пользователей ставят домашние роутеры не заморачиваясь за настройки межсетевого экрана, но при этом их домашние устройства достаточно надёжно экранированы от внешней сети. Для того, чтобы сделать их видимыми — необходимы доп. настройки. А по-умолчанию их даже не просканировать.
                                                    Или вы считаете, что отсутствие возможности обращения к устройству из глобальной сети никак не влияет на безопасность?
                                                    Да, можно нат заменить фаерволом. Но фактически сейчас на миллионах точек присоединения к сети интернет нат заменяет правила классической пакетной фильтрации. И это факт.
                                                      +4
                                                      Не находите логичным, что вместо механизма NAT можно будет просто строчку в Firewall добавить? И всё, прощай проблемы с FTP, SIP и т.п.
                                                        +2
                                                        Я себе настрою как надо. Но есть миллионы домашних пользователей, с которыми вы задолбаетесь работать и вести разъяснительные беседы по поводу фаервола. В статье о пользовательских проблемах сказано явно и недвусмысленно.
                                                          +3
                                                          А что мешает необходимые правила по умолчанию предоставлять в маршрутизаторах, которые будут заточены под IPv6? По моему сейчас большинство железок по умолчанию предлагают включить глухой файвервол для запросов из интернета.
                                                            +3
                                                            Мешает огромная масса устройств уже существующих и огромная масса людей, имеющих инертность мышления.

                                                            Вы за прогресс для людей или за людей для прогресса? Именно игнорирование технической подготовки большинства пользователей и ставит пока крест на масштабном переходе.
                                                              +1
                                                              Вы меня заинтриговали. Я в два клика настроил 6to4 туннель (Ростелеком не выдаёт IPv6, как минимум, у меня в городе). Про Firewall даже не задумывался, ибо IPv6 только на Linux машинках внутри и не так страшно их наружу выставлять. Зашёл, проверил. У меня по умолчанию Firewall включен для IPv6. При желании можно создать правила для того, чтобы из внешки в локалку впустить.
                                                                +1
                                                                Неужели к вам никогда не прходили люди с квалификацией «а чё у меня тут выскочило», «а как скачать интернет» и пр.? Подавляющему большинству пользователей «в два клика» это сложно. Но если у вас не было опыта с домашними пользователями в своей массе — то мне вам в рамках комментария эти непередаваемые ощущения не пересказать.
                                                                  0
                                                                  Я же объясняю, что для того, чтобы мой маршрутизатор пустил кого-то в локалку по IPv6, то его нужно специальным образом настроить. По умолчанию он играет в глухую оборну.
                                                                  Кстати, у меня маршрутизатор фирмы Asus.
                                                                    –3
                                                                    Правильный маршрутизатор. Что тут ещё сказать? Но это, к сожалению, скорее частный случай.
                                                            0
                                                            не надо вести беседы. Надо дефолтные настройки фаервола нормальные. Как и для NAT-a (тоже можно форвардить порты внутрь по умолчанию, но ведь это никто не делает).
                                                            Вот другое дело, что при NAT-e у меня разные порты проброшены на разные устройства дома. И я спокойно обращаюсь к ним по одному адресу, просто разные протоколы прилетают на разные устройства. А так придется помнить какой адрес (или имя) у меня у какого девайса дома, чтоб к нему подключиться. Так что гемора с ipv6 таки всем больше. Но прогресс не остановить. Со временем с этим придется столкнуться, как ни крути.
                                                              0
                                                              Вам поможет Dynamic DNS. Каждое устройство будет само обновлять адрес в своём имени. Я набросал скрипт для *nix-систем здесь: gist.github.com/Envek/9aa53b06e7df369626a9 и с удовольствием им пользовался, когда был на провайдере с IPv6. Это очень клёво, когда можно зайти на свой ноут по ссылке вида notebook.домен.tld
                                                                –1
                                                                Я в курсе. И даже пользуюсь. Вот только оказалось, что когда в доме 5 ноутов, 2 сервера (не считая виртуалок), 2 десктопа, 2 телефона и 4 таблетки, то я уже не помню какие имена я надавал всем этим устройствам. Понятно, что из них всех имена нужно помнить только серверов и десктопов, ибо всё остальное или выключено или просто ничего не сервит и коннектиться к ним не надо. Но все равно оно как-то напрягает. А сейчас просто — иду на home.домен.tld. Если иду по SSH, то попадаю на один сервер. Если по http, то на другой. Если по RDP, то на один из десктопов. Просто и удобно.
                                                                  0
                                                                  Если вы заходите в домашнюю сеть через роутер, он-то вполне способен обеспечить нужный функционал, не важно что IPv6 используется — есть такая функция как переназначение портов, если эта функциональность доступна для конфигурации. Это я к тому что эта функция роутера не зависит от протокола и работает одинаково как с IPv4 так и с IPv6.
                                                                    +2
                                                                    А какой смысл делать NAT и проброс портов для IPv6? Просто потому, что это все еще можно?
                                                                    Не для того делался v6, чтоб продолжать использовать NAT и проброс портов.

                                                                    P.S. Нет, мой провайдер IPv6 не поддерживает и роутер создать туннель тоже не позволяет. Так что для меня IPv6 пока еще в рамках всей домашней сети недоступен.
                                                                      0
                                                                      А какой смысл делать NAT и проброс портов для IPv6? Просто потому, что это все еще можно?
                                                                      Потому что это всё ещё нужно. Когда-то, давным-давно, NAT был придуман, чтобы экономить IPv4 адреса, это правда. Но с тех пор ему нашли тучу других применений. Компании не хотят чтобы структура их внутренних сетей «торчала» наружи, что может быть более важно, хотят иметь возможность «прозрачно» переносить сервисы с одного сервиса на другой. Потому NAT для IPv6 и существует и используется.
                                                          +5
                                                          в ipv6 есть специальный диапазон «приватных» адресов для таких случаев. вы хоть стандарт почитайте, прежде чем панику разводить.
                                                            –4
                                                            Есть, однако NAT это не только диапазон адресов, но и согласованный алгоритм. Этот алгоритм для IPv6 не разработан. Можно конечно применять механизмы от IPv4, но это идеологически неверно.
                                                            +2
                                                            А как же UPnP? Любое приложение может пробросить себе порт, если нужно. Многие приложения его поддерживают. Он включен на большинстве роутеров по умолчанию.
                                                              –4
                                                              Там хоть список посмотреть можно. Я сунулся туда, обнаружил некий teredo, слегка прифигел от непонятно чего, что наплодило себе портов и о чем я не подозревал вообще. Начал разбираться… Понял для чего оно и вырубил от греха за не надобностью.
                                                            –4
                                                            А что придется делать средним и большим организациям (да и не только организациям), в которых обустроена довольно обширная локальная сеть с десятками рабочих станций, мобильных клиентов, принтеров, IP-телефонов и т.п.? Неужели каждая телефонная трубка на столе менеджера «должна» будет смотреть в мир напрямую? Честно говоря, эта проблема меня больше всего пугает. Может я что то недопонимаю и есть какое нибудь решение этой проблемы?
                                                              0
                                                              мой комментарий выше. извините, промазал.
                                                                +6
                                                                Я не понимаю, от чего такая паника. NAT (тот, что в линуксе и на всех домашних маршрутизаторах) выполняет только замену IP, порта, и добавляет запись в conntrack об этом. Если на файрволле запретить forward новых соединений в локальную сеть, то вы добьетесь точно того же поведения, которые так жаждите добиться от NAT, но только без NAT, и с нормальным белым IP.

                                                                И да, я не вижу ничего плохого, когда все устройства имеют белый IP. У меня все устройства дома имеют IPv6, я могу к ним всегда обратиться из интернета (еще и по динамическому доменному имени!), у меня нет проблем с протоколами, которым, по хорошему, нужен белый IP: FTP, SIP, передача файлов через XMPP, XDCC (да, я часто передаю файлы через XDCC, это единственный верный способ скачать некоторые старые релизы аниме, для которых нет сидов в торренте).

                                                                А то, что Loiqig не нашел, что сказать клиентам, как-то просто недальновидно. Раздача торрентов по IPv6 (внезапно, у меня 10-15% торрент-трафика по IPv6), хостинг игр, требующих белого адреса, без проблем, возможность поднятия серверов.

                                                                Ну и как сказал sunafajro, если вы уж так хотите, вы можете использовать внутренние немаршрутизируемые адреса, и, прости господи, использовать NAT на IPv6. А можете просто иметь множество IPv6-адресов на интерфейсе и биндить сервисы к нужному, чтобы они работали только во внутренней сети, к примеру. У меня, например, в среднем 5 IPv6-адресов на интерфейс: link-local, ULA (1), ULA (2), белый SLAAC и белый DHCPv6.
                                                                  0
                                                                  И да, я не вижу ничего плохого, когда все устройства имеют белый IP.

                                                                  До некоторой степени у нас так и реализовано, только в IPv4, и конечно не для 100500 устройств, но реализовано.
                                                                  0
                                                                  Радоваться, как тем у кого публичные адреса были изначально (тот же HP).
                                                                +4
                                                                Когда-то компьютер можно было убить пингом. Переход на ipv6 просто обострит проблему безопасности и подтолкнет к ее купированию, что в любом случае полезно, ибо сейчас некоторые производители вещей для интернет наплевательски относятся к этим вопросам, полагая, что 99% юзеров будут юзать их за натом
                                                                  +1
                                                                  Т.е. чтобы решить проблему безопасности её надо создать? Устройства IoT бывают очень примитивными. Например датчики температуры. Надо туда SSL впихивать, сертификаты и т.п. менять? Зачем, если можно защитить периметр сети.
                                                                    +3
                                                                    Немного перефразирую. Необходимо (и часто достаточно), настроить фаервол на роутере, через который ходит ipv6 трафик. И это не сложнее NAT.
                                                                      –1
                                                                      Во-первых сложнее. Двусмысленностей в работе чистого нат намного меньше, чем в фаерволе. Нат он примерно одинаковый для всех, а вот фаерволы бывают очень разные с разной логикой функционирования. Понятие входящий трафик очень размыто и трактуется по разному. Кто-то любой трафик считает входящим, кто-то вешает логику распознавания сессий и не считает рефлексивный трафик входящим, у кого-то разные правила для самого фаервола и устройств за ним, кто-то смешивает логику форварда с логикой непосредственного обращения к узлу и т.д. Хотя эта проблема решаемая. Но не факт, что малой кровью.

                                                                      А во-вторых подавляющая масса людей действует «по-умолчанию». Есть множество исследований на эту тему. Так вот, нат как раз и обеспечивает безопасное состояние «по-умолчанию». С фаерволом — не так однозначно. Можно сколько угодно рассуждать, что в теории простое экранирование правильнее. Но есть практика и эта практика говорит — у IPv6 проблемы с внедрением. В том числе из-за отсутствия ната. Пускай даже это психологические проблемы.
                                                                        0
                                                                        Если рассматривать типичный сферический роутер в вакууме, то это будет коробочка с линуксом внутри. Для организации защиты, аналогичной NAT достаточно по одному правилу для iptables и ip6tables. Что -то вроде --state ESTABLISHED,RELATED -j ACCEPT для input.

                                                                        Но вообще я воспринял ваш коммент как защиту ipv6 а не критику :)
                                                                          –2
                                                                          Я и не критикую IPv6 в целом, но с натом явная промашка и она в т.ч. тормозит его внедрение, так как люди НЕ ПОНИМАЮТ. Ну был бы такой механизм рекомендован стандартом — переход был бы более плавным. Потом бы нат умер за ненадобностью сам.

                                                                          А интерфейс iptables это не аргумент. В любом андроиде его можно разлочить. Сколько % пользхователей и производителей софта это делают? Не путайте «можно» и «каждый может».
                                                                            +1
                                                                            Покажите мне роутер, который позволяет прописать это самое правило именно в таком виде из коробки (т.е. без перепрошивки). В моем домашнем я так и не нашел доступных для редактирования скриптов инициализации.
                                                                              +2
                                                                              Перед праздниками было два поста про то, что D-Link со штатной прошивкой и в хвост, и в гриву имели. Уверен, что D-Link не исключение. О какой вы там безопасности с IPv6? ))
                                                                            0
                                                                            > Двусмысленностей в работе чистого нат намного меньше, чем в фаерволе. Нат он примерно одинаковый для всех, а вот фаерволы бывают очень разные с разной логикой функционирования.

                                                                            А вы, батенька, давно сидели за «чистым» натом? Подозреваю, что за чистым натом и без UPnP не работала бы и половина достойных применения протоколов. Взять хотя бы SIP и IPsec — первое, что всплывает в голове. Вот уж NAT — действительно то место, где созданные проблемы были героически решены.
                                                                              +1
                                                                              У меня лично UPnP отключен, а протоколы прописаны вручную.
                                                                              IPSec — да, действительно создан скорее для соединений сеть-сеть. Но как раз таки у корпоративных пользователей всё настроят админы, так что не проблема.
                                                                              Но есть же миллионы домохозяйств, где с безопасностью из рук вон плохо.
                                                                          –1
                                                                          Надо туда SSL впихивать, сертификаты и т.п. менять?
                                                                          Да, надо.

                                                                          Зачем, если можно защитить периметр сети.
                                                                          Вы уж определитесь — у вас IoT или один датчик и один комп. Идея «защитить только периметр сети и напихать внутрь оной сети 100500 потенциальных троянов» здравой ну никак назвать не получится. Достаточно одного хакнутого фитнесс-браслета (который, как и всё остальное, сделан в рассчёте на «защиту на периметре сети» и потому получает команды через HTTP без аутентификации с сервера производителя) и всё: все ваши датчики «работают на дядю».
                                                                            0
                                                                            Если устройство не пограничное, а внутреннее — никто его удалённо не хакнет. А если пограничное — оно нуждается в защите хоть с натом, хоть без.
                                                                            +1
                                                                            > Т.е. чтобы решить проблему безопасности её надо создать?

                                                                            Я бы сказал более общо: «чтобы решить проблему её надо создать». И это правда для всего )

                                                                            > Устройства IoT бывают очень примитивными. Например датчики температуры. Зачем, если можно защитить периметр сети.

                                                                            Я не слежу за IPv6 особенно, но когда я этим интересовался, там были LinkLocal адреса. Разве нельзя их использовать для таких устройств, если их не отменили?

                                                                            > Надо туда SSL впихивать, сертификаты и т.п. менять?

                                                                            В принципе, если там реализован Web, то сделать TLS — это уже вобщем-то не такая уж сложная задача.
                                                                              +1
                                                                              В принципе, если там реализован Web, то сделать TLS — это уже вобщем-то не такая уж сложная задача.
                                                                              Ну да, а потом предупреждение браузера при каждом соединении, ибо сертификат не валиден. Учитывая, что пользователь должен иметь возможность поменять как доменное имя (если оно вообще есть), так и ip-адрес во избежании конфликтов — получаем необходимость домашнего доверенного центра сертификации…
                                                                                0
                                                                                > предупреждение браузера при каждом соединении

                                                                                Не поверите, но у меня так ругался роутер LinkSys, пока я его не вылечил с помощью DD-WRT.

                                                                                Но вообще, если эта сферическая IoT-железяка измеряет влажность в вашей квартире, то, наверное, особой нужды закрывать её TLS'ом нет. А вот тем, чтобы её не убили детишки-какеры, если вам важно знать влажность, находясь за пределами квартиры, озаботиться всегда полезно.

                                                                                > получаем необходимость домашнего доверенного центра сертификации…

                                                                                А у вас его ещё нету?! :-o
                                                                                  0
                                                                                  А что не так с домашним доверенным центром сертификации? TinyCA на флешке отлично для этого подходит.
                                                                                    0
                                                                                    Плохо тем, что обычному пользователю — это uber ) Увы. Надеюсь со временем, такие вещи будут рассказывать в школе на уроках информатики вместо изучения Word. Не на уровне математики, которая задействована в ассиметричном шифровании, а на уровне концепций (Алиса, Боб, Ева, одностороннее преобразование и т.д.) хотя бы. Сейчас с этим всё грустно: в лучшем случае определение зеленой и красной строки ссылки в браузере.
                                                                                      +2
                                                                                      Вот забавно ведь, математику ассиметричного шифрования я представляю довольно неплохо, а про домашние центры сертификации слышу в первый раз.

                                                                                      Почитал комментарии тут, и поймал себя на плохой, почти стариковской в плохом смысле мысли: ну уж больно лень этим всем заниматься, оно всё вне моей зоны интересов, работы и ответственности, нет времени, пусть оно там само как-нибудь, со всеми этими домашними центрами сертификации и разными видами NAT, а я лучше пойду код попишу и почитаю статьи по математике.
                                                                            +1
                                                                            Firewall решает проблему с безопасностью. А проблемы из-за NAT'а не решаются никак. Так зачем из двух зол выбирать большее?
                                                                              0
                                                                              Я сижу за натом. Расскажите мне о моих проблемах, а то вдруг я и не знаю…
                                                                                0
                                                                                Извините, бисер закончился.
                                                                                +2
                                                                                Проблемы из-за NAT решаются костылями. Самый яркий пример на моей памяти — это как я на FreeBSD поднимал ftp-proxy, иначе FTP клиенты не могли ходить в активном режиме на сервера.
                                                                                  0
                                                                                  Хм, а почему FTP в пассивном режиме как вариант не рассматривался?
                                                                                    0
                                                                                    Из-за слабого знания пользователем что и как работает. Их задача была просто вовремя положить отчёт в определённое место. Да и для собственного удобства, чтобы каждый раз не проверять наличие/отсутствие галки.
                                                                                      0
                                                                                      А что, есть какие-то FTP-клиенты, которые не поддерживают пассивный режим по умолчанию? Блин, как страшно жить…
                                                                                        +3
                                                                                        В то время я пользовался Total Commander. Там точно нужно указывать, что используется пассивный режим. Хорошо, когда знаешь что это. А вот как быть тем, кто не знает?
                                                                                    +4
                                                                                    Что значит решаются? Каждый новый протокол, сигнализирующий где-то внутри себя IP будет нуждаться в поддержке на ALG. А это дохера ресурсов, да и сам NAT операция очень недешевая. Connection tracking для firewall'а по сравнению с этим дешевле в сотни раз.
                                                                                    А дебилам с УМВР надо с полгодика поработать в саппорте оператора от 100к абонентов. Пусть там рассказывают какой-нибудь бухгалтерше про «пассивный режим как вариант».
                                                                                      +1
                                                                                      Вы, похоже, солидарны со мной. Проблемы с NAT можно решить, но для каждой проблемы нужно создавать свой костыль. И для каждого костыля нужно выделять дополнительные мощности оборудования. Грех не воспользоваться элегантным решением, имеющимся в IPv6, чтобы убрать самый главный костыль для локалок — NAT.
                                                                                        0
                                                                                        Похоже, солидарен.
                                                                                        Некоторые операторы включают IPv6 что бы хотя бы часть трафика пустить в обход своих CGN и снизить нагрузку на них.
                                                                                        А CGN и так почти золотые, а при условии дальнейшего роста трафика будут оставлять серьезную брешь в экономике оператора.
                                                                                  0
                                                                                  Костыльный это механизм безопасности. Там где возможен NAT там возможно включить фаервол с аналогичной функцией. И всё, никаких костылей. Вот только если в случае NAT открыть полный доступ устройству в сеть проблема не тривиальная(особенно когда не один конкретный порт или даже протокол, ICMP например пробросить или собственный протокол) то в случае с IPv6 и фаерволом то это дело лишь пары правил — и ваше новое устройство в сети имеет полный доступ извне.
                                                                                  0
                                                                                  Не всё пока гладко с IPv6. Вчера настроил на роутере туннель к Hurricane Electric и ура — IPv6 появился, я хожу на некоторые сервисы через него. А другие через IPv6 отвалились — отвалился Вконтакт, отвалились сайт-тестировщики IPv6 (что особо доставляет). Причём отвалились хитро — браузер не открывает по таймауту, а curl спокойно грузит. Мистика какая-то…
                                                                                    0
                                                                                    Не мистика, а либо кэш DNS, либо сетевая недоступность хостов через IPv6. (curl может втихую по IPv4 продолжить работать, вы не проверяли?)

                                                                                    В первом случае на винде поможет ipconfig /flushdns, во втором туннель попросту оказался «не для всех сервисов».
                                                                                      0
                                                                                      Проверял:
                                                                                      curl -v -6 vk.com                                                                                                                   12:50:01* Rebuilt URL to: vk.com/
                                                                                      * Hostname was NOT found in DNS cache
                                                                                      *   Trying 2a00:bdc0:3:103:1::403:900...
                                                                                      * Connected to vk.com (2a00:bdc0:3:103:1::403:900) port 80 (#0)
                                                                                      > GET / HTTP/1.1
                                                                                      > User-Agent: curl/7.37.1
                                                                                      > Host: vk.com
                                                                                      > Accept: */*
                                                                                      >
                                                                                      < HTTP/1.1 302 Found
                                                                                      < …ну и так далее…
                                                                                      


                                                                                      Почистил кэш и в системе sudo discoveryutil udnsflushcaches (OS X) и в хроме chrome://net-internals/#dns. Но без успеха.

                                                                                      Заметил я, что и curl не всегда грузит. Остаётся грешить на Hurricane Electric.
                                                                                        0
                                                                                        Впрочем, ни один браузер не открывает тот же вконтакт. Так что есть проблема и где-то в районе браузеров или операционки. Браузеры в своих инструментах разработчика не кажут, на какой IP пытаются подключиться (Chrome показывает только если коннект был успешным). ipv6.google.com открывается влёт.
                                                                                      0
                                                                                      Ваершарком посмотрите. Вдруг у вас из тонеля что-то выпало.
                                                                                      • UFO just landed and posted this here
                                                                                        +8
                                                                                        А вспомните время, когда провайдеры тупо фильтровали порты клиентов (25/tcp, 69/udp и многие другие), и не «корысти ради», а именно для ограничения вреда для «хомячков». Времена были модемные (да-да, v.34, v.90, v.92), клиент получал в зубы адрес, и никакого файрволла на рутере у него не было.

                                                                                        С тех пор пришел быстрый инет, пришел wifi и роутеры, раздающие трафик на несколько устройств, пришли (даже иногда и неплохо) файрволлы с принципом «все что юзер прямо не разрешил на вход, до него не дойдет» — жизнь хомячков облегчилась. Они, конечно, как не знали, так и не знают о грядущих опасностях, но чужие злые дяди получают доступ к их компам путем сканирования портов и эксплуатацией уязвимости куда реже. Я не говорю сейчас о троянах/вирусах в стиле «вам письмо, тут exe, его надо обязательно запустить» и «я знала, что нельзя, но я никогда вирусов не получала — решила проверить, что будет, и я не виновата, что с нашего клиент-банка был перевод в 500К руб в сторону левой фирмы»…

                                                                                        А теперь мы получаем «необходимость» посадить людей на ipv6. Они а) не имеют мотивов это делать, б) не знают, что это за зверь, в) не поймут без бутылки, что это за зверь, без двухчасовой лекции — а по окончанию лекции даже с бутылкой все благополучно забудут. Роутер в схеме будет присутствовать почти наверняка, но, увы, тут его уже надо будет настраивать, причем неплохо понимая, что и как.

                                                                                        Не забудем также зоопарк роутеров и софта к ним (тот же Д-Линк с их бесконечными называниями разных устройств одним названием с припиской пары букв или даже суффиксов «rev. B», «rev. C» — т.е. даже техподдержка, посоветовав человеку взять какой-нибудь DIR-615, не может быть уверена, что «DIR-615 rev. B» вообще будет работать, и сумеет осилить ipv6 в принципе.

                                                                                        Мне кажется, при таком затяжном вхождении в ipv6, при таком кол-ве багов и проблем в его внедрении, при таком числе заморочек на каждом этапе (от самого бзерского компа и на каждом хопе вплоть до сервера, плюс на самом сервере) — это, простите не «хорошо известный протокол», это плохо сделанная рулетка в стиле «мы включим и посмотрим, вдруг нам повезет».

                                                                                        И, да, разговоры, что «проблемы решаются заменой оборудования» — это все хорошо, но нереалистично. Если я вчера (хорошо, полгода назад) заплатил хотя бы 1000 руб за роутер, зачем я его буду менять-настраивать-устанавливать, и кто мне заплатит за новый? Провайдер платить не будет (у провайдера вообще вопрос пока только в «запуске перспективной технологии», а вовсе не «без ipv6 мы завтра закроемся»), юзеру — не с руки. Что характерно, те же D-Link-и, TP-Link-и и прочее домашнее железо можно бы, почти наверняка, снабдить прошивками с ipv6, но никакого резона и для производителей поддержать «революцию» таким образом (написать прошивки под все старые устройства и бесплатно их раздать) — нет.

                                                                                        P.S. Да что там ходить, у D-Link-а было устройство, на коробке которого были написаны некие характеристики железки, а по факту из-за софта часть функций не работала. Люди чуть не подавали в суд на вендора за обман! Решилось просто — прошивку китайского производства заменили следующей версией, написанной в Питере, и железка стала отлично работать (железо-то было неплохое). Это, заметьте, на ipv4, а уж какой там кошмар с поддержкой ipv6…
                                                                                          0
                                                                                          Парадокс.
                                                                                          Ну если пользователь купил роутер за 1000р и через некоторое время роутер устарел морально, это караул.
                                                                                          Однако, почему-то никто не жалуется, что А-66 бензин не купить.
                                                                                            0
                                                                                            Во-первых жалуются. Если вы ездите на современном седане, вам могут быть неведомы проблемы тех, кому нужен А-66 и А-76. А я таких людей видел))
                                                                                            Ну и потом — сколько лет А-76 был на рынке? Десятки.
                                                                                            Пример не корректный.
                                                                                            А роутеры D-Link это отдельная песня и дело вовсе не в IPv6 или их устаревании, а в каком-то несистемном подходе к версионности железа и ПО.
                                                                                          • UFO just landed and posted this here
                                                                                              –2
                                                                                              Да, Вы правы, НО — во-первых, видео 4k этак 70% (а то и 90%) смотрящих «ящик» без надобности — у них нет ни оборудования, ни зрения, чтобы увидеть эту «красоту». Во-вторых, контента в этом качестве не так чтобы и много. Ну, даже не 10% от мировой коллекции фильмов, и даже не 5. Но, конечно, это технология, это то, что можно продать как фичу, и это кому-то очень даже нравится. Но менять все телевизоры мира?..

                                                                                              То же и с ipv6 — идея хороша, теория зубодробительна (но как утверждают адепты, логичная и внутренне красивая), практическая реализация у разных вендоров хромает до невозможности использовать…

                                                                                              Вы же не думаете, что все юзеры всех провайдеров — такие же гики, как аудитория Хабра? 99% населения вообще не в курсе, какой у них «протокол интернета», или какой тип линии они используют. Но интернет работающим надежно видеть хотят все, это раз. Менять даже забесплатно устройства захотят далеко не все, а за деньги — почти никто, это два. Что «сидеть ретроградам с ipv4-сайтами в обнимку» — это тоже, извините, ерунда. Если сайт хочет посетителей, он будет подстраиваться под их требования, а не наоборот.

                                                                                              Ну и, давайте по чести, имеем мы, скажем, с Вами сайт с посещением 1М в день, и сайт этот ipv4. Подняли дуалстек, стало сначала 1.1М, а потом упало до 0.99М — потом что, как оказалось, у части юзеров ipv6 показывает сайт с глюками, и они от его посещения отказались. Как думаете, что мы как владельцы сайта (и как люди, желающие, чтобы сайт имел все большую аудиторию, ибо это — реклама и вообще наш доход), сделаем — будем тысячам людей решать вопросы с их ipv6-подключением, или просто дуалстек отключим и вернемся к схеме ipv4-only?

                                                                                              Да, через два-три года мы вернемся к этой теме. Но только если оно окажется не в ущерб бизнесу. Другими словами — только когда провайдеры вылижут у себя все и вся. А они не вылизывают (причин тому много), и вряд ли завершат работы в обозримое время.

                                                                                              Замкнутый круг, да. Но технология ради технологии тут не при чем. Должно реально припечь, чтобы все забегали как ужаленные — но это другая история, пока же ситуация напоминает варку лягушки в холодной воде :(

                                                                                              Но я бы ругань начинал с вендоров железа. Пока поддержка протокола не станет работающей нормой в soho-железках (а вовсе не в гиковских прошивках — никто из «просто пользователей» себе их ставить не станет, тем более что они порой идут со своими глюками, а подбирать себе версию прошивки, чтобы более-менее все работало — это занятие не для «обычных пользователей», как ни крути), мы никуда не придем. Пока «гранды» шрот-железа типа длинка не запилят поддержку ipv6 строго работающую, а не просто номинально указанную — провайдеры не двинутся, а за ними не шелохнутся и сайты (см. выше), и юзеры…
                                                                                              • UFO just landed and posted this here
                                                                                                  +1
                                                                                                  Вот про сайты и внешние сервисы, увы, как раз засада и получается. Поскольку нет уверенности, каковы приоритеты в использовании протокола клиентами («сначала работаем по ipv4 либо ipv6»), получаем неприятную картину, когда человек с поломанным производителей ОСи и провайдером стеком протоколов ломится на ipv6, скажем не получает контент, из-за чего весь таймаут ОСи ждет и видит белую страницу. Затем, после таймаута, ПО клиента решает попробовать по ipv4, и страница прилетает. Получаем неприятную паузу — клиент как человек недоволен, и видит своим врагом не провайдера и не коннективность от него и до сайта, а, удивительным делом, сам сайт. Выше Envek приводит пример — а в примере, заметьте, самый большой генератор трафика всея Руси!

                                                                                                  Парой ответов ниже MaxxxZ верно пишет, что времена, когда гикская технология «интернет» работала не у всех, и настроить его нужны были мозги (FIDO, кстати, такой же пример) — прошли. Сегодня интернет уже вполне норма жизни, и отдавать клиенту кабель с «не то чтобы поломанным инетом, просто он будет или нет успешно работать, в зависимости от вашей ОСи» уже несколько рисково. Все равно что в гостинице не будет воды в кране — вроде жить и можно, и постояльцы тут же ропщут.

                                                                                                  Практический вывод: грабли в реализациях аппаратуры, управляющего софта и в ПО прикладного уровня еще долго будут подкидывать сюрпризы. Увы. Идти в ту сторону — надо, тут вариантов мало. Но сколько милых граблей (как с полноразмерной, так и отпиленной на половину высоты ручкой) на пути мы еще найдем — можно только догадываться. И, таки да, вендоры оборудования могли бы сильно облегчить переход для всего мира, выпустив для уже проданных устройств новые прошивки с нормально работающей поддержкой IPv6.

                                                                                                  P.S. А дети, да, не поймут. Правда, я ее и то не помню, разве что только последний октет на 666 поменять? :)
                                                                                                    0
                                                                                                    ни один вендор не будет выпускать прошивки для старых неподдерживаемых моделей. А если будет, то багов там будет больше, чем можно себе позволить. Так что пусть уж лучше честно говорят — нет, вот эта модель не работает. А вот эта — да работает и для нее есть стабильная (!) прошивка.
                                                                                              +1
                                                                                              Времена были модемные (да-да, v.34, v.90, v.92), клиент получал в зубы адрес, и никакого файрволла на рутере у него не было.
                                                                                              Золотые были времена — нагрубил тебе кто-нибудь в чате, а ты его по айпи пробил нюкнул :) Или даже просто FAR-ом кинул ему произвольный текстовый файлик на адрес вида \\комп-жертвы\имя-трубы-уже-не-упомню — у него винда намертво и зависла :)

                                                                                              А теперь мы получаем «необходимость» посадить людей на ipv6. Они а) не имеют мотивов это делать, б) не знают, что это за зверь, в) не поймут без бутылки, что это за зверь, без двухчасовой лекции — а по окончанию лекции даже с бутылкой все благополучно забудут. Роутер в схеме будет присутствовать почти наверняка, но, увы, тут его уже надо будет настраивать, причем неплохо понимая, что и как.
                                                                                              Да не нужно людям ничего знать или иметь мотивы.

                                                                                              Как сейчас подключается интернет*?

                                                                                              Человек идёт в офис провайдера или звонит ему по телефону, или заказывает через интернет.

                                                                                              Через пару дней почтальон приносит коробку, человек достаёт оттуда модем (который одновременно NAS, рутер, точка доступа вайфай, DLNA-сервер, VPN-сервер, сервер печати и бог его знает, что ещё), какие-то разноцветные провода и большой буклет формата А2-А1, на котором картинками, как в инструкции от IKEA, показано, провода какого цвета в какой последовательности куда втыкать, а внизу номер, по которому звонить, если всё же не удалось подключиться.

                                                                                              Клиент подключает модем к электричеству, втыкает один конец DSL-кабеля в модем, другой в телефонную розетку, и через пару минут у него есть стомегабитный интернет. SSID и пароль к вайфаю написаны на задней стороне модема и продублированы куар-кодом, ещё есть кнопочка WPS — как ими пользоваться, нарисовано в инструкции.

                                                                                              Всё, интернет подключен.

                                                                                              За кадром остаются настройка модема, рутера, вайфая и физическое подключение линии — всё предельно автоматизировано и заранее настроено провайдером, ибо конкуренция.

                                                                                              Пользователю не нужно разбираться в настройке сетей. Никаких настроек NAT-а, ввода пользовательского пароля и т.п. Разбираться понадобится, если потребуется что-нибудь нестандартное — например, прокинуть порт к домашнему серверу или камере наблюдения. Всё стандартное работает из коробки.

                                                                                              В моём модеме, как оказалось, IPv6 был по умолчанию деактивирован.

                                                                                              Вполне возможно, что когда через год истечёт мой контракт на интернет, и я продлю его или сменю провайдера, мне придёт следующий модем с активированным IPv6 (и IPv4 в DualStack для обратной совместимости с древним оборудованием) и настроенным файрфолом, как в нынешнем модеме был уже настроен NAT со всеми этими UPnP и другими буквосочетаниями.

                                                                                              Когда-нибудь уже IPv4 будет по умолчания деактивирован, и его придётся активировать отдельно, если у вас вдруг остался старый сетевой принтер или другие древние устройства.
                                                                                              А потом IPv4 останется только через туннели для антикваров.
                                                                                              *Так подключал интернет у себя дома я последние лет семь. Возможно, в вашем случае процедура несколько отличается, но главное — суть: за клиента думает и настраивает провайдер.
                                                                                              0
                                                                                              А вы на каких-нибудь IX присутствуете? Давайте проверим, что у нас с вами IPv6 связанность работает нормально?
                                                                                                0
                                                                                                ivlad на IX нас нет. Если я правильно понимаю то Yandex от нас выглядит вот так:
                                                                                                show bgp route ipv6 unicast  2a02:6b8::3
                                                                                                   Network            Next Hop                Metric  LocPrf  Weight Path
                                                                                                >  2a02:6b8::/32      2a03:d000:2420::9            0     90     100 31133 13238 i

                                                                                                Мы сами AS51032.
                                                                                              • UFO just landed and posted this here
                                                                                                  +2
                                                                                                  1. А кто-то утверждает обратное? IPv4 умер. Но нельзя исключать, что IPv6 так и не разовьётся, а его доработают до какого-нибудь IPv6.5. Всё-равно не с проста у него проблемы со внедрением. Есть неприятные моменты и не только нат.

                                                                                                  2. У подовляющего большинства пользователей, в вашей терминологии, именно «мозгов нет». Интернет это раньше было для гиков и инженеров. Теперь это для всех и это факт. Нужен какой-нибудь публичный станадарт безопасности, который будет явно указывать на правила фаервола для домашних устройств, чтобы на домашних железках всё было просто и однозначно, а не на усмотрение вендора. Раньше де-факто таким механизмом был нат — подовляющее число устройств шло с включенной трансляцией, которая не подразумевала двоякого толкования. Нужна замена. Например, что бы на коробке любого вендора красовался какой-нибудь логотип Protected Home Network, который бы гарантировал конечному потребителю однозначную настройку правил. У всех домашних роутеров разные итнерфейсы фаерволов, а до iptables не каждый доползёт.

                                                                                                  3. Никуда не деться, но только впервые камент аналогичного содержания я читал в 2007 году. К мысли уже все привыкли. А вот с практикой — главный вопрос — когда? Раньше OSI была не эталонной моделью, а стеком протоколов, но пока теоретики её пилили IPv4 захватил мир.

                                                                                                  4. Раньше концепции интернета были другими и де-юре нат не был механизмом безопасности. Но де-факто им стал, позволив пользователю домашней сети не знать, что такое фаервол и его правила. Вспомните эпидемию RPC уязвимости виндовс XP — черви плодились тысячами. Через пару лет такое стало почти нереально из-за того, что домашние машинки стали подключаться через наты куда как с более разнообразным ПО.

                                                                                                  5. Всё, что подарок для админа — подрок и злоумышленнику. В коммерческом применении, думаю, никаких проблем. Настроят фаерволы. С абонентскими устройствами, коих в тысячи раз больше проблемы есть и будут. Тут скорее надо ждать, пока все нужные частным лицам сервисы не уплывут в публичные облака и понятие домашней сети как закрытого периметра в котором есть критичные данные исчезнет. Или, Как я жуе сказал, нужен публичный стандарт домашней безопасности, которому будут следовать вендоры. Пока этого не будет можно сколько угодно сетовать на непродвинутый народ, который боится новой супер-технологии.
                                                                                                  • UFO just landed and posted this here
                                                                                                  –1
                                                                                                  Кстати, в свете унификации сетей — телефония, телевиденье и интернет всё больше срастаются, но происходит полная неразбериха с идентификаторами. В идеале телефонные номера должный уйти в прошлое, а адресация должна быть единой. Ведь уже действительно не важно, куда звонить — не телефон, планшет или ПК? Но идентификаторы IPv6 явно не подходят для того, чтобы их спрашивать у девушки… каие-то они монструозные, поэтому многие их побаиваются.
                                                                                                    +2
                                                                                                    Зачем спрашивать у девушке IPv6 адрес, если есть DNS и можно спросить короткое, легко запоминающееся доменное имя? :-)
                                                                                                      –1
                                                                                                      Просто вспомнилось, что в одной из очень давних презентаций IPv6, помоему от Cisco, высказывался концепт со звонками по IPv6 адресу. Но я надеюсь этот концепт устарел.
                                                                                                        +1
                                                                                                        Это тоже звонки по доменному имени. Не надо переживать.
                                                                                                      0
                                                                                                      Останется только реализовать MNP для IPv6 и дело в шляпе. Иначе я с трудом представляю, как девушка будет с одним своим IP адресом сидеть и через Wi-Fi, и через LTE и ещё как-нибудь. Пусть даже не одновременно. Но как будет работать роутинг?
                                                                                                        0
                                                                                                        теоретически есть такая вещь как Mobile IPv6 (RFC 6275) только вот работает ли оно реально хоть у кого то… мне тоже интересно узнать

                                                                                                    Only users with full accounts can post comments. Log in, please.