К сожалению, он этого не делает. На случай если я всё-таки заблуждаюсь, то как можно это проверить, чтобы однозначно убедиться в этом?
Я пришел к такому выводу после того, как увидел, что после перезагрузки роутера адрес моего компа изменился начиная с третьей точки. Плюс техподдержка об этом говорила
Спасибо за ликбез. Очень ценно, жаль не могу плюсики ставить.
В любом случае, переход на IPv6 во всем мире происходит методов пинков, шантажа и чуть ли не угроз.
Вот я и попытался сделать хоть какой-то пинок посредством инициативы на РОИ :-)
Попробуйте настроить IPv6 у себя дома, на всех устройствах. На работе. У родных. Думаю, к этому моменту вы сами станете экспертом и сможете самому себе ответить на многие вопросы, которые вы подняли. Тогда, кстати, сможете сами написать инициативу на roi. Если, конечно, еще захотите.
Именно этим сейчас и занимаюсь :-) Но это идёт через костыли, т.к. провайдер не очень то готов к этому переходу. Сейчас упёрся в то, что провайдер выделяет префиксы динамически.
А зачем? Мне не понятно что именно я должен проверить в этом сценарии. То есть не понятен кейс, когда реально нужна такая настройка, как вы сейчас описали. Спасибо.
Потому что я не робот и интересуюсь ещё и другими сферами жизни? Мне вот не понравилась ситуация с IPv6 и я перевёл обсуждение этой ситуации в публичную плоскость.
Не нравится ситуация с отчётностью в РФ? Попробуйте лично тоже что-нибудь сделать. Может быть чего-то и сможете добиться. Лично я рискнул выставить себя на посмешище, а не просто сидел и думал, как всё плохо у нас.
Ну я не настолько безнадёжен. :-) Причём информацию и сам сейчас ищу. А ваши комментарии полезны. Они направляют меня в этом самостоятельном поиске. Ведь, когда не знаешь о какой-то проблеме, то и искать по теме ничего не будешь.
Ну и в чём разница-то будет? Всё равно стоит устройство для того, чтобы рулить доступом ко внутренней сети. Нахрена всё переводить на v6, если относительно v4 ничего не изменится?
В том то и дело, что изменится. По крайней мере получим все плюшки IPv6. А не изменится именно с точки зрения руления доступом.
Какой ценой? Сейчас сеть прикрывает один копеечный роутер, а тут вы предлагаете в каждое устройство втыкать функционал такого роутера. Даже в лампы и выключатели.
Я имел ввиду роутер. На конечных пользовательских устройствах брандмауэр не нужен, конечно.
Это внедрение IPv6 лишний оверхед относительно существующих и работающих решений. Реверс-прокси обычно ещё и о сертификатах https заботится, а тут вам на каждое устройство придётся сертификат получать руками. Ну или городить аналогичное реверс-прокси решение.
Разве? Что-то у меня есть подозрение, что получение сертификатов только упростится. И достаточно будет настроить сертбота на конкретном сервере с конкретным сервисом. Вместо руления этим зоопарком через реверс-прокси.
И где разница?
На деле у нас получается копия инфраструктуры IPv4 - с роутерами-файрволами и т.п., просто на IPv6 реализованная. Зачем?
Ну так плюсы инфраструктуры IPv6 я попытался обозначить в статье. Это не тупо копия IPv4.
Только чтобы заразить машину внутри сети - надо сперва заразить машину внутри сети. А доступа в сеть нет. С IPv6 никакой внутренней сети нет и ко всем устройствам прямой доступ.
Сейчас по умолчанию у нас стоит NAT на роутерах. А будет стоять брандмауэр с блокированием всех входящих соединений. И админ сети вместо проброса портов будет менять правила брандмауэра.
Правильно. И в случае IPv4 этот брандмауэр есть и сеть защищает "по-умолчанию". А в случае IPv6 его нет.
Если нет, то при внедрении надо сделать, чтобы был преднастроен по умолчанию на пользовательских устройствах.
Реверс-прокси.
Лишний оверхэд в случае внедрения IPv6
но вы тогда попадаете в ту же самую ситуацию, что и с IPv4 - придётся пробрасывать порты, настраивать NAT
Ситуация таже, да не та. Вместо проброса портов - настройка правил брандмауэра. Но вот пляски с белыми айпишниками останутся в прошлом.
Если расходы провайдеров на услуги связи сократятся, то вырастет из прибыль. Я подозреваю, что некто из властных кругов является бенефициаром провайдерского бизнеса. Вот и плюс ему к доходам.
Для любых изменений, будь то хорошие или плохие, требуется политическая воля. Да, я хочу решить свою личную проблему, попутно решив целый класс проблем других людей. Что в этом плохого? Понятно, что своим решением я могу создать целый класс новых проблем. И мне неизвестно что будет хуже. Поэтому я и обратился за помощью к экспертам на Хабре.
Так прежде чем писать инициативу, я обратился именно к экспертам за рекомендациями.
Доля трафика IPv6 постоянно растет. Может быть проблема только в инертности среды, а не в минусах протокола?
У меня сложилось впечатление, что IPv6 провайдеры не внедряют не из-за доп.расходов, а из-за "отсутствия спроса". А спроса нет из-за сопротивления среды.
Разве эта проблема принципиально не решаема? Я интересуюсь искренне, без издёвки. Вот что нагуглил из этой статьи https://habr.com/ru/articles/773708/:
Немного про безопасность IPv6
Очень часто в интернет одним из аргументов против IPv6 является то, что, якобы, в IPv4 трансляция адресов (NAT) обеспечивает защиту сети. Якобы, благодаря ему устройства внутри сети недоступны извне. Отчасти это так. Внутренняя адресация не может быть доступна из интернета напрямую. Однако исследователями найдено множество способов обойти ограничения NAT. Самым простым является заражение машины внутри сети, которая уже сама будет связываться с удалённым центром управления. Есть способы проброса пакетов на нужный узел внутри сети даже при наличии NAT. Защититься от этого метода можно только используя брандмауэр, который как раз и предназначен для защиты! Таким образом мы приходим к выводу, для того, чтобы обеспечить защиту вашей локальной сети от атак из интернет — использовать брандмауэр.
Для примера, рассмотрим настройки по умолчанию на маршрутизаторе с OpenWRT. Правила брандмауэра (межсетевого экрана) запрещают входящие пакеты из сети интернет и разрешают исходящие. При этом именно брандмауэр обеспечивает защиту вашей сети, а не NAT! NAT мы вынуждены применять по причине того, что мы не можем обеспечить нашу сеть достаточным количеством публичных IP адресов и нам необходимо на границе модифицировать адрес источника, записывать то, что мы сделали в специальную таблицу, чтобы при ответе отправить его на нужный узел сети, тоже модифицировав его соответствующим образом. Это сильно усложняет обработку транзитных пакетов, при этом нам не нужно забывать о правилах брандмауэра, который и защищает нашу сеть от вторжения!
А что нужно будет сделать, чтобы обеспечить доступ к сервису на одной из наших машин по IPv6? Достаточно создать правило для трафика, где указать адрес нашего сервиса и необходимые порты. После этого всё начинает работать. А что нужно сделать для IPv4? Во-первых, озадачиться выбором порта для сервиса, который будет перенаправлен на один из портов на внутреннем адресе, а также создать правило для трафика, как это было для IPv6. Если вы захотите вывести в интернет два веб-сервера, то у вас не получится этого сделать, поскольку порты 80 и 443 у вас в одном экземпляре на один IPv4 адрес. Направив трафик веб на одну из машин, вторую вы уже не сможете открыть не меняя номеров портов. Можно, конечно, получить ещё один внешний IPv4 адрес и перенаправлять соединения с одного адреса на одну машину, а с другого на другую. Но, согласитесь, схема очень уж сильно усложняется, если сравнивать с тем, что нужно было сделать при использовании IPv6.
Спасибо за лестную оценку. А то что я не кинулся сразу строчить инициативу на РОИ и решил сначала выслушать мнение экспертов тоже характеризует меня дураком?
Прикольно. Первый в моей жизни сталкер и хейтер.
Вот за этот гайд - огромное спасибо!
К сожалению, он этого не делает. На случай если я всё-таки заблуждаюсь, то как можно это проверить, чтобы однозначно убедиться в этом?
Я пришел к такому выводу после того, как увидел, что после перезагрузки роутера адрес моего компа изменился начиная с третьей точки. Плюс техподдержка об этом говорила
Спасибо за ликбез. Очень ценно, жаль не могу плюсики ставить.
Вот я и попытался сделать хоть какой-то пинок посредством инициативы на РОИ :-)
Именно этим сейчас и занимаюсь :-) Но это идёт через костыли, т.к. провайдер не очень то готов к этому переходу. Сейчас упёрся в то, что провайдер выделяет префиксы динамически.
А зачем? Мне не понятно что именно я должен проверить в этом сценарии. То есть не понятен кейс, когда реально нужна такая настройка, как вы сейчас описали. Спасибо.
О нём не подумал. Спасибо!
Вы принципиально отрицаете полезность получения возможности обращения к любому вашему устройству из интернета без покупки белого IP?
Вот самый главный и жирный плюс для меня. И если ни в чём другом, как вы говорите, не будет разницы, то почему бы и не сделать это тогда?
СОРМ умеет :-) А вот Госуслуги по ipv6 не резолвятся.
Потому что я не робот и интересуюсь ещё и другими сферами жизни? Мне вот не понравилась ситуация с IPv6 и я перевёл обсуждение этой ситуации в публичную плоскость.
Не нравится ситуация с отчётностью в РФ? Попробуйте лично тоже что-нибудь сделать. Может быть чего-то и сможете добиться. Лично я рискнул выставить себя на посмешище, а не просто сидел и думал, как всё плохо у нас.
Ну я не настолько безнадёжен. :-) Причём информацию и сам сейчас ищу. А ваши комментарии полезны. Они направляют меня в этом самостоятельном поиске. Ведь, когда не знаешь о какой-то проблеме, то и искать по теме ничего не будешь.
В том то и дело, что изменится. По крайней мере получим все плюшки IPv6. А не изменится именно с точки зрения руления доступом.
Я имел ввиду роутер. На конечных пользовательских устройствах брандмауэр не нужен, конечно.
Разве? Что-то у меня есть подозрение, что получение сертификатов только упростится. И достаточно будет настроить сертбота на конкретном сервере с конкретным сервисом. Вместо руления этим зоопарком через реверс-прокси.
Ну так плюсы инфраструктуры IPv6 я попытался обозначить в статье. Это не тупо копия IPv4.
Насчёт того, есть ли проблема у других - уверен. Она есть. Пляски с белыми IP адресами не только моя проблема.
Видимо мне нужно было получить урок публичного осмеяния :-)
Сейчас по умолчанию у нас стоит NAT на роутерах. А будет стоять брандмауэр с блокированием всех входящих соединений. И админ сети вместо проброса портов будет менять правила брандмауэра.
Если нет, то при внедрении надо сделать, чтобы был преднастроен по умолчанию на пользовательских устройствах.
Лишний оверхэд в случае внедрения IPv6
Ситуация таже, да не та. Вместо проброса портов - настройка правил брандмауэра. Но вот пляски с белыми айпишниками останутся в прошлом.
Если расходы провайдеров на услуги связи сократятся, то вырастет из прибыль. Я подозреваю, что некто из властных кругов является бенефициаром провайдерского бизнеса. Вот и плюс ему к доходам.
Для любых изменений, будь то хорошие или плохие, требуется политическая воля. Да, я хочу решить свою личную проблему, попутно решив целый класс проблем других людей. Что в этом плохого? Понятно, что своим решением я могу создать целый класс новых проблем. И мне неизвестно что будет хуже. Поэтому я и обратился за помощью к экспертам на Хабре.
Так прежде чем писать инициативу, я обратился именно к экспертам за рекомендациями.
Доля трафика IPv6 постоянно растет. Может быть проблема только в инертности среды, а не в минусах протокола?
У меня сложилось впечатление, что IPv6 провайдеры не внедряют не из-за доп.расходов, а из-за "отсутствия спроса". А спроса нет из-за сопротивления среды.
Разве эта проблема принципиально не решаема? Я интересуюсь искренне, без издёвки. Вот что нагуглил из этой статьи https://habr.com/ru/articles/773708/:
Немного про безопасность IPv6
Очень часто в интернет одним из аргументов против IPv6 является то, что, якобы, в IPv4 трансляция адресов (NAT) обеспечивает защиту сети. Якобы, благодаря ему устройства внутри сети недоступны извне. Отчасти это так. Внутренняя адресация не может быть доступна из интернета напрямую. Однако исследователями найдено множество способов обойти ограничения NAT. Самым простым является заражение машины внутри сети, которая уже сама будет связываться с удалённым центром управления. Есть способы проброса пакетов на нужный узел внутри сети даже при наличии NAT. Защититься от этого метода можно только используя брандмауэр, который как раз и предназначен для защиты! Таким образом мы приходим к выводу, для того, чтобы обеспечить защиту вашей локальной сети от атак из интернет — использовать брандмауэр.
Для примера, рассмотрим настройки по умолчанию на маршрутизаторе с OpenWRT. Правила брандмауэра (межсетевого экрана) запрещают входящие пакеты из сети интернет и разрешают исходящие. При этом именно брандмауэр обеспечивает защиту вашей сети, а не NAT! NAT мы вынуждены применять по причине того, что мы не можем обеспечить нашу сеть достаточным количеством публичных IP адресов и нам необходимо на границе модифицировать адрес источника, записывать то, что мы сделали в специальную таблицу, чтобы при ответе отправить его на нужный узел сети, тоже модифицировав его соответствующим образом. Это сильно усложняет обработку транзитных пакетов, при этом нам не нужно забывать о правилах брандмауэра, который и защищает нашу сеть от вторжения!
А что нужно будет сделать, чтобы обеспечить доступ к сервису на одной из наших машин по IPv6? Достаточно создать правило для трафика, где указать адрес нашего сервиса и необходимые порты. После этого всё начинает работать. А что нужно сделать для IPv4? Во-первых, озадачиться выбором порта для сервиса, который будет перенаправлен на один из портов на внутреннем адресе, а также создать правило для трафика, как это было для IPv6. Если вы захотите вывести в интернет два веб-сервера, то у вас не получится этого сделать, поскольку порты 80 и 443 у вас в одном экземпляре на один IPv4 адрес. Направив трафик веб на одну из машин, вторую вы уже не сможете открыть не меняя номеров портов. Можно, конечно, получить ещё один внешний IPv4 адрес и перенаправлять соединения с одного адреса на одну машину, а с другого на другую. Но, согласитесь, схема очень уж сильно усложняется, если сравнивать с тем, что нужно было сделать при использовании IPv6.
Спасибо за лестную оценку. А то что я не кинулся сразу строчить инициативу на РОИ и решил сначала выслушать мнение экспертов тоже характеризует меня дураком?
Ещё 1С начала активный найм. Недавно даже пост от них был с анонсом Hiring Day на Хабре