Я совершенно не понимаю комментаторов, которые говорят что «настраивается в 2 клика», рассуждая с точки зрения обывателя
Ну начнём
1. Совершенно нечитабельные и не запоминаемые адреса. Зайти на удалённую машину вбивая IPv6 руками? Нет, спасибо. Продиктовать его кому-то по телефону? Селестия упаси.
Ну такая себе претензия, DynDNS никто не отменял, думаю в ближайшее время появится такой функционал у большинства девайсов.
2. Непонятность принципов работы. Я использовал туннельного брокера для получения глобальной подсети, и надеялся что при небольших усилиях смогу получать доступ к определённым ресурсам внутренней сети извне.
Однако реальность была другого мнения. Машины сами назначают себе случайные адреса, маршрутизатор раздаёт адреса, но они не работают извне, raspberry pi вообще отказалась адекватно взаимодействовать с IPv6, выдавая ошибку при попытке обновления.
Адреса у вас скорее всего раздались по SLAAC, при таком варианте устройство получает 2 адреса, один постоянный на основе MAC адреса (EUI-64), второй сгенерированный рандомно и сменяемый с некоторым интервалом.
Про «не работали извне», либо у вас некорректно настроен файрвол на маршрутизаторе, либо на хосте. Либо и там и там.
3. Общая сложность наворотов технологий. Как настроить фаерволл, шоб не накосячить?
Да так-же как в ипв4. Разрешить ICMP и входящий трафик для ESTABLISHED/RELATED соединений. Ну и по желанию открыть полный доступ к хостам имеющим свой файрвол, либо для каждого хоста прописывать правила для портов/протоколов на роутере.
просто рассказываю своё видение как «не специалиста по сетевым технологиям» а как «немного шарящего в сетях чувака»
Почему-то каждый такой «не специалист, немного шарящий» пытается прикинуться хомячком, а зарится на вполне себе админские задачи, которые хомячкам не интересны и не нужны.
Собственно говоря настройка файрвола на IPv4 и IPv6 ничем не отличается, просто у вас никогда небыло своей хотя бы /24 белой в IPv4 которая маршрутизируется глобально. Скорее всего вы всю жизнь считали что NAT это файрвол и он защищает всю вашу сеть, что в корне неверно
2. Как этот же шлюз передаст информацию о выданной сети на раутер отдела, который будет выдавать уже /64 на отдел.
DHCP-PD
3. Что будет, если провайдер сменит этот адрес: как он пришлёт нотификацию, как она пробежится вниз до каждого конкретного компа/телефона/etc, заставляя их сменить адрес.
Кстати интересный вопрос, надо будет проверить на досуге, но скорее всего большая часть производителей не рассчитывала на такой вариант.
4. Как эта смена адреса будет отражена в DNS, поддерживаемом этими раутерами/шлюзами, а также в других средствах вроде Active Directory, если им это нужно.
Тут увы я бессилен, с виндовой инфраструктурой к счастью не приходилось работать. Хотя сдаётся мне что для компании получать от провайдера динамику — признак плохого тона. 99% проблем решится договорённостью с провайдером на статику.
Варианты с домашним устройством дороже 100$ или SOHO дороже 300$ не принимаются. Варианты, где оповещение вниз вплоть до каждого аппарата (компа, телефона, принтера, умного дверного замка...) не раздаётся, и он тормозит часами, прежде чем перезапросить адрес — тоже.
Не знаю как в в длинка/тплинках/etc, в микротике (что забавно он попадает и до 100$ и больше 300$, ибо ось одна на всех) можно настроить время делегирования префикса, опять же нужно проверить на практике, есть у меня большая уверенность что микротик разошлёт всем в сети новый префикс.
Достаточно открыть вики и осмысленно прочитать.
SLAAC настраивается в добавлении адреса.
Если у вас статика — вешаете /64 адрес на интерфейс и ставите advertise=yes, если получаете по DHCP-PD — вешаете адрес ::1/64 (например, так то любой какой захотите), указываете пул адресов из которого брать и так-же включаете advertise. Допом в IPv6 — ND можете покастомизировать что микрот будет отдавать в SLAAC.
Если же вы из отряда тех кто хочет префикс отличный от /64 заставить работать с SLAAC — вам путь в RFC где определено что SLAAC должен работать только для /64.
Но недавно пытался настроить IPv6 на RouterOS и, несмотря на то, что провайдер поддерживает и в openwrt завелось всё сразу, микротик либо не выдаёт клиентам адреса, либо себе, либо не пускает трафик наружу через себя.
SLAAC на ROS настраивается в 2 клика, просто кто-то всё ещё считает что ROS для домохозяек и всё должно предельно просто настраиваться.
Ну и, подводя итоги, мне хочется сказать, что, похоже, уже точно настал тот момент, когда больше нельзя ходить в интернет не через туннель, с endpoint'ом поднятым где-нибудь на «своём» (арендованном) VPS в стране, где сетевой нейтралитет закреплён на законодательном уровне.
Оно конечно так, но меня спустя полгода хождения в интернет через Франкфуртский 6to4 туннель HE.net смущает таргетирование всего и вся на Германию. Может у кого есть идеи как объяснить всему интернету что я из России, несмотря на ipv6 из пула числящегося в Германии?
Никого не смущает что в россии уже есть несколько зеркал корневых серверов? Для чего нужна ещё одна национальная система (ну кроме очевидного варианта распила)?
доступ в Интернет — методы и средства, посредством которых пользователи соединяются с Интернетом.
И что тут непонятного? Ядро сети (маршрутизаторы/коммутаторы) — средство. Это с вами что-то не так, раз хотите жить по законам которые можно понимать как угодно. Сейчас выходит что как последняя миля, так и всё остальное оборудование попадает под определение. Неплохой вариант пропихнуть импортозамещённое по десятикратной цене прикрываясь законом
интернет это не патч-корд который вы вставляете роутер, это огромное количество сетей состоящее из сотен тысяч маршрутизаторов/коммутаторов. закон не указывает где именно должно стоять российское оборудование, на последней миле или от пограничного узла до последней мили. соответственно получается что минкомсвязи хочет обязать весь мир перейти на российское оборудование. что собственно в очередной раз показывает уровень их умственных способностей
Минкомсвязи потребовало подключать чиновников и силовиков к интернету при помощи отечественного железа
К интернету или к интранету? Интернет это не только железки у ростелекома, это оборудование всех провайдеров в мире. Сомневаюсь что кто-то типа Telia/L3 согласится у себя ставить российское оборудование по желанию какого-то министра
Переклейкой заниматься действительно дешево, но законодательство становится жестче с каждым с месяцем и это становится просто не выгодно, а иногда и опасно. Лучше и выгоднее честно делать свой продукт.
Ну т.е. без «поддержки» государства в виде ограничения рынка отечественное как всегда никому не нужно и неконкурентоспособно. Поэтому единственный вариант сбыта этого хлама только в госорганы
Ну начнём
Ну такая себе претензия, DynDNS никто не отменял, думаю в ближайшее время появится такой функционал у большинства девайсов.
Адреса у вас скорее всего раздались по SLAAC, при таком варианте устройство получает 2 адреса, один постоянный на основе MAC адреса (EUI-64), второй сгенерированный рандомно и сменяемый с некоторым интервалом.
Про «не работали извне», либо у вас некорректно настроен файрвол на маршрутизаторе, либо на хосте. Либо и там и там.
Да так-же как в ипв4. Разрешить ICMP и входящий трафик для ESTABLISHED/RELATED соединений. Ну и по желанию открыть полный доступ к хостам имеющим свой файрвол, либо для каждого хоста прописывать правила для портов/протоколов на роутере.
Почему-то каждый такой «не специалист, немного шарящий» пытается прикинуться хомячком, а зарится на вполне себе админские задачи, которые хомячкам не интересны и не нужны.
Собственно говоря настройка файрвола на IPv4 и IPv6 ничем не отличается, просто у вас никогда небыло своей хотя бы /24 белой в IPv4 которая маршрутизируется глобально. Скорее всего вы всю жизнь считали что NAT это файрвол и он защищает всю вашу сеть, что в корне неверно
Статика или DHCP-PD?
DHCP-PD
Кстати интересный вопрос, надо будет проверить на досуге, но скорее всего большая часть производителей не рассчитывала на такой вариант.
Тут увы я бессилен, с виндовой инфраструктурой к счастью не приходилось работать. Хотя сдаётся мне что для компании получать от провайдера динамику — признак плохого тона. 99% проблем решится договорённостью с провайдером на статику.
Не знаю как в в длинка/тплинках/etc, в микротике (что забавно он попадает и до 100$ и больше 300$, ибо ось одна на всех) можно настроить время делегирования префикса, опять же нужно проверить на практике, есть у меня большая уверенность что микротик разошлёт всем в сети новый префикс.
SLAAC настраивается в добавлении адреса.
Если у вас статика — вешаете /64 адрес на интерфейс и ставите advertise=yes, если получаете по DHCP-PD — вешаете адрес ::1/64 (например, так то любой какой захотите), указываете пул адресов из которого брать и так-же включаете advertise. Допом в IPv6 — ND можете покастомизировать что микрот будет отдавать в SLAAC.
Если же вы из отряда тех кто хочет префикс отличный от /64 заставить работать с SLAAC — вам путь в RFC где определено что SLAAC должен работать только для /64.
SLAAC на ROS настраивается в 2 клика, просто кто-то всё ещё считает что ROS для домохозяек и всё должно предельно просто настраиваться.
Оно конечно так, но меня спустя полгода хождения в интернет через Франкфуртский 6to4 туннель HE.net смущает таргетирование всего и вся на Германию. Может у кого есть идеи как объяснить всему интернету что я из России, несмотря на ipv6 из пула числящегося в Германии?
И что же там такое уникальное и нужное есть, чего нет у других? Я вижу необоснованный хайп вокруг zfs последние лет 5 и не могу понять чем он вызван
И что тут непонятного? Ядро сети (маршрутизаторы/коммутаторы) — средство. Это с вами что-то не так, раз хотите жить по законам которые можно понимать как угодно. Сейчас выходит что как последняя миля, так и всё остальное оборудование попадает под определение. Неплохой вариант пропихнуть импортозамещённое по десятикратной цене прикрываясь законом
К интернету или к интранету? Интернет это не только железки у ростелекома, это оборудование всех провайдеров в мире. Сомневаюсь что кто-то типа Telia/L3 согласится у себя ставить российское оборудование по желанию какого-то министра
нуууууууу…
вам как вообще спится то? или кровать в подземном бункере на глубине в пару километров со стенами толщиной метров 10?
Ну т.е. без «поддержки» государства в виде ограничения рынка отечественное как всегда никому не нужно и неконкурентоспособно. Поэтому единственный вариант сбыта этого хлама только в госорганы