• Есть мнение: IPv6 провалился — кто и почему так считает
    +6
    Каждая базовая станция постоянно следит за наличием свободных адресов, чтобы гарантировать подключение новых устройств. При этом IPv6 для «переключения станций» использует те же самые механизмы (handover), что и IPv4.

    Полный бред. Базовая станция не имеет ни малейшего представления какой/какие у абонента IP-адреса (IPv4 или IPv6 или IPv4v6).
  • ФСИН против законов физики или пчелы против меда
    0
    О таком сотрудничестве речь не идет. Да, совещания со всеми участниками проводились, но решение не принято. Позиция ФСИН вполне однозначная — «нам дорого. операторы выключайте на своей стороне».
  • ФСИН против законов физики или пчелы против меда
    +3
    Ради такого дела, хэндовер из макросети можно и не прописывать. А вот все вновь включаемые телефоны уверенно будут садиться на станцию с лучшим сигналом.
  • ФСИН против законов физики или пчелы против меда
    0
    «Радиоактивность» я готов заменить на что-нибудь более подходящее, но ничего лучше не придумалось.
    Фильтровать по IMSI, IMEI и даже по MSISDN (номер абонента) можно если заранее знать, что принесут и передадут.
  • Google Public DNS тихо включили поддержку DNS over TLS
    0
    Вопрос не в том что у него «из коробки», а какие резолверы он использует и можно ли это поменять? Оператором это может облегчить жизнь как минимум тем, что не нужно будет расширять резолверы. А вот если адреса нельзя поменять, то Google может нарваться на иск от того же Yandex, что нельзя использовать «Семейный DNS».
  • Google Public DNS тихо включили поддержку DNS over TLS
    0
    Что уже? Он уже ходит на сервера Google?
  • Google Public DNS тихо включили поддержку DNS over TLS
    0
    На самом деле интересно что будет дальше…
    Предположим, что Google включил DoT и DoH у себя на серверах. Означает ли это, что в обозримом будущем все Андроид-устройства перейдут на DoT/DoH? Если Да, то какие сервера они для этого будут использовать? Если Google выберет для этого свои сервера, то им придется чуток их «расширить и углубить». DNS трафика от мобильных абонентов реально много и сейчас только несколько процентов из них идут не на резолверы оператора, а на те же 8.8.8.8/8.8.4.4. Или предполагается, что операторы будут поднимать на своих резолверах DoT/DoH?
    Еще интересно что по этому поводу думает Apple и Microsoft?
  • VoLTE/ViLTE + Wi-Fi-Calling — просто о сложном
    +1
    Аутентификация при регистрации в ePDG для WiFi-Calling
    <img src="" alt=«image»/>

    Картинка взята из презентации www.slideshare.net/allabout4g/wifi-calling (слайд 48).
    Если очень грубо, то используются протокол EAP-AKA и ключики из SIM-карты и HSS.
  • VoLTE/ViLTE + Wi-Fi-Calling — просто о сложном
    0
    Поддержку технологии VoLTE/WFC для конкретного оператора производители телефонов делают для новых устройств. Я так понимаю, что с точки зрения производителя аппаратов есть жизненный цикл поддержки устройств со своими костами (бюджетом) на это. Так, к примеру Apple не сделал поддержку IPv4v6 для 5S и младше, хотя технически проблем быть не должно и в других сетях IPv6 на 5S работает.
  • VoLTE/ViLTE + Wi-Fi-Calling — просто о сложном
    0
    Да, действительно есть проблема с iPhone 6. Она заключается в том, что при регистрации в сети LTE-TDD телефон не говорит, что поддерживает SRVCC. Решений может быть несколько:
    — попросить Apple выключить поддержку VoLTE на iPhone 6;
    — выключить услугу «Интернет-звонки» у абонентов с iPhone 6. В этом варианте перестанет работать и WiFi-Calling;
    — принудительно выталкивать абонентов из TDD в FDD, а уже из него в CS по SRVCC.

    У нас пока применен 3-й вариант посколько практически повсеместно где есть TDD у нас есть подложка и FDD. Подробнее не спрашивайте. Это уже тема радистов и я в ней не силен.
  • VoLTE/ViLTE + Wi-Fi-Calling — просто о сложном
    0
    Да, есть странность со ссылками на нашем сайте. Вот эта должна работать — moskva.mts.ru/personal/connect
  • VoLTE/ViLTE + Wi-Fi-Calling — просто о сложном
    0
    Да, я эту ссылку приводил в конце статьи. Мой ник на 4pda — Epm@k. Я отслеживаю тему и помогаю по мере возможности.
  • VoLTE/ViLTE + Wi-Fi-Calling — просто о сложном
    0
    Действительно, в нашей сети пока не реализован вызов экстренных служб через VoLTE/VoWiFi. Пока Emergency-call переходит в CS (2G/3G), но технология предусматривает сценарий обработки его IMS Core. Для этого предназначен элемент E-CSCF.
  • VoLTE/ViLTE + Wi-Fi-Calling — просто о сложном
    0
    Спасибо, я доработаю статью с кратким описанием и функциональным назначением всех блоков, которые есть на картинках.
  • VoLTE/ViLTE + Wi-Fi-Calling — просто о сложном
    0
    Я старался вводить минимум терминов и не разбирать все сообщения (Call-flow). Даже сам IMS нарисовал на многих схемах один квадратиком. Просто, если все расписывать, получится книга типа вот этой — Voice over LTE: VoLTE 1st Edition
  • VoLTE/ViLTE + Wi-Fi-Calling — просто о сложном
    +1

    Согласен. Стоило уточнить, что речь про Inter-RAT хэндовер.

  • VoLTE/ViLTE + Wi-Fi-Calling — просто о сложном
    0
    Переадресацию можно установить через «Личный кабинет».
  • Заблокировать весь интернет, или обезьяна с гранатой
    0
    Все идет к тому, что строить «Яровую» вообще нет никакого смысла. К первому октября (реализация проекта) мы успеем полностью заблокироваться от «враждебного» интернета…
  • Выходим в интернет за пределами РФ: (MikroTik<->Ubuntu) * GRE / IPsec
    0
    Спасибо! Добавил настройку IP адреса на интрефейсе MikroTik.
    Что касается маршрутизации и forwarding-а пакетов, то нужно tcpdump-ить трафик и смотреть что видно. В логах следов ping/traceroute ничего не будет.
  • Закон Яровой-Озерова — от слов к делу
    0

    :)
    ну вот и не осталось причин хранить трафик. по некоторым оценкам, через 4 года нешифрованного трафика вообще не останется.

  • Закон Яровой-Озерова — от слов к делу
    0

    По какому запросу? Провайдеры не будут иметь (их не допустят) к этим данным. Как мы видим, про предоставление данных никто уже ничего не говорит. А следующий шаг — это заставить передавать private key от сертификатов "туда, куда надо" (хочешь работать на нашей территории — "ключи на бочку")… В таком раскладе, хранение зашифрованной информации приобретает какой-то смысл.

  • Утверждён объём хранения трафика по закону Яровой
    0

    Кого мы этим хотим наказать (майора, оператора или самих себя)? По идее, все должны понимать, что это только приведёт к удорожанию услуг для нас самих. Покупаться, размещаться и обслуживаться вся эта гора железа будет на деньги с абонентов (с нас же самих)...

  • Закон Яровой-Озерова — от слов к делу
    0

    плохая идея. за такую реализацию все равно будем платить опять же мы...

  • Закон Яровой-Озерова — от слов к делу
    0

    Ставить прокси никто не запрещает, но и ответственность, за запись трафика всех абонентов никто не снимает.

  • Закон Яровой-Озерова — от слов к делу
    0

    автор в теме и про СОРМ1 и СОРМ2 и СОРМ3…
    не вопрос. тогда меняем закон и ответственность за предоставление данных с операторов снимаем.

  • Закон Яровой-Озерова — от слов к делу
    +2

    тут прикол в том, что по операторы не имеют права получать доступ к тому, что передается в их сетях. а если так, то как тогда предоставлять данные? по факту будет так — "сложите данные сюда" и отойдите.

  • Закон Яровой-Озерова — от слов к делу
    +1

    В явном виде, этого и не написано. А как операторы будут отвечать уже на второй год почему нет данных? Боюсь, что ответ «простите, не влезло» но прокатит.

  • Утверждён объём хранения трафика по закону Яровой
    +1

    Из документа читается следующее:


    1. Требований к применяемым техническим средствам накопления нет (их утверждает Минсвязи по согласованию с ФСБ и не установлен срок их утверждения). Получается, что Правительство "выкрутилось" — теперь дело за Минсвязи (добиться согласования от ФСБ) и только потом уже это головняк операторов (заказать оборудование и построить).
    2. Операторов обязали ограничить рост трафика в 15% в год на ближайшие 5 лет.
    3. Документ составлен так, что его можно прочитать в 2-х вариантах (двойные стандарты):
      • все операторы должны все сдать на прослушку с 1 июля для голоса и 1 октября для даты (большая тройка)
      • но можно включать по получению актов от ФСБ (Ростелеком). Сроки при этом можно не соблюдать.
  • Telegram заблокирован, но вроде работает. Почему?
    0

    Походу, нас не нужно отключать от Интернет (Клеменко давно намекал, что мы готовы). Мы сами (не без содействия РКН) от него отключимся и превратимся с Северную Корею и Кубу. Зато не будет проблем с нехваткой IP адресов...

  • IPv6 в каждый дом: Cвой собственный IPv6 сервер брокер (6in4)
    +2
    arubacloud.com дает vps за 1 евро/мес. в эту стоимость входит IPv4 и IPv6 (формально дают /64, а использовать можно только 16 адресов из блока).
  • Когда IP-адресов будет хватать всем?
    0
    IPv6 теперь доступен абонентам всей сети (от Калининграда до Сахалина)!
  • Когда IP-адресов будет хватать всем?
    0
    Хорошая новость для любителей техники Apple! Сегодня в iOS 11.3 beta 2 появилась поддержка IPv4v6 для основного APN-а.
  • Когда IP-адресов будет хватать всем?
    0
    Будут проблемы, пишите в личку. Чем смогу — помогу.
  • Когда IP-адресов будет хватать всем?
    0
    Не рекомендуем потому, что их реально мало, а задачи которые они решают, обычно того не стоят. Вторая причина в том, что статический адрес «прибивается» к конкретному устройству GGSN/PGW (если грубо, то шлюз). При перемещениях по нашей сети трафик приходится «тащить» именно туда (бывают и экстремальные трассы абонент в Южно-Сахалинске, а трафик гнать в Москву). Трафик не большой, но с задержкой ничего не сделать.
    У нас есть услуга, в рамках которой мы делаем отдельный APN и дотаскиваем транспорт (можно и VPN-ом) до сети клиента. В этом случае только SIM карты клиента получают доступ в эту сеть и можно каждому устройству сделать статичный адрес. Причём тут есть две опции. Первая — адрес выставляется у нас (HLR/HSS). Вторя — адрес запрашивается у radius-сервера клиента.
    Статический IPv6 адрес мы пока тоже не делаем. Если почувствуем заинтересованность/востребованность этой опции, то рассмотрим и такую возможность.
  • IoT в роли мотиватора для NAT в IPv6
    0
    Попасть на абонента с приватным IPv4 адресом из интернета без каких-либо ухищрений конечно нельзя. У нас (МТС) работает классический NAT. Трафик абонент — абонент с приватными IPv4 адресами у нас закрыт.
    На абонентов с услугой RealIP (public IPv4 адрес, но динамический) попасть можно. Собственно, не вижу причин это закрывать.
    Если говорить про IPv6, то доступ не закрыт, как абонент — абонент, так и интернет — абонент.
  • Когда IP-адресов будет хватать всем?
    0
    Услуга со статическим IPv4 адресом есть, но предоставляется но она доступна только корпоративным клиентам (не физическим лицам), и даже им мы не рекомендуем ее себе подключать.
    Для IPv6 естественно, никакой NAT не используется. Каждое устройство, подключаемое к сети, получает префикс /64. Устройства, которые подключатся уже за модемом/смартфоном, получают также прямые IPv6 адреса все из того же префикса /64, что и основное устройство и тоже доступны из интернет по прямому адресу.
    В следующем году мы планируем сделать prefix-delegation. Это означает, что роутерам будем выдавать дополнительный префикс /56.
  • IoT в роли мотиватора для NAT в IPv6
    0
    У Вас есть в этом особенность. Устройство может не держать открытой сессию, т.е. не быть доступным извне. А вот когда оно будет держать ее постоянно, то вангую веселые истории со сканом портов мобильных устройств и с соответствующими уязвимостями.

    Тут главный вопрос кого и от кого нужно защищать/маскировать…

    1. Абонентов от интернета
    IPv4 {
    Да, NAT действительно маскирует реальный адрес абонента и добраться до него простым сканированием IP/port уже не получится. Для этого нужно предпринять дополнительные действия, чтобы абонент сам «стукнулся» на вредоносный адрес. Но и тут уверенности в защищенности быть не должно.
    }
    IPv6 {
    NAT-а нет, но у абонента не конкретный адрес, а огромная куча адресов и для того, чтобы его найти тоже придется что-то «скармливать» и опять же вынуждать демаскировать себя. Да, эта задача уже проще, но от вредоносных ресурсов и у IPv4 защита не ахти.
    }

    2. Интернет от абонентов
    Тут что IPv4, что IPv6 разница не велика. Зараженные абоненты будут рыскать по сети в поисках жертвы. Причем NAT в этом раскладе вообще никак не мешает. Если представить, что на сети мобильного оператора одновременно работают десятки миллионов абонентов и скорости достигают десятки Мбит/с, то даже небольшая часть из них может наделать не мало бед. Причем от IPv4 трафика вреда будет на порядок больше. Просканировать весть IPv4 интернет гораздо проще тем более, что делать это можно не в одиночку, а из «бот-сети». В случае с IPv6 нужно «бить» по конкретным адресам, которые прописаны в DNS. Остальные способы уже не так очевидны.

    3. Абонента от абонента
    IPv4 {
    В нашем случае, количество абонентов, которые выходят в сеть через одну коробку измеряется десятками/сотнями тысяч. Простор для скандирования «соседей» по IPv4 (приватные адреса) огромен. Именно поэтому на нас закрыт трафик абонент — абонент как таковой. Плюс это исключило возможность абонентам лазить по открытым шарам друг-друга (абоненты действительно не заморачиваются элементарными правилами безопасности).
    }
    IPv6 {
    Тут смотрим п. 1 и понимаем, что сканированием найти другого абонента крайне не просто. Доступ абонент — абонент не закрываем.
    }
  • IoT в роли мотиватора для NAT в IPv6
    +4
    NAT используется не от хорошей жизни и НИ В КОЕМ СЛУЧАЕ не в ограничительных целях. Да, в сети МТС, когда все только начиналось, для ВСЕХ мобильных абонентов использовалось 2048 public IPv4 адресов и именно они чистоганом выдавались абонентам. Достаточно быстро стало понятно, что их очень быстро будет мало и расширять их будет реально дорого и в какой-то момент просто невозможно. В те самые лохматые годы для целей трансляций использовался FW с полной инспекцией и попутно он выполнял-таки функции какой-то защиты абонентов от интернета (не наоборот). Спустя какое-то время стало понятно, что и FW для целей трансляции адресов на большом трафике да ещё и с логированием (для «спец. задач») не сильно то эффективен и в итоге, мы перешли на CGNAT с минимальным набором умной математики и максимальной плотностью толстых интерфейсов. Даже в таком варианте коробка, которая просто транлятит адреса — дорогое решение, хоть и пока необходимое.
    Это я все к тому, что плюсы от неиспользования NAT есть и они выражаются во вполне реальные деньги. Мы не только не планируем делать трансляцию IPv6 адресов, но и в принципе не рассматривали такой странный вариант. Блокировать или не блокировать входящий трафик на 13х порты — это пока открытый вопрос.
  • Роскомнадзор: интернету нужно больше регулирования
    0

    Все проще. Нужно запретить населению использовать иностранные замки, а для импортозамещенных будет универсальный ключ у каждого сотрудника КГБ.
    Если прокатит, то и все сертификаты для РФ начнём выпускать с одним и тем же private.key. Зачем грузить КГБ с запоминанием разных ключей для разных ru-сайтов...

  • Роскомнадзор: интернету нужно больше регулирования
    0

    На мой скромный взгляд, дальнейшее регулирование интернета без принудительного перевода всех RU-ресурсов (остальные в блок) на отечественные сертификаты и адского дешифратора (на который еще нужно как-то подать трафик) становится практические невозможным.


    За год число сайтов в Рунете, перешедших на HTTPS, увеличилось в четыре раза