Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 128
и в ответ: «да, есть! Но только с нашим роутером (купите или в аренду) и только за доп. бабки. Что? Просто дать настройки, а вы свой сами настроете? Нет, ваш роутер однозначно не будет работать! Да нам пофиг какой у вас роутер — он не будет работать так, как наш! Почему? Просто в наш вкорячена наша кастомизированная прошивка специально для IPv6»
А о каком городе речь?
А это ничего. Когда через пару лет RIR'ы раздадут то последнее из IPv4, что у них осталось, кроме IPv6 вариантов не будет. Либо за бешеные деньги арендовать/выкупать IP у других (что не очень вяжется с политикой RIR'ов), либо двигаться в сторону v6.
Тут проблема в том, что это хлеб/соль для RIRов.
Так что я думаю биржу откроют. А ipv6 застопорится пока не будут поправлены баги (а то вышло то, для чего разрабатывали, все дырявое, SLAAC только дома можно использовать, большее адресное пространство в принципе с текущими технологиями идет во вред, раздавать их надо было как v4 в 90х).
Так что я думаю биржу откроют. А ipv6 застопорится пока не будут поправлены баги (а то вышло то, для чего разрабатывали, все дырявое, SLAAC только дома можно использовать, большее адресное пространство в принципе с текущими технологиями идет во вред, раздавать их надо было как v4 в 90х).
Для RIR'ов хлеб-соль (если я правильно понял что вы имели в виду) — это членские взносы, которые платят LIR'ы, а LIR'ы никуда не денутся. Когда будут существовать популярные сервисы, работающие IPv6-only, то проблемы вида «D-Link глючит при работе с IPv6 со включенным IGMP Snooping» будут решаться заменой D-Link'ов на более современные.
RIR'ы уже, считай, раздали. last /8 уже фиг знает сколько. А 1000 адресов per LIR — это детский лепет и никакой роли не играет.
Сейчас заканчивается этап проедания нахапанного и начинает выходить на передний план первичный вторичный рынок.
Поясняю насчёт «первичного вторичного рынка». Это когда адреса покупаются на вторичном рынке у компаний, которые их получали пока адреса раздавались легко и свободно, и которые ничего такого особого не думали. Всякие хостеры-неудачники, у которых из активов только IP, крупные конторы, которые адреса получали «под задел», который не пригодился и т.д. То есть сейчас пылесосят «завалявшееся».
Когда этот ресурс закончится (а он весьма ощутим, на самом деле), то в дело пойдёт уже «коммерческий вторичный рынок». Когда будут не «завалявшееся» собирать, а резать наименее интересные проекты ради адресов — они будут весьма и весьма ценными на рынке.
Сейчас заканчивается этап проедания нахапанного и начинает выходить на передний план первичный вторичный рынок.
Поясняю насчёт «первичного вторичного рынка». Это когда адреса покупаются на вторичном рынке у компаний, которые их получали пока адреса раздавались легко и свободно, и которые ничего такого особого не думали. Всякие хостеры-неудачники, у которых из активов только IP, крупные конторы, которые адреса получали «под задел», который не пригодился и т.д. То есть сейчас пылесосят «завалявшееся».
Когда этот ресурс закончится (а он весьма ощутим, на самом деле), то в дело пойдёт уже «коммерческий вторичный рынок». Когда будут не «завалявшееся» собирать, а резать наименее интересные проекты ради адресов — они будут весьма и весьма ценными на рынке.
вспоминается песня «хоронили тёщу — порвали три бояна».
Уже лет 5 слышу, что кончается IPv4. Всё никак не кончится.
В моём городе один не безывестный федеральный провайдер стал сажать всех за NAT-ы. На разные ресурсы ходим под разными белыми IP адресами. Называется технология carrier grade nat
Уже лет 5 слышу, что кончается IPv4. Всё никак не кончится.
В моём городе один не безывестный федеральный провайдер стал сажать всех за NAT-ы. На разные ресурсы ходим под разными белыми IP адресами. Называется технология carrier grade nat
Провайдеры меньше всего заинтересованы в том чтобы прямо сейчас развивать IPv6. Это ж нужно апгрейдить сети, дополнительно обучать саппорт и еще много-много других затрат. Они это всё сделают конечно, но только тогда, когда прижмёт. А прижмёт когда появится ощутимый процент важных сервисов, работающих только по v6.
Я давно хочу подключить IPv6, но не подключаю потому что лень. Лень настраивать защиту локальной сети, когда с IPv4 и NAT она уже есть. Лень думать, где же я могу налажать с настройками. Лень разбираться во всей этой кухне типов адресов. Обычные пользователи лишь дополняют картину, не понимая, зачем им может быть нужен IPv6. Нужно готовое устройство, которое пользователь может поставить у себя вместо роутера/за роутером, которое просто «сделает хорошо».
Проблема надумана.
В начале нулевых разве не то же самое было? Когда диалап выдавал реальные адреса, у рядового пользователя не было фаерволла, всё было открыто наружу, кулхацкеры лазили по шарам, делали что хотели. До сих пор помню спам и ASCI-art-картинки сомнительного содержания, приходящие через виндовую службу сообщений, которая net send, пока не поставил Outpost.
Когда люди со временем более-менее поймут, что такое внешний адрес, они просто перестанут выключать, повсеместно рекомендуемый, «этот ненужный дурацкий брандмауер, из-за которого ничего не работает». Его блокировки входящих по умолчанию вполне хватит оградиться от внешнего мира для рядового пользователя. В юзерских дистрибутивах линукс тоже разрешено только NEW,RELATED в iptables на вход.
В начале нулевых разве не то же самое было? Когда диалап выдавал реальные адреса, у рядового пользователя не было фаерволла, всё было открыто наружу, кулхацкеры лазили по шарам, делали что хотели. До сих пор помню спам и ASCI-art-картинки сомнительного содержания, приходящие через виндовую службу сообщений, которая net send, пока не поставил Outpost.
Когда люди со временем более-менее поймут, что такое внешний адрес, они просто перестанут выключать, повсеместно рекомендуемый, «этот ненужный дурацкий брандмауер, из-за которого ничего не работает». Его блокировки входящих по умолчанию вполне хватит оградиться от внешнего мира для рядового пользователя. В юзерских дистрибутивах линукс тоже разрешено только NEW,RELATED в iptables на вход.
Для всех тех, кто думает что у его провайдера нет IPv6, попробуйте поискать — может быть, уже есть, просто вам это не нужно?Надо же, оказывается есть у моего провайдера IPv6, ещё с 2013-го года.
Сейчас нашёл в модеме галочку для активирования IPv6. Результат теста на сайте test-ipv6.com — 10/10.
Модем получил префикс /56, вся эпловская техника и Synology NAS получили по нескольку IPv6-адресов (зачем одному устройству 6 IPv6-адресов?), и только андроид и Windows-Phone остались на IPv4.
Вопрос только — зачем оно мне
Насчёт 6 адресов на устройстве.
Один из этих адресов локальный, для работы протоколов настройки и для общения внутри локальной сети. Один статический для входящих соединений. А остальные, скорее всего, временные — для исходящих.
В IPv6 есть такая штука, как временный адрес для исходящих соединений. Они могут ротироваться по времени или по количеству соединений для предотвращения сканирования портов.
Суть в том, что адрес меняется, а старые соединения остаются висеть на предыдущем адресе, и чтобы не разрывать их, этот адрес объявляется как устаревший, и новые соединения его уже не будут использовать. Соответственно, когда отвалится последний коннект от старого адреса, он просто удалится с интерфейса.
Один из этих адресов локальный, для работы протоколов настройки и для общения внутри локальной сети. Один статический для входящих соединений. А остальные, скорее всего, временные — для исходящих.
В IPv6 есть такая штука, как временный адрес для исходящих соединений. Они могут ротироваться по времени или по количеству соединений для предотвращения сканирования портов.
Суть в том, что адрес меняется, а старые соединения остаются висеть на предыдущем адресе, и чтобы не разрывать их, этот адрес объявляется как устаревший, и новые соединения его уже не будут использовать. Соответственно, когда отвалится последний коннект от старого адреса, он просто удалится с интерфейса.
На самом деле траффика по ipv6 очень мало. Например, проекты ориентированные на европу и западную аудиторию — 1.35% IPv6 в 2014 году, и в текущем 2015 всего 0.75% на 4 полных месяца.
А это смотря с какой стороны смотреть. Я не знаю чего ожидал топикстартер, но вся статья — просто показатель того, что люди плохо умеют «работать» с экспонентой.
График Google показывает не только то, что IPv6 пользователей мало, но и что их количество растёт примерно раза в два за год. То есть через 3-4 года их будет половина. А ещё через 2-3 года вы обнаружите, что разные программы просто-напросто не работают без IPv6 (при значительном перевесе в пользу людей с IPv6 окажется выгоднее работать с ними, чем мучиться с поддержкой клиентов без IPv6). Что, я уверен, окажется «неожиданностью» для многих провайдеров. Как неожиданностью оказалось отключение Java через несколько лет после первого звоночка.
Собственно все новые технологии через это проходят. Много народу в 2002м году купились на поддержку 3G? А лет через 10 операторы без 3G просто начали тихо терять клиентов и, в общем, практически кончились. Экзотика типа сетей 2G/4G от Tele2 в Туле не в счёт — это всего лишь способ как-то выжить в ситуации, когда 3G уже «нужен позарез», а его нету.
График Google показывает не только то, что IPv6 пользователей мало, но и что их количество растёт примерно раза в два за год. То есть через 3-4 года их будет половина. А ещё через 2-3 года вы обнаружите, что разные программы просто-напросто не работают без IPv6 (при значительном перевесе в пользу людей с IPv6 окажется выгоднее работать с ними, чем мучиться с поддержкой клиентов без IPv6). Что, я уверен, окажется «неожиданностью» для многих провайдеров. Как неожиданностью оказалось отключение Java через несколько лет после первого звоночка.
Собственно все новые технологии через это проходят. Много народу в 2002м году купились на поддержку 3G? А лет через 10 операторы без 3G просто начали тихо терять клиентов и, в общем, практически кончились. Экзотика типа сетей 2G/4G от Tele2 в Туле не в счёт — это всего лишь способ как-то выжить в ситуации, когда 3G уже «нужен позарез», а его нету.
Оффтоп конечно, но «Экзотика типа сетей 2G/4G от Tele2 в Туле не в счёт — это всего лишь способ как-то выжить в ситуации, когда 3G уже «нужен позарез», а его нету.» Зачем нужен 3Г при развёрнутом 4Г? Телефоны служат недолго. Через 3-4 года о 3Г уже и не вспомнят.
Вот с 2Г — засада, пока в 4Г нет и не предвидится голосвоых каналов — непонятно, как дальше пойдёт развитие классической телефонии.
Вот с 2Г — засада, пока в 4Г нет и не предвидится голосвоых каналов — непонятно, как дальше пойдёт развитие классической телефонии.
предвидется в LTEA
Есть же Voice over LTE. У моего опсоса, например, есть, но скорее теоретически.
На практике это работает только с некоторыми брендированными смартфонами Самсунга и Сони, и не со всеми симкартами. Так что хотя у моего айфона передача данных по 4G теоретически до 100 мбит/с (реальных я видел 45 мбит/с), но для звонков он переключается в 2G/3G.
На практике это работает только с некоторыми брендированными смартфонами Самсунга и Сони, и не со всеми симкартами. Так что хотя у моего айфона передача данных по 4G теоретически до 100 мбит/с (реальных я видел 45 мбит/с), но для звонков он переключается в 2G/3G.
Оффтоп конечно, но «Экзотика типа сетей 2G/4G от Tele2 в Туле не в счёт — это всего лишь способ как-то выжить в ситуации, когда 3G уже «нужен позарез», а его нету.» Зачем нужен 3Г при развёрнутом 4Г?Там нет развёрнутого 4G. Там не получилось запустить 3G сеть (частот не досталось) и у Tele2 начали уходить клиенты. В качестве решения была форсированно запущена сеть 4G. Которая пока что работает по принципу «тут густо, тут пусто». Хотя когда покрытие будет нормальное без 3G уже можно будет и обойтись, конечно.
Мегафон активно переводит абонентов на 4G, вероятно, для освобождения 3G под голос. А VoLTE уже работает у T-Mobile, наши тоже тестируют.
IP6 не пользуюсь, хотя возможность есть, для дома арендую статический IP уже 4 года 30 рублей в месяц. И честно говоря не вижу проблем. Но принудительный переход на IP6 меня бы взбудоражил.
Я вообще считаю, что принудительно делать такие вещи не предупредив пользователя — просто издевательство.
Недавно Ростелеком прошил удаленно мне прошивку на IP/TV не спросив меня — и меня это бесит, т.к. теперь телевизор каждые 30 минут предлагает прочитать какое то сообщение когда я смотрю «важную телепрограмму».
ЗЫ: У меня такое ощущение, что роутеры Ростелекома, которые ставят пользователям дома следят за нами.
Я вообще считаю, что принудительно делать такие вещи не предупредив пользователя — просто издевательство.
Недавно Ростелеком прошил удаленно мне прошивку на IP/TV не спросив меня — и меня это бесит, т.к. теперь телевизор каждые 30 минут предлагает прочитать какое то сообщение когда я смотрю «важную телепрограмму».
ЗЫ: У меня такое ощущение, что роутеры Ростелекома, которые ставят пользователям дома следят за нами.
Ростелеком — самый худший интернет провайдер в России.
Приставки IPTV как минимум собирают статистику по просматриваемым каналам и передачам.
Тоже пользуюсь Ростелекомом, во-первых, потому что это единственный доступный провайдер. Но и даже если придут другие, то отзывы о них не лучше. Да и, в принципе, всё устраивает и на Ростелекоме. Кроме сабжа. Нет у нас до сих пор IPv6. Только через 6to4 настроил… но это костыль.
Тоже пользуюсь Ростелекомом, во-первых, потому что это единственный доступный провайдер. Но и даже если придут другие, то отзывы о них не лучше. Да и, в принципе, всё устраивает и на Ростелекоме. Кроме сабжа. Нет у нас до сих пор IPv6. Только через 6to4 настроил… но это костыль.
>>Недавно Ростелеком прошил удаленно мне прошивку на IP/TV не спросив меня
это называется TR069
это называется TR069
Сейчас у нас все адреса при доступе к интернет получают уникальный публичный адрес через NAT.Не совсем понял. Т.е. У вас NAT, но с выделением личного IP каждому клиенту, но это не Full Cone? А почему? Есть какие-то технические выигрыши от такого подхода?
AYrm, Disasm, в некоторых роутерах, фильтр входящих соединений включается одной галкой или выбором в комбобоксе. Мне больно видеть, что в 2015 кто-то может оправдывать NAT, да еще и говорить, что это удобно.
Фильтр входящих соединений хитрая штука. Для большинства устройств в изначальном исполнении он включает кучу исключений для разных видов трафика. Надо каждый раз следить, чтобы прошивка не посчитала, что «запрещено всё», кроме SMB, например… С NATом же сложнее обратиться к узлу, который не имеет глобального адреса.
В теории — да, межсетевой экран может заменить нат и быть лучше ната. Но на практике никто среди домашних пользователей этим заморачиваться не будет. Нет адреса — нет проблем.
Есть разница — надо приложить услилия, чтобы разрешить входящие из вне и надо приложить усилия, чтобы такие подключения запретить.
В теории — да, межсетевой экран может заменить нат и быть лучше ната. Но на практике никто среди домашних пользователей этим заморачиваться не будет. Нет адреса — нет проблем.
Есть разница — надо приложить услилия, чтобы разрешить входящие из вне и надо приложить усилия, чтобы такие подключения запретить.
Да, именно так. Технически это очень помогает в работе с органами. В своё время этим решали проблемы гиков при переходе/отказе от подключения абонентов по VPN, когда мы посчитали что заменить публичный IP на интерфейсе на частный да ещё и за PAT, было бы не комильфо.
Прошу прощения, что-то я недопонимаю. У вас отдается статический серый IP клиенту, который каждый раз мапится в разные белые IP-адреса, при этом нет PAT, и это не Full Cone NAT? А в чем смысл тогда? Почему не просто firewall с запретом входящих соединений?
Мы отдаём не один IP, а некоторую частную статическую сеть абоненту. Как только устройство из этой сети хочет попасть в интернет оно мапится Full Clone в разные публичные адреса (при активном использовании интернет, публичный адрес не меняется), каждое устройство в свой IP.
Смысл — каждый абонент имеет публичный адрес, максимально столько сколько мы ему отдали сеть. Мы эти самые публичные адреса экономим, потому что имеем общий пул адресов меньше общего количества всех наших абонентов и тем более в несколько раз меньше чем всего у абонента возможных устройств. Здесь вопрос не безопасности, вопрос выгоды.
На границе сети мы не запрещаем ничего, кроме того что явно представляется злонамеренным. Некоторые абоненты активно используют возможность именно внешних соединений на свои устройства. И не у каждого нашего абонента есть дома роутер, у некоторых только коммутаторы.
Смысл — каждый абонент имеет публичный адрес, максимально столько сколько мы ему отдали сеть. Мы эти самые публичные адреса экономим, потому что имеем общий пул адресов меньше общего количества всех наших абонентов и тем более в несколько раз меньше чем всего у абонента возможных устройств. Здесь вопрос не безопасности, вопрос выгоды.
На границе сети мы не запрещаем ничего, кроме того что явно представляется злонамеренным. Некоторые абоненты активно используют возможность именно внешних соединений на свои устройства. И не у каждого нашего абонента есть дома роутер, у некоторых только коммутаторы.
NAT, который у вас на роутере настроен по дефолту вместе со всеми костылями к нему и благодаря которому у вас есть это некоторое чувство защищённости — это далеко не самая простая вещь в настройке и работе. И то, что для вас это выглядит просто, является лишь тем, что эти настройки вшиты и по дефолту включены. Ничего не стоит сделать то же самое на роутере с IPv6, за исключением того, что сам механизм работы этой защиты архитектурно сильно проще.
То есть это некоторый вопрос времени, пока не появятся т.н. Best Practices и производители роутеров не начнут это делать в каждом роутере (если уже не начали)
То есть это некоторый вопрос времени, пока не появятся т.н. Best Practices и производители роутеров не начнут это делать в каждом роутере (если уже не начали)
Зачем внешний адрес устройству, к которому обращений из инета не должно быть в принципе? Зачем сначала решать проблему «как сделать устройство доступным снаружи» — а потом решать «как же этот доступ теперь перекрыть»?
И по поводу настроек роутера. Я попросту не знаю, где фильтр входящих соединений включается. В веб-интерфейсе роутера есть три таблицы правил, и я не знаю, какая из них за что отвечает. Ни то маркетологи, ни то дизайнеры сильно постарались, чтобы названия тех страниц были совершенно непонятными.
Можно, конечно же, провести серию экспериментов и понять, какая таблица за что отвечает — но зачем, если можно включить NAT нажатием одной кнопки?
И по поводу настроек роутера. Я попросту не знаю, где фильтр входящих соединений включается. В веб-интерфейсе роутера есть три таблицы правил, и я не знаю, какая из них за что отвечает. Ни то маркетологи, ни то дизайнеры сильно постарались, чтобы названия тех страниц были совершенно непонятными.
Можно, конечно же, провести серию экспериментов и понять, какая таблица за что отвечает — но зачем, если можно включить NAT нажатием одной кнопки?
Больше всего в IPv6 я не понимаю отказ от ната. Да, адресов дофига и в теории всем хватит. Но нат из механизма решения проблемы дефицита адресов давно превратился в механизм безопасности. Всё-таки это сложно через интернет обратиться к немаршрутизируемой глобально сети.
Кто мешал сохранить нат? Я понимаю, что он ломает концепцию условно неограниченного количества адресов для каждой вещи. Но разве все устройства IoT должны быть видны из всей глобальной сети?
Кто мешал сохранить нат? Я понимаю, что он ломает концепцию условно неограниченного количества адресов для каждой вещи. Но разве все устройства IoT должны быть видны из всей глобальной сети?
Ну, по крайней мере, реализации-то в том же линуксе есть, но NAT, в целом, нужен редко, если только для удобства какой-нибудь адрес короткий замапить.
И да, NAT никогда не был средством безопасности.
И да, NAT никогда не был средством безопасности.
Он не разрабатывался как средство безопасности, но он им является де-факто.
Миллионы пользователей ставят домашние роутеры не заморачиваясь за настройки межсетевого экрана, но при этом их домашние устройства достаточно надёжно экранированы от внешней сети. Для того, чтобы сделать их видимыми — необходимы доп. настройки. А по-умолчанию их даже не просканировать.
Или вы считаете, что отсутствие возможности обращения к устройству из глобальной сети никак не влияет на безопасность?
Да, можно нат заменить фаерволом. Но фактически сейчас на миллионах точек присоединения к сети интернет нат заменяет правила классической пакетной фильтрации. И это факт.
Миллионы пользователей ставят домашние роутеры не заморачиваясь за настройки межсетевого экрана, но при этом их домашние устройства достаточно надёжно экранированы от внешней сети. Для того, чтобы сделать их видимыми — необходимы доп. настройки. А по-умолчанию их даже не просканировать.
Или вы считаете, что отсутствие возможности обращения к устройству из глобальной сети никак не влияет на безопасность?
Да, можно нат заменить фаерволом. Но фактически сейчас на миллионах точек присоединения к сети интернет нат заменяет правила классической пакетной фильтрации. И это факт.
Не находите логичным, что вместо механизма NAT можно будет просто строчку в Firewall добавить? И всё, прощай проблемы с FTP, SIP и т.п.
Я себе настрою как надо. Но есть миллионы домашних пользователей, с которыми вы задолбаетесь работать и вести разъяснительные беседы по поводу фаервола. В статье о пользовательских проблемах сказано явно и недвусмысленно.
А что мешает необходимые правила по умолчанию предоставлять в маршрутизаторах, которые будут заточены под IPv6? По моему сейчас большинство железок по умолчанию предлагают включить глухой файвервол для запросов из интернета.
Мешает огромная масса устройств уже существующих и огромная масса людей, имеющих инертность мышления.
Вы за прогресс для людей или за людей для прогресса? Именно игнорирование технической подготовки большинства пользователей и ставит пока крест на масштабном переходе.
Вы за прогресс для людей или за людей для прогресса? Именно игнорирование технической подготовки большинства пользователей и ставит пока крест на масштабном переходе.
Вы меня заинтриговали. Я в два клика настроил 6to4 туннель (Ростелеком не выдаёт IPv6, как минимум, у меня в городе). Про Firewall даже не задумывался, ибо IPv6 только на Linux машинках внутри и не так страшно их наружу выставлять. Зашёл, проверил. У меня по умолчанию Firewall включен для IPv6. При желании можно создать правила для того, чтобы из внешки в локалку впустить.
Неужели к вам никогда не прходили люди с квалификацией «а чё у меня тут выскочило», «а как скачать интернет» и пр.? Подавляющему большинству пользователей «в два клика» это сложно. Но если у вас не было опыта с домашними пользователями в своей массе — то мне вам в рамках комментария эти непередаваемые ощущения не пересказать.
не надо вести беседы. Надо дефолтные настройки фаервола нормальные. Как и для NAT-a (тоже можно форвардить порты внутрь по умолчанию, но ведь это никто не делает).
Вот другое дело, что при NAT-e у меня разные порты проброшены на разные устройства дома. И я спокойно обращаюсь к ним по одному адресу, просто разные протоколы прилетают на разные устройства. А так придется помнить какой адрес (или имя) у меня у какого девайса дома, чтоб к нему подключиться. Так что гемора с ipv6 таки всем больше. Но прогресс не остановить. Со временем с этим придется столкнуться, как ни крути.
Вот другое дело, что при NAT-e у меня разные порты проброшены на разные устройства дома. И я спокойно обращаюсь к ним по одному адресу, просто разные протоколы прилетают на разные устройства. А так придется помнить какой адрес (или имя) у меня у какого девайса дома, чтоб к нему подключиться. Так что гемора с ipv6 таки всем больше. Но прогресс не остановить. Со временем с этим придется столкнуться, как ни крути.
Вам поможет Dynamic DNS. Каждое устройство будет само обновлять адрес в своём имени. Я набросал скрипт для *nix-систем здесь: gist.github.com/Envek/9aa53b06e7df369626a9 и с удовольствием им пользовался, когда был на провайдере с IPv6. Это очень клёво, когда можно зайти на свой ноут по ссылке вида notebook.домен.tld
Я в курсе. И даже пользуюсь. Вот только оказалось, что когда в доме 5 ноутов, 2 сервера (не считая виртуалок), 2 десктопа, 2 телефона и 4 таблетки, то я уже не помню какие имена я надавал всем этим устройствам. Понятно, что из них всех имена нужно помнить только серверов и десктопов, ибо всё остальное или выключено или просто ничего не сервит и коннектиться к ним не надо. Но все равно оно как-то напрягает. А сейчас просто — иду на home.домен.tld. Если иду по SSH, то попадаю на один сервер. Если по http, то на другой. Если по RDP, то на один из десктопов. Просто и удобно.
Если вы заходите в домашнюю сеть через роутер, он-то вполне способен обеспечить нужный функционал, не важно что IPv6 используется — есть такая функция как переназначение портов, если эта функциональность доступна для конфигурации. Это я к тому что эта функция роутера не зависит от протокола и работает одинаково как с IPv4 так и с IPv6.
А какой смысл делать NAT и проброс портов для IPv6? Просто потому, что это все еще можно?
Не для того делался v6, чтоб продолжать использовать NAT и проброс портов.
P.S. Нет, мой провайдер IPv6 не поддерживает и роутер создать туннель тоже не позволяет. Так что для меня IPv6 пока еще в рамках всей домашней сети недоступен.
Не для того делался v6, чтоб продолжать использовать NAT и проброс портов.
P.S. Нет, мой провайдер IPv6 не поддерживает и роутер создать туннель тоже не позволяет. Так что для меня IPv6 пока еще в рамках всей домашней сети недоступен.
А какой смысл делать NAT и проброс портов для IPv6? Просто потому, что это все еще можно?Потому что это всё ещё нужно. Когда-то, давным-давно, NAT был придуман, чтобы экономить IPv4 адреса, это правда. Но с тех пор ему нашли тучу других применений. Компании не хотят чтобы структура их внутренних сетей «торчала» наружи, что может быть более важно, хотят иметь возможность «прозрачно» переносить сервисы с одного сервиса на другой. Потому NAT для IPv6 и существует и используется.
в ipv6 есть специальный диапазон «приватных» адресов для таких случаев. вы хоть стандарт почитайте, прежде чем панику разводить.
А как же UPnP? Любое приложение может пробросить себе порт, если нужно. Многие приложения его поддерживают. Он включен на большинстве роутеров по умолчанию.
А что придется делать средним и большим организациям (да и не только организациям), в которых обустроена довольно обширная локальная сеть с десятками рабочих станций, мобильных клиентов, принтеров, IP-телефонов и т.п.? Неужели каждая телефонная трубка на столе менеджера «должна» будет смотреть в мир напрямую? Честно говоря, эта проблема меня больше всего пугает. Может я что то недопонимаю и есть какое нибудь решение этой проблемы?
мой комментарий выше. извините, промазал.
Я не понимаю, от чего такая паника. NAT (тот, что в линуксе и на всех домашних маршрутизаторах) выполняет только замену IP, порта, и добавляет запись в conntrack об этом. Если на файрволле запретить forward новых соединений в локальную сеть, то вы добьетесь точно того же поведения, которые так жаждите добиться от NAT, но только без NAT, и с нормальным белым IP.
И да, я не вижу ничего плохого, когда все устройства имеют белый IP. У меня все устройства дома имеют IPv6, я могу к ним всегда обратиться из интернета (еще и по динамическому доменному имени!), у меня нет проблем с протоколами, которым, по хорошему, нужен белый IP: FTP, SIP, передача файлов через XMPP, XDCC (да, я часто передаю файлы через XDCC, это единственный верный способ скачать некоторые старые релизы аниме, для которых нет сидов в торренте).
А то, что Loiqig не нашел, что сказать клиентам, как-то просто недальновидно. Раздача торрентов по IPv6 (внезапно, у меня 10-15% торрент-трафика по IPv6), хостинг игр, требующих белого адреса, без проблем, возможность поднятия серверов.
Ну и как сказал sunafajro, если вы уж так хотите, вы можете использовать внутренние немаршрутизируемые адреса, и, прости господи, использовать NAT на IPv6. А можете просто иметь множество IPv6-адресов на интерфейсе и биндить сервисы к нужному, чтобы они работали только во внутренней сети, к примеру. У меня, например, в среднем 5 IPv6-адресов на интерфейс: link-local, ULA (1), ULA (2), белый SLAAC и белый DHCPv6.
И да, я не вижу ничего плохого, когда все устройства имеют белый IP. У меня все устройства дома имеют IPv6, я могу к ним всегда обратиться из интернета (еще и по динамическому доменному имени!), у меня нет проблем с протоколами, которым, по хорошему, нужен белый IP: FTP, SIP, передача файлов через XMPP, XDCC (да, я часто передаю файлы через XDCC, это единственный верный способ скачать некоторые старые релизы аниме, для которых нет сидов в торренте).
А то, что Loiqig не нашел, что сказать клиентам, как-то просто недальновидно. Раздача торрентов по IPv6 (внезапно, у меня 10-15% торрент-трафика по IPv6), хостинг игр, требующих белого адреса, без проблем, возможность поднятия серверов.
Ну и как сказал sunafajro, если вы уж так хотите, вы можете использовать внутренние немаршрутизируемые адреса, и, прости господи, использовать NAT на IPv6. А можете просто иметь множество IPv6-адресов на интерфейсе и биндить сервисы к нужному, чтобы они работали только во внутренней сети, к примеру. У меня, например, в среднем 5 IPv6-адресов на интерфейс: link-local, ULA (1), ULA (2), белый SLAAC и белый DHCPv6.
Радоваться, как тем у кого публичные адреса были изначально (тот же HP).
Когда-то компьютер можно было убить пингом. Переход на ipv6 просто обострит проблему безопасности и подтолкнет к ее купированию, что в любом случае полезно, ибо сейчас некоторые производители вещей для интернет наплевательски относятся к этим вопросам, полагая, что 99% юзеров будут юзать их за натом
Т.е. чтобы решить проблему безопасности её надо создать? Устройства IoT бывают очень примитивными. Например датчики температуры. Надо туда SSL впихивать, сертификаты и т.п. менять? Зачем, если можно защитить периметр сети.
Немного перефразирую. Необходимо (и часто достаточно), настроить фаервол на роутере, через который ходит ipv6 трафик. И это не сложнее NAT.
Во-первых сложнее. Двусмысленностей в работе чистого нат намного меньше, чем в фаерволе. Нат он примерно одинаковый для всех, а вот фаерволы бывают очень разные с разной логикой функционирования. Понятие входящий трафик очень размыто и трактуется по разному. Кто-то любой трафик считает входящим, кто-то вешает логику распознавания сессий и не считает рефлексивный трафик входящим, у кого-то разные правила для самого фаервола и устройств за ним, кто-то смешивает логику форварда с логикой непосредственного обращения к узлу и т.д. Хотя эта проблема решаемая. Но не факт, что малой кровью.
А во-вторых подавляющая масса людей действует «по-умолчанию». Есть множество исследований на эту тему. Так вот, нат как раз и обеспечивает безопасное состояние «по-умолчанию». С фаерволом — не так однозначно. Можно сколько угодно рассуждать, что в теории простое экранирование правильнее. Но есть практика и эта практика говорит — у IPv6 проблемы с внедрением. В том числе из-за отсутствия ната. Пускай даже это психологические проблемы.
А во-вторых подавляющая масса людей действует «по-умолчанию». Есть множество исследований на эту тему. Так вот, нат как раз и обеспечивает безопасное состояние «по-умолчанию». С фаерволом — не так однозначно. Можно сколько угодно рассуждать, что в теории простое экранирование правильнее. Но есть практика и эта практика говорит — у IPv6 проблемы с внедрением. В том числе из-за отсутствия ната. Пускай даже это психологические проблемы.
Если рассматривать типичный сферический роутер в вакууме, то это будет коробочка с линуксом внутри. Для организации защиты, аналогичной NAT достаточно по одному правилу для iptables и ip6tables. Что -то вроде --state ESTABLISHED,RELATED -j ACCEPT для input.
Но вообще я воспринял ваш коммент как защиту ipv6 а не критику :)
Но вообще я воспринял ваш коммент как защиту ipv6 а не критику :)
Я и не критикую IPv6 в целом, но с натом явная промашка и она в т.ч. тормозит его внедрение, так как люди НЕ ПОНИМАЮТ. Ну был бы такой механизм рекомендован стандартом — переход был бы более плавным. Потом бы нат умер за ненадобностью сам.
А интерфейс iptables это не аргумент. В любом андроиде его можно разлочить. Сколько % пользхователей и производителей софта это делают? Не путайте «можно» и «каждый может».
А интерфейс iptables это не аргумент. В любом андроиде его можно разлочить. Сколько % пользхователей и производителей софта это делают? Не путайте «можно» и «каждый может».
Покажите мне роутер, который позволяет прописать это самое правило именно в таком виде из коробки (т.е. без перепрошивки). В моем домашнем я так и не нашел доступных для редактирования скриптов инициализации.
> Двусмысленностей в работе чистого нат намного меньше, чем в фаерволе. Нат он примерно одинаковый для всех, а вот фаерволы бывают очень разные с разной логикой функционирования.
А вы, батенька, давно сидели за «чистым» натом? Подозреваю, что за чистым натом и без UPnP не работала бы и половина достойных применения протоколов. Взять хотя бы SIP и IPsec — первое, что всплывает в голове. Вот уж NAT — действительно то место, где созданные проблемы были героически решены.
А вы, батенька, давно сидели за «чистым» натом? Подозреваю, что за чистым натом и без UPnP не работала бы и половина достойных применения протоколов. Взять хотя бы SIP и IPsec — первое, что всплывает в голове. Вот уж NAT — действительно то место, где созданные проблемы были героически решены.
Надо туда SSL впихивать, сертификаты и т.п. менять?Да, надо.
Зачем, если можно защитить периметр сети.Вы уж определитесь — у вас IoT или один датчик и один комп. Идея «защитить только периметр сети и напихать внутрь оной сети 100500 потенциальных троянов» здравой ну никак назвать не получится. Достаточно одного хакнутого фитнесс-браслета (который, как и всё остальное, сделан в рассчёте на «защиту на периметре сети» и потому получает команды через HTTP без аутентификации с сервера производителя) и всё: все ваши датчики «работают на дядю».
> Т.е. чтобы решить проблему безопасности её надо создать?
Я бы сказал более общо: «чтобы решить проблему её надо создать». И это правда для всего )
> Устройства IoT бывают очень примитивными. Например датчики температуры. Зачем, если можно защитить периметр сети.
Я не слежу за IPv6 особенно, но когда я этим интересовался, там были LinkLocal адреса. Разве нельзя их использовать для таких устройств, если их не отменили?
> Надо туда SSL впихивать, сертификаты и т.п. менять?
В принципе, если там реализован Web, то сделать TLS — это уже вобщем-то не такая уж сложная задача.
Я бы сказал более общо: «чтобы решить проблему её надо создать». И это правда для всего )
> Устройства IoT бывают очень примитивными. Например датчики температуры. Зачем, если можно защитить периметр сети.
Я не слежу за IPv6 особенно, но когда я этим интересовался, там были LinkLocal адреса. Разве нельзя их использовать для таких устройств, если их не отменили?
> Надо туда SSL впихивать, сертификаты и т.п. менять?
В принципе, если там реализован Web, то сделать TLS — это уже вобщем-то не такая уж сложная задача.
В принципе, если там реализован Web, то сделать TLS — это уже вобщем-то не такая уж сложная задача.Ну да, а потом предупреждение браузера при каждом соединении, ибо сертификат не валиден. Учитывая, что пользователь должен иметь возможность поменять как доменное имя (если оно вообще есть), так и ip-адрес во избежании конфликтов — получаем необходимость домашнего доверенного центра сертификации…
> предупреждение браузера при каждом соединении
Не поверите, но у меня так ругался роутер LinkSys, пока я его не вылечил с помощью DD-WRT.
Но вообще, если эта сферическая IoT-железяка измеряет влажность в вашей квартире, то, наверное, особой нужды закрывать её TLS'ом нет. А вот тем, чтобы её не убили детишки-какеры, если вам важно знать влажность, находясь за пределами квартиры, озаботиться всегда полезно.
> получаем необходимость домашнего доверенного центра сертификации…
А у вас его ещё нету?! :-o
Не поверите, но у меня так ругался роутер LinkSys, пока я его не вылечил с помощью DD-WRT.
Но вообще, если эта сферическая IoT-железяка измеряет влажность в вашей квартире, то, наверное, особой нужды закрывать её TLS'ом нет. А вот тем, чтобы её не убили детишки-какеры, если вам важно знать влажность, находясь за пределами квартиры, озаботиться всегда полезно.
> получаем необходимость домашнего доверенного центра сертификации…
А у вас его ещё нету?! :-o
А что не так с домашним доверенным центром сертификации? TinyCA на флешке отлично для этого подходит.
Плохо тем, что обычному пользователю — это uber ) Увы. Надеюсь со временем, такие вещи будут рассказывать в школе на уроках информатики вместо изучения Word. Не на уровне математики, которая задействована в ассиметричном шифровании, а на уровне концепций (Алиса, Боб, Ева, одностороннее преобразование и т.д.) хотя бы. Сейчас с этим всё грустно: в лучшем случае определение зеленой и красной строки ссылки в браузере.
Firewall решает проблему с безопасностью. А проблемы из-за NAT'а не решаются никак. Так зачем из двух зол выбирать большее?
Я сижу за натом. Расскажите мне о моих проблемах, а то вдруг я и не знаю…
Проблемы из-за NAT решаются костылями. Самый яркий пример на моей памяти — это как я на FreeBSD поднимал ftp-proxy, иначе FTP клиенты не могли ходить в активном режиме на сервера.
Хм, а почему FTP в пассивном режиме как вариант не рассматривался?
Что значит решаются? Каждый новый протокол, сигнализирующий где-то внутри себя IP будет нуждаться в поддержке на ALG. А это дохера ресурсов, да и сам NAT операция очень недешевая. Connection tracking для firewall'а по сравнению с этим дешевле в сотни раз.
А дебилам с УМВР надо с полгодика поработать в саппорте оператора от 100к абонентов. Пусть там рассказывают какой-нибудь бухгалтерше про «пассивный режим как вариант».
А дебилам с УМВР надо с полгодика поработать в саппорте оператора от 100к абонентов. Пусть там рассказывают какой-нибудь бухгалтерше про «пассивный режим как вариант».
Вы, похоже, солидарны со мной. Проблемы с NAT можно решить, но для каждой проблемы нужно создавать свой костыль. И для каждого костыля нужно выделять дополнительные мощности оборудования. Грех не воспользоваться элегантным решением, имеющимся в IPv6, чтобы убрать самый главный костыль для локалок — NAT.
Костыльный это механизм безопасности. Там где возможен NAT там возможно включить фаервол с аналогичной функцией. И всё, никаких костылей. Вот только если в случае NAT открыть полный доступ устройству в сеть проблема не тривиальная(особенно когда не один конкретный порт или даже протокол, ICMP например пробросить или собственный протокол) то в случае с IPv6 и фаерволом то это дело лишь пары правил — и ваше новое устройство в сети имеет полный доступ извне.
Не всё пока гладко с IPv6. Вчера настроил на роутере туннель к Hurricane Electric и ура — IPv6 появился, я хожу на некоторые сервисы через него. А другие через IPv6 отвалились — отвалился Вконтакт, отвалились сайт-тестировщики IPv6 (что особо доставляет). Причём отвалились хитро — браузер не открывает по таймауту, а curl спокойно грузит. Мистика какая-то…
Не мистика, а либо кэш DNS, либо сетевая недоступность хостов через IPv6. (curl может втихую по IPv4 продолжить работать, вы не проверяли?)
В первом случае на винде поможет
В первом случае на винде поможет
ipconfig /flushdns, во втором туннель попросту оказался «не для всех сервисов».Проверял:
Почистил кэш и в системе
Заметил я, что и curl не всегда грузит. Остаётся грешить на Hurricane Electric.
curl -v -6 vk.com 12:50:01* Rebuilt URL to: vk.com/ * Hostname was NOT found in DNS cache * Trying 2a00:bdc0:3:103:1::403:900... * Connected to vk.com (2a00:bdc0:3:103:1::403:900) port 80 (#0) > GET / HTTP/1.1 > User-Agent: curl/7.37.1 > Host: vk.com > Accept: */* > < HTTP/1.1 302 Found < …ну и так далее…
Почистил кэш и в системе
sudo discoveryutil udnsflushcaches (OS X) и в хроме chrome://net-internals/#dns. Но без успеха.Заметил я, что и curl не всегда грузит. Остаётся грешить на Hurricane Electric.
Ваершарком посмотрите. Вдруг у вас из тонеля что-то выпало.
А вспомните время, когда провайдеры тупо фильтровали порты клиентов (25/tcp, 69/udp и многие другие), и не «корысти ради», а именно для ограничения вреда для «хомячков». Времена были модемные (да-да, v.34, v.90, v.92), клиент получал в зубы адрес, и никакого файрволла на рутере у него не было.
С тех пор пришел быстрый инет, пришел wifi и роутеры, раздающие трафик на несколько устройств, пришли (даже иногда и неплохо) файрволлы с принципом «все что юзер прямо не разрешил на вход, до него не дойдет» — жизнь хомячков облегчилась. Они, конечно, как не знали, так и не знают о грядущих опасностях, но чужие злые дяди получают доступ к их компам путем сканирования портов и эксплуатацией уязвимости куда реже. Я не говорю сейчас о троянах/вирусах в стиле «вам письмо, тут exe, его надо обязательно запустить» и «я знала, что нельзя, но я никогда вирусов не получала — решила проверить, что будет, и я не виновата, что с нашего клиент-банка был перевод в 500К руб в сторону левой фирмы»…
А теперь мы получаем «необходимость» посадить людей на ipv6. Они а) не имеют мотивов это делать, б) не знают, что это за зверь, в) не поймут без бутылки, что это за зверь, без двухчасовой лекции — а по окончанию лекции даже с бутылкой все благополучно забудут. Роутер в схеме будет присутствовать почти наверняка, но, увы, тут его уже надо будет настраивать, причем неплохо понимая, что и как.
Не забудем также зоопарк роутеров и софта к ним (тот же Д-Линк с их бесконечными называниями разных устройств одним названием с припиской пары букв или даже суффиксов «rev. B», «rev. C» — т.е. даже техподдержка, посоветовав человеку взять какой-нибудь DIR-615, не может быть уверена, что «DIR-615 rev. B» вообще будет работать, и сумеет осилить ipv6 в принципе.
Мне кажется, при таком затяжном вхождении в ipv6, при таком кол-ве багов и проблем в его внедрении, при таком числе заморочек на каждом этапе (от самого бзерского компа и на каждом хопе вплоть до сервера, плюс на самом сервере) — это, простите не «хорошо известный протокол», это плохо сделанная рулетка в стиле «мы включим и посмотрим, вдруг нам повезет».
И, да, разговоры, что «проблемы решаются заменой оборудования» — это все хорошо, но нереалистично. Если я вчера (хорошо, полгода назад) заплатил хотя бы 1000 руб за роутер, зачем я его буду менять-настраивать-устанавливать, и кто мне заплатит за новый? Провайдер платить не будет (у провайдера вообще вопрос пока только в «запуске перспективной технологии», а вовсе не «без ipv6 мы завтра закроемся»), юзеру — не с руки. Что характерно, те же D-Link-и, TP-Link-и и прочее домашнее железо можно бы, почти наверняка, снабдить прошивками с ipv6, но никакого резона и для производителей поддержать «революцию» таким образом (написать прошивки под все старые устройства и бесплатно их раздать) — нет.
P.S. Да что там ходить, у D-Link-а было устройство, на коробке которого были написаны некие характеристики железки, а по факту из-за софта часть функций не работала. Люди чуть не подавали в суд на вендора за обман! Решилось просто — прошивку китайского производства заменили следующей версией, написанной в Питере, и железка стала отлично работать (железо-то было неплохое). Это, заметьте, на ipv4, а уж какой там кошмар с поддержкой ipv6…
С тех пор пришел быстрый инет, пришел wifi и роутеры, раздающие трафик на несколько устройств, пришли (даже иногда и неплохо) файрволлы с принципом «все что юзер прямо не разрешил на вход, до него не дойдет» — жизнь хомячков облегчилась. Они, конечно, как не знали, так и не знают о грядущих опасностях, но чужие злые дяди получают доступ к их компам путем сканирования портов и эксплуатацией уязвимости куда реже. Я не говорю сейчас о троянах/вирусах в стиле «вам письмо, тут exe, его надо обязательно запустить» и «я знала, что нельзя, но я никогда вирусов не получала — решила проверить, что будет, и я не виновата, что с нашего клиент-банка был перевод в 500К руб в сторону левой фирмы»…
А теперь мы получаем «необходимость» посадить людей на ipv6. Они а) не имеют мотивов это делать, б) не знают, что это за зверь, в) не поймут без бутылки, что это за зверь, без двухчасовой лекции — а по окончанию лекции даже с бутылкой все благополучно забудут. Роутер в схеме будет присутствовать почти наверняка, но, увы, тут его уже надо будет настраивать, причем неплохо понимая, что и как.
Не забудем также зоопарк роутеров и софта к ним (тот же Д-Линк с их бесконечными называниями разных устройств одним названием с припиской пары букв или даже суффиксов «rev. B», «rev. C» — т.е. даже техподдержка, посоветовав человеку взять какой-нибудь DIR-615, не может быть уверена, что «DIR-615 rev. B» вообще будет работать, и сумеет осилить ipv6 в принципе.
Мне кажется, при таком затяжном вхождении в ipv6, при таком кол-ве багов и проблем в его внедрении, при таком числе заморочек на каждом этапе (от самого бзерского компа и на каждом хопе вплоть до сервера, плюс на самом сервере) — это, простите не «хорошо известный протокол», это плохо сделанная рулетка в стиле «мы включим и посмотрим, вдруг нам повезет».
И, да, разговоры, что «проблемы решаются заменой оборудования» — это все хорошо, но нереалистично. Если я вчера (хорошо, полгода назад) заплатил хотя бы 1000 руб за роутер, зачем я его буду менять-настраивать-устанавливать, и кто мне заплатит за новый? Провайдер платить не будет (у провайдера вообще вопрос пока только в «запуске перспективной технологии», а вовсе не «без ipv6 мы завтра закроемся»), юзеру — не с руки. Что характерно, те же D-Link-и, TP-Link-и и прочее домашнее железо можно бы, почти наверняка, снабдить прошивками с ipv6, но никакого резона и для производителей поддержать «революцию» таким образом (написать прошивки под все старые устройства и бесплатно их раздать) — нет.
P.S. Да что там ходить, у D-Link-а было устройство, на коробке которого были написаны некие характеристики железки, а по факту из-за софта часть функций не работала. Люди чуть не подавали в суд на вендора за обман! Решилось просто — прошивку китайского производства заменили следующей версией, написанной в Питере, и железка стала отлично работать (железо-то было неплохое). Это, заметьте, на ipv4, а уж какой там кошмар с поддержкой ipv6…
Парадокс.
Ну если пользователь купил роутер за 1000р и через некоторое время роутер устарел морально, это караул.
Однако, почему-то никто не жалуется, что А-66 бензин не купить.
Ну если пользователь купил роутер за 1000р и через некоторое время роутер устарел морально, это караул.
Однако, почему-то никто не жалуется, что А-66 бензин не купить.
Во-первых жалуются. Если вы ездите на современном седане, вам могут быть неведомы проблемы тех, кому нужен А-66 и А-76. А я таких людей видел))
Ну и потом — сколько лет А-76 был на рынке? Десятки.
Пример не корректный.
А роутеры D-Link это отдельная песня и дело вовсе не в IPv6 или их устаревании, а в каком-то несистемном подходе к версионности железа и ПО.
Ну и потом — сколько лет А-76 был на рынке? Десятки.
Пример не корректный.
А роутеры D-Link это отдельная песня и дело вовсе не в IPv6 или их устаревании, а в каком-то несистемном подходе к версионности железа и ПО.
Да, Вы правы, НО — во-первых, видео 4k этак 70% (а то и 90%) смотрящих «ящик» без надобности — у них нет ни оборудования, ни зрения, чтобы увидеть эту «красоту». Во-вторых, контента в этом качестве не так чтобы и много. Ну, даже не 10% от мировой коллекции фильмов, и даже не 5. Но, конечно, это технология, это то, что можно продать как фичу, и это кому-то очень даже нравится. Но менять все телевизоры мира?..
То же и с ipv6 — идея хороша, теория зубодробительна (но как утверждают адепты, логичная и внутренне красивая), практическая реализация у разных вендоров хромает до невозможности использовать…
Вы же не думаете, что все юзеры всех провайдеров — такие же гики, как аудитория Хабра? 99% населения вообще не в курсе, какой у них «протокол интернета», или какой тип линии они используют. Но интернет работающим надежно видеть хотят все, это раз. Менять даже забесплатно устройства захотят далеко не все, а за деньги — почти никто, это два. Что «сидеть ретроградам с ipv4-сайтами в обнимку» — это тоже, извините, ерунда. Если сайт хочет посетителей, он будет подстраиваться под их требования, а не наоборот.
Ну и, давайте по чести, имеем мы, скажем, с Вами сайт с посещением 1М в день, и сайт этот ipv4. Подняли дуалстек, стало сначала 1.1М, а потом упало до 0.99М — потом что, как оказалось, у части юзеров ipv6 показывает сайт с глюками, и они от его посещения отказались. Как думаете, что мы как владельцы сайта (и как люди, желающие, чтобы сайт имел все большую аудиторию, ибо это — реклама и вообще наш доход), сделаем — будем тысячам людей решать вопросы с их ipv6-подключением, или просто дуалстек отключим и вернемся к схеме ipv4-only?
Да, через два-три года мы вернемся к этой теме. Но только если оно окажется не в ущерб бизнесу. Другими словами — только когда провайдеры вылижут у себя все и вся. А они не вылизывают (причин тому много), и вряд ли завершат работы в обозримое время.
Замкнутый круг, да. Но технология ради технологии тут не при чем. Должно реально припечь, чтобы все забегали как ужаленные — но это другая история, пока же ситуация напоминает варку лягушки в холодной воде :(
Но я бы ругань начинал с вендоров железа. Пока поддержка протокола не станет работающей нормой в soho-железках (а вовсе не в гиковских прошивках — никто из «просто пользователей» себе их ставить не станет, тем более что они порой идут со своими глюками, а подбирать себе версию прошивки, чтобы более-менее все работало — это занятие не для «обычных пользователей», как ни крути), мы никуда не придем. Пока «гранды» шрот-железа типа длинка не запилят поддержку ipv6 строго работающую, а не просто номинально указанную — провайдеры не двинутся, а за ними не шелохнутся и сайты (см. выше), и юзеры…
То же и с ipv6 — идея хороша, теория зубодробительна (но как утверждают адепты, логичная и внутренне красивая), практическая реализация у разных вендоров хромает до невозможности использовать…
Вы же не думаете, что все юзеры всех провайдеров — такие же гики, как аудитория Хабра? 99% населения вообще не в курсе, какой у них «протокол интернета», или какой тип линии они используют. Но интернет работающим надежно видеть хотят все, это раз. Менять даже забесплатно устройства захотят далеко не все, а за деньги — почти никто, это два. Что «сидеть ретроградам с ipv4-сайтами в обнимку» — это тоже, извините, ерунда. Если сайт хочет посетителей, он будет подстраиваться под их требования, а не наоборот.
Ну и, давайте по чести, имеем мы, скажем, с Вами сайт с посещением 1М в день, и сайт этот ipv4. Подняли дуалстек, стало сначала 1.1М, а потом упало до 0.99М — потом что, как оказалось, у части юзеров ipv6 показывает сайт с глюками, и они от его посещения отказались. Как думаете, что мы как владельцы сайта (и как люди, желающие, чтобы сайт имел все большую аудиторию, ибо это — реклама и вообще наш доход), сделаем — будем тысячам людей решать вопросы с их ipv6-подключением, или просто дуалстек отключим и вернемся к схеме ipv4-only?
Да, через два-три года мы вернемся к этой теме. Но только если оно окажется не в ущерб бизнесу. Другими словами — только когда провайдеры вылижут у себя все и вся. А они не вылизывают (причин тому много), и вряд ли завершат работы в обозримое время.
Замкнутый круг, да. Но технология ради технологии тут не при чем. Должно реально припечь, чтобы все забегали как ужаленные — но это другая история, пока же ситуация напоминает варку лягушки в холодной воде :(
Но я бы ругань начинал с вендоров железа. Пока поддержка протокола не станет работающей нормой в soho-железках (а вовсе не в гиковских прошивках — никто из «просто пользователей» себе их ставить не станет, тем более что они порой идут со своими глюками, а подбирать себе версию прошивки, чтобы более-менее все работало — это занятие не для «обычных пользователей», как ни крути), мы никуда не придем. Пока «гранды» шрот-железа типа длинка не запилят поддержку ipv6 строго работающую, а не просто номинально указанную — провайдеры не двинутся, а за ними не шелохнутся и сайты (см. выше), и юзеры…
Вот про сайты и внешние сервисы, увы, как раз засада и получается. Поскольку нет уверенности, каковы приоритеты в использовании протокола клиентами («сначала работаем по ipv4 либо ipv6»), получаем неприятную картину, когда человек с поломанным производителей ОСи и провайдером стеком протоколов ломится на ipv6, скажем не получает контент, из-за чего весь таймаут ОСи ждет и видит белую страницу. Затем, после таймаута, ПО клиента решает попробовать по ipv4, и страница прилетает. Получаем неприятную паузу — клиент как человек недоволен, и видит своим врагом не провайдера и не коннективность от него и до сайта, а, удивительным делом, сам сайт. Выше Envek приводит пример — а в примере, заметьте, самый большой генератор трафика всея Руси!
Парой ответов ниже MaxxxZ верно пишет, что времена, когда гикская технология «интернет» работала не у всех, и настроить его нужны были мозги (FIDO, кстати, такой же пример) — прошли. Сегодня интернет уже вполне норма жизни, и отдавать клиенту кабель с «не то чтобы поломанным инетом, просто он будет или нет успешно работать, в зависимости от вашей ОСи» уже несколько рисково. Все равно что в гостинице не будет воды в кране — вроде жить и можно, и постояльцы тут же ропщут.
Практический вывод: грабли в реализациях аппаратуры, управляющего софта и в ПО прикладного уровня еще долго будут подкидывать сюрпризы. Увы. Идти в ту сторону — надо, тут вариантов мало. Но сколько милых граблей (как с полноразмерной, так и отпиленной на половину высоты ручкой) на пути мы еще найдем — можно только догадываться. И, таки да, вендоры оборудования могли бы сильно облегчить переход для всего мира, выпустив для уже проданных устройств новые прошивки с нормально работающей поддержкой IPv6.
P.S. А дети, да, не поймут. Правда, я ее и то не помню, разве что только последний октет на 666 поменять? :)
Парой ответов ниже MaxxxZ верно пишет, что времена, когда гикская технология «интернет» работала не у всех, и настроить его нужны были мозги (FIDO, кстати, такой же пример) — прошли. Сегодня интернет уже вполне норма жизни, и отдавать клиенту кабель с «не то чтобы поломанным инетом, просто он будет или нет успешно работать, в зависимости от вашей ОСи» уже несколько рисково. Все равно что в гостинице не будет воды в кране — вроде жить и можно, и постояльцы тут же ропщут.
Практический вывод: грабли в реализациях аппаратуры, управляющего софта и в ПО прикладного уровня еще долго будут подкидывать сюрпризы. Увы. Идти в ту сторону — надо, тут вариантов мало. Но сколько милых граблей (как с полноразмерной, так и отпиленной на половину высоты ручкой) на пути мы еще найдем — можно только догадываться. И, таки да, вендоры оборудования могли бы сильно облегчить переход для всего мира, выпустив для уже проданных устройств новые прошивки с нормально работающей поддержкой IPv6.
P.S. А дети, да, не поймут. Правда, я ее и то не помню, разве что только последний октет на 666 поменять? :)
Времена были модемные (да-да, v.34, v.90, v.92), клиент получал в зубы адрес, и никакого файрволла на рутере у него не было.Золотые были времена — нагрубил тебе кто-нибудь в чате, а ты его
А теперь мы получаем «необходимость» посадить людей на ipv6. Они а) не имеют мотивов это делать, б) не знают, что это за зверь, в) не поймут без бутылки, что это за зверь, без двухчасовой лекции — а по окончанию лекции даже с бутылкой все благополучно забудут. Роутер в схеме будет присутствовать почти наверняка, но, увы, тут его уже надо будет настраивать, причем неплохо понимая, что и как.Да не нужно людям ничего знать или иметь мотивы.
Как сейчас подключается интернет*?
Человек идёт в офис провайдера или звонит ему по телефону, или заказывает через интернет.
Через пару дней почтальон приносит коробку, человек достаёт оттуда модем (который одновременно NAS, рутер, точка доступа вайфай, DLNA-сервер, VPN-сервер, сервер печати и бог его знает, что ещё), какие-то разноцветные провода и большой буклет формата А2-А1, на котором картинками, как в инструкции от IKEA, показано, провода какого цвета в какой последовательности куда втыкать, а внизу номер, по которому звонить, если всё же не удалось подключиться.
Клиент подключает модем к электричеству, втыкает один конец DSL-кабеля в модем, другой в телефонную розетку, и через пару минут у него есть стомегабитный интернет. SSID и пароль к вайфаю написаны на задней стороне модема и продублированы куар-кодом, ещё есть кнопочка WPS — как ими пользоваться, нарисовано в инструкции.
Всё, интернет подключен.
За кадром остаются настройка модема, рутера, вайфая и физическое подключение линии — всё предельно автоматизировано и заранее настроено провайдером, ибо конкуренция.
Пользователю не нужно разбираться в настройке сетей. Никаких настроек NAT-а, ввода пользовательского пароля и т.п. Разбираться понадобится, если потребуется что-нибудь нестандартное — например, прокинуть порт к домашнему серверу или камере наблюдения. Всё стандартное работает из коробки.
В моём модеме, как оказалось, IPv6 был по умолчанию деактивирован.
Вполне возможно, что когда через год истечёт мой контракт на интернет, и я продлю его или сменю провайдера, мне придёт следующий модем с активированным IPv6 (и IPv4 в DualStack для обратной совместимости с древним оборудованием) и настроенным файрфолом, как в нынешнем модеме был уже настроен NAT со всеми этими UPnP и другими буквосочетаниями.
Когда-нибудь уже IPv4 будет по умолчания деактивирован, и его придётся активировать отдельно, если у вас вдруг остался старый сетевой принтер или другие древние устройства.
А потом IPv4 останется только через туннели для антикваров.
*Так подключал интернет у себя дома я последние лет семь. Возможно, в вашем случае процедура несколько отличается, но главное — суть: за клиента думает и настраивает провайдер.
ivlad на IX нас нет. Если я правильно понимаю то Yandex от нас выглядит вот так:
Мы сами AS51032.
show bgp route ipv6 unicast 2a02:6b8::3 Network Next Hop Metric LocPrf Weight Path > 2a02:6b8::/32 2a03:d000:2420::9 0 90 100 31133 13238 i
Мы сами AS51032.
1. А кто-то утверждает обратное? IPv4 умер. Но нельзя исключать, что IPv6 так и не разовьётся, а его доработают до какого-нибудь IPv6.5. Всё-равно не с проста у него проблемы со внедрением. Есть неприятные моменты и не только нат.
2. У подовляющего большинства пользователей, в вашей терминологии, именно «мозгов нет». Интернет это раньше было для гиков и инженеров. Теперь это для всех и это факт. Нужен какой-нибудь публичный станадарт безопасности, который будет явно указывать на правила фаервола для домашних устройств, чтобы на домашних железках всё было просто и однозначно, а не на усмотрение вендора. Раньше де-факто таким механизмом был нат — подовляющее число устройств шло с включенной трансляцией, которая не подразумевала двоякого толкования. Нужна замена. Например, что бы на коробке любого вендора красовался какой-нибудь логотип Protected Home Network, который бы гарантировал конечному потребителю однозначную настройку правил. У всех домашних роутеров разные итнерфейсы фаерволов, а до iptables не каждый доползёт.
3. Никуда не деться, но только впервые камент аналогичного содержания я читал в 2007 году. К мысли уже все привыкли. А вот с практикой — главный вопрос — когда? Раньше OSI была не эталонной моделью, а стеком протоколов, но пока теоретики её пилили IPv4 захватил мир.
4. Раньше концепции интернета были другими и де-юре нат не был механизмом безопасности. Но де-факто им стал, позволив пользователю домашней сети не знать, что такое фаервол и его правила. Вспомните эпидемию RPC уязвимости виндовс XP — черви плодились тысячами. Через пару лет такое стало почти нереально из-за того, что домашние машинки стали подключаться через наты куда как с более разнообразным ПО.
5. Всё, что подарок для админа — подрок и злоумышленнику. В коммерческом применении, думаю, никаких проблем. Настроят фаерволы. С абонентскими устройствами, коих в тысячи раз больше проблемы есть и будут. Тут скорее надо ждать, пока все нужные частным лицам сервисы не уплывут в публичные облака и понятие домашней сети как закрытого периметра в котором есть критичные данные исчезнет. Или, Как я жуе сказал, нужен публичный стандарт домашней безопасности, которому будут следовать вендоры. Пока этого не будет можно сколько угодно сетовать на непродвинутый народ, который боится новой супер-технологии.
2. У подовляющего большинства пользователей, в вашей терминологии, именно «мозгов нет». Интернет это раньше было для гиков и инженеров. Теперь это для всех и это факт. Нужен какой-нибудь публичный станадарт безопасности, который будет явно указывать на правила фаервола для домашних устройств, чтобы на домашних железках всё было просто и однозначно, а не на усмотрение вендора. Раньше де-факто таким механизмом был нат — подовляющее число устройств шло с включенной трансляцией, которая не подразумевала двоякого толкования. Нужна замена. Например, что бы на коробке любого вендора красовался какой-нибудь логотип Protected Home Network, который бы гарантировал конечному потребителю однозначную настройку правил. У всех домашних роутеров разные итнерфейсы фаерволов, а до iptables не каждый доползёт.
3. Никуда не деться, но только впервые камент аналогичного содержания я читал в 2007 году. К мысли уже все привыкли. А вот с практикой — главный вопрос — когда? Раньше OSI была не эталонной моделью, а стеком протоколов, но пока теоретики её пилили IPv4 захватил мир.
4. Раньше концепции интернета были другими и де-юре нат не был механизмом безопасности. Но де-факто им стал, позволив пользователю домашней сети не знать, что такое фаервол и его правила. Вспомните эпидемию RPC уязвимости виндовс XP — черви плодились тысячами. Через пару лет такое стало почти нереально из-за того, что домашние машинки стали подключаться через наты куда как с более разнообразным ПО.
5. Всё, что подарок для админа — подрок и злоумышленнику. В коммерческом применении, думаю, никаких проблем. Настроят фаерволы. С абонентскими устройствами, коих в тысячи раз больше проблемы есть и будут. Тут скорее надо ждать, пока все нужные частным лицам сервисы не уплывут в публичные облака и понятие домашней сети как закрытого периметра в котором есть критичные данные исчезнет. Или, Как я жуе сказал, нужен публичный стандарт домашней безопасности, которому будут следовать вендоры. Пока этого не будет можно сколько угодно сетовать на непродвинутый народ, который боится новой супер-технологии.
Кстати, в свете унификации сетей — телефония, телевиденье и интернет всё больше срастаются, но происходит полная неразбериха с идентификаторами. В идеале телефонные номера должный уйти в прошлое, а адресация должна быть единой. Ведь уже действительно не важно, куда звонить — не телефон, планшет или ПК? Но идентификаторы IPv6 явно не подходят для того, чтобы их спрашивать у девушки… каие-то они монструозные, поэтому многие их побаиваются.
Зачем спрашивать у девушке IPv6 адрес, если есть DNS и можно спросить короткое, легко запоминающееся доменное имя? :-)
Останется только реализовать MNP для IPv6 и дело в шляпе. Иначе я с трудом представляю, как девушка будет с одним своим IP адресом сидеть и через Wi-Fi, и через LTE и ещё как-нибудь. Пусть даже не одновременно. Но как будет работать роутинг?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
IPv6 не нужен?