Комментарии 127
"Можно ненадо..." (c)
Очень, очень плохая идея внедрять его посредством государственного регулирования. Особенно – на основе рекомендаций от непрофессионалов. Вы бы хоть задумались: если ipv6 так хорош – почему он не внедрён повсеместно?
Пункты 1, 2, 5 – ровно наоборот. Медленнее, дороже, сложнее. За расширение диапазона адресов приходится платить.
Так прежде чем писать инициативу, я обратился именно к экспертам за рекомендациями.
Доля трафика IPv6 постоянно растет. Может быть проблема только в инертности среды, а не в минусах протокола?
У меня сложилось впечатление, что IPv6 провайдеры не внедряют не из-за доп.расходов, а из-за "отсутствия спроса". А спроса нет из-за сопротивления среды.
У меня сложилось впечатление, что IPv6 провайдеры не внедряют не из-за доп.расходов, а из-за "отсутствия спроса". А спроса нет из-за сопротивления среды.
Рынок, сэр барин. А вы хотите решить свою проблему (чем-то там поправлять) за счёт других.
Для любых изменений, будь то хорошие или плохие, требуется политическая воля. Да, я хочу решить свою личную проблему, попутно решив целый класс проблем других людей. Что в этом плохого? Понятно, что своим решением я могу создать целый класс новых проблем. И мне неизвестно что будет хуже. Поэтому я и обратился за помощью к экспертам на Хабре.
Да, я хочу решить свою личную проблему, попутно решив целый класс проблем других людей.
Но вы даже не уверены, есть ли у других людей ваша проблема, и какие новые проблемы, с которыми будет сложнее справится принесет ваше решение.
Насчёт того, есть ли проблема у других - уверен. Она есть. Пляски с белыми IP адресами не только моя проблема.
Не "попутно решив целый класс проблем других людей", а "попутно создав проблемы другим людям". Держите в голове: переход на ipv6 стоит денег (замена оборудования и перенастройка роутинга) и создаёт проблемы, иначе бы на него давно все перешли, ибо он решает конкретную и хорошо известную проблему.
Проблема не в вашей цели, а в методах. За последние лет 12 каждый раз, когда родному государству что-то нужно было от интернета - в итоге становилось только хуже.
>если ipv6 так хорош – почему он не внедрён повсеместно?
Так в общем то внедрён. Почти половина траффика в интернете с ipv6 генерируется
https://www.google.com/intl/en/ipv6/statistics.html#tab=ipv6-adoption
Вы бы хоть задумались: если ipv6 так хорош – почему он не внедрён повсеместно?
Уж точно не потому что он «плох», или хотя бы хуже IPv4
П.1: почему медленнее? В худшем случае не изменится, в лучшем - станет выше за счёт улучшения связности сети. А «поломать сеть можно и на v4
П.2: NAT - зло, консьюмерское железо умеет v6 уже давно. Проблема в операторском железе. И даже в 2024 году не столько в железе, сколько в желании.
П.5: Да с какого перепугу сложнее? Не тащите свои привычки из v4 в v6.
Да и RIPE вроде выдает LIR-ам v6 бесплатно
Я считаю что государство должно регулировать государственную же деятельность, например, выпустить акт, где государственные ресурсы должны быть доступны как по IPv4, так и по IPv6, с постепенным переходом с IPv6 only. В таком случае нет давления на коммерческие предприятия и оверрегулирования, но в случае государственных контрактов преимущество будет у тех операторов, поставщиков оборудования и площадок, что имеют поддержку IPv6.
Примером здорового подхода может являться США: https://www.usaid.gov/egov/ipv6
а вдруг окончательные переход никогда не произойдет. кто ответит за растрату денег? за деньги выброшеные на ветер
Прежде чем я отвечу на данный вопрос, подскажите, как много, по вашему мнению, на это должно потратится денег? Деньги, потраченные на покупку IPv4, это деньги по назначению?
Всем привет, Хабравчане.
«Миша, у тебя скучное лицо, тебе никто денег не даст».
Каждое сетевое устройство, торчащее в Интернет наружу веб-мордой и остальными портами. Идеально!
Разве эта проблема принципиально не решаема? Я интересуюсь искренне, без издёвки. Вот что нагуглил из этой статьи https://habr.com/ru/articles/773708/:
Немного про безопасность IPv6
Очень часто в интернет одним из аргументов против IPv6 является то, что, якобы, в IPv4 трансляция адресов (NAT) обеспечивает защиту сети. Якобы, благодаря ему устройства внутри сети недоступны извне. Отчасти это так. Внутренняя адресация не может быть доступна из интернета напрямую. Однако исследователями найдено множество способов обойти ограничения NAT. Самым простым является заражение машины внутри сети, которая уже сама будет связываться с удалённым центром управления. Есть способы проброса пакетов на нужный узел внутри сети даже при наличии NAT. Защититься от этого метода можно только используя брандмауэр, который как раз и предназначен для защиты! Таким образом мы приходим к выводу, для того, чтобы обеспечить защиту вашей локальной сети от атак из интернет — использовать брандмауэр.
Для примера, рассмотрим настройки по умолчанию на маршрутизаторе с OpenWRT. Правила брандмауэра (межсетевого экрана) запрещают входящие пакеты из сети интернет и разрешают исходящие. При этом именно брандмауэр обеспечивает защиту вашей сети, а не NAT! NAT мы вынуждены применять по причине того, что мы не можем обеспечить нашу сеть достаточным количеством публичных IP адресов и нам необходимо на границе модифицировать адрес источника, записывать то, что мы сделали в специальную таблицу, чтобы при ответе отправить его на нужный узел сети, тоже модифицировав его соответствующим образом. Это сильно усложняет обработку транзитных пакетов, при этом нам не нужно забывать о правилах брандмауэра, который и защищает нашу сеть от вторжения!
А что нужно будет сделать, чтобы обеспечить доступ к сервису на одной из наших машин по IPv6? Достаточно создать правило для трафика, где указать адрес нашего сервиса и необходимые порты. После этого всё начинает работать. А что нужно сделать для IPv4? Во-первых, озадачиться выбором порта для сервиса, который будет перенаправлен на один из портов на внутреннем адресе, а также создать правило для трафика, как это было для IPv6. Если вы захотите вывести в интернет два веб-сервера, то у вас не получится этого сделать, поскольку порты 80 и 443 у вас в одном экземпляре на один IPv4 адрес. Направив трафик веб на одну из машин, вторую вы уже не сможете открыть не меняя номеров портов. Можно, конечно, получить ещё один внешний IPv4 адрес и перенаправлять соединения с одного адреса на одну машину, а с другого на другую. Но, согласитесь, схема очень уж сильно усложняется, если сравнивать с тем, что нужно было сделать при использовании IPv6.
исследователями найдено множество способов обойти ограничения NAT. Самым простым является заражение машины внутри сети
Только чтобы заразить машину внутри сети - надо сперва заразить машину внутри сети.
А доступа в сеть нет. С IPv6 никакой внутренней сети нет и ко всем устройствам прямой доступ.
мы приходим к выводу, для того, чтобы обеспечить защиту вашей локальной сети от атак из интернет — использовать брандмауэр.
Правильно. И в случае IPv4 этот брандмауэр есть и сеть защищает "по-умолчанию". А в случае IPv6 его нет.
При этом именно брандмауэр обеспечивает защиту вашей сети, а не NAT!
А кто говорил, что защиту сети NAT обеспечивает? Это в его функции не входит, он для другого предназначен.
Если вы захотите вывести в интернет два веб-сервера, то у вас не получится этого сделать, поскольку порты 80 и 443 у вас в одном экземпляре на один IPv4 адрес
Реверс-прокси.
согласитесь, схема очень уж сильно усложняется, если сравнивать с тем, что нужно было сделать при использовании IPv6.
Простота IPv6 в данном случае - это именно обратная сторона его небезопасности. Да, с IPv6 тоже наверняка можно поставить брэндмауэр для защиты - но вы тогда попадаете в ту же самую ситуацию, что и с IPv4 - придётся пробрасывать порты, настраивать NAT (если он вообще в IPv6 предусмотрен) и т.п.
Только чтобы заразить машину внутри сети - надо сперва заразить машину внутри сети.
А доступа в сеть нет. С IPv6 никакой внутренней сети нет и ко всем устройствам прямой доступ.
Сейчас по умолчанию у нас стоит NAT на роутерах. А будет стоять брандмауэр с блокированием всех входящих соединений. И админ сети вместо проброса портов будет менять правила брандмауэра.
Правильно. И в случае IPv4 этот брандмауэр есть и сеть защищает "по-умолчанию". А в случае IPv6 его нет.
Если нет, то при внедрении надо сделать, чтобы был преднастроен по умолчанию на пользовательских устройствах.
Реверс-прокси.
Лишний оверхэд в случае внедрения IPv6
но вы тогда попадаете в ту же самую ситуацию, что и с IPv4 - придётся пробрасывать порты, настраивать NAT
Ситуация таже, да не та. Вместо проброса портов - настройка правил брандмауэра. Но вот пляски с белыми айпишниками останутся в прошлом.
Попробуйте сделать у себя дома две подсети IPV6 и настроить правила брендмауэра. Чтобы сравнить пляски с пробросом портов и пляски с IPV6
Не забудьте так сделать со всеми вашими устройствами, а не только виртуалками с современными версиями ОС.
Сейчас по умолчанию у нас стоит NAT на роутерах. А будет стоять брандмауэр с блокированием всех входящих соединений. И админ сети вместо проброса портов будет менять правила брандмауэра.
Ну и в чём разница-то будет? Всё равно стоит устройство для того, чтобы рулить доступом ко внутренней сети. Нахрена всё переводить на v6, если относительно v4 ничего не изменится?
Если нет, то при внедрении надо сделать, чтобы был преднастроен по умолчанию на пользовательских устройствах.
Какой ценой? Сейчас сеть прикрывает один копеечный роутер, а тут вы предлагаете в каждое устройство втыкать функционал такого роутера. Даже в лампы и выключатели.
Лишний оверхэд в случае внедрения IPv6
Это внедрение IPv6 лишний оверхед относительно существующих и работающих решений. Реверс-прокси обычно ещё и о сертификатах https заботится, а тут вам на каждое устройство придётся сертификат получать руками. Ну или городить аналогичное реверс-прокси решение.
Вместо проброса портов - настройка правил брандмауэра.
И где разница?
На деле у нас получается копия инфраструктуры IPv4 - с роутерами-файрволами и т.п., просто на IPv6 реализованная. Зачем?
Ну и в чём разница-то будет? Всё равно стоит устройство для того, чтобы рулить доступом ко внутренней сети. Нахрена всё переводить на v6, если относительно v4 ничего не изменится?
В том то и дело, что изменится. По крайней мере получим все плюшки IPv6. А не изменится именно с точки зрения руления доступом.
Какой ценой? Сейчас сеть прикрывает один копеечный роутер, а тут вы предлагаете в каждое устройство втыкать функционал такого роутера. Даже в лампы и выключатели.
Я имел ввиду роутер. На конечных пользовательских устройствах брандмауэр не нужен, конечно.
Это внедрение IPv6 лишний оверхед относительно существующих и работающих решений. Реверс-прокси обычно ещё и о сертификатах https заботится, а тут вам на каждое устройство придётся сертификат получать руками. Ну или городить аналогичное реверс-прокси решение.
Разве? Что-то у меня есть подозрение, что получение сертификатов только упростится. И достаточно будет настроить сертбота на конкретном сервере с конкретным сервисом. Вместо руления этим зоопарком через реверс-прокси.
И где разница?
На деле у нас получается копия инфраструктуры IPv4 - с роутерами-файрволами и т.п., просто на IPv6 реализованная. Зачем?
Ну так плюсы инфраструктуры IPv6 я попытался обозначить в статье. Это не тупо копия IPv4.
По крайней мере получим все плюшки IPv6.
А какие плюшки-то, кроме того, что адресов много?
Я имел ввиду роутер.
Ну вот сейчас стоит роутер. И при v6 будет стоять роутер, только чуть по другому рулящий трафиком. Где разница?
И достаточно будет настроить сертбота на конкретном сервере с конкретным сервисом.
Угу, особенно на каждой умной лампочке сертбота настраивать.
Вот у меня сейчас несколько десятков сервисов в домашней сети хостится. И сертификатами я рулю централизовано на реверс-прокси. А сами сервисы вообще не думаю о том, по какому протоколу к ним соединение происходит, когда кончится сертификат и всё такое.
И мне совсем не улыбается получать зоопарк, когда за сертификатами придётся на каждом конкретном устройстве следить.
Ну так плюсы инфраструктуры IPv6 я попытался обозначить в статье. Это не тупо копия IPv4.
Попытались, но не указали, как по мне. И копия оно не тупо, а просто копия. Было роутер - останется роутер. Был реверс-прокси - будет какой-то сервис для руления сертификатами. И т.п.
Вы принципиально отрицаете полезность получения возможности обращения к любому вашему устройству из интернета без покупки белого IP?
Вот самый главный и жирный плюс для меня. И если ни в чём другом, как вы говорите, не будет разницы, то почему бы и не сделать это тогда?
Вы принципиально отрицаете полезность получения возможности обращения к любому вашему устройству из интернета без покупки белого IP?
К любому - отрицаю. А не к любому - мне и через IPv4 нормально.
И если ни в чём другом, как вы говорите, не будет разницы, то почему бы и не сделать это тогда?
Айпишник v4 стоит 2 бакса в месяц. Переход на v6 стоит заметно дороже. Зачем платить больше, если можно обойтись двумя баксами?
Вы принципиально отрицаете полезность получения возможности обращения к любому вашему устройству из интернета без покупки белого IP?
Чистое незамутненное зло такая возможность.iot - вы видите там букву S (security)? Это потому что его там нет.
Правильно. И в случае IPv4 этот брандмауэр есть и сеть защищает "по-умолчанию". А в случае IPv6 его нет.
Есть некое подозрение, что во всех существующих бытовых маршрутизаторах (У них это для получения лого IPv6 Ready наверняка вписано) этот брандмауэр есть и по умолчанию настроен на 'снаружи ничего не пускать'.
В не бытовых - считается, что работающий с ним знает, что делает.
Есть некое подозрение, что во всех существующих бытовых маршрутизаторах (У них это для получения лого IPv6 Ready наверняка вписано) этот брандмауэр есть
Есть. Но если у вас всё равно стоит устройство, прикрывающее сеть, то никакого выигрыша в сравнении с IPv4 вы не получите. Всё равно будет роутер и всё равно надо будет его настраивать.
Есть. Но если у вас всё равно стоит устройство, прикрывающее сеть, то никакого выигрыша в сравнении с IPv4 вы не получите. Всё равно будет роутер и всё равно надо будет его настраивать.
Маршрутизатор - так и так будет. Но его можно было бы делать дешевле. Потому что тупо прибиваем постоянный внешний адрес порту оператора (и/или маршрутизатора, если он оператором конфигурируется) и железке клиента больше ничего не остается, как смотреть "этот пакет внутрь надо или наружу?" тупо применив битовую маску. Плюс немного фильтровать по списку разрешенных устройств.
Но, как я написал рядом, сетевые процессоры подешевели и это стало никому не интересно.
Да, с IPv6 тоже наверняка можно поставить брэндмауэр для защиты - но вы тогда попадаете в ту же самую ситуацию, что и с IPv4 - придётся пробрасывать порты, настраивать NAT (если он вообще в IPv6 предусмотрен) и т.п.
Вообще, нет. Будет немного проще. Будет просто 'дать доступ извне на адрес/порт...', там где оно надо.
Потому что сейчас, с NAT-ом, довольно муторно дать вход извне на один и тот же порт двух разных внутренних адресов. Приходится разные внешние порты выбирать.
довольно муторно дать вход извне на один и тот же порт двум разным адресам. Приходится разные внешние порты выбирать.
По мне так какой-то особенной муторности нет. Ну только если несколько сайтов если хочется хостить - тут надо как-то разруливать вопрос.
А правила вида "порт 1234 - перебрасываем на внутренний хост1:122" и "пакеты для хоста1:порта 122 пропускаем на хост1:122" по мне так не отличаются по сложности настройки.
Ну то есть всё равно есть устройство, которое отделяет внутреннюю сеть от внешней. Может быть, правила пропуска трафика несколько более просты в обработке для железки. Но сам протокол ipv6 тяжелее, так что тут никакой серьёзной разницы не планируется.
А уж если встанет вопрос маршрутизации IPv6 - то тут, думаю, нагрузка явно превысит затраты на маршрутизацию IPv4.
Может быть, правила пропуска трафика несколько более просты в обработке для железки. Но сам протокол ipv6 тяжелее, так что тут никакой серьёзной разницы не планируется.
А уж если встанет вопрос маршрутизации IPv6 - то тут, думаю, нагрузка явно превысит затраты на маршрутизацию IPv4.
Если я правильно помню - это неверно. IPv6 проще в маршрутизации и обработке. Преимущественно потому, что для решения смотреть нужно на меньшее количество бит. (Старшие по всей сети одинаковые) Так IPv6 придумывали.
Но... тут вмешался прогресс в умении делать процессоры. Вдруг выяснилось, что процессор, умеющий NAT, connection tracking итд итп - совсем не так уж и дорого для домашнего маршрутизатора.
Добавлю еще: у меня на даче Home Assistant. Работает все через LTE router. Как к нему подсоединиться? Я не нашел решения. Ну кроме как VPN устроить локально!
Может кто знает?
По мне NAT - это большой геморрой! Вам нравится геморрой? Даешь IPV6!
Самое простое - веб-сайт можно хостить через реверс-прокси от cloudflare.
Или получить доступ через SDN-решения вроде tailscale (headscale) / zerotier / netbird. У всех них есть SaaS с freetier и возможность самостоятельнооо хостинга. Tailscale, правда, может в любой момент выкатить геоблок, а headscale все равно нужно где-то самостоятельно хостить, они не единственные но вроде самые живые. Работают как меш-впн с соединением всех со всеми, по возможности пытаются пробить NAT, в случае проблем трафик ходит через релеи
Ну кроме как VPN устроить локально!
Отличное решение на самом деле. Зато ботнет на ваших умных розетках никто не запустит.
Ну с этим у меня все хорошо. У меня сейчас на даче датчики на ESP32 Tasmota32. Они общаются с Home Assistant через MQTT(s) - то есть через TLS шлюз. Но вот беда, для подключения zigbee датчиков требуется подключение в обратном направлении, то есть от локального к удаленному устройству на даче. А вот этого мне не удается. Видимо VPN лучшее решение, но мне это никак не удается. У меня знания TCP/IP 30 летней давности. Мозг устарел! 8(
Только чтобы заразить машину внутри сети - надо сперва заразить машину внутри сети.
С v6 поди найди, там ведь не 1 адрес в норме. А ещё адрес на котором устройство принимает соединение - не обязан быть адресом с которого устройство «выходит в интернет»
И в случае IPv4 этот брандмауэр есть и сеть защищает "по-умолчанию". А в случае IPv6 его нет.
Это с какого перепугу? То что к устройству можно подключится ибо нет сломанной связности, не означает что устройство не защищено фаерволлом
Реверс-прокси
Самое то упрощение, ага
поставить брэндмауэр для защиты - но вы тогда попадаете в ту же самую ситуацию
Нет, не попадем, и уж точно не будем пробрасывать порты на роутере. И это всё с активным фаерволлом
С v6 поди найди
Ну будут боты просто дольше сети сканировать.
Это с какого перепугу?
Ну у нас же вон преподносится как достоинство то, что устройства напрямую к сети подключены. Если же они подключены не напрямую - то чем это отличается от v4?
Самое то упрощение, ага
Это не упрощение, это ответ на "не получится". Всё получится.
уж точно не будем пробрасывать порты на роутере
Ну не будете пробрасывать, будете открывать. Разница-то в чём с точки зрения пользователя?
Ну у нас же вон преподносится как достоинство то, что устройства напрямую к сети подключены. Если же они подключены не напрямую - то чем это отличается от v4?
Они подключены «напрямую», но их защищает фаерволл
Ну будут боты просто дольше сети сканировать.
Несколько бесперспективное занятие, особенно если устройство реализует privacy extension и периодически меняет адреса. А если бот все же найдёт, разве мы говорили про отключение фаерволла?
Разница-то в чём с точки зрения пользователя?
Ну, например, я бы посмотрел на проброс портов у вас, в ситуации когда isp не предоставляет «белых» адресов
Они подключены «напрямую», но их защищает фаерволл
Ну и какой тут тогда профит относительно v4 в плане наличия/отсутствия оборудования?
Несколько бесперспективное занятие, особенно если устройство реализует privacy extension и периодически меняет адреса
Если оно постоянно меняет адреса, то как мы к нему обращаемся?
я бы посмотрел на проброс портов у вас, в ситуации когда isp не предоставляет «белых» адресов
Ну вот когда перестанут предоставлять белые адреса - тогда и будет необходим v6. А пока адреса предоставляются, пусть и за некоторое вознаграждение. И лично мне проще платить эти 2 бакса, чем мутить v6.
Если оно постоянно меняет адреса, то как мы к нему обращаемся?
Ты ведь специально делаешь вид что не понимаешь, да?
Если нам нужно обращаться - мы делаем адрес к которому обращаемся постоянным. Доступ к этому адресу ограничен фаерволлом.
Если ты боишься неких «хакеров», которые просканируют интернет и взломают твой компьютер - им будет напряженно искать даже просто активный адрес. Который ещё и не будет отвечать на соединения «из вне», потому что открыт не для, них если фаерволл включен
Ну вот когда перестанут предоставлять белые адреса - тогда и будет необходим v6
Когда нога отвалится, тогда и приходите, да?
Если нам нужно обращаться - мы делаем адрес к которому обращаемся постоянным. Доступ к этому адресу ограничен фаерволлом.
Ну вот если адрес постоянный и порт открытый - то его боты и нащупают.
Который ещё и не будет отвечать на соединения «из вне», потому что открыт не для, них если фаерволл включен
Ну так вскроют "по-старинке", изнутри, через "голая_баба.ехе".
Когда нога отвалится, тогда и приходите, да?
Примерно. Нога уже сколько лет отваливается и пока не отвалилась? Значит дешевле её латать, чем выкидывать старое тело и переходить на новый уровень существования.
Ну вот если адрес постоянный и порт открытый - то его боты и нащупают.
Это все-таки затруднительно. Если IPv4 адресное пространство целиком вместе с портами сканируют регулярно, то найти адрес, который человек сервису назначил внутри даже /64 - задача довольно затруднительная. Тут надо трафик до этого адреса видеть.
Всё равно доберутся. Сейчас вон на v4 порт открываешь - к тебе через минуту боты приходят. Ну будут на v6 по первости приходить через день - но всё равно будут же. А потом ботов оптимизируют, производительность повысят - и на v6 сразу будут активные хосты находить.
Так что на "меня не найдут" я бы особо не рассчитывал. Найдут, просто несколько позже.
Всё равно доберутся. Сейчас вон на v4 порт открываешь - к тебе через минуту боты приходят.
Вот потому и проходят, что сканирование всего IPv4 происходит постоянно. Это всего 2^32 адресов.
А тут - даже у одного интерфейса выбор из 2^64 адресов.
Найдут, просто несколько позже.
Найдут, но никак не прямым/случайным перебором, как сейчас в IPv4.
Ну вот если адрес постоянный и порт открытый - то его боты и нащупают.
Вы специально игнорируете? неудобную часть про
Доступ к этому адресу ограничен фаерволлом.
Значит дешевле её латать, чем выкидывать старое тело и переходить на новый уровень существования.
Я устал, настолько дешевле, что Гугл оценивает адаптацию аж в 40%. А isp имеющие ipv4 только на стыках с интернетом, а внутри ipv6 only стали появляться ещё лет 10 назад (пусть их и сейчас единицы, но все же…). Да и магистральные провайдеры умеют в него уже наверно все
Доступ к этому адресу ограничен фаерволлом.
Если порт открыт - то доступ не ограничен.
Я устал, настолько дешевле, что Гугл оценивает адаптацию аж в 40%. А isp имеющие ipv4 только на стыках с интернетом, а внутри ipv6 only стали появляться ещё лет 10 назад
Ну так с нуля когда строишь - вполне можно всё сразу на v6 делать. Только инициатива-то от автора поста - не с нуля построить, а "всё заменить".
Если порт открыт - то доступ не ограничен.
Тут речь идет о правилах "разрешить доступ на адрес:порт" только с конкретных адресов"
А у моего телефона/ноутбука всегда будет конкретный адрес v6 при подключениях к разным сетям? Как-то сомневаюсь в этом.
А у моего телефона/ноутбука всегда будет конкретный адрес v6 при подключениях к разным сетям? Как-то сомневаюсь в этом.
Тут явно не про этот случай речь идет, но даже так в IPv6 мире можно пошаманить, если очень хочется.
Ноутбуку или телефону выдается адрес из /64. И оператору, если он не совсем странный, будет все равно, какой именно адрес в этом /64 используется.
Ну вот и добавляем на интерфейс еще один вида адрес <префикс, что нам выдал оператор>::c056:15e5
И в правилах файрволла вписываем (надо, правда, смотреть, какая так умеет), что разрешаем траффик только с *:c056:15e5
Отдельный интерфейс не нужен, но если хочется - можно объявить «вот этот адрес» постоянным. Одновременно на интерфейсе с ipv6 адресов могут быть десятки, и все ок.
Разрешать в фаерволле не адрес, а подсеть которую тебе выдал isp. Не очень подходит для случая динамического распределения префиксов, да. Хотя неприятный костыль вроде port-knoking-а никто не отменял, но тут ситуация аналогична белой динамике в v4
P.S. С доступностью SDN-решений в личных целях можно вообще ничего не публиковать и получить доступ даже если твои железки за NAT. А если использование cloudflare не входит в твою модель угроз - можно за NAT успешно хостить сайты через их ревер-прокси (с ipv6, заметь)
Не очень подходит для случая динамического распределения префиксов, да.
Ну вот тут как раз шаманство(вместо port-knoking) для разных префиксов, когда ноут по стране ездит.
Вешаем ему на интерфейс дополнительный ...:2bb0:33a5:ccb3:ce29 и вот таким странным образом файрволл настраиваем, где проверяются последние биты src адреса.
Тут явно не про этот случай речь идет
А про какой? Ресурсы из домашней сети наружу выставляют именно для того, чтобы откуда угодно к ним доступ получать.
Ну вот и добавляем на интерфейс еще один вида адрес <префикс, что нам выдал оператор>::c056:15e5
А это в настройках телефона указать можно? Ну чтобы он в любой сети эти буквы приписывал?
А про какой?
Выставить сервис, который будет доступен только другому офису. Когда полноценную VPN между ними лень делать.
А это в настройках телефона указать можно? Ну чтобы он в любой сети эти буквы приписывал?
Понятия не имею. Вряд ли. Это все-таки шаманство и хак.
Но, я думаю, если использовать мобильные модемы/маршрутизаторы - то там с некоторой вероятностью можно. Особенно если использовать собственную прошивку.
В смысле - поставить нужный адрес из выданной /64 на устройство за этим маршрутизатором так, чтобы все маршрутизировалось.
Ну то есть для реальной жизни всё равно какой-то другой способ авторизации придётся использовать, а не ограничение по IP.
Ну то есть для реальной жизни всё равно какой-то другой способ авторизации придётся использовать, а не ограничение по IP.
Это, так. Но...
Сейчас:
Весь исходящий трафик и наш VPN сервер висят на одном адресе (внешнем интерфейсе маршрутизатора). Который легко находится перебором и который любой сайт, куда ты полез, знает и потом может потыкать на предмет открытых портов.
С IPv6:
VPN сервер/сервер доступа к внутренней сети висит на отдельном адресе, который не надо покупать дополнительно. И который больше ни для чего не используется. И который попробуй еще найди среди 2^64 адресов.
Даже если он открыт всему Интернету - мне второй вариант нравится больше.
может потыкать на предмет открытых портов.
Да пусть тыкает. Несколько раз некрасиво тыкнет - в бан улетит.
И который попробуй еще найди среди 2^64 адресов.
Если вы тот впн для человеков делали, то у него будет dns-запись. Которую можно будет каким-нибудь dig'ом добыть, я думаю. Ну, если атака адресная.
Если порт открыт - то доступ не ограничен.
Нет, даже если вы привыкли пробрасывать порт целиком, разрешая подключения с 0.0.0.0/0, это не означает что это единственный и исключительно правильный способ
Так и живем: "лично я <...> в сетевых технологиях не особо разбираюсь. Но <...>" Но инициативу предложу.
Лично я в науке не разбираюсь, но исследования предложу.
Лично я в медицине не разбираюсь, но лечение предложу.
Лично я в экономике не разбираюсь, но реформы предложу.
Лично я вообще ни в чем не разбираюсь, но законы предложу.
И т.д. и т.п.
Это называется "дурак с инициативой".
Спасибо за лестную оценку. А то что я не кинулся сразу строчить инициативу на РОИ и решил сначала выслушать мнение экспертов тоже характеризует меня дураком?
Добро пожаловать в интернет, сэр! Из тех кто придёт к вам в комментарии - дай бог 20% будут более-менее понимающими в теме, из них ещё хорошо если 10% будут реальных экспертов, кто потрудится ответить. Остальные - либо тролли, либо такие же диванные комментаторы. Это публичный ресурс, будьте готовы к таким комментариям.
На хабре читатели ожидают статей, в которых автор потрудился сам разобраться в теме, а потом её объяснить. Написать дилетантских вопросов прямо в статье, а потом ждать что за вас всё объяснят бесплатно - ну мало кому так хочется. Такие статьи тут сразу набирают минусов.
Хотите серьёзно разобраться - заплатите эксперту и он подробно за час-два ответит на ваши вопросы и нарисует вам схемы на доске. Не хотите платить - можете сами сидеть и читать статьи. На эти темы уж в интернете-то сравнений плюсов-минусов за 20 лет накопилось море.
вы же не знаете кто эксперт а кто нет. голоса экспертов потеряются в шуме.
мое мнение таково что
длительное время придется поддерживать два протокола, и IPv4 и IPv6. и для клиентов и для серверов. а это серьезное удорожание. кто будет платить. допустим оператор пришлет все клиентам сообщение. платите на 1000 руб. больше и у вас будет два адреса. кто согласится? пока все не согласятся нет смысла вообще двигаться.
безопасность. сейчас миллионы людей пользуются смартфонами, и смартфоны защищены потому что за NAT. раздайте на все смартфоны прямые IPv6 адреса и миллионы людей пострадают. их смартфоны возможно будут взломаны. я не проводил такое исследование.
безопасность. сейчас миллионы людей пользуются смартфонами, и смартфоны защищены потому что за NAT.
Вот как раз у сотовых операторов смарфоны все чаще и чаще(если верить википедии) получают IPv6. Только пользователь этого не замечает, поскольку сайтов и сервисов не телефоне не держат.
раздайте на все смартфоны прямые IPv6 адреса и миллионы людей...
Украинский Киевстар уже больше года раздаёт на смартфоны прямые IPv6, почти половина трафика уже в IPv6 (статистику портит трафик домашнего интернета, который до сих пор только IPv4). Пострадавших не наблюдается.
Контрпредложение, гораздо более простое в реализации - ввести десятину на трафик. Каждый десятый пакет не присылать, а отправлять в ФНС.
Ты так и не написал ни одного плюса для "наших правителей".
Если расходы провайдеров на услуги связи сократятся, то вырастет из прибыль. Я подозреваю, что некто из властных кругов является бенефициаром провайдерского бизнеса. Вот и плюс ему к доходам.
Как же они сократятся, если, скорее всего, придётся менять кучу оборудования по всей стране и настраивать всё заново? С санкциями новое оборудование получать сложнее и дороже, а рассчитывать прибыль через 10 лет у нас и до санкций не умели и не хотели.
Вот и плюс ему к доходам.
Какой плюс?
Ему будет выгоднее продавать белые айпишники.
Ещё не пришло время для IPv6, когда-то придет его адекватное внедрение, но не сейчас. Вам просто повезо, что худо бедно есть зачатки у вашего провайдера с новым протоколом. По поводу уж повсеместного внедрения, для поставщиков услуг это влетит в копеечку как минимум. Да и к тому же поддерживать придется и 4 и 6 версии, а это накладные расходы для техподдержки.
1) Ускорение работы интернета. Почему это будет так - объяснить не смогу.
Попытайтесь.
1.1) Более высокая скорость скачивания чего угодно, как написано здесь.
Скорость скачивания зависит от интернет-канала. Если у меня 100 мегабит, то по какому бы протоколу я не качал, выше 100 мегабит прыгнуть не смогу.
2) Снижение затрат на предоставление услуг связи для провайдеров.
Повышение. Придётся заморачиваться с трансляцией адресов, менять оборудование, объяснять клиентам, нахрена им надо менять своё оборудование и всё такое.
3) Появление нового рынка услуг. Например, для любых клиентов провайдера можно будет настроить человекочитаемые записи DNS для любого устройства и подключаться к нему откуда угодно.
А что тут нового? И так можно для любого устройства настроить читаемые записи DNS, даже без IPv6.
4) Престиж. Первая страна полностью перешедшая на IPv6.
И сломавшая окончательно свою сеть.
5) Снижение трудоёмкости настройки маршрутизации.
Усложнение - потому что вам придётся поддерживать обе системы.
6) VoIP телефония станет доступнее.
А она разве недоступна?
У IPv6 плюс только в том, что адресов много. Всё остальное в нынешнем виде - минусы. Я бы ваше предложение сравнил с "а давайте в России заменим все автомобили на вертолёты, плюсы - ускорение передвижения, снижение затрат на обслуживание дорог, появление нового рынка услуг - обслуживание вертолётов, престиж - первая страна, полностью перешедшая на вертолёт, смотреть на землю с высоты станет доступнее, ну и ещё всякие там плюсы, которые не хочу перечислять".
Минусы полного перехода на вертолёты, надеюсь, увидите сами. С IPv6 примерно так же. Технология полезная, но дорогая во внедрении и не требующая внедрения вотпрямощаз.
Предложение, конечно, немного наивное, но, как мне кажется, лучше автору объяснить, что с идеей не так, чем забросать минусами с загадочным лицом.
Поддержу, но это не на пять минут дело. Боюсь, его придётся учить, т.е. кому-то из нас потратить на него несколько дней своей жизни.
Ну я не настолько безнадёжен. :-) Причём информацию и сам сейчас ищу. А ваши комментарии полезны. Они направляют меня в этом самостоятельном поиске. Ведь, когда не знаешь о какой-то проблеме, то и искать по теме ничего не будешь.
Почему бы такому инициативному разработчику 1С и тимлиду не собирать рабочие группы в той отрасли, к которой он имеет более близкое отношение?
Например, перестать каждый квартал менять формы отчетности (или как там это у вас называется)? Вот Борис Георгиевич будет рад!
Потому что я не робот и интересуюсь ещё и другими сферами жизни? Мне вот не понравилась ситуация с IPv6 и я перевёл обсуждение этой ситуации в публичную плоскость.
Не нравится ситуация с отчётностью в РФ? Попробуйте лично тоже что-нибудь сделать. Может быть чего-то и сможете добиться. Лично я рискнул выставить себя на посмешище, а не просто сидел и думал, как всё плохо у нас.
"Внедрить ипв6 и отчитаться в срок до 30 октября"
Есть след моменты:
1) Если делать через гос-во будет что-то из следующего: пообещают сделать к 2036, но нихрена не сделают, а только распилят бабла; РКН запретит IPv4; что-то сделают, но это уже никому не нужно;
3) Купите себе белый адрес, он стоит копейки;
4) Допустим даже решили это внедрять. А оборудование вы для этого где брать будете?
Щас вы статью поднимете себе за дискредитацию ipv4! Извините, не смог сдержаться. Наверное, кмк, почти все российские решения не умеют в ipv6.
Попробую ответить в виде некоторого ликбеза. Я здесь вижу три тезиса:
Как у всего мира с переходом на IPv6.
Как у РФ с переходом на IPv6.
Как у автора лично с переходом на IPv6.
Итак,
Как у всего мира с переходом на IPv6.
У всего мира с переходом на IPv6 все не так уж и плохо. У google есть график "ipv6 adoption". Если мысленно продолжить график, то к 80-100% мы доберемся лет через 10. И это еще хороший результат. Главная проблема IPv6 в том, что он сам по себе никому не нужен. Людям нужен просто интернет. И он отлично работает на IPv4, пока адреса не кончатся. Когда начинаешь переходить на IPv6, вылезают следующие проблемы:
Провайдерам нужно перейти на оборудование с безглючной поддержкой IPv6.
Провайдерам нужно настроить маршрутизацию IPv6.
Веб сайты (и прочие интернет сервисы) должны поддерживать IPv6.
Операционные системы должны поддерживать IPv6.
Роутеры должны поддерживать IPv6.
Браузеры (и прочие клиенты) должны поддерживать IPv6.
С клиентским софтом уже все хорошо. Похоже, что сейчас (в 2024 году) мы дождались, что софт умеет в IPv6. А вот обновление железа во всем мире - это огромные расходы денег и времени. Меньше всего желания у тех, кто построил инфраструктуру давно, вложил кучу денег и не очень хочет инвестировать в неё деньги еще раз. Особенно, если у них еще есть пулы IPv4 адресов.
Главным драйвером перехода на IPv6 я бы назвал деньги. Сейчас пулы IPv4 доступны, но стоят дорого. А будут стоить еще дороже. В связи с этим, можно выделить два класса стран, которые быстро переходят на IPv6:
Развивающиеся страны строят инфраструктуру с нуля, поэтому берут современное железо и сразу закладываются в IPv6.
Развитые страны, которые посчитали и поняли, что переделать инфраструктуру под IPv6 выйдет дешевле, чем оставаться на IPv4.
Теперь, вы понимаете, почему особый вклад в переход на IPv6 проявляют Китай и Индия. Пара миллиардов IPv4 адресов сейчас может стоить куда больше, чем стоимость перехода на IPv6. В любом случае, переход на IPv6 во всем мире происходит методов пинков, шантажа и чуть ли не угроз.
Как у РФ с переходом на IPv6.
Возьмите все, что я указал в первом пункте, добавьте сюда очень странное финансовое планирование у провайдеров (огромные долги). А теперь еще добавьте проблемы с закупкой иностранного оборудования. То есть, это даже более высокий уровень сложности, по сравнению с остальным миром. И вы получите уровень внедрения IPv6 в РФ на уровне 10%.
Как у автора лично с переходом на IPv6.
Попробуйте настроить IPv6 у себя дома, на всех устройствах. На работе. У родных. Думаю, к этому моменту вы сами станете экспертом и сможете самому себе ответить на многие вопросы, которые вы подняли. Тогда, кстати, сможете сами написать инициативу на roi. Если, конечно, еще захотите.
Веб сайты (и прочие интернет сервисы) должны поддерживать IPv6.
Значительная часть интернета сидит за ревер-прокси от cloudflare. А значит она уже способна на это. Да и другие крупные CDN не прячутся от ipv6
Спасибо за ликбез. Очень ценно, жаль не могу плюсики ставить.
В любом случае, переход на IPv6 во всем мире происходит методов пинков, шантажа и чуть ли не угроз.
Вот я и попытался сделать хоть какой-то пинок посредством инициативы на РОИ :-)
Попробуйте настроить IPv6 у себя дома, на всех устройствах. На работе. У родных. Думаю, к этому моменту вы сами станете экспертом и сможете самому себе ответить на многие вопросы, которые вы подняли. Тогда, кстати, сможете сами написать инициативу на roi. Если, конечно, еще захотите.
Именно этим сейчас и занимаюсь :-) Но это идёт через костыли, т.к. провайдер не очень то готов к этому переходу. Сейчас упёрся в то, что провайдер выделяет префиксы динамически.
Сейчас упёрся в то, что провайдер выделяет префиксы динамически.
А вы попробуйте сначала настроить локальную сеть с использованием локальных IPv6 адресов (аналогов 192.168.). link-local или Unique Local IPv6 Address. Гугл в помощь.
Так настройте у себя гейт ipv6 на ipv4 на своем роутере. Провайдер на ipv4, а домашняя локалка на ipv6
Или как вы предполагаете потом работать с ресурсами за пределами РФ, которые будут на ipv4?
Попробуйте настроить IPv6 у себя дома, на всех устройствах. На работе. У родных.
Тут всё зависит в основном от маршрутизатора. Если у вас какой-нибудь CPE от FTTH оператора, то, вероятно там могут быть проблемы с IPv6. А могут и не быть. Если какой-то более или менее свежий маршрутизатор от Asus (у меня купленный ещё когда доллар стоит 32 рубля) или другого массового бренда, который обновляет прошивки, то там с IPv6 особых проблем нет. Если совсем хочешь, чтобы без проблем, то лучше смотреть в сторону OpenWRT.
Основная масса устройств умеет работать с IPv6. У меня не работают только железки для умного дома: Zigbee маршрутизатор Xiaomi и розетка Broadlink. Что характерно, есть второй Zigbee маршрутизатор, но от Aqara, но полностью идентичный Xiaomi. Он прошит на OpenWRT и вообще у меня в сети работает исключительно по IPv6 протоколу.
Большинство Android устройств умеют в IPv6. Есть даже clat. Clat - это такая технология, когда у вас на устройстве нет IPv4 адреса, но создаётся специальный виртуальный интерфейс, который принимает все запросы к IPv4 адресам и передаёт их через IPv6 на NAT64 шлюз. Он появился на Android 4.3 в 2013 году. Но, как показала практика, может не работать на Andorid 5, например. Но свежие аппараты умеют даже отключать IPv4, если DHCPv4 выдаёт опцию, что IPv4 адрес не нужен. В таком случае они обнаруживают шлюз NAT64 и автоматом направляют на него трафик с устаревших приложений.
Продукция Apple тоже с незапамятных времён умеет в IPv6 и даже заставляет разработчиков, которые публикуют свои приложения в магазине приложений делать, чтобы они были рабочими по IPv6. Clat там тоже есть, но появился сильно позже Android.
Windows с IPv6 работает, но clat доступен не для всех видов соединений. В начале 2024 года в корпоративном блоге было сообщение, что прислушались к мнению пользователей и внедрят clat и для других типов соединений. Скорее всего будет это только в Windows 11. Непосредственно с IPv6 Windows нормально работает как минимум с Windows 7, если не с Vista.
В Linux тоже есть своя реализация clat. А сам IPv6 поддерживается с незапамятных времён. На нём я эксперименты ставил. Clat у меня был на базе пакета tayga. С полностью отключенным IPv4 вполне нормальная скорость скачивания торрентов с пиров на IPv4.
FreeBSD тоже очень давно начала поддерживать IPv6. Своя реализация clat у них появилась в версии 12.1.
Ну и у меня пару раз был опыт несколько суток, когда дома работал только IPv6. Провайдер отключал интернет за неуплату, но при этом IPv6 доступ оставался. И вполне можно с этим жить. Конечно, для доступа к IPv4 ресурсам нужен стабильный NAT64. При его включении, вообще практически никаких ограничений не замечаешь.
Ну и пресловутый clat. В современных условиях вполне реально сеть оператора построить исключительно на IPv6. Этот самый clat может легко расположиться на маршрутизаторе пользователя. При этом оператор может выбрать более лёгкие для себя механизмы трансляции NAT64, которые не требуют хранить состояние. А вы внутри своей сети всё также будете получать адрес из привычного диапазона 192.168.1.0/24 и вообще не знать, что от вашего маршрутизатора трафик идёт исключительно по IPv6.
У меня не работают только железки для умного дома: Zigbee маршрутизатор Xiaomi и розетка Broadlink
К умному дому, matter, если я правильно помню, требует ipv6 в сети. Хотя, внешний там наверное и не нужен
К умному дому, matter, если я правильно помню, требует ipv6 в сети. Хотя, внешний там наверное и не нужен
Да. Устройства выставлять в интернет в большинстве своём нужды нет. Так что вполне можно использовать только ULA адресацию. В таких условиях домашняя сеть вообще может быть не подключена к интернету по IPv6.
Кстати, если сейчас взять две машины с Windows 7 или новее и попробовать зайти с одной на расшаренную папку или принтер другого, то трафик по сети будет идти, скорее всего, IPv6. Но там даже не ULA. Там используются Link-Local адреса, которые каждое устройство с активированным протоколом IPv6 обязано иметь. И им оно может пользоваться для связи с соседними устройствами в том же сегменте сети.
Оказалось, что провайдер выдаёт префиксы подсети динамически.
Если речь идет про внешний порт маршрутизатора - это это нормально. Более того, этот адрес вообще никого, кроме оператора интересовать не должен и пусть он меняет его как хочет. Но дополнительно к этому - он должен на этот динамический адрес маршрутизировать какую-нибудь постоянную /56 или /48 которую клиент и использует для всех своих нужд.
К сожалению, он этого не делает. На случай если я всё-таки заблуждаюсь, то как можно это проверить, чтобы однозначно убедиться в этом?
Я пришел к такому выводу после того, как увидел, что после перезагрузки роутера адрес моего компа изменился начиная с третьей точки. Плюс техподдержка об этом говорила
главное ipv6 безопаснее,
ip4 получил тутже тебя nmap простучали порты определили в sodam и подобных ресурсах тут же появляешься, и брутить начинают,
ip6 получил месяц и никого, пустыня.
главное ipv6 безопаснее,
Утверждение не верное. Протокол полный наследник IPv4 и также безопасен как и его предшественник. Но в нём всё переделано в лучшую сторону с учётом опыта использования IPv4. Поэтому способы обеспечения безопасности сети несколько иные. И векторы атаки могут быть другими.
количество IPv4 и ipv6 разное и найти обзвонить все IPv4 проще, поэтому как я писал в sodam ты мгновенно там появляешься и какие порты, какая ос, какие программы запущены, какой версии фигурировать будут в его поиске будут
Вы всё ещё думаете в рамках IPv4. Там, действительно, проще всего в сети взять и просканировать все адреса. Те, что ответят (они как минимум должны сообщить свой MAC адрес по запросу), можно сканировать дальше. Такой подход в IPv6 даже не сомнительный, он просто не рабочий, ибо вам просто не хватит времени просканировать всю сеть с 64 битами адреса, уйдут годы, а узлы за это время могут менять свои адреса, если так на них настроено. Но вы забываете, что существуют другие векторы атаки. И вычислить хосты в сети можно, но уже другими способами и также просканировать порты. Задача усложняется, но она всё почти такая же лёгкая, если сеть настроена небезопасно. У нас просто пропал самый распространённый метод, которому практически нечего противопоставить в IPv4.
Закидали автора помидорами.
Пост полезен. Мне, как и автору, и многии неспециалистам, было интересно услышать обоснованный ответ, почему IPv6 ещё не наступил.
Offtop: недавно столкнулся с прекрасным. На Мегафон, Samsung IPv6 получает, а OnePlus с той же SIM - нет.
Ознакомился со статьей, понял, что у Вас IPv6 есть от провайдера, но динамический. Вам бы хотелось подключаться к удаленным ПК, но динамический IPv6 не дает возможности использовать цифровой адрес? Я все правильно понял?
Давайте начнем с вопроса "как Вы заходите на Хабр"? Вы в строке адреса набираете "habr.com" правильно? Что происходит дальше, а дальше ваш ПК отправляет запрос с серверу DNS с запросом "какой IP адрес у сайта habr.com". Собственно после получения ответа вашему ПК становится известен адрес к которому нужно подключаться. То есть решить Вашу проблему с подключением к динамическому IPv6 может любой DNS сервер в который вы опубликуете желаемое имя (не занятое) и текущий динамический IPv6 вашего удаленного ПК.
Решить проблему подключения к динамическим адресам призваны службы Dynamic DNS. Их много в интернете, как платных так и бесплатных. Бесплатные дают вам добавить имя третьего уровня на их серверах (имя.noip.com) и присвоить этому имени IPv6 адрес. После этого вы сможете подключиться к удаленному ПК по имени. Когда провайдер выдаст новый IPv6 адрес следует вновь опубликовать его на DDNS сервере. Либо публикуете при старте ПК, либо ежечасно, или другим более изощренным методом если ПК не отключается. Интересен метод публикации "curl https://v6.sync.afraid.org/u/****/" достаточно осуществить подключение с вашей машины к серверу DDNS. и Сервер DDNS, видя с какого IPv6 проходит подключение, сам обновит адрес.
Лично я использую один из старейших https://freedns.afraid.org/ придумал себе имя третьего уровня, выбрал домен из доступных к которому добавлять моё имя, и обновляю по API адрес ежечасно. Конкретно под IPv6 DDNS гуглится https://dynv6.com/
У многих домашних роутеров есть поддержка DDNS. Можно там настроить обновление адреса. Но список серверов DDNS в домашних роутерах бывает ограничен.
Ничего из написанного не читал, но осуждаю, потому что немало беседовал с автором в личке и он – редкостное дно и разгильдяй.
P.S. @FragCounterничего сливать не рекомендую: нарушение тайны переписки преследуется по УК. Я тебя познакомлю, если что 👌
Какое нарушение тайны переписки, если он является участником беседы?
Если я правильно понимаю, то можно предъявить претензию только если была разглашена личная или семейная тайна (это другая статья), или же в гражданском порядке «о защите чести и достоинстве». А нарушение тайны переписки относится же только к «третьим лицам»? Поправьте, пожалуйста, если я не прав
Прикольно. Первый в моей жизни сталкер и хейтер.
GitHub Actions, к примеру, не работают с IPv6 (self-hosted воркеры). И это технологическая компания. А тут в масштабах страны нужно внедрить.
КМК, пока будет хватать портов для NATа на серых адресах — так и будем ползуче двигаться. Лишь на инициативе провайдеров
"Да!"
При текущих предложениях не пойми какими "специалистами-академиками" и принятые наспех гос.органами, ваше кажется просто "лайтовым" и хоть какой-то имеющий смысл. Хотя и выглядит как студенческий реферат :)
Хочу собрать рабочую группу для написания и публикации инициативы на roi.ru по федеральному внедрению IPv6 в РФ