Комментарии 44
IPv6-HE<-6in4->VDS<-pppt->(CGNAT)Home.lan
Когда RUVDS будет выдывать v6 префикс(избавляемся от лишнего звена в цепочке при нативном IPv6 на VDS) и желательно больше чем /64(ведь дома у пользователей уже норма, отдельные подсети для IoT, гостей, детей и т.п.)? Ещё желательно выдавать не on-link, а routed на хост.
Не понятно, о чём речь. Сейчас выдавать ipv6 на vds - обычно платная услуга. И часто на дешевых тарифах отсутствует. Куда уж больше /64, не надо больше.
Речь о нативном IPv6 на VDS, и тогда не нужно использовать 6in4 до HE. Нет, не обычно платная, только у жадных хостеров. Так был вопрос RUVDS начали выдавать IPv6?)
На счёт дешёвых, посмотрите в РФ low cost хостера aeza где /48 в некоторых локациях выдают, не могу сказать что всё хорошо (выдают v6 on-link и делать с этим ничего не собираются), но как контраргумент вашему тезису сойдёт.
Куда больше /64?) Я так понимаю вы не знакомы как работает SLAAC и если вам нужен на каждой подсети для пользовательских устройств из примера выше, вас ждёт разочарование в виде ручного вмешательства, вместо удобного решения которое и было для этого сделано.
В начале статьи есть упоминание списка на сайте которого, есть подробное описание почему и ссылки на BCOP, если не достаточно вот более приблежённый пример для ДЦ/хостингов.
Надеюсь дальнейший разговор, не перейдёт в плоскость дорого/невыгодно, т.к. это бесполезно.
Теперь понятно. Ruvds не начал выдавать IPv6, вот здесь можно почитать: https://habr.com/ru/companies/ruvds/articles/744958/ . С ссылками ознакомлюсь, спасибо. Целью статьи является популяризация ipv6, потому что нельзя у нас в стране (как и во всем СНГ) вот так вот взять и начать работать с ipv6 (за пределами основных мегаполисов). А надо бы начинать. Так что про ручное вмешательство тоже будет в следующей части. Посмотрел провайдера, которого вы упомянули. Не дешево там: https://aeza.net/ru/virtual-servers .
Ростелеком много где выдаёт IPv6, в том числе маленьких городах (потому что железо общее на регион). Но есть нюансы. Например, он может защищать вашу сеть так, что у вас не будет работать UDP и доступ к вашим IP извне. Поддержка на такие запросы просто пытается заговорить абонента и стоит на том, что IPv6 они не предоставляют. Однако с таким IPv6 уже можно работать. Да, торренты вы через IPv6 не раздадите и Wireguard туннель не поднимете. Но это можно пока делать по старинке, через IPv4. Тем более большая часть пиров именно им и пользуется (исключения на раздачах есть, да и наличие пиров IPv6 не редкость). Короче, подключение Ростелекома на любителя, но это пока самый доступный вариант из всех.
Отношение сообщества к данному провайдеру известное.
Как мне проверить доступность упд? Сейчас на микротик получил /56 префикс от Ростелекома
Упд - это что?
Вы сами выше писали, что у Ростелеком есть проблемы с доступностью udp. Как мне проверить со своей стороны нюансы?
И ещё не могли бы рассмотреть базовую инструкцию по настройке ipv6, если провайдер выдает /56?
Вы настраиваете какой-то сервис по udp? Чтобы понимать как его дебажить.
Мне /56 негде руками потрогать. Advertise, описанный в статье, cконфигурирует автоматом вам интерфейсы. В материалах изложено. Просто активируете его и всё пройдет у клиентов за ним (интерфейсом) само без дополнительного вмешательства.
UDP это скорее следствие работы файервола. Ростелеком просто чрезмерно заботится о безопасности пользователей, которые включили IPv6, но не знаю что это и как оно работает. Не работают вообще ВСЕ входящие подключения. Т.е. даже если вы откроете порт, то он будет недоступен извне. Просто попробуйте установить и запустить iperf3. Там можно просто TCP попробовать. Если будет работать, то, скорее всего, будет и UDP работать. UDP тоже можно проверить, при желании.
А вообще, я получил довольно странную СМС от Ростелекома, что они сожалеют о том, что я столкнулся с проблемами. И, о чудо, соединения заработали!!! Теперь я могу открыть нужные порты в файерволе на маршрутизаторе и у меня будет доступ извне. Правда префикс выдаётся динамический и даже при его смене доступ остаётся. Раньше иногда попадались префиксы, где сеть работала нормально. А сейчас даже ping стали ходить. Так что пробуйте.
P.S. Просто запустите торрент клиент и посмотрите не раздаёте ли по IPv6. Если входящие заблокированы, то сможете только скачать, но не раздать. Если увидите хоть небольшую раздачу, то всё работает как надо.
Популяризация это хорошо, но должна быть осмысленной, тот же пример с /64, проще сразу понять принцип распределения адресов, чем со временем перекраивать сеть, потому что "традиции v4 - делать в притык, вдруг не хватит". Но вопросов, то особо не было если бы это личная статья и свой опыт) Вопросы возникли из-за того что статья в корпоративном блоге как раз VDS хостинга, который отвечает расплывчато про IPv6 (по приведённой ссылке), но при этом статьи про v6 в блоге есть, и было как раз лучшей статье хостинга - опыт их внедрения и желательно лучшим примером, а не как обычно - "ну у нас работает, в отличие от соседей по болоту, а у них вообще нет".
На счёт дёшево, кому как, посмотрите Стокгольм либо список на version6
Один IPv6 - хоть и порнография, но почти всеми выдается бесплатно. А кто-то и целые /64 выдает или больше
Во-первых не все предоставляют услуги IPv6, во-вторых, многие это делают платно, а самое важное, что на бюджетных тарифах (по цене пачки сигарет) часто не доступно. А брать хороший сервер в личных интересах, только ради IPv6 , ну так себе затея.
Не знаю, как там на всяких многих RUVDS, но я только что арендовал сервер у firstbyte за 75 рублей и в эту плату включены как один ipv4 адрес, так и один ipv6. Куда может быть бюджетнее - даже не знаю.
Согласен, это у вас очень дешево вышло. Скорее редкость для такого комплекта.
Куда может быть бюджетнее - даже не знаю.
Если есть человек за пределами РФ и РБ, готовый на себя зарегистрировать вам аккаунт, то Oracle Cloud - бесплатно. Вот это уже не переплюнуть по бюджетности.
Мой аккаунт, зарегистрированный на иностранного гражданина, активен уже больше 2 лет, постоянно работает ARM-инстанс, на котором живут репозиторий F-Droid, Tor, I2P и прочие ZeroNet.
IPv6 там настраивается не совсем интуитивно понятно, кровавый энтерпрайз во всей красе.
Это они дают полноценный vds бесплатно? В чем подвох?
Подвох, разве что, в ограниченном трафике - всего 10 терабайт исходящего трафика в месяц бесплатно. Ну и могут потушить виртуалку, если она в течение недели слабо нагружена.
https://docs.oracle.com/en-us/iaas/Content/FreeTier/freetier_topic-Always_Free_Resources.htm
Прошу прощения, я не погружался в мир IPv6, но насколько я знаю, "аж целый /64" является минимально возможным префиксом, который можно выдавать клиенту, потому что оставшиеся 64 бита адреса клиент формирует автоматически сам.
Это по стандарту так, а в реальности никто не мешает по одному выдавать, увы
Вопрос проектирования. В первых комментариях есть ссылки на лучшие практики. Если требования со стороны специалистов по безопасности жесткие, то можно вообще статикой разрулиться и точечно всё за firewall-ить. Я во второй части цикла статей все покажу и расскажу.
Кроме HE есть еще tunnelbroker.ru.
Может быть актуально для тех кому нужен IPv6 адрес из РФ (например Яндекс.Музыка через ipv6 от HE не играет, т.к. считает что подключение из США)
В Москве вроде как сервер стоит). Сам не пробовал. Если есть у кого-то опыт работы с российским брокером, напишите его в комментариях.
Года два назад использовал tunnelbroker.ru. Поначалу было вроде нормально, но впоследствии становилось всё хуже, по вечерам трафика просто не было. И если правильно помню, яндексу он тоже не нравился.
С него перешёл на route48 (который почил), и теперь на HE.
Вообще весь яндекс(кривое поделие) через HE ipv6 "не играет". Сайты постоянно выкидывает капчу "а не бот ли ты?"
Да, с Win клиентами все понятно. А вот что делать Android\Apple устройствам?
Во второй части цикла статей будет рассмотрена сетевая безопасность оконечных устройств, туннелирование ipv6 до устройств домашней сети, которые не умеют работать с vpn, а также ipv4 to ipv6 на linux. В третьей - туннелирование ipv6 до устройств домашней сети c сервера linux (чтобы убрать из цепочки chr) и туннелирование ipv6 до мобильных устройств (apple и linux, протокол ikev2).
Одни говорят "быстрее внедряйте IPv6, так победим NAT",
другие пихают
action=drop chain=forward connection-state=invalid
в каждый мануал по настройке IPv6.
Что не так?
Это же не позволит подключаться снаружи к серверу, который открыл порт за вашим роутером?
Я вопрос настройки firewall полностью разберу в следующей части. С примерами.
Чтобы запретить подключаться снаружи — там надо ставить drop на new и untracked. На invalid — будут отрезаны именно некорректные пакеты.
А без VDS получить адрес IPv6 как-нибудь можно?
У меня машина подключена через телефонный интернет от Ростелекома и находится за несколькими NATами. Мне адрес IPv6 на машину нужно получить только для того, чтобы снаружи был доступ к ней.
Все везде говорят что-то типа: если у вас есть белый статический адрес IPv4, тогда сможете легко подключить на машину и адрес IPv6.
Да если у меня был бы белый статический IPv4, то моя задача (доступ к машине снаружи) уже была бы решена и поэтому мне никакие ухищрения для решения этой задачи (типа IPv6) больше не требовались бы.
А есть ли следующие части этой статьи? А то в её названии написано часть 1 и комментариях кто-то (наверно автор статьи) намекал на раскрытие разных тем в следующих статьях статьи.
Под катом "Весь цикл статей" есть ссылки на все статьи.
Как начать работать с IPv6 там, где его нет (часть 1)