Как стать автором
Обновить

Комментарии 44

IPv6-HE<-6in4->VDS<-pppt->(CGNAT)Home.lan
Когда RUVDS будет выдывать v6 префикс(избавляемся от лишнего звена в цепочке при нативном IPv6 на VDS) и желательно больше чем /64(ведь дома у пользователей уже норма, отдельные подсети для IoT, гостей, детей и т.п.)? Ещё желательно выдавать не on-link, а routed на хост.

Не понятно, о чём речь. Сейчас выдавать ipv6 на vds - обычно платная услуга. И часто на дешевых тарифах отсутствует. Куда уж больше /64, не надо больше.

Речь о нативном IPv6 на VDS, и тогда не нужно использовать 6in4 до HE. Нет, не обычно платная, только у жадных хостеров. Так был вопрос RUVDS начали выдавать IPv6?)
На счёт дешёвых, посмотрите в РФ low cost хостера aeza где /48 в некоторых локациях выдают, не могу сказать что всё хорошо (выдают v6 on-link и делать с этим ничего не собираются), но как контраргумент вашему тезису сойдёт.
Куда больше /64?) Я так понимаю вы не знакомы как работает SLAAC и если вам нужен на каждой подсети для пользовательских устройств из примера выше, вас ждёт разочарование в виде ручного вмешательства, вместо удобного решения которое и было для этого сделано.
В начале статьи есть упоминание списка на сайте которого, есть подробное описание почему и ссылки на BCOP, если не достаточно вот более приблежённый пример для ДЦ/хостингов.
Надеюсь дальнейший разговор, не перейдёт в плоскость дорого/невыгодно, т.к. это бесполезно.

Теперь понятно. Ruvds не начал выдавать IPv6, вот здесь можно почитать: https://habr.com/ru/companies/ruvds/articles/744958/ . С ссылками ознакомлюсь, спасибо. Целью статьи является популяризация ipv6, потому что нельзя у нас в стране (как и во всем СНГ) вот так вот взять и начать работать с ipv6 (за пределами основных мегаполисов). А надо бы начинать. Так что про ручное вмешательство тоже будет в следующей части. Посмотрел провайдера, которого вы упомянули. Не дешево там: https://aeza.net/ru/virtual-servers .

Ростелеком много где выдаёт IPv6, в том числе маленьких городах (потому что железо общее на регион). Но есть нюансы. Например, он может защищать вашу сеть так, что у вас не будет работать UDP и доступ к вашим IP извне. Поддержка на такие запросы просто пытается заговорить абонента и стоит на том, что IPv6 они не предоставляют. Однако с таким IPv6 уже можно работать. Да, торренты вы через IPv6 не раздадите и Wireguard туннель не поднимете. Но это можно пока делать по старинке, через IPv4. Тем более большая часть пиров именно им и пользуется (исключения на раздачах есть, да и наличие пиров IPv6 не редкость). Короче, подключение Ростелекома на любителя, но это пока самый доступный вариант из всех.

Отношение сообщества к данному провайдеру известное.

Как мне проверить доступность упд? Сейчас на микротик получил /56 префикс от Ростелекома

Упд - это что?

Вы сами выше писали, что у Ростелеком есть проблемы с доступностью udp. Как мне проверить со своей стороны нюансы?

И ещё не могли бы рассмотреть базовую инструкцию по настройке ipv6, если провайдер выдает /56?

Вы настраиваете какой-то сервис по udp? Чтобы понимать как его дебажить.

Мне /56 негде руками потрогать. Advertise, описанный в статье, cконфигурирует автоматом вам интерфейсы. В материалах изложено. Просто активируете его и всё пройдет у клиентов за ним (интерфейсом) само без дополнительного вмешательства.

UDP это скорее следствие работы файервола. Ростелеком просто чрезмерно заботится о безопасности пользователей, которые включили IPv6, но не знаю что это и как оно работает. Не работают вообще ВСЕ входящие подключения. Т.е. даже если вы откроете порт, то он будет недоступен извне. Просто попробуйте установить и запустить iperf3. Там можно просто TCP попробовать. Если будет работать, то, скорее всего, будет и UDP работать. UDP тоже можно проверить, при желании.
А вообще, я получил довольно странную СМС от Ростелекома, что они сожалеют о том, что я столкнулся с проблемами. И, о чудо, соединения заработали!!! Теперь я могу открыть нужные порты в файерволе на маршрутизаторе и у меня будет доступ извне. Правда префикс выдаётся динамический и даже при его смене доступ остаётся. Раньше иногда попадались префиксы, где сеть работала нормально. А сейчас даже ping стали ходить. Так что пробуйте.

P.S. Просто запустите торрент клиент и посмотрите не раздаёте ли по IPv6. Если входящие заблокированы, то сможете только скачать, но не раздать. Если увидите хоть небольшую раздачу, то всё работает как надо.

Популяризация это хорошо, но должна быть осмысленной, тот же пример с /64, проще сразу понять принцип распределения адресов, чем со временем перекраивать сеть, потому что "традиции v4 - делать в притык, вдруг не хватит". Но вопросов, то особо не было если бы это личная статья и свой опыт) Вопросы возникли из-за того что статья в корпоративном блоге как раз VDS хостинга, который отвечает расплывчато про IPv6 (по приведённой ссылке), но при этом статьи про v6 в блоге есть, и было как раз лучшей статье хостинга - опыт их внедрения и желательно лучшим примером, а не как обычно - "ну у нас работает, в отличие от соседей по болоту, а у них вообще нет".
На счёт дёшево, кому как, посмотрите Стокгольм либо список на version6

Статья отражает мое личное мнение по этому вопросу и личный опыт, поэтому не компетентен в текущем контексте работы хостинга. А про "традиции v4 - делать в притык, вдруг не хватит" - это вы в точку).

Один IPv6 - хоть и порнография, но почти всеми выдается бесплатно. А кто-то и целые /64 выдает или больше

Во-первых не все предоставляют услуги IPv6, во-вторых, многие это делают платно, а самое важное, что на бюджетных тарифах (по цене пачки сигарет) часто не доступно. А брать хороший сервер в личных интересах, только ради IPv6 , ну так себе затея.

Не знаю, как там на всяких многих RUVDS, но я только что арендовал сервер у firstbyte за 75 рублей и в эту плату включены как один ipv4 адрес, так и один ipv6. Куда может быть бюджетнее - даже не знаю.

Согласен, это у вас очень дешево вышло. Скорее редкость для такого комплекта.

Куда может быть бюджетнее - даже не знаю.

Если есть человек за пределами РФ и РБ, готовый на себя зарегистрировать вам аккаунт, то Oracle Cloud - бесплатно. Вот это уже не переплюнуть по бюджетности.

Мой аккаунт, зарегистрированный на иностранного гражданина, активен уже больше 2 лет, постоянно работает ARM-инстанс, на котором живут репозиторий F-Droid, Tor, I2P и прочие ZeroNet.

IPv6 там настраивается не совсем интуитивно понятно, кровавый энтерпрайз во всей красе.

Это они дают полноценный vds бесплатно? В чем подвох?

Подвох, разве что, в ограниченном трафике - всего 10 терабайт исходящего трафика в месяц бесплатно. Ну и могут потушить виртуалку, если она в течение недели слабо нагружена.

https://docs.oracle.com/en-us/iaas/Content/FreeTier/freetier_topic-Always_Free_Resources.htm

Прошу прощения, я не погружался в мир IPv6, но насколько я знаю, "аж целый /64" является минимально возможным префиксом, который можно выдавать клиенту, потому что оставшиеся 64 бита адреса клиент формирует автоматически сам.

Это по стандарту так, а в реальности никто не мешает по одному выдавать, увы

Вопрос проектирования. В первых комментариях есть ссылки на лучшие практики. Если требования со стороны специалистов по безопасности жесткие, то можно вообще статикой разрулиться и точечно всё за firewall-ить. Я во второй части цикла статей все покажу и расскажу.

Кроме HE есть еще tunnelbroker.ru.

Может быть актуально для тех кому нужен IPv6 адрес из РФ (например Яндекс.Музыка через ipv6 от HE не играет, т.к. считает что подключение из США)

В Москве вроде как сервер стоит). Сам не пробовал. Если есть у кого-то опыт работы с российским брокером, напишите его в комментариях.

Года два назад использовал tunnelbroker.ru. Поначалу было вроде нормально, но впоследствии становилось всё хуже, по вечерам трафика просто не было. И если правильно помню, яндексу он тоже не нравился.
С него перешёл на route48 (который почил), и теперь на HE.

Спасибо за практику!

Вообще весь яндекс(кривое поделие) через HE ipv6 "не играет". Сайты постоянно выкидывает капчу "а не бот ли ты?"

Вы не понятно написали.

Если у вас ipv6 only/dualstack машина которой вы заходите на сам яндекс, кинопоиск, прочие сервисы, то каждые три-четыре клика вы попадаете на страницу ввода капчи. Типа "подтвердите что вы человек". Технологии технологической компании, не иначе.

)), забавно, что в интранете у них должен работать ipv6))

Логично. Кто-то использует HE для анонимизации.
Это всё равно, что выходить из TOR, подозрительно.

Ну так себе анонимизация. От стороны, принимающей подключение, если только. Но не от государства.

Да, с Win клиентами все понятно. А вот что делать Android\Apple устройствам?

Во второй части цикла статей будет рассмотрена сетевая безопасность оконечных устройств, туннелирование ipv6 до устройств домашней сети, которые не умеют работать с vpn, а также ipv4 to ipv6 на linux. В третьей - туннелирование ipv6 до устройств домашней сети c сервера linux (чтобы убрать из цепочки chr) и туннелирование ipv6 до мобильных устройств (apple и linux, протокол ikev2).

Одни говорят "быстрее внедряйте IPv6, так победим NAT",
другие пихают
action=drop chain=forward connection-state=invalid
в каждый мануал по настройке IPv6.

Что не так?

Это же не позволит подключаться снаружи к серверу, который открыл порт за вашим роутером?

Я вопрос настройки firewall полностью разберу в следующей части. С примерами.

Чтобы запретить подключаться снаружи — там надо ставить drop на new и untracked. На invalid — будут отрезаны именно некорректные пакеты.

Спасибо за вашу вовлечённость. Ipv6 firewall на chr и linux будет рассмотрен далее.

А без VDS получить адрес IPv6 как-нибудь можно?

У меня машина подключена через телефонный интернет от Ростелекома и находится за несколькими NATами. Мне адрес IPv6 на машину нужно получить только для того, чтобы снаружи был доступ к ней.

Все везде говорят что-то типа: если у вас есть белый статический адрес IPv4, тогда сможете легко подключить на машину и адрес IPv6.

Да если у меня был бы белый статический IPv4, то моя задача (доступ к машине снаружи) уже была бы решена и поэтому мне никакие ухищрения для решения этой задачи (типа IPv6) больше не требовались бы.

А есть ли следующие части этой статьи? А то в её названии написано часть 1 и комментариях кто-то (наверно автор статьи) намекал на раскрытие разных тем в следующих статьях статьи.

Под катом "Весь цикл статей" есть ссылки на все статьи.

Без vds получить ipv6 можно, возможно ваш провайдер может вам раздать сеть, чтобы ее получить необходимо активировать ipv6 на интерфейсе (в статье есть как это делается). Vds как рас решается проблему белого статического ip. Для некоторых это единственный выход.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий