Переход на IPv6 может занять еще десять лет

    Такую точку зрения высказал представитель интернет-регистратора RIPE NCC Марко Хохевонинг (Marco Hogewoning). Однако некоторые члены ИТ-сообщества посчитали такой прогноз излишне оптимистичным. Обсуждаем мнения экспертов и рассказываем, как идет внедрение IPv6.


    / Unsplash / Markus Spiske

    Ситуация с адресами


    В конце ноября прошлого года интернет-регистратор RIPE, отвечающий за Европу и Азию, сообщил об исчерпании последнего блока адресов IPv4. Еще пять лет назад аналогичная ситуация произошла с американской ARIN. Остальные регистраторы также распределяют свои последние ресурсы.

    Многие эксперты — например, ИТ-журналист и редактор PC Pro Дериен Грэм-Смит (Darien Graham-Smith) — призывают поскорее совершить переход на IPv6, чтобы забыть о проблеме недостатка адресов как минимум на миллион лет.

    Сколько может занять миграция


    Протокол нового поколения до сих распространен недостаточно широко, несмотря на тот факт, что со дня его глобального запуска прошло уже более восьми лет. Руководитель исследовательского отдела интернет-регистратора APNIC Джефф Хастон (Geoff Huston) при этом отмечает, что в последнее время скорость внедрения IPv6 замедлилась. По данным W3Techs, год назад IPv6 использовали 14,3% сайтов, на сегодняшний день эта цифра увеличилась всего на 2%.

    О чем еще мы пишем в нашем блоге на Хабре:


    Но ряд экспертов убежден, что в скором времени ситуация начнет меняться. Например, по словам Марко Хохевонинга из RIPE NCC, на эту процедуру потребуется еще около 5–10 лет. Он убежден, что этого времени достаточно для того, чтобы избавиться от необходимости в dual-stack.

    Как он говорит, сперва на IPv6 должны мигрировать правительственные организации — это один из факторов, сдерживающих развитие протокола и заставляющих поддерживать обратную совместимость с IPv4. Но некоторые считают сроки, обозначенные Марко, довольно оптимистичными.

    Другая точка зрения


    Представитель международной организации Internet Society Мэт Форд (Mat Ford) и некоторые резиденты Hacker News отмечают, что ожидать масштабной миграции в ближайшем будущем не стоит. Интернет-провайдеры успешно работают даже в условиях нехватки IPv4 — например, они покупают освободившиеся адреса на специализированных площадках.


    / Unsplash / Markus Spiske

    Также миграции мешают технические сложности, особенно в крупных сетях. Например, компания-разработчик игр SIE Worldwide Studios внедряла IPv6 на протяжении семи лет. Но в итоге забросила проект, так как им не удалось до конца избавиться от наследия IPv4.

    Еще одна причина, замедляющая переход на новый протокол, — инженеры до сих пор находят баги, связанные с IPv6. Например, в конце 2019 года одному из австралийских сетевых провайдеров пришлось остановить тестирование IPv6. Причина — ошибка в микропрограмме маршрутизаторов Cisco ASR, которая приводила к сбою процесса DHCP. Чтобы исправить проблему, приходилось перезагружать маршрутизатор, что затрагивало не только IPv6-абонентов, но и всех остальных.

    Получается, что простого расширения адресного пула недостаточно для быстрого перехода на протокол нового поколения — по крайней мере, ожидать этого в ближайшее десятилетие не стоит.

    Материалы из нашего корпоративного блога:

    VAS Experts
    Разработчик платформы глубокого анализа трафика

    Комментарии 258

      –3

      По-моему это новость отлично иллюстрирует текущее состояние IT

        0

        Не хватает рук, вот и всё. Мало кто хочет заниматься долгим и однообразным трудом в телекоме. Кроме того, зарплаты не самые высокие.

        +15
        Достаточно гуглу сайтам с поддержкой IPv6 дать небольшой приоритет в поисковой выдаче и всем об этом сообщить, как процент сайтов начнёт резко расти. Потом ставить палки в колёса в браузерах тем кто не поддерживает IPv6. Ведь всё тоже самое происходило и происходит сейчас для https. Почти никому кроме банков и энтузиастов оно не надо было. А теперь число сайтов с поддержкой https уверенно приближается к 100% и уже совсем нехорошо иметь сайт без https пусть даже и с котиками.
        Нужен достаточно мощный стимул и всё полетит, а без стимула, оно не сильно то и надо.
          +4

          Даже если все сайты будут на IPv6, домашние интернет-провайдеры всё равно не будут ничего делать, ведь на гугл им пофиг, а сайты успешно работают и по IPv4. Откуда взять стимул для провайдеров?

            +1
            Добавить банер на все сайты что ваш провайдер использует небезопасные методы Ж) Срочно меняйте провайдера на в6 совместимого.
              +2

              В браузер уж тогда.

                +5
                Во-первых, с какого перепугу IPv4 небезопасный? Во-вторых, после появления таких баннеров в каком-нибудь хроме люди радостно начнут пересаживаться в условный FF и будут правы.
                  +2
                  HTTP без S тоже не такой уж и опасный. Однако браузеры и поисковые машины заставили многих совершить переход.
                  Если баннер будет появляться одновременно и в хроме, и в FF и в остальных браузерах, то некуда будет пересаживаться. Это уже было с HTTPS. А сейчас, например, это происходит с DoH — благодаря внедрению технологии во все популярные браузеры одновременно, тем, кому это не нравится, сложно с этим бороться (если испортить DoH, то пользователи уйдут к тому провайдеру, который не портит DoH, а не сменят браузер).
                    0
                    Это пока вы свой логин/пароль или данные кредитки не передаете по HTTP он не такой опасный.
                      +3
                      Я это и пытался донести. Реальную ценность представляют только небольшие кусочки информации, передаваемые по HTTP — авторизационные и платёжные данные, коды целостности, прочие секреты.
                      Типичному сайту-визитке всё это не нужно, его задача — показать десяток картинок и пару страниц текста.
                      Однако кооперация определённых организаций привела к тому, что и такие сайты стали внедрять HTTPS. Вот точно так же можно и IPv6 пропихнуть в массы.

                      Я никаким образом не агитирую неиспользование HTTPS. Это как с полнодисковым шифрованием — лучше зашифровать всё, чем долго думать и делать это избирательно, ведь из-за одной маленькой ошибки в конфигурации шифрование может стать бесполезным.
                        +1

                        Прежде всего, это кооперация нечистых на руку провайдеров и мобильных операторов, которые решили, что можно внедрять рекламу через http.

                          0
                          Конкретно эту проблему можно решить по-другому — законодательно запретить вмешиваться в трафик. То, что HTTPS позволяет от этого защититься является лишь приятным побочным эффектом. И работает это только за счёт массовости внедрения — если бы разработчики браузеров и поисковых систем не давили на вебмастеров, то такого массового распространения HTTPS бы не получил, а значит операторы смогли бы портить его там, где им хочется (за исключением какого-нибудь белого списка из банков и госсервисов, чтобы не распугать пользователей). А за счёт массовости они сделать так не могут, ведь слишком многое сломается.
                            0

                            Помимо чисто юридического решения, техническое бы тоже не помешало.


                            Люди законы не нарушают не только потому, что в законах прописана «ответственность», которую причинит государство. А потом что так воспитаны, потому что есть куча мелких преград, потому что в некоторых местах висят камеры, и т. д. В общем, комплексный подход.


                            Закон «Об обязанности быть просто трубой» гораздо сложнее нарушить, если трафик зашифрован. Меньше возможностей легко делать правонарушения — меньше правонарушений — меньше бюджета на это — увереннее люди. И это не говоря уже о том, что обновление на сервере или в браузерах обычно легче разверуть, чем принять законы во всех странах мира, организовать соблюдение этих законов, наказание за их несоблюдение, и т. д.

                          +2
                          Для HTTPS не нужно ничего менять. Обновить браузеры (их не так много в мире), обновить веб сервера (их тоже не так много в мире) и все.
                          Устройства обновлять не нужно. Маршрутизацию менять не нужно.
                          И вообще, https касается только отдельной небольшой части интернет, вто время как IPV6 касается ВСЕХ ее аспектов.

                            0

                            Да ладно! Https не нагружает сервер? Ну тот, который обновлять не надо. У него же из коробки в проце есть средства криптошифрования. И накладных расходов нет.

                              +1
                              Простите, где было упомянута нагрузка?
                              https для всех промежуточных устройств работает прозрачно.
                              Для всех маршрутизаторов он работает прозрачно.
                              То есть чтобы включить https соединение между Канадой и Австралией, нужно просто двум людям поправить у одного браузер, у другого веб сервер. Кому надо — тот пользуется, кому не надо — не пользуется.

                              А для полноценной работы ipv6 нужно обновить все промежуточные устройства, некоторые из которых не подлежат программной перепрошивке, обновить всю топологию инета, когда все участники настроят новые адреса, подсети, маршрутизацию и так далее.
                                0

                                А это к утверждению/предположению. Не надо менять железо. На северной стороне, получается, ещё как надо. Иначе, нагрузка сожрёт все ресурсы сервера. Большинство железок уже умеют в ipv6, по крайней мере клиентские.

                                  +1
                                  Иначе, нагрузка сожрёт все ресурсы сервера

                                  Это только на тех серверах, у которых высокая нагрузка. Предположительно, такие сервера и так не старые.

                                  Я же говорю про множество реально старых вещей.
                                  Компьютеры в муниципальных заведениях. IP камеры, видеоприставки, старые игровые приставки, которые тоже могут быть не только дома у мажоров, но и в различных учреждениях, особенно муниципальных, например дома престарелых, в которые могли быть закуплены по какой-то программе 10-20 лет назад, и просто работают, за ними почти никто не следит.

                                  Обновлять весь стек таких устройств — это целая программа поддержки, которую кто-то должен не только оплатить, но еще и организовать по всей стране.
                                  А значит нельзя просто так взять и отрубить глобально IPV4, надо оставлять какие-то гейтвеи. А раз они остаются, то и ipv4 остается рабочим. А раз остаются, то нет мотивации срочно все брать и переезжать. IP адресов ведь на самом деле не хватает кому-то там, а подавляющей массе — достаточно.
                          0
                          HTTP опасен при передаче любой информации, не только конфиденциальной.
                          Просто потому, что эту информацию можно поменять, и получатель не определит факт этой замены.
                          В итоге в содержимом «cats_smooth_scroll.js» может прилететь «evil_cryptominer.js» или ещё чего похуже.
                            0
                            В итоге в содержимом «cats_smooth_scroll.js» может прилететь «evil_cryptominer.js» или ещё чего похуже.

                            априори, если на захожу на сайт по http, то я считаю его недоверенным.
                            на недоверенном сайте может быть вредоносный js.
                            что меняет добавление https?

                              0
                              Вы что сказать/узнать-то хотели?

                              HTTPS даёт гарантию неизменности содержимого в процессе доставки. Всё.

                              Если я доверяю автору, то я буду доверять его сайту при использовании https, и не буду при использовании http.

                              Если я не доверяю автору — никакой https не изменит моего отношения.
                                0
                                HTTPS даёт гарантию неизменности содержимого в процессе доставки. Всё.

                                да, именно это и хотел сказать
                                и именно поэтому я не понимаю, зачем для условного anekdot.ru нужен https.

                                  0

                                  Чтобы удостовериться, что исполняются у вас скрипты, которые имели в виду разработчики anekdot.ru, а не, например, ваш провайдер или корпоративный админ добавил что-то от себя (хотя с админом сложнее).

                                    0

                                    какая разница, если для меня разработчик anekdot.ru и провайдер — одинаково недоверенные лица?

                                      0

                                      Для вас одинаково, для меня, например, нет.

                                        0
                                        И что вы предпринимаете по отношению к anekdot.ru, исходя из того, что он — «недоверенный»?
                                          0

                                          ничего.


                                          заметьте, было написано «условный anekdot.ru». это может быть любой незнакомый сайт из выдачи гугла.
                                          это сайт, где я никак не авторизуюсь, который не использую как источник важной информации, откуда ничего не скачиваю и т. п.

                                            0
                                            При таком раскладе разница между https и http будет заключаться в том, что если «что-то пойдёт не так» — в первом случае (с https) можно будет однозначно «вешать собак» на владельца сайта.
                                      0
                                      Раз, два, три, четыре.
                                      Не у всех установлен NoScript или что-то подобное.
                          +4
                          Начнём с того, что ростелеком я долго пытал, и так как у меня топовый тариф, общался с высокими уровнями поддержки, точно не первым и не вторым. И мне открыто сказали «в6 мы внедрить пока даже не планируем, если вам так нужно — ищите другого оператора». И это было от тех, кто уже не бумажки читает, а принимает решения. Более того, питер, из всех провов тут в6 В ТЕОРИИ могут дать ровно 2 оператора: скайнет и домру. С домрой 3 месяца пытались, ничего не вышло, отключился. Скайнет — пол года пытался, ничего не вышло, но они до сих пор у меня резервом, так как 100мбит на год разумно стоило. К слову, в начале эпидемии не пожалел, мне с амазоном надо работать, ростеле давал загрузку в s3 — 14кб/с, скайнет — около 200кб/с. И до сих пор когда у ростеле опять перегружен канал в европу/сша — скайнет спасает.

                          Далее. Взял в чехии вдс. Только ipv4. Почему? Пиринг v4 — куча вариантов, все готовы. v6 — за отдельную БОЛЬШУЮ сумму, при том что у площадки уже есть какая-то своя сеть, /32 если не больше.

                          Помнится, была история что у ряда площадок включая контакт был v6 в тестовом режиме, но проект признали провальным и отключили. Ну и host vk.com мне реально не даёт v6 адреса площадки.

                          Ощущение, что v6 просто никому не нужен.

                          ЗЫ огромная просьба, если кто не согласен — не просто лепить минус, а обосновать. Это всё моё имхо, но я честно пытался подключиться к в6. 2 года пытался, потом перестал.
                          Тем более о реальных проблемах есть шикарные комментарии, типа habr.com/ru/company/vasexperts/blog/508518/#comment_21784304

                          ЗЫЫ если кто не знает, есть уже в стандарте NATv6
                            0
                            Факт тот, что МТС уже довольно давно даёт IPv6 на мобильном интернете. Пора бы и другим операторам подтягиваться. Была инфа, что Ростелеком планирует запуск в 2021.
                              0
                              Речь про интернет на компы, а не на телефон. И потом, бытовые провы дают 100 мбит, ростеле — 800 мбит по ряду городов (питер-мск), в мир там конечно меньше, хотя нужно тестировать куда сколько. В америку — точно немного.

                              Позвонил в ростелеком. У них нет такой информации.
                              0
                              vk.com столкнулся с общей проблемой дремучего говнокода. А именно их API для сторонних сайтов приказал долго жить и тем сломал половину рунета. Естественно после этого энтузиастов IPv6 послали куда подальше, а все кто слышал эту историю в миг стали пессимистами. Но на самом деле есть довольно простое решение, нужно, чтобы приложение не знало, что работает по IPv6. Жуткий костыль, но работать будет.
                                +1
                                Ощущение, что v6 просто никому не нужен.

                                Всё верно. А время от времени вылезающие v6-агитаторы несколько достали, хотя в последнее время их меньше стало.

                                  0

                                  Давно пользуюсь vps от hetzner. IPv6 был в комплекте и бесплатно.
                                  Так что не везде проблемы с IPv6 адресами.

                                    0
                                    > /32 если не больше.

                                    Это ровно 1 адрес
                                      0
                                      Это огромный сабнет. 232 v6-сетей, каждая по 264 адресов.
                                        0

                                        Как я понимаю, у площадки ipv6 /32 адрес

                                          0
                                          Тогда да, много, a в контексте, какбудто IPv4.
                                    –2
                                    Домашним провайдерам это как раз и даёт больше всех: бесплатные IP адреса. Сейчас их приходится покупать и отнюдь недешево.
                                      +7

                                      Домашним провайдерам это как раз больше всего пофиг: они ставят NAT и не парятся. Единицам клиентов, желающим внешний IP, можно впарить дополнительную платную услугу — вообще благодать!

                                        +2

                                        Для меня такой провайдер стал поводом перейти на другой, ибо надоело убеждать гугл, что я не робот.

                                          0

                                          Ну просто он был или жадный, илм тупой. Oversubscription нужно держать на уровне 16 серых в 1 белый и не будет никаких капч. Многие, кто только начал натить не понимают этого и лупят 1:128 и больше. Раньше это бы разорвало ТП, а сейчас тупо отток увеличивает. (Ваш случай)

                                            0
                                            Так капча не-за количество клиентов появляется, а из-за того что кто-то из тех кто на этом NAT-е сидит чтобы подхватил.
                                            Понятно что когда 16 человек за одним ip сидит, шансы в 8 раз ниже чем когда 128. Но всё равно даже при 16-ти будут те кто вынужденно будет вводить капчи.
                                              0
                                              У меня практический опыт. Я уже как 15 лет держу абонентов за NAT и я вам точно могу сказать, что при 1:16 вопросов о капче не поступает. В принципе, 1:32 тоже годится, а вот на 1:64 уже звонят.
                                                0

                                                а я одно время сталкивался с капчей дома, где в сети компьютер и пара телефонов (мой и жены). реальный динамический ip, меняется крайне редко («не было ни единого разрыва»).


                                                это было одним из поводов ещё раз попробовать на яндекс перейти, но нет, на моих запросах качество поиска у гугла лучше.


                                                притом оно «наплывами», одно время и на работе такое было, потом прошло (а там на одном внешнем ip сотни компьютеров).

                                            0
                                            Иногда бывают неожиданности.
                                            Вон Теле2 всем ставит китайские роутера с оптикой по квартирам но…
                                            Не включает в настройка получение адреса IPv6 по DHCP хотя он у него уже есть, и давно.
                                            В общем, зайдите на роутер и включите. Возможно что IPv6 у вас уже есть, просто вы не в курсе об этом.
                                            (Я говорю про Пермь, и да… у Дом.ру тоже есть IPv6 если в вас включено получение адреса IPv6 по DHCP)
                                              0
                                              в Перми кстати уже давненько домру раздаёт всем желающим IPv6 адреса. Вроде бы Ростелек тоже
                                              0

                                              У провайдера v6 нет, поэтому дома поднят туннель через HE, при этом варианте гугл никогда не считает меня роботом, зато яндекс — всегда. Понять почему так можно, но достоинства использования v6 перевешивают оные от яндекса, поэтому яндексом просто не пользуюсь.

                                              0
                                              Это мелочь всякая не парится, а огромным сетям с центральными узлами обрабатывающими трафик миллионов клиентов парится приходится. Ведь память в роутере Cisco не бесконечная, а новый стоит астрономическую сумму денег. Конечно есть не мелочь которая не парится, ведь они в своё время нахапали достаточно IPv4.
                                          +3

                                          Что IPv6 даёт сайтам?
                                          Ровным счётом ничего.


                                          А https даёт шифрование и потоки.


                                          В гугле не дураки, дураки где-то в другом месте.

                                            0
                                            Сам по себе IPv6 почти ничего не даёт сайтам. Но возможность повесить на каждую свою машину по глобально-маршрутизируемому IP-адресу даёт возможность доставлять пользовательский трафик ближе к тому месту, где его надо обработать.
                                              0

                                              Но много ли кому эта возможность реально нужна?

                                                0
                                                Она позволяет экономить ресурсы. От маршрутизаторов всё равно отказаться не получится, а вот под балансировщики нагрузки надо выделить ресурсы, и ещё решить задачу их отказоустойчивости.

                                                В крупном сервисе, у которого одна машина не сможет обработать весь поток входящих в одну точку запросов от балансировщика отказаться не получится. Но у типичного хостинга есть куча мелких клиентов, и целая пачка сайтов влезает на одну машину. В таком случае можно анонсировать адрес сайта, крутящегося на этой машине наружу, и тогда трафик будет сразу приходить на неё.

                                                Если не рассматривать хостинги, а ограничиться домашними пользователями, то возможность повесить по адресу на каждое своё устройство позволит избавиться от целой кучи костылей в виде ALG и обеспечить хорошо работающую end-to-end связность, что может быть полезно для IoT (не той домашней автоматизации, что сейчас, когда устройства разговаривают с единым центром, а именно интернета, когда устройства разговаривают друг с другом).
                                                  0
                                                  тем, кто активно Shodan пользует вполне подойдёт возможность стучаться напрямую на адрес IoT устройства. У всяких умных холодильников и чайников часто бывает жуткое ПО внутри
                                                    0
                                                    И это отличный повод считать все соединения недоверенными (и использовать криптографические методы для ваторизации) вместо разделения сетей по адресам на опасные и безопасные. Пусть у холодильников следующего десятиления с этим всё будет лучше.
                                                      +1
                                                      К сожалению, я в это не верю.
                                                      Вот к примеру биос и вендоры материнок вообще особо не парятся — там жуткая жуть у некоторых производителей, в том числе и с SecureBoot. А казалось бы куда ответственней место. А тут холодильник какой-то.

                                                      Ну и отдавать безопасность «чёрной коробке» очень недальновидно. Проблема в том, что пользователи давно пользуются устройствами по принципу — включил, протыкал да, да, да, ок и работаешь.

                                                      А с файерволами всё не так прикольно, да и как только включаешь на них «пароноидальный» режим, то сразу начинает что-то нужное отваливаться и нужно лезть разрешать. Через N итераций типичный пользователь замучается бороться с этим и разрешит всё.

                                                      Особенно учитывая, что многие нынешние программы поднимают по 100500 соединений и постоянно мигрируют между площадками (и это нормально). Тут сразу возникает вопрос об обязательности DNSsec и так во всём. Чем дальше в лес — тем толще партизаны. Простые проблемы становятся сложными, обрастают своими костылями и результат мы видим в текущем состоянии отрасли
                                              +1
                                              да потому что https прикручивается буквально в 2 команды и минуту времени. полная поддержка https всем чем только можно была чуть ли не с начала интернета, а массово оно пошло внедряться с появлением lets encrypt. Пока внедрение ipv6 требует кучи сил и денег, а профит от него неочевиден никто его не будет внедрять
                                                0
                                                IPv6 существует тоже достаточно давно. Просто пугающая плашка «небезопасное соединение!» и снижение позиций в поисковых выдачах действуют сильнее, чем невозможность посмотреть на анимированную черепашку и раскрашенный четвёртый эпизод звёздных воин. Профит от https тоже многим неочевиден.
                                                  +1
                                                  небезопасное соединение!

                                                  Но ведь это неправда?
                                                  Соединение по Ipv4 по безопасности не хуже, чем ipv6, в отличие от http/https
                                                    0
                                                    Неправда, конечно же. Я не предлагаю повторить ситуацию с https один-в-один, вместо этого можно сделать что-то похожее. Например, писать «устаревший протокол» или «у вас пропадёт доступ, если ваш провайдер выключит IPv4».
                                                      0
                                                      «у вас пропадёт доступ, если ваш провайдер выключит IPv4».


                                                      Это тоже неправда.
                                                      Для хостеров категорически нельзя просто выключить. Им клиенты деньги платят. Перед каким-либо отключением ipv4, им нужно будет либо согласовать со всеми клиентами переход, включая перенастройку ДНС, либо придумать гейт между протоколами.

                                                      Было бы все так просто, не толклись бы 10 лет на одном месте
                                                        0

                                                        Как показывает практика, хостерам и провайдерам "последней мили" достаточно просто заблаговременного уведомления клиентов, чтобы что-то изменить. Да и без него вообще делали. Например, один из питерских провайдеров просто закрыл трафик между своими клиентами "по просьбам трудящихся" (что-то там с виндовой сетью было связано). Включая клиентов с белым статическим IP. Для них потом откатил, а для остальных нет.

                                                          0

                                                          Сколько уже говорили — не пользуйтесь левыми хостингами.
                                                          Лечиться ходите тоже по рекламе к первому попавшемуся?

                                                            0

                                                            Левые или нелевые сложно разобраться. OVH левый например или нет?


                                                            SEO рекламой считается?

                                                              0

                                                              Учитесь распознавать.
                                                              Это OVH вам "закрыл трафик между своими клиентами" ?

                                                                0

                                                                OVH для меня хостер, весьма вольно обходящийся с уже оплаченными услугами. Оплатил тариф на год, а через несколько месяцев тебя уведомляют, что до конца оплаченного года этот тариф не доживёт, деньги не вернут, а дадут какую-то скидку, если приобретешь новый сервер по новым тарифам, в строгом соответствии с "мелким шрифтом" — шаг влево-вправо и скидка не действует.

                                                                  0

                                                                  Сомневаюсь, что всё было именно так. Наверняка, забыт какой-то нюанс.
                                                                  Лично у меня с ними порядок.
                                                                  Всё по договору и SLA выплачивают.

                                                                    0

                                                                    Ну разве что тариф был 2013-го или 2014-го года.

                                              +2

                                              Привет таким «экспертам», как указанный журналист, с их призывами. Забыть на много лет о проблеме — это ок, а что ipv6 перемудрен, отчего никем не понимается как должен — вот это проблема. Ах да, есть еще софт, который нужно переписать, правда, и баги, которые нужно отловить.

                                                +1
                                                Перемудрен? Наоборот же все упростили — в заголовках пакета, в настройках сети. DHCP не нужен. NAT не нужен.
                                                  0

                                                  Ага, поэтому для link local адреса приходится аж имя интерфейса дописывать

                                                    +2

                                                    Так это как раз результат упрощения — все link local адреса принадлежат сети fe80::/10.

                                                      +1
                                                      А для link-local IPv4-адресов эта проблема вообще не решена. Приходится записи добавлять в таблицу маршрутизации в случае нескольких интерфейсов.
                                                        +1

                                                        Пример, с которым сталкивались многие: если подключаться через VPN к себе в локальную сеть и в гостевой сети тот же диапазон, что и в локальной — поимеем проблемы с маршрутизацией. В ipv6 проблема хорошо решена рекомендацией использовать глобальные адреса, в том числе для локальных ресурсов и суффиксом интерфейса для link-local.

                                                          0

                                                          И со сменой интернет-провайдера вся локальная IPv6-сеть тоже полетит к чертям?

                                                            0

                                                            Если глобальные адреса использовать (и не покупать PI-диапазон) — да, полетит. Если link-local — не полетит.

                                                              0
                                                              Поэтому рекомендуется использовать SLAAC и DNS. При смене префикса провайдера нужна будет только одна строчка в консоли, для изменения префикса адресов в DNS зоне. И даже её можно автоматизировать.
                                                                0

                                                                С одной стороны я очень люблю IPv6, но вот за отсутствие роуминга авторам даже не даой, а кол.
                                                                Вот эти все ставки, dns зоны и всё такое — кривой костыль.


                                                                В итоге, для получения persistent адреса при двух аплинках (очень даже легко даже в обычных квартирах) нужно ставить где-то vps, поднимать туда vpn через оба линка, поднимать ospf… задача ну явно не для простого пользователя ;(

                                                                  0
                                                                  Если бы mIPv6 сделали обязательной частью реализации IPv6, то этой проблемы бы не было. Но это бы заятнуло внедрение ещё сильнее. Примерно то же самое с IPsec.

                                                                  Та же проблема существует и с IPv4. И решения примерно те же.

                                                                  А какое решение бы вы предложили для реализации роуминга?
                                                                    0
                                                                    А какое решение бы вы предложили для реализации роуминга?

                                                                    Наличие флага резервный префикс в ответах RA, наличие уведомления prefix route is dead. Желательно иметь возможность заранее отправить удалённому узлу свой резервный адрес и бесшовный переход на него.
                                                                    обязательной частью реализации IPv6
                                                                    С каких пор наличие MUST в стандарте начало останавливать людей от публикации и продажи недоделок? Часто Вы этикетку IPv6 Ready P2 видите?
                                                                      0
                                                                      С каких пор наличие MUST в стандарте начало останавливать людей от публикации и продажи недоделок?


                                                                      С тем же успехом можно продавать коробку с антенной без беспроводного модуля внутри. Или корпус от жёсткого диска с гайками для веса. Это не будет IPv6-роутером, а попытка об этом заявить потребителю станет обманом.

                                                                      Тогда производитель будет вынужден написать, что у него почти IPv6-соместимый роутер, что уже не столь привлекательно выглядит.
                                                                        0
                                                                        А где они заявляют, что это именно IPv6-роутер. У Dlink просто роутер, без протокола. У Keennetic даже слова роутер нет, они продают интернет-центры. И продаются же, главное, чтобы большинство покупателей были удовлетворены.
                                                                        0
                                                                        возможность заранее отправить удалённому узлу свой резервный адрес и бесшовный переход на него


                                                                        Это сломает TCP в текущем виде. Но можно пытаться это исправить с помощью SCTP и MPTCP.
                                                                          0
                                                                          Естественно, что передавать адрес нужно не в TCP, а скажем в расширении пакета IPv6. Тогда ничего не сломается. Я больше переживаю, что маломощные устройства, в которых памяти впритык не захотят хранить резервный адрес каждого соединения. Да и небезопасно это на слово верить первому встречному, что этот адрес его.
                                                                        0
                                                                        Та же проблема существует и с IPv4. И решения примерно те же.

                                                                        Факт. Отчасти это решилось возможностью использовать /24 в глобальной BGP маршрутизации ценой существенного увеличения размера BGP Full View.

                                                                        А какое решение бы вы предложили для реализации роуминга?

                                                                        Память маршрутизаторов существенно подешевела, поэтому видится самый простой вариант — выдавать PI адреса массово всем подряд (а это будут десятки-сотни миллионов подключений для тех, кому нужен PI) и заложить необходимость поддержки пиринга с обычными клиентами.

                                                                        Если добавить некоторые ограничения по агрегации, то совсем уж жирными таблицы не будут.
                                                                        0
                                                                        IPv6 создавали не академики, а крупнейшие западные провайдеры и бизнес. И естественно они проигнорировали интересы тех, кто не участвовал в разработке стандарта. Зачем нужен резерв для xDSL или DOCSIS? Они надёжнее сотовой сети. А если Вам нужны бесконечные девятки доступности, то Вы богатый человек, который наймёт специалиста. А бедный и с претензиями… кому нужен такой клиент?
                                                                          0
                                                                          Ага, а по факту через множество лет оказалось, что второй канал может себе позволить вообще кто угодно, а «безумные девятки» нужны даже для обычного просмотра youtube'а (благо стоимость второго канала для клиентов во многих странах оказывается очень доступной).

                                                                          С другой стороны — обычному пользователю и так хорошо с IPv4+NAT, почти бесшовное переключение каналов работает чуть ли не из коробки.
                                                                          И выходит, что сейчас переезд на IPv6 — это реальный шаг назад :(
                                                              +6

                                                              Да да


                                                              Только в4 знают тупо все эникеи вокруг, а в6 боятся даже опытные админы заюзать. Простой потому что?

                                                                0
                                                                Если сидеть на заднице ровно и не пробовать хотя бы у себя дома внедрять — то можно бояться дальше.
                                                                При том, что на домашнем роутере v6 настраивается буквально в два щелчка. Куда проще то?
                                                                  +3
                                                                  При том, что на домашнем роутере v6 настраивается буквально в два щелчка. Куда проще то?
                                                                  С учетом того, что домашняя сеть это самое простое что только может быть, то было бы удивительно, если бы там все не настраивалось в 2 клика. Только как это поможет что-либо понять? И да, домашние сети — это как раз то место, где IPv6 нафиг не упал.
                                                                    +2
                                                                    И да, домашние сети — это как раз то место, где IPv6 нафиг не упал.
                                                                    А мне вот как раз нафиг упал именно в домашней сети. Начиная от дополнительных IPv6-пиров в торрентах и продолжая прямой связностью с рабочими VPS, у которых тоже IPv6 есть.
                                                                      +4
                                                                      Начиная от дополнительных IPv6-пиров в торрентах
                                                                      IPv6 пиры в торрентах сейчас реально дают заметный прирост в скорости? У меня просто и без них в 99% случаев все просто в пропускную способность сети упирается, а в оставшихся 1% — в то что раздачу ведут полтора человека и скорость у них в принципе не ахти.

                                                                      продолжая прямой связностью с рабочими VPS, у которых тоже IPv6 есть.
                                                                      Ну это совсем специфичный кейс, такое нужно долям процентов пользователей. Если не секрет, а зачем вам прямая связность для VPS?
                                                                        0
                                                                        зачем вам прямая связность для VPS

                                                                        Не знаю сценария DreamingKitten, но мне удонбо делать ssh hostname на внутренние удалённые узлы, ничего не настраивая, кроме, возможно, фаервола на той стороне. Увы, SSH, в отличии от HTTP, не умеет virtual host.
                                                                          0
                                                                          А не напрягает выставление внутренних узлов в общую сеть?
                                                                            0
                                                                            Поэтому на маршрутизаторе с другой стороны может быть фаервол.
                                                                            И если единственный сервис, который биндится на IN[6]ADDR_ANY — это хорошо настроенный sshd, то почему бы и нет?
                                                                              0
                                                                              Понятно. Ну в таком случае это действительно чуть удобнее чем делать VPN, но именно что чуть :(
                                                                                0
                                                                                А как сделать так, чтобы было сильно удобнее, а не чуть? Если вообразить, что у вас есть возможность щелчком пальцев задеплоить любой выдуманный вами протокол на все устройства мира, и одним махом переписать весь легаси-код на его использование.
                                                                                  0
                                                                                  Никак? Ну в том смысле, что VPN для меня уже практически идеальное решение. Настраивается просто, один раз настроил для всей сети и все. С IPv6 не нужно настраивать VPN, но нужно для каждой новой тачки пробрасывать порт. Т.е. тут на лицо плюс в использовании, но минус в конфигурировании. Как сделать так чтобы все из коробки работало и при этом было безопасно — я хз.
                                                                                    0

                                                                                    Как минимум, для удобства DNS или аналогичная система резолвинга человекочитаемых имён должна быть не где-то сверху, а неотъемлемой частью протокола.

                                                                                      0
                                                                                      Вы предлагаете изменить протокол IP так, чтобы он оперировал человекочитаемыми именами вместо адресов? И использовать эти имена вместо адресов для того, чтобы принимать решения о маршрутизации?
                                                                                        0

                                                                                        Можно вместе, а не вместо. Например, если источник пакета знает числовой адрес, то не указывает символьный.


                                                                                        Если что я понимаю, что это если и релиазуемо надёжно и безопасно, то очень дорого будет в эксплуатации.

                                                                            0
                                                                            Для связи с домашним бэкап-сервером.
                                                                          +1
                                                                          С учетом того, что домашняя сеть это самое простое что только может быть, то было бы удивительно, если бы там все не настраивалось в 2 клика. Только как это поможет что-либо понять?

                                                                          А там понимать — меньше чем в v4 по количеству сущностей.

                                                                          1. вам выделяется сабнет /48 или /64 (обычно).
                                                                          2. если вы не хотите маяться с DHCP6 — вам нужен SLAAC, который работает с /64. т.е. если у вас корпоративная сеть — вам нужен /48. если вам не хватит 65535 сабнетов — я очень удивлюсь.
                                                                          3. на роутере сабнета поднимается RADVD, указывается дефолтный интерфейс для роутинга v6 трафика, дальше все работает автомагически.
                                                                            0
                                                                            И тем не менее, какие-то новые сущности есть, и включение IPv6 в 2 клика на домашнем роутере ну никак не приблизит к их пониманию. Мой комментарий как раз об этом.

                                                                            дальше все работает автомагически.
                                                                            А дальше какой-нибудь сервис работающий на каком-нибудь условном древнем jetty поднимет лапки и скажет «не умею я эти ваши IPv6». А дальше сиди и думай как бы так закостылить, чтобы оно все завелось. И в рельной корпоративной сети таких сервисов будет не 1 и не 2. Переход IPv4/IPv6 затрагивает не только IP адреса, но и потенциально вообще все что как-то работает с сетью, а в реальной сети там будут сотни сервисов, и далеко не во всех них есть поддержка IPv6, и далеко не все сервисы которые заявляют поддержку IPv6 реально его поддерживают.
                                                                              0
                                                                              А дальше какой-нибудь сервис работающий на каком-нибудь условном древнем jetty поднимет лапки и скажет «не умею я эти ваши IPv6»

                                                                              Не скажет. Потому что условно древнему jetty абсолютно пофиг на address family. Он получит сокет из соответствующим образом форматированной строки.
                                                                                +2
                                                                                Скажет, ещё как, там, например, есть функция фильтрации подключений по подсети. Как минимум она отъедет при переходе на IPv6. Потенциально может отъехать любой софт, в котором используется адрес. Да банальна какая-нибудь регэкспина проверяющая валидность адреса способна похерить все.
                                                                            +2
                                                                            Давайте проще: я ратую за в6 уже лет 8. Покупал в организацию свою PI-подсеть, чтобы тестить честно, задолбал всех аплинков, которые под это дело были вынуждены сделать в6. Дома у меня в6 туннельный, ибо оператор мой домашний — не осилил, и ему не нужно.

                                                                            Но вот вопрос: сидел я ввиду вируса дома, собрались мы с коллегами в видеонференции. Все всех видят, а меня — нет. Оказалось, что все по в4 работают, а трафик от меня рванулся наружу через в6, и с другими участниками конфы медиа не состыковалась. Привет, конечно, конф-софту (не буду хаять, но — оно российское, у них и так багов на 5 лет фиксения, и в6 для них никак не в приоритете в этом смысле — и так есть что ремонтировать, а покупают у них «под вирус» со страшной силой, и репортят проблемы тоже помногу).

                                                                            Это я к чему: я знаю, как поднять в6. Знаю несколькими способами, и в разных позициях. Я агитировал за него намного раньше, чем многие здесь на Хабре узнали или задумались о нём. Так что говорить, полагаю, право имею, и именно не в стиле «мой роутер осилил, я стал крутым в6-админом!»

                                                                            Более того, замечу, что статьи и посты «как настроить себе в6 годами идут в стиле „туннель поднять не так и сложно“, и почти никто не пишет про „мой оператор дает в6, как его принять и использовать в своей сети. Только правильно настроить от этого а) не стали уметь шире, б) нет желания связываться и ловить баги в) операторы прямо говорят (да, 8 лет точно) “мы в6 даем в режиме теста, т.к. сами не уверены, что он у вас как у клиентов заработает как надо» (и это — про руки, свои и клиентские).

                                                                            Что софт в6 не умеет без багов — известно. Если мы про сеть компании, то нужно, условно, чтобы 1с или Autocad (или какой там софт для работы у нас стоит — и, да, весь рабочий софт) умели в6 «как часы», если про сеть дома, то речь про домашний софт, но тоже весь (хотя бы тот, что в семье используют, чтобы перед домашними не было стыдно).

                                                                            Я уже молчу про старые и не очень ОС, про прооритет в4 или в6. Вот даже отладить работу сайта, который доступен по в4 и по в6: пусть у нас на сервере сломался в6 — в одной и той же локалке, на соседних машинах у кого-то сайт открывается отлично (потому что там в4 имеет приоритет), а на другой сайт не отзывается (на ней поставлен приоритет в сторону в6).

                                                                            Добавляет ли это уверенности всем, начиная с магистралов, и заканчивая конечными пользователями? Нет. Проще не использовать, либо поставить в план себе «разобраться», но потом, «когда уже оно заработает».

                                                                            Так и живем.

                                                                            Так что агитировать — это хорошо, но давайте о жизни.
                                                                              0

                                                                              Добавлю, что куча встроенного оборудования тупо не умеет в6 и менять их не будут минимум 10 лет ибо дорого. У китайцев до сих пор нет дешёвых ethernet контроллеров с поддержкой в6 из коробки, везде допилинг нужен в части прошивки, а это тоже деньги и вычислительных ресурсы тоже деньги.

                                                                                0
                                                                                Покупал в организацию свою PI-подсеть,

                                                                                А частник может себе купить подсеть? Ведь так красиво звучало, каждому по под сети и делай что хочешь. Я думал что платья условно $ в год у меня будет собственная сеть не зависящая от оператора, а по факту что получилось?

                                                                                  0

                                                                                  А — зачем? Купить без проблем, если LIR будет нормальный. Вопрос в аплинках: они-то должны хотеть с вами bgp поднять. Для частника за условные «299 руб в мес за 10 мбит/сек» никто морочиться не будет, сами понимаете.

                                                                                    +1

                                                                                    Так вот и звучали именно призывы, что ipv6 решает все проблемы с маршрутизаций. А тут получается, что не решает. Ну вот домены же стоят не дорого, почему и с ipv6 такого нельзя сделать? Зачем bgp на ipv6?

                                                                                      0
                                                                                      А как вы предлагаете маршрутизировать трафик без bop или аналогов?
                                                                              0
                                                                              Базовая работа с ipv4 можно пояснить начинающему эникею за полчаса. Причем это будет даже не базовая, а нормальное введение.
                                                                              в ipv6 надо месяц вникать, и то без практики все вылетает из головы.

                                                                              При том, что на домашнем роутере v6 настраивается буквально в два щелчка. Куда проще то?

                                                                              А IPv4 в ноль щелчков.
                                                                                0
                                                                                А IPv4 в ноль щелчков.

                                                                                Да щас, ага. DHCP настрой, диапазон адресов выбери, еще и дурацкий NAT, ибо глобальных адресов не хватает.
                                                                                  0
                                                                                  Свой DHCP с дефолтными настройками работает.
                                                                                  NAT по дефолту включен.
                                                                                  Аплинк тоже по DHCP настраивается от провайдера.

                                                                                  То есть при адекватном провайдере — купил, пришел, воткнул — работает.

                                                                                  Только если wifi нужен — придется имя сети и пароль придумать.
                                                                                  А если еще и админский пароль догадался сменить — то уже и защищен, насколько это возможно.
                                                                                    0
                                                                                    Если пофантазировать, что светлое будущее наступило, и везде внедрён IPv6, то будет достаточно купить даже неуправляемый (хотя уже и сейчас таких чипов-то и не делают) коммутатор, в любой порт вставить шнурок от провайдера, в любые другие порты вставить свои компьютеры.

                                                                                    То же самое при адекватном провайдере — купил, пришёл, воткнул — работает.
                                                                                      0
                                                                                      в любой порт вставить шнурок от провайдера, в любые другие порты вставить свои компьютеры.
                                                                                      Оно уже так без всяких IPv6. Разве что все-таки не в любой порт, разделение на WAN/LAN по-умолчанию еще есть.
                                                                                        0
                                                                                        Для разделения коммутатора не хватит, нужен ещё и маршрутизатор. И так будет без всяких IPv6, только если провайдер щедрый на IPv4-адреса.
                                                                                        0
                                                                                        А потом решил пойти в IT, скачал докер с apache или какое-то базовое приложение на Jetty, запустил кубернетес по инструкции в три щелчка и попал на то, что надо оказывается теперь в ipv6 фаервол перенастроить, углубился в документацию и голова лопнула.
                                                                                +1
                                                                                Как правило, попытки выяснить у таких «опытных админов», чем же конкретно их пугает IPv6, начинаются и тут же заканчиваются якобы «сложностью запоминать длинные IP-адреса». Но ни одного примера, где бы потребовалось их запоминать более одного раза при настройке сети, они привести уже не могут. Не говоря о таких простых вещах, как существование ручек и бумаги или там, удалённого доступа к железу с ноутбука.
                                                                                Это просто лень, тут не нужны сложные оправдания.
                                                                                  0
                                                                                  Тут проблема даже не в опытности админов.
                                                                                  Иногда это просто отсуствие информации.
                                                                                  Даже банальный проброс на микротике по IPv6 не везде расписан.
                                                                                  Вот как доступ до сайта дать по IPv6 через mikrotik
                                                                                  awsswa.livejournal.com/42767.html
                                                                                    0

                                                                                    Только это не проброс NAT, а банальная настройка файрвола, который по умолчанию запрещает прямое обращение к устройствам сети. Для понимания этого достаточно знать на уровне mtcna, и посмотреть на цепочку forward.

                                                                                +1
                                                                                NAT не нужен.
                                                                                Ага, и вместо него придется везде втыкать фаервол, ибо сейчас каждая лампочка начинает подключаться к сети. И с безопасностью у IoT девайсов зачастую всё просто охренительно плохо. Сейчас они хоть как-то прикрыты NAT'ом, а вот с IPv6 вся эта хрень начнёт торчать наружу. Нет, кончено более-менее разбирающиеся люди это все понимают и все себе прикроют, благо это просто. Но вот обычные пользователи резко начнут охреневать, ибо их умной лампочкой сможет рулить каждый второй школьник.
                                                                                  0
                                                                                  Между развёртыванием NAT и развёртыванием файерволла принципиальной разницы нет, зачастую для этого даже софт один и тот же используется.
                                                                                  Но вот обычные пользователи резко начнут охреневать, ибо их умной лампочкой сможет рулить каждый второй школьник.
                                                                                  Ой, можно подумать сейчас сотни IPv4 приватных вебкамер не ищутся простыми запросами в гугле. Это не проблема протокола.
                                                                                    0
                                                                                    Между развёртыванием NAT и развёртыванием файерволла принципиальной разницы нет, зачастую для этого даже софт один и тот же используется.
                                                                                    И в итоге мы пришли к тому, что NAT не нужен, но на самом деле нужен.

                                                                                    Это не проблема протокола.
                                                                                    Конечно не проблема протокола, это проблема всех этих миллионов кривых IoT девайсов. Вот только NAT хоть как-то эту кривизну прикрывает. И переход на IPv6 без NAT эту заплатку сорвет. А теперь, внимание вопрос: какой резон условному провайдеру переходить на IPv6 без NAT если это создает проблемы его пользователям?
                                                                                      +2
                                                                                      Наличие NAT не означает, что из внешней сети нельзя инициировать соединение с устройством внутри локальной сети за NATом. Чтобы защитить сеть, нужен именно фаервол, который будет разрешать инициировать соединения изнутри, но запрещать снаружи.
                                                                                        +1
                                                                                        Так в том и проблема.
                                                                                        У меня к примеру роутер TL-WR1042ND умеет работать ipv6, но умеет только трафик пускать по нему и ip раздавать.
                                                                                        Файервол и QoS, черные списки — только для v4.
                                                                                        Потому я сначала поднял ipv6, так как провайдер его даёт, а увидев что у меня все девайсы будут прямиком в сеть смотреть, тут же погасил.
                                                                                          0
                                                                                          Решается сменой прошивки
                                                                                            0
                                                                                            Всем срочно ставить ddwrt?
                                                                                              0
                                                                                              Ну для начала хотя бы DD-WRT, благо у неё спектр поддерживаемых устройств весьма богат. А потом, те, для кого QoS и файрволл не страшные заклинания, дойдут и до OpenWRT, возможности которой безграничны.
                                                                                                0
                                                                                                Вы действительно считаете что каждая домохозяйка должна уметь рулить QoS-ами? А садясь в такси почему-то вам не предлагают пройти курсы вождения, и оказывать помощь таксисту в замене колеса.
                                                                                                  0
                                                                                                  Скажите, каким образом вы из моих слов «те, для кого QoS и файрволл не страшные заклинания» услышали «каждая домохозяйка»?

                                                                                                  Это надо долго тренироваться, чтобы так суметь.
                                                                                                    +1
                                                                                                    А вы пройдитесь вверх по треду и поймёте, что никто тут не утверждает что для пользователей способных настроить свой роутер есть хоть какие-то проблемы. Тут речь о том, что отказ от NAT приведёт к проблемам именно у домохозяек.
                                                                                                      0
                                                                                                      К каким конкретно проблемам приведёт отказ от NAT? Особенно интересуют те проблемы, которых нет сейчас.

                                                                                                      Если хотите рассказать о смотрящих в инет IoT устройствах, начните с того, как потенциальный хакер узнает их IPv6 адрес.
                                                                                                        +1

                                                                                                        Прочитает лог доступа этих IoT к какому-то узлу

                                                                                                          0
                                                                                                          Если у хакера уже есть доступ к узлу, контролирующему IoT инфраструктуру, ему пофигу на v4/v6 — девайс будет легко скомпрометирован в любом случае. Наличие NAT не поможет.
                                                                                                            0

                                                                                                            Если девайс является клиентом в модели сервер-клиент, где сервер — центральный узел, а p2p соединения только в локалке, то наличие NAT поможет. В том же сценарии, если локалка не изолирована логически, все узлы всех подсетей в одной большой сети -интернете- прямо светятся, то...

                                                                                          0
                                                                                          А каким образом при наличии ната устройство из внешней сети сможет установить соединение с локальным устройством?
                                                                                            0
                                                                                            Для этого достаточно отправить в сторону маршрутизатора пакет на внутренний адрес.
                                                                                              0

                                                                                              Штука в том, что такой пакет скорее всего окажется отфильтрован интернет-провайдером, так как он не поймёт куда его роутить (но зато сам интернет-провайдер может отправить такой пакет если захочет, это да)

                                                                                                0
                                                                                                Такой пакет может отправить из соседнего порта коммутатора, если провайдер не спускает по VLAN на каждого абонента. Или врезаться в провод и временно самому стать интернет-провайдером.
                                                                                                  0

                                                                                                  Но всё же это менее вероятно чем какой-нибудь рандомный WannaCry из интернета, не так ли?

                                                                                                    0
                                                                                                    Конечно. Но и WannaCry будет долго перебирать /64, чтобы случайно дойти до десктопа, который находится в сети, на границе которой почему-то не включили фаервол.
                                                                                                0
                                                                                                Да, но раньше я почти во всех how-to вида «Делаем шлюз для дома на ХХХ» в правилах фаервола наблюдал что-то типа
                                                                                                add deny all from any to 10.0.0.0/8 via ${external_face}
                                                                                                add deny all from any to 172.16.0.0/12 via ${external_face}
                                                                                                add deny all from any to 192.168.0.0/24 via ${external_face}

                                                                                                И вроде как этих трёх строчек было достаточно, чтобы не работать шлюзом в обратную сторону.
                                                                                                  0
                                                                                                  Всё так. Но в сети можно найти кучу советов, как настроить NAT в Linux, примерно таких:
                                                                                                  sysctl -w net.ipv4.ip_forward=1
                                                                                                  iptables -t nat -A POSTRUOTING -o ${external_face} -j MASQUERADE

                                                                                                  И FORWARD остаётся пустой с дефолтной политикой ACCEPT.
                                                                                                    0
                                                                                                    Посмотрел — вот тут да, есть косяки, особенно когда настройка в основном идёт через ufw и прочие упрощатели жизни.
                                                                                                    Надо отдать должное FreeBSD — там в дефолтных правилах висят запреты на серые подсети.
                                                                                                0
                                                                                                Ещё есть всякие трюки, которые заставляют ALG работать не так, как задумано. Например, можно заставить пользовательский браузер отправить HTTP-запрос, который ALG ошибочно посчитает DCC-соединением между IRC-клиентами. И дырявые реализации UPnP, подверженные не только CSRF, но и просто выполняющие запросы, пришедшие снаружи, тоже встречаются в домашних роутерах.
                                                                                              0
                                                                                              какой резон условному провайдеру переходить на IPv6 без NAT если это создает проблемы его пользователям?

                                                                                              Если бы провайдерам было дело до пользователей, то они бы не воевали с контентом играясь с приоритетами трафика или даже грубо его подменяя. Вероятно внедрение HTTPS это результат того, что многие пытались стрясти с гугла денег и подменяли рекламу.
                                                                                              Подмена адреса вещь не бесплатная, она требует памяти с низким временем доступа(SRAM желательно). Так же приходится пересчитывать TCP/UDP чек-суммы, ну и чек-суммы самого IPv4. Всё это требует операций процессора(или ASIC), который стоит денег. И электричества, тепло от которого нужно отводить. В этом смысле IPv6 маршрутизировать дешевле. А, чтобы вирусня не плодилась, обычно достаточно фильтра на порты 0-1024. Некоторые даже пытаются продать услугу по снятию данного фильтра.
                                                                                                0
                                                                                                что NAT не нужен, но на самом деле нужен.
                                                                                                Не знаю, с чего такой вывод. Мне NAT ни разу не понадобился там, где я разворачивал IPv6.
                                                                                                Вот только NAT хоть как-то эту кривизну прикрывает. И переход на IPv6 без NAT эту заплатку сорвет.
                                                                                                Нет, не прикрывает. И нет, не сорвёт. Брутфорсить адрес лампочки в /64 будете до конца дней своих. А если вектор атаки предполагает его априорное знание, то вот тут уж точно протокол ни при чём.
                                                                                                  +2
                                                                                                  А если вектор атаки предполагает его априорное знание, то вот тут уж точно протокол ни при чём.
                                                                                                  Комментарии не читаем? Я же уже писал, проблема не в протоколе, проблема в том, что есть туча девайсов, которым прямо противопоказано торчать в публичную сеть. В сетях IPv4 с NAT сейчас это не проблема, в сетях IPv6 без NAT это станет проблемой.
                                                                                                    –1

                                                                                                    В сетях v6 работает файрвол (как собственно и в v4), который по умолчанию дропает пакеты до любого устройства сети. NAT это костыль, а не средство безопасности.

                                                                                                      0
                                                                                                      Речь про существующие девайсы SOHO сегмента, там с фаерволами по умолчанию все грустно. Ну а то что NAT — это костыль с точки зрения безопасности я и не спорил, но костыль нельзя просто так взять и вынуть, его нужно чем-то заменять. В данном случае фаерволом, вот только миллионы уже выпущенных девайсов нельзя просто так взять и обновить.
                                                                                                        0

                                                                                                        В чём тогда преимущество v6 для домохозяйства? :)

                                                                                                          0

                                                                                                          По сравнению с v4, ничего, кроме того, что на конкретное устройство можно обратиться откуда угодно, а не только из локальной сети. Естественно работать это будет при разрешающем правиле файрвола на пограничном устройстве и на самом устройстве (если поддерживает). P2P соединения наконец-то будут прямыми.

                                                                                                            0

                                                                                                            То есть лишь незначительные плюсы по сравнению с пробросом порта на NAT с v4 — типа порт стандартный, а не свободный на роутере? Если как-то решить проблему нечеловеческих адресов.


                                                                                                            Неудивительно, что переход затянулся несколько...

                                                                                                              0
                                                                                                              Порты очень уж неудобно пробрасывать. Приходится запоминать, что 2200 — это роутер, 2201 — NAS, а 2202 — десктоп. А в другой сети порты выделены по-другому. А потом на десктопе появляются контейнеры с виртуалками, и схема становится ещё сложнее. Скорее бы DNS SRV всюду заработал.
                                                                                                                +1

                                                                                                                А с v6 адреса запоминать )

                                                                                                                  +1
                                                                                                                  Пока не внедрён DNS SRV, можно использовать DNS AAAA. С IPv4 так не получится, потому что столько адресов за разумные деньги никто домой не даст.
                                                                                                                  Проброс ещё неудобен тем, что когда транзитных узлов несколько (роутер-десктоп-виртуалка), то нужно либо настраивать делегацию внутренних IPv4-сетей, либо пробрасывать порты по цепочке. А в IPv6 можно тупо свалить всё в один бридж LAN (где домашняя /64), и оно будет работать.
                                                                                                                    0

                                                                                                                    Вот последнее важно, наверное, для меня. Как-то не думал, что v6 это решить поможет, когда нужно. Правда встанет вопрос, а что делать когда не нужно )

                                                                                                                      0
                                                                                                                      Правда встанет вопрос, а что делать когда не нужно

                                                                                                                      Всё то же самое, что и с IPv4 — закрыться фаерволом на границе сетей.
                                                                                                                        0

                                                                                                                        Так сейчас этого в большинстве случаев не делают в SOHO, порты пробрасывают на нужную "наружу" даже в пределах одного физического хоста

                                                                                                        0
                                                                                                        Нет, не станет. То, что в v4 сетях NAT выполняет функции фаерволла, это случайный побочный эффект. Он не для этого придуман и не для этого должен использоваться. В грамотно спроектированной сети фаерволлом должен быть именно фаерволл, и ничто другое. И он, естественно, будет в v6-capable маршрутизаторах, с чего вы взяли обратное?
                                                                                                          +2
                                                                                                          Он не для этого придуман и не для этого должен использоваться
                                                                                                          Мы как будто на разных языках говорим. Я тут нигде не утверждал, что NAT — это хорошее средство безопасности. Я утверждал, что несмотря на то что функцию защиты он выполняет хреново, он все-таки используется в таком качестве, это объективный факт. И нельзя просто так взять и выкинуть этот элемент и не заменить чем-нибудь. Да, фаерволл — это ровно то что нужно, но блин, есть уже 100500 девайсов, на которых этот фаерволл настроен никак, либо вообще не настраивается.

                                                                                                          В грамотно спроектированной сети фаерволлом должен быть именно фаерволл, и ничто другое.
                                                                                                          Да никто тут не утверждал, что в грамотно спроектированных сетях могут быть проблемы с IPv6, вот только основные потребители контента в интернете — это человеки, которые сидят из дома через SOHO роутеры. И вот 99.99% пользователей SOHO роутеров вообще не задумываются о каком-либо проектировании домашней сети.

                                                                                                          И он, естественно, будет в v6-capable маршрутизаторах, с чего вы взяли обратное?
                                                                                                          С того, что уже есть на рынке? Нет, в светлом будущем конечно все это будет учтено. Но вот что делать с оборудованием, которое есть сейчас у домохозяек?
                                                                                                            0
                                                                                                            Домохозяйка готова менять роутеры быстрее, чем датацентры, её проще мотивировать. В домашних роутерах как правило есть и wi-fi, поэтому достаточно соседу поставить ещё более мощный генератор помех, и сервисам потокового видео поднять качество, и вот всё начинает совсем плохо работать, и пора идти в магазин за новым.
                                                                                                            0

                                                                                                            Уже достаточно давно продаются v6-capable роутеры, у которых файерволла для v6 нет. То есть файерволл в v6 — это не естественно, это воля вендора должна быть добавить его, да и UI понятным каждой домохозяйки и/или девайсами/софтами "пробивающими" его изнутри.

                                                                                                              0

                                                                                                              А можно конкретные примеры таких, для общего развития и составления списка «плохих» роутеров?

                                                                                                                0

                                                                                                                Увы, не вспомню, это в отзывах было, когда последний раз роутер выбирал. Хотя v6 в ближайшем времени не светит, но захотел выбрать с поддержкой и столкнулся с таким понятием как "минимальная поддержка", когда роутер работает как тупой маршрутизатор без возможности что-то где-то подтюнить. Где-то чуть больше, где-то чуть меньше, но в отзывах было "не берите для в6 — открывает всю сеть наружу"

                                                                                                              +1
                                                                                                              Вы так говорите, как будто побочный эффект — это плохо. Это было бы плохо, если бы сам эффект был нежелательный, а в нашем случае мы автоматически и без дополнительной настройки получаем вполне достаточную защищённость домашней сети.

                                                                                                              То, что в IPv6-случае этой защищённости по умолчанию не будет и потребуются лишние телодвижения, чтобы включить фаерволл — это конечно же никак не является преимуществом IPv6.
                                                                                                                0
                                                                                                                Ну так и то, что микроскопом таки можно забить пару гвоздей — это тоже побочный эффект, и, наверное, неплохой в какой-то мере. Вдруг молотка под рукой не окажется, да?

                                                                                                                Если у вас «достаточная защищённость домашней сети» состоит в единственном правиле, запрещающем на входе всё, чего нет в таблице трансляции — ну и флаг в руки. В реальной жизни всё чуть сложнее — кому-то надо порты пробросить, кому-то заблокировать надоедливую баннерную сеть и так далее. Файрволл необходим в любом случае.

                                                                                                                А понадеявшись на всемогущий NAT, можете обломаться, когда какой-то умник пробьёт его через hole punching.
                                                                                                                  +1
                                                                                                                  Ну это всё притянутые за уши примеры, которые я никогда в реальной жизни обычного человека не видел. Обычные люди даже и слов таких не знают — «порты пробросить».

                                                                                                                  Ну да, допустим, теоретически могут быть умники, которые могут найти дыру в NAT и причинить какой-то ущерб. Но если вероятность испытать это на себе меньше, чем попасть под трамвай, то защищаться от такой угрозы бессмысленно.
                                                                                                                    0
                                                                                                                    Проблема не столько в плохой защите в случае NAT и хорошей в случае фаервола, а в подмене понятий. Рассматривая NAT в качестве защиты можно создать ложное впечатление безопасности.
                                                                                                                    Это как вместо заваривания лишней входной двери в квартире прикрыть её огромным тяжёлым шкафом — почти всегда будет работать, но это не является предназачением шкафа, хотя и частично даёт желаемый результат в качестве побочного эффекта. А ещё удобно ведь, шкафом умеет пользоваться больше людей, чем сварочным аппаратом, да и полочки есть.
                                                                                                                      +1
                                                                                                                      Сейчас всё устроено так, что у пользователя не получится выйти в интернет небезопасным образом. Систему с таким полезным свойством на самом деле даже целенаправленно не просто спроектировать, а тут оно само получилось. Если предлагается что-либо на замену этого, то как минимум свойства замены должны быть не хуже, а тут у IPv6 провал.

                                                                                                                      Я не согласен, что при этом получается ложное впечатление безопасности, так как те угрозы, которые остаются, требуют большого сочетания факторов для их эксплуатации и, соответственно, уже несущественны на фоне более вероятных угроз. То есть, безопасность от NAT — адекватная.

                                                                                                                      То, что якобы кто-то хотел чтобы NAT использовали для одного, а эти мерзкие людишки приспособили его для другого — это не объективная претензия. Пользователи не видят в этом никакой проблемы и вообще им не важно то, что с точки зрения некоторых это философски неверно устроено где-то внутри.
                                                                                                                        0
                                                                                                                        В типичном SOHO-роутере помимо NAT есть ещё и фаервол. И вот именно он и защищает пользовательскую сеть от подключений снаружи. И почти везде он по-умоланию включен. А NAT просто занимается переписыванием адресов.
                                                                                                                        Если NAT выключить, то фаервол останется.
                                                                                                                        Другой вопрос насколько адекватно он настроен, но в openwrt/ddwrt в этим всё хорошо — пользователь может не разбираться в сетях совсем, и получить адекватный набор правил, который не будет ему мешать, и при этом не давать злоумышленнику подключиться снаружи. Возможно, что в современных прошивках от вендоров тоже всё неплохо, но я давно не проверял.
                                                                                                                          0
                                                                                                                          Ну вот у меня типичный «SOHO роутер» — keneetic giga — по-умолчанию фаерволл конечно включен (он вообще не отключаемый), но вот по-умолчанию он вообще без каких-либо правил. А всякие ddwrt — это уже не «по-умолчанию», это как минимум накатывать прошивку надо. Если честно, не помню ни одного роутера из тех с которыми сталкивался, который бы из-коробки имел хоть как-то настроенный фаерволл. Впрочем я только zyxel'ами и dlink'ами пользовался.
                                                                                                                            0
                                                                                                                            он вообще не отключаемый

                                                                                                                            Через консольку отключаемый


                                                                                                                            по-умолчанию он вообще без каких-либо правил

                                                                                                                            Есть скрытые правила, которые работают, я проверял — обойти NAT на кинетиках нельзя, если фаервол не отключать (правда, прямой доступ по IPv6 я что-то не проверял, надо будет проверить)

                                                                                                            0
                                                                                                            Брутфорсить адрес лампочки в /64 будете до конца дней своих

                                                                                                            а если не брутфорсить, а сниффить?

                                                                                                        +2

                                                                                                        NAT is not a security feature.
                                                                                                        Серьёзно. Закрывать лампочки от внешнего мира — не задача NAT, и он её не решает совершенно. Какой-нибудь вполне нередкий full-cone и весь интернет сможет увидеть голый сокет вашей лампочки, радостно свисающий наружу. Закрывать должен (и закрывает) фаервол, желательно stateful. Точка.
                                                                                                        Кроме того достаточно дико выглядит сама идея найти ваши лампочки даже в условной /64, которую получит их сегмент сети в вашем жилище. Это просто охренеть, не встать, сколько адресов нужно перебрать при условии случайного распределения ip адресов девайсов в подсети.
                                                                                                        Единственное применение (впрочем кажущееся мне весьма востребованным в теории) — избавление от необходимости менять всю адресацию в инфраструктуре абстрактной фирмы при смене оператора. Потому что PI всем получать — маразм, а пиринг с каждым ООО "Вектор" провайдеры откажутся поднимать.

                                                                                                          0

                                                                                                          А чем принципиально сеть небольшой компании отличается от домашней?

                                                                                                            0
                                                                                                            Да NAT is not security feature, но так уж получилось что для home user NAT это ещё одна линия обороны.
                                                                                                              0
                                                                                                              Только если у него вместе с NAT есть ещё и правильно настроенный фаервол. Иначе ничто не помешает злоумышленнику-соседу сделать ip route add $iot_lamp via $home_user_router и настроить свой TCP/IP стек так, чтобы он не удивлялся работе SNAT на стороне $home_user_router.
                                                                                                              +3
                                                                                                              Серьёзно. Закрывать лампочки от внешнего мира — не задача NAT, и он её не решает совершенно.
                                                                                                              Да, я прекрасно понимаю, что для защиты нужно использовать файервол, а не NAT. Да, защита — это не задача NAT, но он её, по факту, решает для очень большой прослойки пользователей. Да, решает хреново. Да, это адский костыль. Но он, блин, хоть как-то, но работает. Нельзя просто так взять и выкинуть костыль не заменив его чем-то.

                                                                                                              Можно сколь угодно долго разглагольствовать как правильно настраивать домашнюю сеть. Вот только типичный пользователь не будет этим заниматься, не будет этим заниматься и «домашний мастер за 500р в час». Если просто взять и выкинуть NAT и сказать всем «настраивайте firewall», то получится как сейчас в Москве с масками, когда люди носят одноразовые маски по несколько недель тем самым только хуже себе делая.
                                                                                                                0
                                                                                                                Кроме того достаточно дико выглядит сама идея найти ваши лампочки даже в условной /64, которую получит их сегмент сети в вашем жилище. Это просто охренеть, не встать, сколько адресов нужно перебрать при условии случайного распределения ip адресов девайсов в подсети.

                                                                                                                Очень даже не дико. И даже уже находили способ найти устройства.
                                                                                                                https://habr.com/ru/post/276831/

                                                                                                              0

                                                                                                              dhcp6 не нужен, но он есть.
                                                                                                              nat6 не нужен, но иногда нужен (и опять же он есть).


                                                                                                              так что стало проще?

                                                                                                            +2

                                                                                                            Провайдер не поддерживает ipv6. Настроил tunnelbroker. В итоге за 9 суток 678Гб общего трафика, из них 492Гб по ipv6..

                                                                                                              +2

                                                                                                              Это хорошо или плохо?

                                                                                                                0

                                                                                                                Это не хорошо и не плохо. Это говорит о том, что ресурсы ipv6 есть и активно используются.

                                                                                                                  0
                                                                                                                  youtube да facebook?
                                                                                                              –1

                                                                                                              Вся проблема, что IPv6 гемор ещё больший для правительства, чем интернет. Его и так тяжело контролировать. Даже в IPv4 списки блокировки убивают оборудование… с IPv6 будет ещё хуже. Видимо поэтому, найти провайдера с нативной поддержкой IPv6 просто нереально. А даже если и нашёл в своём городе (для примера, Новосибирск), то не факт, что он у тебя в доме услуги предоставляет. Максимум через партнёров, которые хотя бы статический IP выдают бесплатно, так что можно юзать хотя бы 6to4.
                                                                                                              P.S. А в импортозамещённом оборудовании от того же местного Eltex поддержки IPv6 нет даже в прошивке, несмотря на то, что 802.11ac присутствует (оборудование не совсем древнее).

                                                                                                                0
                                                                                                                Не надо Eltex поддержку ipv6, пусть вначале остальное сделают чтобы работало… на изоляции весенней пришлось мне тут voip шлюз их оживлять -КАК можно вообще было на рынок выпускать столь глючное изделие с преглючнейшей прошивкой — они его вообще при отгрузке НЕ проверяют?
                                                                                                                  0

                                                                                                                  Вы же понимаете, что глючность изделия касается не конкретно этого шлюза, а серии вообще, инженеры наверняка более-менее в курсе, но менеджмент требует выпускать уж