ну то есть вы подтверждаете мои слова: хотели избавиться от dhcp, в результате не вышло.
Он стал опционален. Маршрутизатор без него справится! Но если тебе нужен контроль над сетью, то можешь поднять сервис DHCP. Да и когда маршрутизатор делает RA, то зачем забивать сообщение ненужной для большинства узлов информацией. В DHCP много параметров можно добавить.
ну расскажите мне, как без nat пустить часть трафика на одного провайдера, а часть — на другого (или, для реалий рф, в vpn)
Вот тут просто с ходу не подскажу. Я не знаком так глубоко с IPv6. Но, вроде, есть механизмы, когда IP пакеты от одного узла могут идти разными путями. Позвольте уже тут вас попросить погуглить. У меня просто не было соответствующих кейсов.
Он не нужен для домашней сетки, но может понадобиться для сети предприятия. Там кроме выдачи IP адресов и DNS есть ещё куча возможностей. Например, можно объявить адрес TFTP сервера и указать образ для загрузки по сети.
nat6 не нужен, но иногда нужен (и опять же он есть).
Протокол спроектирован таким образом, что при соблюдении рекомендаций из RFC такая штука как NAT не нужна. Она просто будет сжирать ресурсы узла. А зачем, если этого можно избежать просто правильно спроектировав сеть? Но если у вас есть пистолет, то это ваше дело, стрелять себе в ногу или не стрелять.
Ну такие железки вы и в интернет вряд ли захотите выпускать. Изначально для них костыль можно сделать в виде шлюза. А дальше уже на поставщика наехать, что у них недоработка в продукте (если IPv6 будет массовым).
Это действительно странно, пробрасывать в bgp сеть, которая должна отдаваться для одного клиента. Также странно, как отдавать сеть /30 в IPv4. Тут могу сказать одно, либо что-то я не так понял, либо те, кто так пробрасывает.
Проблема с внедрением не столько в самом протоколе как таковом, а в куче старых устройств, не поддерживающих IPv6 - причём как роутеров, которые менять никто не хочет
Это ж на сколько должно быть старое устройство? Я вот в 2016 году покупал самый дешёвый маршрутизатор Asus, временно, потому что у меня был только 802.11b. И вот тот маршрутизатор за 1200 рублей в обычном магазине не то, что умел в IPv6, но у него даже были предусмотрены механизмы для получения IPv6, если его не поддерживает провайдер. А годом позже я пробовал на нём нативный IPv6 от провайдера и всё работало.
Windows XP тоже вроде из обращения массового вышла. В ней не только с IPv6 проблема, но и с https, с браузерами и приложениями для сети.
роутинг же строится не географически, а по связности в bgp.
Региональным регистратором выдаётся сеть /32. Т.е. теперь у провайдера для 65536 клиентов будет одна запись в глобальной таблице маршрутизации. Но оператор, скорее всего, не выдаст /48, а выдаст /56, т.е. этого хватит на 256*65536 клиентов, каждый из которых сможет себе организовать до 256 сетей. Например, так делает Ростелеком для домашних пользователей (но при этом отказывается, что у него вообще в рабочем состоянии IPv6 и не принимает заявки на исправление косяков).
А сколько при этом записей IPv4 в нашинкованной адресации для того же количества пользователей? Ещё и часть клиентов приходится под NAT провайдерский загонять, иначе не хватит адресов. Для клиента это вообще двойной NAT.
в том то и дело, что адрес растёт в 4 раза, так что и записи растут не немного. что в conntrack, что в таблицах маршрутизации.
Для домашнего маршрутизатора большая таблица вообще не проблема. Оперативка нынче дёшева. А вот на глобальном уровне таблицы маршрутизации для IPv6 легче, потому что там не надо свободные блоки адресов перекидывать из региона в регион. Каждый регион имеет огромный запас адресов, а если ему будет мало, может получить ещё один огромный запас и займёт это ровно одну запись. Нашёл, что IPv4 адреса уже на блоки /26 кромсают. И все эти блоки должны глобально маршрутизироваться.
ещё раз: чем всем? таблица conntrack остаётся. убирается изменение нескольких байт в заголовке пакета.
Отслеживать соединения нужно только для устройств, которые вы защищаете этим своим внешним файерволом. Для всех остальных пакеты ходят свободно и ничего отслеживать вообще не нужно. Ну и для NAT тоже нужно время извлечь информацию о получателе, исправить это всё в заголовке пакета и уже потом его отправлять.
Ну и не забываем о постоянно растущей стоимости IPv4 адресов ввиду их исчерпания.
А в честь чего она будет жирнее? Количество записей в ней не изменится, разве что размер записи немного вырастет из-за длины адреса. Зато отпадает надобность в NAT и со всем, что с ним связано. Просто проверили реквизиты пакета, убедились, что ему можно проходить и отправили дальше в таком же виде, в каком он есть.
Я надеюсь за 2 года вы передумали. NAT ничего толком не решает. NAT просто позволяет через один адрес принимать входящие подключения для кучи адресов. Если вы выкидываете NAT, то просто теперь вместо ресурсоёмкой операции NAT (нужно кучу всего хранить в таблицах, нужно изменять проходящие пакеты) просто запрещаете все входящие на устройство по умолчанию. Теперь всё, что вам нужно делать, запоминать, что есть сессия TCP и разрешать входящие пакеты для неё, ровно тоже, что вам нужно делать при NAT, только без модификации пакетов. А чтобы разрешить доступ извне теперь не нужно делать проброс портов, вы просто разрешаете прохождение пакетов на нужный адрес и порт.
Для меня IPv4 как Internet Explorer недавно. Вроде бы и нафиг не нужен, но всё равно на него надо было рассчитывать и усложнять код, добавлять костыли.
Дополнение из будущего. Железка от Eltex всё-таки сдохола. Заменили её на Sercomm. Там поддержка IPv6 есть. И, о чудо, включив нативный IPv6 я обнаружил, что он на Ростелекоме работает, выдают сеть /56. Но радость была недолгой. Оказалось, что все входящие соединения чем-то блокируются. Т.е. даже имея белый IPv6 адрес вы не сможете получить соединение для аудио/видеозвонков, торрентов, а Wireguard работать не будет. Кроме этого, даже не смотря на заказанный белый IPv4, префикс IPv6 выдаётся динамически. Пользы от такого IPv6 мало, но на сайты ходить можно.
Позже проверил в другом регионе с маршрутизатором Asus. Там есть возможность отключить брандмауэр или создать разрешающие правила. Однако, там тоже входящие не проходят, блокируются оператором.
В поддержку обращаться бесполезно. Сказали, мол мы вообще рекомендуем нашим инсталляторам отключать поддержку IPv6. Так что, мол считайте, что поддержки этой нет, а если и есть, то пользуйтесь тем, что есть. А ещё случайно протестировал глюк биллинга. Забыл заплатить за интернет и не сразу понял, что интернет отключили, т.к. соединение IPv6 продолжало работать как ни в чём не бывало. Для того же Youtube вполне достаточно. За одно выяснил, что большинство отечественных сайтов не имеет IPv6 адреса, в том числе и Хабр. Как-то странно для IT-ресурса!
Странная какая-то логика. Софт, который позволяет софту работать - это программа вредоносная, а неожиданно отказавшее оборудование из-за того, что производитель по какой-то причине решил отключить ваше устройство программно - это не состав преступления.
Ipv6 странный, его сложно запомнить для админов, отсутствие нат: возможность вычислять по айпи и хорошие возможности для вирусни.
Ой! Да бросьте. Вместо 192.168.1.1 можно использовать fcaa::1. Намного сложнее? С «белыми» адресами сложнее, но тоже не так страшно 2a01:ca10:200:138::1, а то и вовсе 2a01:ca10:200::1 можно серверу назначить (если у вас сетка /48). Ну а огромные адреса на клиентах - это скорее преимущество, поскольку теряется всякий смысл в переборе адресов. Вычисление по IP примерно на том же уровне, что и с IPv4. Вирусня также и через NAT может общаться и рассылаться.
Почему бы не ввести к примеру протокол так, чтобы он был обратно совместимым. Добавить там какую-то цифру или 512 вместо 256 сделать или подобное. Такая малая штука, и все заработает надолго хорошо
:) Какое милое рассуждение. Посмотрите на содержимое IP пакета. Там выделено 32 бита на адреса. Чтобы вместо 256 использовать 512 нужно к каждому октету добавить по 1 биту, т.е. будет требоваться уже 36 бит. Если ещё цифру добавить, то будет 40 бит. А куда их засунуть, если у нас всего 32 бита? Куда-то ещё? Тогда мы уже ломаем совместимость. А если мы ломаем совместимость, зачем нам тянуть за собой косяки предыдущего протокола и делать его похожим, но несовместимым?
Благодаря такому большому запасу адресов можно распределять блоки огромного размера между регионами. В результате резко уменьшается количество маршрутных записей в таблицах маршрутизации на глобальном уровне, а значит всё будет работать чуточку быстрее.
Я в одном чате хостинг-провайдера шум поднял, мол как так, нет IPv6 на VPS. Некоторые личности мне доказывали, мол нафиг он нужен, его никто не использует. Зато на следующий день были мелкие косяки с сетью. Как объяснила поддержка провайдера, настраивают IPv6 :-D Оперативно сработали :) А в чём прикол? Да в том, что люди заказывают себе VPS, а потом приходят в этот же чат и регулярно жалуются, мол заказали в Амстердаме, а у нас Московский IP. И поддержка постоянно объясняет людям, мол это потому, что ваша база GeoIP не обновились, мол вы пингами проверьте где ваш сервер и подождите начала месяца, когда базу обновят. А это же по сути та самая проблема с IPv4, то можно добавить на серверы только б/у адреса, которые сейчас числятся, возможно, в других локациях.
У вас как минимум процессор помощнее, так что у вас буст по времени распаковки мог быть. 486 уже мог в моно режиме воспроизводить MP3 файлы. 386 намного скромнее.
Забавное предсказание на счёт числа лет. Увы, даже в 2022 году я нашёл, что IPv6 на моём провайдере работает нативно... но как-то неполноценно. Входящие соединения не проходят, как ты не старайся. Например, Wireguard даже соединение показывает, но при этом обмена нет. По TCP тоже не соединиться. Но при этом, судя по фильтрам iptables, не меньше 50% трафика идёт именно по IPv6. Скорее даже все 60%, а если не включать торренты, то и все 80%. IPv4 - он как Internet Exporer. Все не нравится, но хрен от него избавишься. Кстати, даже habr.com не имеет IPv6 адреса :-( И это в 2022 году.
Стоит отметить, что поднять ftp, который будет работать - это отдельная проблема. Не сложная, но когда понимаешь, что все это же можно делать через ssh, который уже есть на сервере, то возникает вопрос, зачем мне ещё один софт. Ну и разные приколюхи, присущие.ftp, когда клиент работает через прокси или NAT тоже доставляют веселье.
Да понятное дело, что сервер нужен за периметром чебурнета. То, что внутри, то рано или поздно прикроют. Блокировка протокола? На каком основании? Скорее всего просто блокируют публичные серверы, т.е. блокировки идут не wg, а vpn как такового.
Да и где наша не пропадала. Первый раз что-ли пути обхода разных блокировок искал? Будет необходимость, буду искать новые способы.
Мне нужен был белый IP адрес для ноутбука. Я просто взял дешёвый VPS и поднял до него Wireguard. Но не стал в него загонять весь свой трафик, а использовал только для связи между ноутбуком и сервером. На сервере просто поднял socks сервер и теперь пользуюсь им, если нужно. Весь трафик идёт внутри туннеля. И, да. Ничего не пришлось собирать из исходников. Да и при желании можно весь трафик запихать в туннель, просто создав другую конфигурацию на клиенте.
Он стал опционален. Маршрутизатор без него справится! Но если тебе нужен контроль над сетью, то можешь поднять сервис DHCP. Да и когда маршрутизатор делает RA, то зачем забивать сообщение ненужной для большинства узлов информацией. В DHCP много параметров можно добавить.
Вот тут просто с ходу не подскажу. Я не знаком так глубоко с IPv6. Но, вроде, есть механизмы, когда IP пакеты от одного узла могут идти разными путями. Позвольте уже тут вас попросить погуглить. У меня просто не было соответствующих кейсов.
Он не нужен для домашней сетки, но может понадобиться для сети предприятия. Там кроме выдачи IP адресов и DNS есть ещё куча возможностей. Например, можно объявить адрес TFTP сервера и указать образ для загрузки по сети.
Протокол спроектирован таким образом, что при соблюдении рекомендаций из RFC такая штука как NAT не нужна. Она просто будет сжирать ресурсы узла. А зачем, если этого можно избежать просто правильно спроектировав сеть? Но если у вас есть пистолет, то это ваше дело, стрелять себе в ногу или не стрелять.
Ну такие железки вы и в интернет вряд ли захотите выпускать. Изначально для них костыль можно сделать в виде шлюза. А дальше уже на поставщика наехать, что у них недоработка в продукте (если IPv6 будет массовым).
Это действительно странно, пробрасывать в bgp сеть, которая должна отдаваться для одного клиента. Также странно, как отдавать сеть /30 в IPv4. Тут могу сказать одно, либо что-то я не так понял, либо те, кто так пробрасывает.
Это ж на сколько должно быть старое устройство? Я вот в 2016 году покупал самый дешёвый маршрутизатор Asus, временно, потому что у меня был только 802.11b. И вот тот маршрутизатор за 1200 рублей в обычном магазине не то, что умел в IPv6, но у него даже были предусмотрены механизмы для получения IPv6, если его не поддерживает провайдер. А годом позже я пробовал на нём нативный IPv6 от провайдера и всё работало.
Windows XP тоже вроде из обращения массового вышла. В ней не только с IPv6 проблема, но и с https, с браузерами и приложениями для сети.
Региональным регистратором выдаётся сеть /32. Т.е. теперь у провайдера для 65536 клиентов будет одна запись в глобальной таблице маршрутизации. Но оператор, скорее всего, не выдаст /48, а выдаст /56, т.е. этого хватит на 256*65536 клиентов, каждый из которых сможет себе организовать до 256 сетей. Например, так делает Ростелеком для домашних пользователей (но при этом отказывается, что у него вообще в рабочем состоянии IPv6 и не принимает заявки на исправление косяков).
А сколько при этом записей IPv4 в нашинкованной адресации для того же количества пользователей? Ещё и часть клиентов приходится под NAT провайдерский загонять, иначе не хватит адресов. Для клиента это вообще двойной NAT.
Для домашнего маршрутизатора большая таблица вообще не проблема. Оперативка нынче дёшева.
А вот на глобальном уровне таблицы маршрутизации для IPv6 легче, потому что там не надо свободные блоки адресов перекидывать из региона в регион. Каждый регион имеет огромный запас адресов, а если ему будет мало, может получить ещё один огромный запас и займёт это ровно одну запись. Нашёл, что IPv4 адреса уже на блоки /26 кромсают. И все эти блоки должны глобально маршрутизироваться.
Отслеживать соединения нужно только для устройств, которые вы защищаете этим своим внешним файерволом. Для всех остальных пакеты ходят свободно и ничего отслеживать вообще не нужно. Ну и для NAT тоже нужно время извлечь информацию о получателе, исправить это всё в заголовке пакета и уже потом его отправлять.
Ну и не забываем о постоянно растущей стоимости IPv4 адресов ввиду их исчерпания.
А в честь чего она будет жирнее? Количество записей в ней не изменится, разве что размер записи немного вырастет из-за длины адреса. Зато отпадает надобность в NAT и со всем, что с ним связано. Просто проверили реквизиты пакета, убедились, что ему можно проходить и отправили дальше в таком же виде, в каком он есть.
Я надеюсь за 2 года вы передумали. NAT ничего толком не решает. NAT просто позволяет через один адрес принимать входящие подключения для кучи адресов. Если вы выкидываете NAT, то просто теперь вместо ресурсоёмкой операции NAT (нужно кучу всего хранить в таблицах, нужно изменять проходящие пакеты) просто запрещаете все входящие на устройство по умолчанию. Теперь всё, что вам нужно делать, запоминать, что есть сессия TCP и разрешать входящие пакеты для неё, ровно тоже, что вам нужно делать при NAT, только без модификации пакетов. А чтобы разрешить доступ извне теперь не нужно делать проброс портов, вы просто разрешаете прохождение пакетов на нужный адрес и порт.
Для меня IPv4 как Internet Explorer недавно. Вроде бы и нафиг не нужен, но всё равно на него надо было рассчитывать и усложнять код, добавлять костыли.
Дополнение из будущего. Железка от Eltex всё-таки сдохола. Заменили её на Sercomm. Там поддержка IPv6 есть. И, о чудо, включив нативный IPv6 я обнаружил, что он на Ростелекоме работает, выдают сеть /56. Но радость была недолгой. Оказалось, что все входящие соединения чем-то блокируются. Т.е. даже имея белый IPv6 адрес вы не сможете получить соединение для аудио/видеозвонков, торрентов, а Wireguard работать не будет. Кроме этого, даже не смотря на заказанный белый IPv4, префикс IPv6 выдаётся динамически. Пользы от такого IPv6 мало, но на сайты ходить можно.
Позже проверил в другом регионе с маршрутизатором Asus. Там есть возможность отключить брандмауэр или создать разрешающие правила. Однако, там тоже входящие не проходят, блокируются оператором.
В поддержку обращаться бесполезно. Сказали, мол мы вообще рекомендуем нашим инсталляторам отключать поддержку IPv6. Так что, мол считайте, что поддержки этой нет, а если и есть, то пользуйтесь тем, что есть.
А ещё случайно протестировал глюк биллинга. Забыл заплатить за интернет и не сразу понял, что интернет отключили, т.к. соединение IPv6 продолжало работать как ни в чём не бывало. Для того же Youtube вполне достаточно. За одно выяснил, что большинство отечественных сайтов не имеет IPv6 адреса, в том числе и Хабр. Как-то странно для IT-ресурса!
Странная какая-то логика. Софт, который позволяет софту работать - это программа вредоносная, а неожиданно отказавшее оборудование из-за того, что производитель по какой-то причине решил отключить ваше устройство программно - это не состав преступления.
Ой! Да бросьте. Вместо 192.168.1.1 можно использовать fcaa::1. Намного сложнее? С «белыми» адресами сложнее, но тоже не так страшно 2a01:ca10:200:138::1, а то и вовсе 2a01:ca10:200::1 можно серверу назначить (если у вас сетка /48). Ну а огромные адреса на клиентах - это скорее преимущество, поскольку теряется всякий смысл в переборе адресов. Вычисление по IP примерно на том же уровне, что и с IPv4. Вирусня также и через NAT может общаться и рассылаться.
:) Какое милое рассуждение. Посмотрите на содержимое IP пакета. Там выделено 32 бита на адреса. Чтобы вместо 256 использовать 512 нужно к каждому октету добавить по 1 биту, т.е. будет требоваться уже 36 бит. Если ещё цифру добавить, то будет 40 бит. А куда их засунуть, если у нас всего 32 бита? Куда-то ещё? Тогда мы уже ломаем совместимость. А если мы ломаем совместимость, зачем нам тянуть за собой косяки предыдущего протокола и делать его похожим, но несовместимым?
Благодаря такому большому запасу адресов можно распределять блоки огромного размера между регионами. В результате резко уменьшается количество маршрутных записей в таблицах маршрутизации на глобальном уровне, а значит всё будет работать чуточку быстрее.
Я в одном чате хостинг-провайдера шум поднял, мол как так, нет IPv6 на VPS. Некоторые личности мне доказывали, мол нафиг он нужен, его никто не использует. Зато на следующий день были мелкие косяки с сетью. Как объяснила поддержка провайдера, настраивают IPv6 :-D Оперативно сработали :)
А в чём прикол? Да в том, что люди заказывают себе VPS, а потом приходят в этот же чат и регулярно жалуются, мол заказали в Амстердаме, а у нас Московский IP. И поддержка постоянно объясняет людям, мол это потому, что ваша база GeoIP не обновились, мол вы пингами проверьте где ваш сервер и подождите начала месяца, когда базу обновят. А это же по сути та самая проблема с IPv4, то можно добавить на серверы только б/у адреса, которые сейчас числятся, возможно, в других локациях.
У вас как минимум процессор помощнее, так что у вас буст по времени распаковки мог быть. 486 уже мог в моно режиме воспроизводить MP3 файлы. 386 намного скромнее.
OSR2 у меня ставилась на 386DX с 4 мегабайтами оперативки аж 3 с лишним часа :) Так что вспоминайте сколько сами ставили :-D
Забавное предсказание на счёт числа лет. Увы, даже в 2022 году я нашёл, что IPv6 на моём провайдере работает нативно... но как-то неполноценно. Входящие соединения не проходят, как ты не старайся. Например, Wireguard даже соединение показывает, но при этом обмена нет. По TCP тоже не соединиться. Но при этом, судя по фильтрам iptables, не меньше 50% трафика идёт именно по IPv6. Скорее даже все 60%, а если не включать торренты, то и все 80%.
IPv4 - он как Internet Exporer. Все не нравится, но хрен от него избавишься.
Кстати, даже habr.com не имеет IPv6 адреса :-( И это в 2022 году.
Стоит отметить, что поднять ftp, который будет работать - это отдельная проблема. Не сложная, но когда понимаешь, что все это же можно делать через ssh, который уже есть на сервере, то возникает вопрос, зачем мне ещё один софт. Ну и разные приколюхи, присущие.ftp, когда клиент работает через прокси или NAT тоже доставляют веселье.
Да понятное дело, что сервер нужен за периметром чебурнета. То, что внутри, то рано или поздно прикроют. Блокировка протокола? На каком основании? Скорее всего просто блокируют публичные серверы, т.е. блокировки идут не wg, а vpn как такового.
Да и где наша не пропадала. Первый раз что-ли пути обхода разных блокировок искал? Будет необходимость, буду искать новые способы.
Избыточно. Есть простенькие socks прокси с минимумом настроек. Для обхода багов сети самое то.
Мне нужен был белый IP адрес для ноутбука. Я просто взял дешёвый VPS и поднял до него Wireguard. Но не стал в него загонять весь свой трафик, а использовал только для связи между ноутбуком и сервером. На сервере просто поднял socks сервер и теперь пользуюсь им, если нужно. Весь трафик идёт внутри туннеля.
И, да. Ничего не пришлось собирать из исходников. Да и при желании можно весь трафик запихать в туннель, просто создав другую конфигурацию на клиенте.
А вот тут я описал как настраивал Wireguard: https://tavda.net/wireguard