Очень сомнительно, что этот вопрос был хоть как-то проработан с юридической токи зрения. В случае предоставления услуг связи, нет понятия "в складчину". Есть лицо, которое заключило договор с провайдером. Это одно лицо.
Кстати, вы подали интересную мысль - это ограничение можно обойти. Образуется НКО, все участники становятся членами НКО, договор с провайдером также заключается от имени НКО.
Плюсы - решена проблема с законностью подключения. Минусы - стоимость подключения будет как для юридического лица. Там, где физик получит 500 мегабит за 1000 рублей, юрик получит тот же канал за 15 тысяч рублей :)
Так тут все риски на организаторе, у клиентов рисков нет.
Да и у организатора рисков не так уж и много - максимум получат штраф за отсутствие лицензии, предписание получить лицензию и сдать в эксплуатацию узел связи, штраф за отсутствие СОРМ, предписание установить СОРМ. В 3-5 миллиона рублей легко уложатся... ну или включат карательный режим и кому-нибудь условку выпишут :)
ЖПВД, который заблокировал закупки 4G оборудования из-за чего полосатый оператор так и не оправился? Его потом много лет вся компания вспоминала только с матерными эпитетами.
Переход на MP-TCP или MP-QUIC (странно, что забыли про SCTP, в котором multipath уже давно реализован) это даже веселее, чем переход IPv4 => IPv6, так как потребует доработки буквально всего ПО в интернете. Причём тут пока не учтены всякие вещи типа приоритезации использования каналов и необходимости синхронизировать настройки стека на всех устройствах в сети (условно, даже умный пытесос и камера должны понять что именно от них хотят).
По факту это выглядит самым интересным, красивым,... и никогда нереализуемым решением.
В стандарте есть механизм Privacy Extensions for SLAAC (RFC 8981), который позволяет устройствам получать и использовать случайный глобально доступный IPv6 адрес. Расширение не является обязательным, но основные производители ОС ему следуют (чего нельзя сказать про рандомные китайские устройства). Устройства обычно меняют свой постоянный адрес 1 или несколько раз в сутки.
С другой стороны - провайдер или сайт, к которому ходят очень активно (маркетплейсы, различные аналитики и так далее) могут узнать количество устройств в сети даже при использовании максимально безопасных браузеров (которые обфусцируют всё что возможно).
То есть ввести тариф "на 5 устройств в квартире" станет элементарно, можно даже вводить градацию "100 мегабит на 1 устройство = 50 рублей, на 10 устройств 300 рублей, на 20 устройств 500 рублей, безлимитные устройства 1000 рублей".
Свою AS легко получить тогда, когда ты хоть в какой-то мере сетевик и готов этим заниматься. Если ты массовый пользователь интернета, которому нужно чтобы просто работало - проблема становится почти неразрешимой.
Я уже тоже пришёл к выводу, что самым простым будет использовать NAT в IPv6, который полностью убивает все преимущества IPv6.
Когда оператор 1 падает, маршрутизатор перестает перестает слать его анонсы внутрь, адреса оператора 1 внутри сети пропадают и все начинают ходить только через 2.Ну и так далее. Без всяких AS и получения пула.
Вы хоть и ответили только на самый простой вопрос, но это тоже полезная информация. Как быстро произойдёт переключение?
Мой (довольно тупой) кинетик переключается на резерв через пару секунд при падении физического линка (то есть когда порт провайдера уйдёт в down) и через 20 секунд при провале активной пробы (проверяет установку TLS соединения с заведомо доступным хостом). При желании, время переключения можно ещё сократить, но не вижу в этом особого смысла.
Как знаток (я серьёзно, без наездов) IPv6 подскажите, как на роутере с IPv6 реализовать вот такую модель:
Основной канал - проводной провайдер 1, при недоступности - переключаемся на провайдера 2, при недоступности обоих - на мобильный (USB модем)
Устройства с такими-то MAC адресами ходят строго через провайдера 2, без переключения на резерв
Весь трафик с таких-то устройств отправляется в корпоративный VPN "vpn corporate"
Трафик на такие-то сети (адреса elasticsearch, terraform, которые блокируются от России) отправлять через выделенный VPN "foreign VPN"
На обычном IPv4 эти настройки что на замороченом mikrotik, что на более простом keenetic делаются за пол часа.
Как такое решить в IPv6 я (на моём уровне понимания логики IPv6) не понимаю. Кажется, первая группа вопросов решается получением собственной AS, получением пула PI адресов и организацией пиринга со всеми тремя провайдерами, но я сомневаюсь, что они готовы поднять пиринг с обычным физиком, который платит по 300 рублей.
Вторую группу (корп сеть) порешать можно, если у корп сети получать пул адресов и распределять через домашний роутер. Сложно, но можно.
А как третью решить (в elastic ходить с адресов из другой страны) я вообще не понимаю. Настроить 2 адреса на всех устройствах сети и на всех же прописать роутинг в сторону elastic'а через VPN шлюз - задача хоть и выглядит логичной, но на практике совершенно нереализуема.
Вашему роутеру выделяется /64 подсеть и из неё он автоматом (на основе MAC адреса сетевой карты каждого устройства) формирует IPv6 адрес каждому конечному устройству. Конечному устройству также нужен очень жирный блок адресов для фактической работы (устройство может слушать на куче разных адресов, но эти адреса должны быть защищены от возможности поиска перебором возможных вариантов).
А если у вас физический сервер, на котором может быть группа виртуалок, то на этот сервер по стандарту (не обязательному правда) нужно уже /48 подавать, чтобы он дальше этот блок распределял внутри.
Доступные для использования в сотовых сетях номерные ёмкости и префиксы специфицированы на уровне законодательства и часто ограничены даже не самим законом, а сложившимися историческими обстоятельствами.
Если кратко, огромные префиксы выделены для фиксированных сетей связи, под подвижные сети связи относительно безболезненно выделили несколько крупных блоков из префикса +79
Надёргать из других префиксов тоже можно, но потребуется провести грандиозную расчистку. К примеру - отбирать фиксированную нумерацию у некоторых городов/областей, что может потянуть за собой множество других проблем.
Ну и важный момент - оператор не покупает номера, оператор арендует все номера у государства. Точную цифру не знаю, но условно "покупая блок на 1 млн номеров платишь 4 рубля за номер в месяц". За все номера в "отстойнике" оператор также платит деньги, поэтому тут надо даже принцип выделения номеров менять - добавить возможность возвращать конкретные номера в внутренний отстойник государству.
Вы смеётесь? :) Телефонные номера - это международная сущность, закреплённая договорами с каких-то совсем дремучих времён (не удивлюсь, что и до ВОВ).
Да, у каждой страны есть свой префикс в рамках которого страна вольна многое менять,но тут ситуация как с IPv6 - если кто-то, когда-то, ещё 30 лет назад в своей библиотеке решил, что в России длина номера 11 цифр, то весь использующий эту библиотеку код будет жёстко требовать 11 цифр. Поменять можно, но замена может потребовать десятки лет.
Добавлю в копилку идей - IP DECT телефонов (база + трубка) существует большое множество, к базе можно подключить практически любые DECT трубки.
Если захотите добавить носимые трубки, то это отличное решение. Не обязательно заморачиваться с микросотовой сетью на DECT, можно по базе в каждом доме.
Сын обучен самому важному - ничего не ставить без согласования со мной. Пока сбоев не было, всегда просит меня что-то ставить, а я уже дальше фильтрую что можно, а что нельзя.
Но риск действительно огромный, в поиске в половине случаев выдают всякий шлак.
Мне начинает казаться, что всё это - способ заставить половину населения повысить уровень компьютерной грамотности. Но ОЧЕНЬ иезуитский способ.
Мой сын (11 лет) впервые начал интересоваться логикой работы блокировок, сам полез искать (!!!!) как это можно обойти, сам начал выяснять что такое IP адреса, DNS, туннели и всё ради роблокса. Да, конечно же я ему активно подсказывал направление, поставив условие, что если хочет роблокс, то пусть сам ищет способы закинуть трафик своего компа в VPN роутера.
Глядишь, после пару-тройку таких итераций получится неплохой джун-сетевик. А там, глядишь, и до разработчика не сильно далеко будет.
Можешь кратко рассказать про используемые механизмы? Я на досуге начал более детально изучать работу TLS вообще и логики работы DPI в частности на примере простенького SOCKS proxy, который может вмешиваться (логично) в проходящий через него трафик, отправлять фейковые пакеты с неправильным TLS handshake и так далее. Но в твоём случае всё реализовано глубже, опускаясь на уровень пакетов.
Для домашних роутеров это делается легко, согласен.
Но сходу нет мыслей по решению той же проблемы для мобилок. Может подскажете? Неужто вспоминать давние времена, ставить Android Studio и писать мини-приложение?
Его научились блокировать, заблокировали,... а потом частично блокировки сняли. У меня несколько месяцев не работал WG линк между двумя моими роутерами в разных городах (роутер дома и роутер у родителей), а потом всё заработало.
А что на счёт apple'овских M процессоров? Имеют право на жизнь?
M2 Pro с 32 Gb RAM сейчас можно купить за 120-140 т.р. - скорость ниже, но по объёму памяти ему нет конкурентов.
Очень сомнительно, что этот вопрос был хоть как-то проработан с юридической токи зрения. В случае предоставления услуг связи, нет понятия "в складчину". Есть лицо, которое заключило договор с провайдером. Это одно лицо.Кстати, вы подали интересную мысль - это ограничение можно обойти.
Образуется НКО, все участники становятся членами НКО, договор с провайдером также заключается от имени НКО.
Плюсы - решена проблема с законностью подключения.
Минусы - стоимость подключения будет как для юридического лица. Там, где физик получит 500 мегабит за 1000 рублей, юрик получит тот же канал за 15 тысяч рублей :)
Так тут все риски на организаторе, у клиентов рисков нет.
Да и у организатора рисков не так уж и много - максимум получат штраф за отсутствие лицензии, предписание получить лицензию и сдать в эксплуатацию узел связи, штраф за отсутствие СОРМ, предписание установить СОРМ. В 3-5 миллиона рублей легко уложатся... ну или включат карательный режим и кому-нибудь условку выпишут :)
ЖПВД, который заблокировал закупки 4G оборудования из-за чего полосатый оператор так и не оправился? Его потом много лет вся компания вспоминала только с матерными эпитетами.
Очень интересный разбор, спасибо за ссылочку.
Переход на MP-TCP или MP-QUIC (странно, что забыли про SCTP, в котором multipath уже давно реализован) это даже веселее, чем переход IPv4 => IPv6, так как потребует доработки буквально всего ПО в интернете.
Причём тут пока не учтены всякие вещи типа приоритезации использования каналов и необходимости синхронизировать настройки стека на всех устройствах в сети (условно, даже умный пытесос и камера должны понять что именно от них хотят).
По факту это выглядит самым интересным, красивым,... и никогда нереализуемым решением.
И да и нет.
В стандарте есть механизм Privacy Extensions for SLAAC (RFC 8981), который позволяет устройствам получать и использовать случайный глобально доступный IPv6 адрес. Расширение не является обязательным, но основные производители ОС ему следуют (чего нельзя сказать про рандомные китайские устройства).
Устройства обычно меняют свой постоянный адрес 1 или несколько раз в сутки.
С другой стороны - провайдер или сайт, к которому ходят очень активно (маркетплейсы, различные аналитики и так далее) могут узнать количество устройств в сети даже при использовании максимально безопасных браузеров (которые обфусцируют всё что возможно).
То есть ввести тариф "на 5 устройств в квартире" станет элементарно, можно даже вводить градацию "100 мегабит на 1 устройство = 50 рублей, на 10 устройств 300 рублей, на 20 устройств 500 рублей, безлимитные устройства 1000 рублей".
Свою AS легко получить тогда, когда ты хоть в какой-то мере сетевик и готов этим заниматься. Если ты массовый пользователь интернета, которому нужно чтобы просто работало - проблема становится почти неразрешимой.
Я уже тоже пришёл к выводу, что самым простым будет использовать NAT в IPv6, который полностью убивает все преимущества IPv6.
Когда оператор 1 падает, маршрутизатор перестает перестает слать его анонсы внутрь, адреса оператора 1 внутри сети пропадают и все начинают ходить только через 2.Ну и так далее. Без всяких AS и получения пула.Вы хоть и ответили только на самый простой вопрос, но это тоже полезная информация.
Как быстро произойдёт переключение?
Мой (довольно тупой) кинетик переключается на резерв через пару секунд при падении физического линка (то есть когда порт провайдера уйдёт в down) и через 20 секунд при провале активной пробы (проверяет установку TLS соединения с заведомо доступным хостом). При желании, время переключения можно ещё сократить, но не вижу в этом особого смысла.
Как знаток (я серьёзно, без наездов) IPv6 подскажите, как на роутере с IPv6 реализовать вот такую модель:
Основной канал - проводной провайдер 1, при недоступности - переключаемся на провайдера 2, при недоступности обоих - на мобильный (USB модем)
Устройства с такими-то MAC адресами ходят строго через провайдера 2, без переключения на резерв
Весь трафик с таких-то устройств отправляется в корпоративный VPN "vpn corporate"
Трафик на такие-то сети (адреса elasticsearch, terraform, которые блокируются от России) отправлять через выделенный VPN "foreign VPN"
На обычном IPv4 эти настройки что на замороченом mikrotik, что на более простом keenetic делаются за пол часа.
Как такое решить в IPv6 я (на моём уровне понимания логики IPv6) не понимаю. Кажется, первая группа вопросов решается получением собственной AS, получением пула PI адресов и организацией пиринга со всеми тремя провайдерами, но я сомневаюсь, что они готовы поднять пиринг с обычным физиком, который платит по 300 рублей.
Вторую группу (корп сеть) порешать можно, если у корп сети получать пул адресов и распределять через домашний роутер. Сложно, но можно.
А как третью решить (в elastic ходить с адресов из другой страны) я вообще не понимаю. Настроить 2 адреса на всех устройствах сети и на всех же прописать роутинг в сторону elastic'а через VPN шлюз - задача хоть и выглядит логичной, но на практике совершенно нереализуема.
Особенность реализации.
Вашему роутеру выделяется /64 подсеть и из неё он автоматом (на основе MAC адреса сетевой карты каждого устройства) формирует IPv6 адрес каждому конечному устройству. Конечному устройству также нужен очень жирный блок адресов для фактической работы (устройство может слушать на куче разных адресов, но эти адреса должны быть защищены от возможности поиска перебором возможных вариантов).
А если у вас физический сервер, на котором может быть группа виртуалок, то на этот сервер по стандарту (не обязательному правда) нужно уже /48 подавать, чтобы он дальше этот блок распределял внутри.
Доступные для использования в сотовых сетях номерные ёмкости и префиксы специфицированы на уровне законодательства и часто ограничены даже не самим законом, а сложившимися историческими обстоятельствами.
Прочитайте про планы нумерации: https://ru.wikipedia.org/wiki/Телефонный_план_нумерации_России
Если кратко, огромные префиксы выделены для фиксированных сетей связи, под подвижные сети связи относительно безболезненно выделили несколько крупных блоков из префикса +79
Надёргать из других префиксов тоже можно, но потребуется провести грандиозную расчистку. К примеру - отбирать фиксированную нумерацию у некоторых городов/областей, что может потянуть за собой множество других проблем.
Ну и важный момент - оператор не покупает номера, оператор арендует все номера у государства. Точную цифру не знаю, но условно "покупая блок на 1 млн номеров платишь 4 рубля за номер в месяц". За все номера в "отстойнике" оператор также платит деньги, поэтому тут надо даже принцип выделения номеров менять - добавить возможность возвращать конкретные номера в внутренний отстойник государству.
Вы смеётесь? :)
Телефонные номера - это международная сущность, закреплённая договорами с каких-то совсем дремучих времён (не удивлюсь, что и до ВОВ).
Да, у каждой страны есть свой префикс в рамках которого страна вольна многое менять,но тут ситуация как с IPv6 - если кто-то, когда-то, ещё 30 лет назад в своей библиотеке решил, что в России длина номера 11 цифр, то весь использующий эту библиотеку код будет жёстко требовать 11 цифр.
Поменять можно, но замена может потребовать десятки лет.
Добавлю в копилку идей - IP DECT телефонов (база + трубка) существует большое множество, к базе можно подключить практически любые DECT трубки.
Если захотите добавить носимые трубки, то это отличное решение. Не обязательно заморачиваться с микросотовой сетью на DECT, можно по базе в каждом доме.
Сын обучен самому важному - ничего не ставить без согласования со мной.
Пока сбоев не было, всегда просит меня что-то ставить, а я уже дальше фильтрую что можно, а что нельзя.
Но риск действительно огромный, в поиске в половине случаев выдают всякий шлак.
Мне начинает казаться, что всё это - способ заставить половину населения повысить уровень компьютерной грамотности. Но ОЧЕНЬ иезуитский способ.
Мой сын (11 лет) впервые начал интересоваться логикой работы блокировок, сам полез искать (!!!!) как это можно обойти, сам начал выяснять что такое IP адреса, DNS, туннели и всё ради роблокса. Да, конечно же я ему активно подсказывал направление, поставив условие, что если хочет роблокс, то пусть сам ищет способы закинуть трафик своего компа в VPN роутера.
Глядишь, после пару-тройку таких итераций получится неплохой джун-сетевик. А там, глядишь, и до разработчика не сильно далеко будет.
Можешь кратко рассказать про используемые механизмы?
Я на досуге начал более детально изучать работу TLS вообще и логики работы DPI в частности на примере простенького SOCKS proxy, который может вмешиваться (логично) в проходящий через него трафик, отправлять фейковые пакеты с неправильным TLS handshake и так далее. Но в твоём случае всё реализовано глубже, опускаясь на уровень пакетов.
Кстати, а чем сделал такую красивую GUI?
У проводного Билайн-Москва и чистый WG отлично работает до зарубежных хостов.
Жесть. А проверьте ради интереса - белые списки по IP или по SNI в HTTPS?
Для домашних роутеров это делается легко, согласен.
Но сходу нет мыслей по решению той же проблемы для мобилок. Может подскажете?
Неужто вспоминать давние времена, ставить Android Studio и писать мини-приложение?
Его научились блокировать, заблокировали,... а потом частично блокировки сняли.
У меня несколько месяцев не работал WG линк между двумя моими роутерами в разных городах (роутер дома и роутер у родителей), а потом всё заработало.