Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: zvědavý 17. 08. 2017, 07:56:23

Název: IPv6 ease of use
Přispěvatel: zvědavý 17. 08. 2017, 07:56:23
V diskusi https://forum.root.cz/index.php?topic=16078.msg222061 (https://forum.root.cz/index.php?topic=16078.msg222061) se někdo negativně zmínil o IPv6 s tím, že se bude držet IPv4 dokud to půjde, a okamžitě dostal hrst odpovědí, jak IPv6 řeší všechno, co IPv4. Tak se chci zeptat:

Co si mám koupit za zařízení, abych dostal podobnou funkcionalitu jako od jakéhokoliv routeru pro IPv4:

Vstup:

Síť s nějak nastavenými adresami v privátním rozsahu. Nyní to je na IPv4, ale předpokládejme pro účely hledaného řešení, že náhrada za IPv6 proběhla a teď ta síť běží na nějakých privátních IPv6 adresách.

Požadovaná funkčnost:

Vezmu krabičku, zapojím ji místo staré krabičky, v konfiguraci nastavím, které lokální adresy moje lokální síť používá. Nic jiného dělat nebudu. Krabička zařídí:

1) IP adresy v lokální síti se nezmění.

2) Všechny packety směřující ven budou mít IP adresu krabičky, ne vnitřních počítačů. Vnitřní adresy se nikde ve vnějším provozu neobjeví.

3) Všechny příchozí packety jsou na krabičce zahozeny, leda že by byly odpověďmi na některý odchozí packet.

4) Když budu potřebovat, aby některý vnitřní počítač přijímal vnější požadavky, tak krabičce řeknu, že packety se zadanými vlastnostmi má přeposílat na vnitřní IP adresu X a port Y. Není přímý přístup z vnější sítě do vnitřní, vše musí jít přes krabičku, a není jediný vztah mezi vnější a vnitřní IP adresou ani portem je uvnitř konfigurace krabičky.

5) Pokud budu potřebovat změnit providera, tak v krabičce přenastavím konfiguraci vnější sítě a je hotovo. Nic jiného měnit nebudu a ve vnitřní síti se nezmění absolutně nic.

Tj. klasický PAT, ale na IPv6.

Jestli už něco takového existuje, super, jdu do toho. Zatím jsem ale nabyl dojmu, že vždy budu muset aspoň některý z bodů oželet - tedy že například výměna krabičky půjde snadno, ale změní se mi prefix IP adres. A to je z mého pohledu zásadní problém s IPv6 - není to user friendly. Ale pevně doufám, že jsem sto let za opicemi a už to je vyřešené, protože dříve nebo později budu do IPv6 muset jít.

Prosím, neřešme teď, jestli je přímá připojitelnost z internetu užitečná nebo ne, ani to, že stanovené podmínky nezaručují bezpečí. Otázka je položená na to, jak mám s IPv6 zařídit splnění stanovených požadavků, a to, jestli jsou ty požadavky hloupé, nesmyslné, nebezpečné nebo cokoliv jiného, je off-topic. Díky.
Název: Re:IPv6 ease of use
Přispěvatel: Trupik 17. 08. 2017, 08:18:05
IPv6 je jednoducho rozdielna technológia, s odlišnou filozofiou a iným spôsobom usporiadania. To čo máš teraz pod IPv4 chceš aby rovnako fungovalo pod IPv6. Je to podobné, ako keby si chcel presedlať z koňa na motorku ale dával si podmienku, že motorka musí žrať seno a piť vodu. S týmto prístupom to bude ťažké.
Název: Re:IPv6 ease of use
Přispěvatel: daemon 17. 08. 2017, 08:36:49
Ty požadavky jsou v principu nesmyslné a nemá tedy smysl Ti odpovídat. Nebudu v tuto chvíli spekulovat, proč jsi je stanovil právě takto. Mohu k tomu poznamenat pouze tolik, že IPv4 a IPv6 jsou dva různé odlišné protokoly, které se používají poněkud odlišným způsobem, byť v konečném důsledku slouží ke stejnému účelu. To přirovnání s koněm a motorkou, které tady napsal kdosi přede mnou, docela sedí.
Název: Re:IPv6 ease of use
Přispěvatel: Petr Krčmář 17. 08. 2017, 08:51:31
Doporučuji začít knihou o IPv6 od Pavla Satrapy (https://www.root.cz/knihy/internetovy-protokol-ipv6-treti-vydani/) (zdarma ke stažení). Tam jsou popsané všechny důležité principy IPv6, třeba to, jak fungují veřejné prefixy a jejich delegace zákazníkům.
Název: Re:IPv6 ease of use
Přispěvatel: Filip Jirsák 17. 08. 2017, 08:52:02
předpokládejme pro účely hledaného řešení, že náhrada za IPv6 proběhla a teď ta síť běží na nějakých privátních IPv6 adresách.
Proč? Chcete to udělat správně tak, jak to má být s IPv6, nebo to chcete co nejvíc zašmodrchat, abyste dokázal, jak je ta IPv6 k ničemu?

1) IP adresy v lokální síti se nezmění.
To půjde těžko, když jste tam měl IPv4 adresy a teď chcete IPv6 adresy.

2) Všechny packety směřující ven budou mít IP adresu krabičky, ne vnitřních počítačů. Vnitřní adresy se nikde ve vnějším provozu neobjeví.
NAT můžete dělat i na IPv6. Ale asi to nebudou umět běžné krabičky koupené v Lidlu za 20 Kč v akci, protože pro domácí síť rozhodně není NAT s IPv6 potřeba.

3) Všechny příchozí packety jsou na krabičce zahozeny, leda že by byly odpověďmi na některý odchozí packet.
To záleží na nastavení firewallu.

4) Když budu potřebovat, aby některý vnitřní počítač přijímal vnější požadavky, tak krabičce řeknu, že packety se zadanými vlastnostmi má přeposílat na vnitřní IP adresu X a port Y. Není přímý přístup z vnější sítě do vnitřní, vše musí jít přes krabičku, a není jediný vztah mezi vnější a vnitřní IP adresou ani portem je uvnitř konfigurace krabičky.
Když pominu ten nesmyslný NAT, opět jen nakonfigurujete firewall, kde nastavíte, které IPv6 adresy a porty ve vnitřní síti mají být dostupné z internetu.


5) Pokud budu potřebovat změnit providera, tak v krabičce přenastavím konfiguraci vnější sítě a je hotovo. Nic jiného měnit nebudu a ve vnitřní síti se nezmění absolutně nic.
Ve vnitřní síti se změní prefix sítě. Nebo si můžete koupit PI adresy, ale proč byste to dělal…

Tj. klasický PAT, ale na IPv6.
Jak už jsem psal, musíte si vybrat, jestli to chcete dělat tak, jak to má být s IPv6, pak to bude i user-friendly – a nebo jestli chcete dokazovat, že to jde i s IPv6 udělat úplně blbě.

tedy že například výměna krabičky půjde snadno, ale změní se mi prefix IP adres. A to je z mého pohledu zásadní problém s IPv6 - není to user friendly.
User friendly je používání DNS, takže vás nějaká změna prefixu IPv6 adres vůbec netrápí.

Ale pevně doufám, že jsem sto let za opicemi a už to je vyřešené, protože dříve nebo později budu do IPv6 muset jít.
Ano, vyřešené to je. Akorát to řešení musíte použít.

Otázka je položená na to, jak mám s IPv6 zařídit splnění stanovených požadavků, a to, jestli jsou ty požadavky hloupé, nesmyslné, nebezpečné nebo cokoliv jiného, je off-topic. Díky.
To si musíte vybrat. Nemůžete zároveň chtít hloupé a nesmyslné požadavky, a zároveň chtít, aby řešení bylo user friendly. Hloupé a nesmyslné požadavky vždy vedou k hloupým a uživatelsky nepřátelským řešením.
Název: Re:IPv6 ease of use
Přispěvatel: Zvědaný 17. 08. 2017, 09:25:03
IPv6 je jednoducho rozdielna technológia, s odlišnou filozofiou a iným spôsobom usporiadania. To čo máš teraz pod IPv4 chceš aby rovnako fungovalo pod IPv6. Je to podobné, ako keby si chcel presedlať z koňa na motorku ale dával si podmienku, že motorka musí žrať seno a piť vodu. S týmto prístupom to bude ťažké.
V zásadě máš pravdu, jen se trochu lišíme v tom, jak vnímáme ty požadavky. Ty je vnímáš jako blbost ("žrát seno"), já je vnímám jako důležitou funkční vlastnost ("jezdit i mimo zpevněné cesty"). Takže bych opravil, že nepotřebuji nutně, aby se IPv6 chovala stejně jako IPv4, ale určitě chci snadné použití v režimu "vnější síť se nedozví nic o struktuře vnitřní sítě, vnitřní síť je zcela nezávislá na síti vnější". Na rozdíl od mnoha diskutujících zde to považuji za přirozený požadavek. A upřímně řečeno mě docela překvapuje, že tolik lidí to jako přirozený požadavek nevidí.
Název: Re:IPv6 ease of use
Přispěvatel: Zvědaný 17. 08. 2017, 09:30:14
Doporučuji začít knihou o IPv6 od Pavla Satrapy (https://www.root.cz/knihy/internetovy-protokol-ipv6-treti-vydani/) (zdarma ke stažení). Tam jsou popsané všechny důležité principy IPv6, třeba to, jak fungují veřejné prefixy a jejich delegace zákazníkům.
Knížku mám přečtenou, ale bohužel tam nacházím principy a ne řešení. Já to chápu, že to je důležité, ale ne pro moje použití - já nepotřebuju navrhovat síť ani ji spravovat. Hledám řešení, které mi zajistí funkční síť při srovnatelném úsilí a při nezhoršené bezpečnosti a soukromí. Je to tak nesmyslný požadavek?
Název: Re:IPv6 ease of use
Přispěvatel: Filip Jirsák 17. 08. 2017, 09:32:52
Takže bych opravil, že nepotřebuji nutně, aby se IPv6 chovala stejně jako IPv4, ale určitě chci snadné použití v režimu "vnější síť se nedozví nic o struktuře vnitřní sítě, vnitřní síť je zcela nezávislá na síti vnější". Na rozdíl od mnoha diskutujících zde to považuji za přirozený požadavek. A upřímně řečeno mě docela překvapuje, že tolik lidí to jako přirozený požadavek nevidí.
Myslím, že drtivá většina lidí tenhle požadavek považuje za přirozený. A IPv6 ten požadavek splňuje. Vnější síť vidí akorát do, že daný síťový prefix je routován na daný router. Co s tím ten router dělá a jaká je struktura sítě za routerem už z venku nikdo nevidí (na základě IPv6 – samozřejmě to někdo může zkoumat na základě obsahu paketů, stejně jako u IPv4). Stejně tak je vnitřní síť nezávislá na vnější síti – každé zařízení má linkovou IPv6 adresu a pak několik veřejných IPv6 adres (typicky alespoň jednu pro každé upstream spojení, které daná síť má).

Zrovna tenhle váš požadavek má IPv6 řešeno podstatně lépe, než IPv4 – v IPv6 máte linkové adresy, máte k dispozici IPv6 mobilitu, máte k dispozici privacy extensions.
Název: Re:IPv6 ease of use
Přispěvatel: Zvědaný 17. 08. 2017, 09:42:01
předpokládejme pro účely hledaného řešení, že náhrada za IPv6 proběhla a teď ta síť běží na nějakých privátních IPv6 adresách.
Proč? Chcete to udělat správně tak, jak to má být s IPv6, nebo to chcete co nejvíc zašmodrchat, abyste dokázal, jak je ta IPv6 k ničemu?
Chci to udělat tak, abych nemusel zhoršovat parametry, které jsou pro mě důležité. Ty parametry jsou pro mě bezpečnost (vnitřní zařízení nejsou přímo přístupná, vždy musí jít přes prostředníka, který vytvoří jednu bezpečnostní vrstvu navíc), soukromí (vnější síť neví nic o uspořádání vnitřní), nezávislost (vnitřní síť neví nic o uspořádání vnější) a jednoduchost použití. Pokud to IPv6, jako novější a doufejme i lepší protokol, splňuje, tak chci vědět, jak to v něm mám udělat.

Citace
1) IP adresy v lokální síti se nezmění.
To půjde těžko, když jste tam měl IPv4 adresy a teď chcete IPv6 adresy.
Proto jsem psal, "předpokládejme pro účely hledaného řešení, že náhrada za IPv6 proběhla a teď ta síť běží na nějakých privátních IPv6 adresách."

Citace
2) Všechny packety směřující ven budou mít IP adresu krabičky, ne vnitřních počítačů. Vnitřní adresy se nikde ve vnějším provozu neobjeví.
NAT můžete dělat i na IPv6. Ale asi to nebudou umět běžné krabičky koupené v Lidlu za 20 Kč v akci, protože pro domácí síť rozhodně není NAT s IPv6 potřeba.
Otázka nebyla, jestli se kupují v Lidlu, ani kolik stojí. Otázka byla, která ty požadavky splňuje.

Citace
3) Všechny příchozí packety jsou na krabičce zahozeny, leda že by byly odpověďmi na některý odchozí packet.
To záleží na nastavení firewallu.
Opět. Na to jsem se neptal. Ptal jsem se, která krabička to umí.

Citace
4) Když budu potřebovat, aby některý vnitřní počítač přijímal vnější požadavky, tak krabičce řeknu, že packety se zadanými vlastnostmi má přeposílat na vnitřní IP adresu X a port Y. Není přímý přístup z vnější sítě do vnitřní, vše musí jít přes krabičku, a není jediný vztah mezi vnější a vnitřní IP adresou ani portem je uvnitř konfigurace krabičky.
Když pominu ten nesmyslný NAT, opět jen nakonfigurujete firewall, kde nastavíte, které IPv6 adresy a porty ve vnitřní síti mají být dostupné z internetu.
Opět.

Citace
5) Pokud budu potřebovat změnit providera, tak v krabičce přenastavím konfiguraci vnější sítě a je hotovo. Nic jiného měnit nebudu a ve vnitřní síti se nezmění absolutně nic.
Ve vnitřní síti se změní prefix sítě.
To je pro mě zhoršení.

Citace
Nebo si můžete koupit PI adresy, ale proč byste to dělal…
To by mohlo být řešení, kdyby to nebylo v rozporu zase s požadavkem na soukromí.

Citace
Tj. klasický PAT, ale na IPv6.
Jak už jsem psal, musíte si vybrat, jestli to chcete dělat tak, jak to má být s IPv6, pak to bude i user-friendly – a nebo jestli chcete dokazovat, že to jde i s IPv6 udělat úplně blbě.
Je mi jedno, jak to bude udělané, ale chci, aby to splňovalo požadavky, které jsem popsal. Pokud to půjde bez NATu, klidně. Nastínil jsem řešení na bázi NATu, protože ho znám a vím, jak v něm požadavky vyjádřit. Pokud se to řeší jinak, tak to udělejme jinak, netrvám na NATu. Ale nechci se dostat do situace, kdy je nové řešení v důležitých aspektech zhoršením proti řešení starému, a už vůbec se nechci dostat do situace, kdy to zhoršení pozoruji ve všech důležitých aspektech.

Citace
tedy že například výměna krabičky půjde snadno, ale změní se mi prefix IP adres. A to je z mého pohledu zásadní problém s IPv6 - není to user friendly.
User friendly je používání DNS, takže vás nějaká změna prefixu IPv6 adres vůbec netrápí.
Kdo bude to DNS spravovat? Co když DNS řešení z jakéhokoliv důvodu vypadne? Sorry, tohle je pro mě zhoršení.

Citace
Ale pevně doufám, že jsem sto let za opicemi a už to je vyřešené, protože dříve nebo později budu do IPv6 muset jít.
Ano, vyřešené to je. Akorát to řešení musíte použít.
Zatím se snažím (neúspěšně) zjistit, jaké to řešení je, potom ho rád použiju.
Název: Re:IPv6 ease of use
Přispěvatel: Lol Phirae 17. 08. 2017, 09:57:14
Když si někdo založí dotaz na "ease of use" a veškeré relevantní vlastnosti v tomto směru fungující out-of-the-box zlikviduje požadovaným znásilněním IPv6 do podoby zkripleného IPv4 NATu, tak si můžu akorát poklepat na čelo a jít dál. Škoda času.
Název: Re:IPv6 ease of use
Přispěvatel: j 17. 08. 2017, 10:03:47
...
Tobe nemuze fungovat nic, proze blbcum veci jednoduse nefungujou. By me zajimalo, jak lezes sem, kdyz ti nefunguje to dns ...
Název: Re:IPv6 ease of use
Přispěvatel: JardaP . 17. 08. 2017, 10:11:32
Chci to udělat tak, abych nemusel zhoršovat parametry, které jsou pro mě důležité. Ty parametry jsou pro mě bezpečnost (vnitřní zařízení nejsou přímo přístupná, vždy musí jít přes prostředníka, který vytvoří jednu bezpečnostní vrstvu navíc), soukromí (vnější síť neví nic o uspořádání vnitřní), nezávislost (vnitřní síť neví nic o uspořádání vnější) a jednoduchost použití. Pokud to IPv6, jako novější a doufejme i lepší protokol, splňuje, tak chci vědět, jak to v něm mám udělat.

Mozna budete zklaman, ale NAT neni bezpecnostni vrstva a dokonce existuji techniky, jak scanovat stroje za NATem a snad dokonce jak na ne utocit. Soukromi ma resit firewall.


Jinak pro vas asi bude nejlepsi, kdyz se ipv6 z daleka vyhnete. Idealni bude, kdyz si najdete jednoho z tech cetnych, zaostalych ISP, kteri ipv6 nenabizeji, i kdyz leta tvrdi, jak jsou ready.
Název: Re:IPv6 ease of use
Přispěvatel: asdf111 17. 08. 2017, 10:15:00
moj openwrt router funguje uplne out of the box :) Funguje dualband, cize aj ipv4 aj ipv6 nezavisle, pri ipv6 mam moznost si urcit SLAAC+DNS advertisement, alebo DHCPv6. Na klientoch mam moznost is nastavit privacy extension, cize mi to meni IPcku v pravidelnych intervaloch na nahodne IPcky. Mne to pride vo vsetkych ohladoch lepsie ako ipv4, ci uz z pohladu security, privacy, alebo samotnej funkcnosti siete.
Název: Re:IPv6 ease of use
Přispěvatel: 3ex 17. 08. 2017, 12:28:24
Nejlepsi jsou ti, jak si mysli, jak jim NAT schovava informace o vnitrni siti. Pak jim na ukazku snifnu data na uplinku, kde si mysli, ze maji jenom verejnou IP a z http a dalsich hlavicek jim dodam seznam pocitacu s vnitrnima ip adresama a typem OS a jsou z toho v haji :-)
Název: Re:IPv6 ease of use
Přispěvatel: Filip Jirsák 17. 08. 2017, 13:04:19
Chci to udělat tak, abych nemusel zhoršovat parametry, které jsou pro mě důležité. Ty parametry jsou pro mě bezpečnost (vnitřní zařízení nejsou přímo přístupná, vždy musí jít přes prostředníka, který vytvoří jednu bezpečnostní vrstvu navíc), soukromí (vnější síť neví nic o uspořádání vnitřní), nezávislost (vnitřní síť neví nic o uspořádání vnější) a jednoduchost použití. Pokud to IPv6, jako novější a doufejme i lepší protokol, splňuje, tak chci vědět, jak to v něm mám udělat.
Dobře. A které parametry má tedy to řešení splňovat – tyhle, které jste vyjmenoval, a nebo ty nesmyslné parametry, které jste jmenoval, jako privátní IP adresy a NAT?

Proto jsem psal, "předpokládejme pro účely hledaného řešení, že náhrada za IPv6 proběhla a teď ta síť běží na nějakých privátních IPv6 adresách."
Budu tedy brát, že platí ty parametry, které jsem citoval výše. Takže žádné privátní IPv6 adresy, ale normální IPv6 síť – link local adresy a adresy od všech upstream providerů.

Otázka byla, která ty požadavky splňuje.
Routovat IPv6 bude umět každý IPv6 router – kdyby to neuměl, nebude to router.

Opět. Na to jsem se neptal. Ptal jsem se, která krabička to umí.
IPv6 firewall by měl umět každý domácí IPv6 router. Pokud to nějaký neumí, nekupujte ho. Pokud chcete konkrétní jména těch, co to umí, tak třeba Turris Omnia, Ubiquiti nebo Mikrotiky.

Citace
Ve vnitřní síti se změní prefix sítě.
To je pro mě zhoršení.
Proč? Link local adresy máte pořád stejné, adresy zařízení jsou pořád stejné, změnil se jen prefix sítě. Není to v rozporu s těmi vašimi požadavky, je to úplně normální. Pokud je to pro vás zhoršení, asi něco děláte špatně.

Je mi jedno, jak to bude udělané, ale chci, aby to splňovalo požadavky, které jsem popsal. Pokud to půjde bez NATu, klidně. Nastínil jsem řešení na bázi NATu, protože ho znám a vím, jak v něm požadavky vyjádřit. Pokud se to řeší jinak, tak to udělejme jinak, netrvám na NATu. Ale nechci se dostat do situace, kdy je nové řešení v důležitých aspektech zhoršením proti řešení starému, a už vůbec se nechci dostat do situace, kdy to zhoršení pozoruji ve všech důležitých aspektech.
Já jsem vám popsal řešení pomocí IPv6, které tu vaši první skupinu požadavků (kterou jsem citoval na začátku komentáře) splňuje. Nesplňuje to tu druhou nesmyslnou sadu požadavků.

Kdo bude to DNS spravovat? Co když DNS řešení z jakéhokoliv důvodu vypadne? Sorry, tohle je pro mě zhoršení.
Spravovat to bude router, tak jako to dělá při použití IPv4. Ptal jste se na user friendly řešení, tak jsem vám takové nabídl. Pokud z nějakého důvodu chcete uživatelsky nepřívětivé řešení, nikdo vás nenutí DNS používat.

Zatím se snažím (neúspěšně) zjistit, jaké to řešení je, potom ho rád použiju.
Problém je, že jste si vymyslel nějaké svoje nesmyslné řešení, a na tom trváte.
Název: Re:IPv6 ease of use
Přispěvatel: Petr 17. 08. 2017, 14:09:00
V této souvislosti se zeptám, můj ISP (vesnický, přes wifi) IPv6 zatím nenabízí a zatím neplánuje. Na druhou stranu mám od něj veřejnou IPv4 adresu, což taky není úplně k zahození. Resp. kdybych přešel kamkoliv jinam, tak co jsem se ptal, tak s IPv6 na tom budu stejně a přijdu o tu veřejnou IPv4 adresu.

Jak nejsnáze nasadit ipv6 a jak ho začít "tunelovat", protože na ISP  se spolehnout nemohu.
Řešili jste to nějak a nebo čekáte až IPv6 přijde až na poslední míli?

Petr
Název: Re:IPv6 ease of use
Přispěvatel: JardaP . 17. 08. 2017, 14:35:44
@Petr: Ze by Teredo?
Název: Re:IPv6 ease of use
Přispěvatel: j 17. 08. 2017, 14:52:27
...
Pokud chces ipv6 a mas verejnou fixni (= nikoli kazdej den jinou) ipv4, tak he.net. Regnes se tam, zadas to svoje 4kovy Ipcko, a dostanes podle vyberu hromadu konfiguraci pro hromadu zarizeni ... a  k tomu automaticky /64 (pokud to chces jen na jeden pocitac) a na kliknuti /48.

Samo v idealnim pripade mas routokrabku ktera sestku umi, takze to nastavis na ni, a pak mas uvnitr proste 6tkovou sit pro vse co pripojis.
Název: Re:IPv6 ease of use
Přispěvatel: Jenda 17. 08. 2017, 16:35:54
@Petr: Ze by Teredo?

Teredo mění IPv6 adresy při každém připojení, takže to nejde použít na připojování zvenku (bez otravy s dynamickým DNS). Doporučil bych taky ten Hurricane (tunnelbroker.net), případně nějakou svoji VPS + OpenVPN.
Název: Re:IPv6 ease of use
Přispěvatel: himl 17. 08. 2017, 20:05:47
Nejprve by bylo dobré si odpovědět na otázku, co bys chtěl použitím ip6 získat, já osobně si troufám tvrdit, že získáš leda kulové, ale ztratíš s tím zbytečně spousta času.
Název: Re:IPv6 ease of use
Přispěvatel: robotron 17. 08. 2017, 20:19:32
Citace
"vnější síť se nedozví nic o struktuře vnitřní sítě, vnitřní síť je zcela nezávislá na síti vnější". Na rozdíl od mnoha diskutujících zde to považuji za přirozený požadavek. A upřímně řečeno mě docela překvapuje, že tolik lidí to jako přirozený požadavek nevidí.

Pridavam se k puvodnimu tazateli, tohle je dle meho nazoru naprosto legitimni a casto zadouci stav. Vnejsich poskytovatelu muze bejt i vic, muzou se dynamicky stridat a je i platnej stav, kdyz zadnej vnejsi poskytovatel neni. Provoz zarizeni (napr. kriticka prumyslova infrastruktura) by tim nemel mit ovlivnen a s DNS to nema co do cineni.
Název: Re:IPv6 ease of use
Přispěvatel: Filip Jirsák 17. 08. 2017, 20:27:43
Pridavam se k puvodnimu tazateli, tohle je dle meho nazoru naprosto legitimni a casto zadouci stav. Vnejsich poskytovatelu muze bejt i vic, muzou se dynamicky stridat a je i platnej stav, kdyz zadnej vnejsi poskytovatel neni. Provoz zarizeni (napr. kriticka prumyslova infrastruktura) by tim nemel mit ovlivnen a s DNS to nema co do cineni.
Jaký to má smysl přidávat se k dotazu, který už byl zodpovězen? Nebo tu odpověď chcete zopakovat?
Název: Re:IPv6 ease of use
Přispěvatel: Ja 17. 08. 2017, 20:34:07
IPv4 rulezz!
Desim se, az muj ISP mou verejnou IPv4 adresu bude chtit nahradit za nefunknci polotovar.
Název: Re:IPv6 ease of use
Přispěvatel: JardaP . 17. 08. 2017, 20:53:26
IPv4 rulezz!

Amir se s tim, ze pokud nevypukne valka, ktera vy silne zredukovala pocet pripojenych začizeni, tak ipv4 pujde o hajzlu, protoze adresy nejsou. Uz ted se to vselijak flikuje a ipv4 je v poslednim tazeni. A spousta lidi ma dnes pripojeni k "Internetu" za devatero NATy a jejich ISP je kolikrat takovy kreten, ze jim k nekolikrat  NATovane ipv4 adrese neumi dat ani verjny ipv6 rozsah.
Název: Re:IPv6 ease of use
Přispěvatel: robotron 17. 08. 2017, 21:26:24
Pridavam se k puvodnimu tazateli, tohle je dle meho nazoru naprosto legitimni a casto zadouci stav. Vnejsich poskytovatelu muze bejt i vic, muzou se dynamicky stridat a je i platnej stav, kdyz zadnej vnejsi poskytovatel neni. Provoz zarizeni (napr. kriticka prumyslova infrastruktura) by tim nemel mit ovlivnen a s DNS to nema co do cineni.
Jaký to má smysl přidávat se k dotazu, který už byl zodpovězen? Nebo tu odpověď chcete zopakovat?

Ja se nepridavam k dotazu, ale k tazateli se zduraznenim dulezitosti podmnozinym jim poptavanych potreb.
Název: Re:IPv6 ease of use
Přispěvatel: JSH 18. 08. 2017, 08:12:45
Ja se nepridavam k dotazu, ale k tazateli se zduraznenim dulezitosti podmnozinym jim poptavanych potreb.
A odpovědi sis přečetl? Jeho potřeby ipv6 splňuje. Jen toho dosahuje trochu jinak než ipv4.
Název: Re:IPv6 ease of use
Přispěvatel: j 18. 08. 2017, 09:14:20
... ISP je kolikrat takovy kreten, ze jim k nekolikrat  NATovane ipv4 adrese neumi dat ani verjny ipv6 rozsah.
On je predevsim takovej kreten, ze jim odmita dat i privatni ipv4 rozsah ... takze musej tu znatovanou adresu natovat znova a znova ... za coz by se melo veset na kandelabry.
Název: Re:IPv6 ease of use
Přispěvatel: JardaP . 18. 08. 2017, 09:52:28
On je predevsim takovej kreten, ze jim odmita dat i privatni ipv4 rozsah ... takze musej tu znatovanou adresu natovat znova a znova ... za coz by se melo veset na kandelabry.

Doba je zla, asi uz dochazeji i privatni adresy. Kdybyste nekdo chtel, tak mam par rozsahu na prodej.
Název: Re:IPv6 ease of use
Přispěvatel: M 18. 08. 2017, 10:46:23
Pokud je požadavek na co nejjednodušší náhradu routeru/firewalu v případě jeho výpadku současně se zachováním IP ve vnitřní síti, tak je pravda, že v IPV6 to není tak jednoduché jako v případě IPV4, kdy se použije NAT schovávající provoz za jednu IP adresu. Pokud navíc mají být IP adresy ve vnitřní síti statické, tak lze jedině řešení s proxy serverem nebo vlastní IP adresy. Pokud by šlo jen o jednu síť, tak by šlo ještě použít link local adresy, které nastaví OS a už se pak nemění. Prvkům s potřebou Internetu by se pak přidělila nějaká globální adresa. Vnitřní provoz by používal link local a ty by se při změně ISP neměnily. Ale bylo by to dost nestandardní.

Adresování vnitřní sítě s IPV6 má tyto možnosti (předpokládá se stavový firewal blokující nevyžádaný provoz z Internetu, aby nebylo vše otevřené):

•   privátní adresy - ULA (unique local addressing)
Přístup na Internet:
1. Přes proxy server, nejlépe s automatickou detekcí
  Většina aplikací umí s proxy fungovat.
2. Každý prvek, co potřebuje na Internet, bude mít další globální adresu (od poskytovatele Internetu), nejlépe s automatickým nastavením (SLAAC / DHCPv6), aby změna ISP vyžadovala změny jen na DHCP serveru/routeru.
  Servery v DMZ (příchozí provoz z Internetu) musí také mít globální adresu.
3. NAT pro cíle v Internetu - IPV6 network prefix translation
  Původně byl NAT v IPV6 úplně zatracován, ale je snaha ho prosadit, nejlépe se asi využije pro rychlé přesměrování za záložní linku do Internetu. jak daleko je implementace
  nevím.

•   globální IP od poskytovatele Internetu (unique global addressing)
1.   V případě změny ISP je potřeba změnit adresování ve vnitřní síti, takže se nabízí využití nějakého automatického přidělování IP adresy - SLAAC / DHCPv6. Změna se dělá na routeru / DHCP serveru, ne na každém prvku. V případě statické konfigurace IP adresy jsou nutné ruční změny, to je asi jen případ větších firem (access listy na sitovych prvcich, nastaveni firewalu apod.)
2.   NAT - IPV6 network prefix translation – překlad za novou síť od nového ISP - jako trvalé řešení by nebylo vhodné, protože např. uživatel by poslal svoji IP adresu a zdrojová pro Internet by byla jiná, což by vedlo ke zmatkům. Šlo by použít pro případ výpadku hlavního ISP a přesměrování na záložního ISP.

•   vlastní globální IP přidělené od registrátora (unique global addressing)
V případě změny ISP není třeba měnit adresování ve vnitřní síti, jen se domluví změna v propagaci přidělené sítě s novým poskytovatelem. Vhodné jen pro větší firmy kvůli nenulové ceně za přidělení IP adres a také kvůli zamezení příliš velkému počtu sítí v globální routovací tabulce.
Název: Re:IPv6 ease of use
Přispěvatel: MP 18. 08. 2017, 11:04:07
Citace
Přístup na Internet:
1. Přes proxy server, nejlépe s automatickou detekcí
  Většina aplikací umí s proxy fungovat.

To neplati. Zkuste pres to tahat ssh, rdp, anyconnect, atd...
Název: Re:IPv6 ease of use
Přispěvatel: robotron 18. 08. 2017, 11:23:27
Ja se nepridavam k dotazu, ale k tazateli se zduraznenim dulezitosti podmnozinym jim poptavanych potreb.
A odpovědi sis přečetl? Jeho potřeby ipv6 splňuje. Jen toho dosahuje trochu jinak než ipv4.

Precetl, potesila, jsem spokojen. Ja ji prece nerozporuji, jen se mi zdalo, ze nekolika lidem zde pripadaji puvodni pozadavky nepotrebne a haluzili s nesmyslama jako DNS. Proto jsem doplnil, ze za sebe vidim jako extremne dulezite jet na stabilnich a nikdy v budoucnu nemennejch adresach bez DNS.
Název: Re:IPv6 ease of use
Přispěvatel: Filip Jirsák 18. 08. 2017, 11:32:26
Pokud je požadavek na co nejjednodušší náhradu routeru/firewalu v případě jeho výpadku současně se zachováním IP ve vnitřní síti, tak je pravda, že v IPV6 to není tak jednoduché jako v případě IPV4, kdy se použije NAT schovávající provoz za jednu IP adresu.
Nesmysl, IP adresa s routerem/firewallem vůbec nesouvisí. Když router odejde a nahradíte ho jiným, na delegaci IPv6 sítě od ISP se nic nezmění, pořád dostanete ten stejný blok IPv6 adres. Jediné, co potřebujete, mít zazálohovanou konfiguraci toho routeru, abyste zařízením v síti znovu přiděloval stejnou IPv6 adresu – ale to platí i pro IPv4.

Pokud jste nemyslel výpadek routeru, ale výpadek internetové přípojky, tam je to s IPv6 ještě mnohem jednodušší, než s IPv4. IPv6 počítá s tím, že každé zařízení má víc přidělených IPv6 adres, takže pokud máte víc uplinků, každé zařízení má IPv6 adresu od každého z nich.

Původně byl NAT v IPV6 úplně zatracován, ale je snaha ho prosadit,
Holt si to někteří lidé potřebují vyzkoušet, že jim NAT bude akorát překážet, a pak konečně skončí na smetišti dějin. Nebo možná zůstane v některých velmi okrajových případech, pak to ale stejně nebude NAT 1:N, jaký známe z IPv4.

nejlépe se asi využije pro rychlé přesměrování za záložní linku do Internetu
S IPv6 nepotřebujete na záložní linku nijak přesměrovávat, protože zařízení v síti už mají IPv6 adresy z obou linek. Čímž jste se zároveň zbavil toho, že by router byl single point of failure. Jediný „problém“ je v tom, že router na záložní lince musí umět detekovat, že hlavní linka je nepoužitelná (ať už kvůli výpadku linky, ISP nebo kvůli výpadku routeru), a poslat do sítě oznámení směrovače, že hlavní brána je teď on.
Název: Re:IPv6 ease of use
Přispěvatel: Filip Jirsák 18. 08. 2017, 11:36:47
Precetl, potesila, jsem spokojen. Ja ji prece nerozporuji, jen se mi zdalo, ze nekolika lidem zde pripadaji puvodni pozadavky nepotrebne
Takové komentáře jsem nezaznamenal.

haluzili s nesmyslama jako DNS. Proto jsem doplnil, ze za sebe vidim jako extremne dulezite jet na stabilnich a nikdy v budoucnu nemennejch adresach bez DNS.
DNS není nesmysl, DNS byla odpověď na uživatelsky přívětivé řešení. Nikdy v budoucnu neměnné veřejné adresy jsou PI adresy, stejně jako u IPv4. Nikdy v budoucnu neměnné adresy v lokální síti jsou link local adresy, které jsou integrální součástí IPv6. V IPv4 jsou také, ale moc se nepoužívají.
Název: Re:IPv6 ease of use
Přispěvatel: slezi2 18. 08. 2017, 11:41:54
Když router odejde a nahradíte ho jiným, na delegaci IPv6 sítě od ISP se nic nezmění, pořád dostanete ten stejný blok IPv6 adres.

To ale platí jen při ruční konfiguraci.Při použití DHCPV6-PD bez zásahu ISP dostane jiný blok.
Název: Re:IPv6 ease of use
Přispěvatel: Filip Jirsák 18. 08. 2017, 12:02:15
Když router odejde a nahradíte ho jiným, na delegaci IPv6 sítě od ISP se nic nezmění, pořád dostanete ten stejný blok IPv6 adres.

To ale platí jen při ruční konfiguraci.Při použití DHCPV6-PD bez zásahu ISP dostane jiný blok.
To nezávisí ani na způsobu konfigurace (ruční/automatická) ani na výměně routeru. Závisí to na tom, jak to má smluvně ošetřené s ISP – zda ISP garantuje statické IPv6 adresy, nebo zda je přiděluje dynamicky. Pokud je přiděluje dynamicky, mohou se změnit i tehdy, když router zákazníka zůstane stejný.

Přičemž ISP se bude snažit IPv6 adresy přidělené zákazníkovy měnit jen velmi výjimečně, protože má nějaké povinnosti, které znamenají, že potřebuje vědět, které IP adresy patří kterému zákazníkovi. Když IP adresy zákazníkovi změní, musí si pamatovat, kdy ke změně došlo a jaké bylo přiřazení před změnou – to je jen zbytečná komplikace.
Název: Re:IPv6 ease of use
Přispěvatel: slezi2 18. 08. 2017, 12:40:31
Když router odejde a nahradíte ho jiným, na delegaci IPv6 sítě od ISP se nic nezmění, pořád dostanete ten stejný blok IPv6 adres.

To ale platí jen při ruční konfiguraci.Při použití DHCPV6-PD bez zásahu ISP dostane jiný blok.
To nezávisí ani na způsobu konfigurace (ruční/automatická) ani na výměně routeru. Závisí to na tom, jak to má smluvně ošetřené s ISP – zda ISP garantuje statické IPv6 adresy, nebo zda je přiděluje dynamicky. Pokud je přiděluje dynamicky, mohou se změnit i tehdy, když router zákazníka zůstane stejný.

Přičemž ISP se bude snažit IPv6 adresy přidělené zákazníkovy měnit jen velmi výjimečně, protože má nějaké povinnosti, které znamenají, že potřebuje vědět, které IP adresy patří kterému zákazníkovi. Když IP adresy zákazníkovi změní, musí si pamatovat, kdy ke změně došlo a jaké bylo přiřazení před změnou – to je jen zbytečná komplikace.

Tak tohle je snad vtip ne?Jak smlouva nakonfiguruje blok adres na mém routeru?To je nějaký nový standart?My teda používáme DHCPV6-PD,ale asi je to blbě.
Název: Re:IPv6 ease of use
Přispěvatel: robotron 18. 08. 2017, 13:16:21
(..) DNS není nesmysl, DNS byla odpověď na uživatelsky přívětivé řešení.

DNS je pro spoustu pouziti naprosto tragickej nesmysl. Pokud napr. v systemu mereni a rizeni (nebavim se o systemech, jejich zavada zpusobi smrt/vybuch/rozsahle skody, ale o obycejnejsich, kde se sice vypadek tolerovat da, ale neni zadouci zbytecne spolehlivost zhorsovat). Uz jen proto, ze oproti prostemu odeslani paketu vyzaduje vyhledat adresu k jmenu a to je operace s ne moc dobre definovanou casovou odezvou.

Krome toho je blbost menit adresy, kdyz mohou byt trvale navazana dlouhodoba spojeni a je nesmysl je rusit kvuli takove malichernosti, jako zmena pripojeni ven.

(Opet, projistotu pro nechapave: ja rozumim tomu, ze to neni v rozporu s IPv6 moznostmi a jsem za to samozrejme rad. Pisu to jen pro zjevny nedostatek fantazie ci zkusenosti, ktery vedl k zpochybnovani uzitecnosti pevnych adres a k propagacim zcestnych alternativ jako dynamicky se menici vnitrni DNS.)
Název: Re:IPv6 ease of use
Přispěvatel: JSH 18. 08. 2017, 13:17:08
Tak tohle je snad vtip ne?Jak smlouva nakonfiguruje blok adres na mém routeru?To je nějaký nový standart?My teda používáme DHCPV6-PD,ale asi je to blbě.
Ne na mém routeru, ale na routeru poskytovatele.
Název: Re:IPv6 ease of use
Přispěvatel: slezi2 18. 08. 2017, 13:36:47
Tak tohle je snad vtip ne?Jak smlouva nakonfiguruje blok adres na mém routeru?To je nějaký nový standart?My teda používáme DHCPV6-PD,ale asi je to blbě.
Ne na mém routeru, ale na routeru poskytovatele.
Asi jsem to blbě napsal.Beru to z pohledu ISP.
Každopádně pokud ISP nemá ruční konfiguraci IPV6 adres,tak jakákoliv změna routeru(i rozhraní k ISP)vyvolá změnu bloku IPV6 adres,pokud si to předem s ISP nedohodne.
Název: Re:IPv6 ease of use
Přispěvatel: JSH 18. 08. 2017, 14:47:20
Tak tohle je snad vtip ne?Jak smlouva nakonfiguruje blok adres na mém routeru?To je nějaký nový standart?My teda používáme DHCPV6-PD,ale asi je to blbě.
Ne na mém routeru, ale na routeru poskytovatele.
Asi jsem to blbě napsal.Beru to z pohledu ISP.
Každopádně pokud ISP nemá ruční konfiguraci IPV6 adres,tak jakákoliv změna routeru(i rozhraní k ISP)vyvolá změnu bloku IPV6 adres,pokud si to předem s ISP nedohodne.
Kde je problém? Smlouva přece znamená právě takovou dohod předem, ne?
Název: Re:IPv6 ease of use
Přispěvatel: Filip Jirsák 18. 08. 2017, 15:16:45
Každopádně pokud ISP nemá ruční konfiguraci IPV6 adres,tak jakákoliv změna routeru(i rozhraní k ISP)vyvolá změnu bloku IPV6 adres,pokud si to předem s ISP nedohodne.
Ne, změna zařízení opravdu nemá žádný vliv na to, zda dostanete přidělené stejné nebo jiné IP adresy. Zařídit fungování IP adres vždy musí poskytovatel (i když budete mít PI adresy, pořád je musí poskytovatel naroutovat na vaše zařízení). Poskytovatele žádný zákon ani standard nenutí dávat vám stále stejné IP adresy, takže pokud to chcete mít zaručené, jediná možnost je smluvní záruka. Když takovouhle záruku mít nebudete, poskytovatel vám může měnit přidělené IP adresy jak často ho napadne, a to, že vy máte stále stejný router, ho vůbec nebude zajímat. Když vám přes DHCP propůjčí adresy na hodinu, tak vám je za hodinu klidně může změnit, a vy s tím nic nenaděláte. I kdybyste si ty adresy nastavil ručně, tak až vám ISP přidělí jiné adresy, přestane vám to ruční přiřazení fungovat. Takhle to funguje s IPv4 i IPv6, jediný rozdíl je v tom, že IPv6 adres je dostatek a pro ISP je tedy nejjednodušší přidělit vám pevný blok, i když se k tomu nezaváže smluvně. Ale může to znamenat, že se za rok rozhodne překonfigurovat síť a přidělí vám jiný blok (což se může úplně stejně stát, i když budete mít smluvně zajištěný statický blok IP adres, akorát v takovém případě vás bude informovat předem).

Snad žádný ISP nemá ruční konfiguraci IP adres, vždy vám ty IP adresy přiděluje nějaký systém např. přes DHCP. Z ručního přidělování by se ten ISP zbláznil.
Název: Re:IPv6 ease of use
Přispěvatel: Filip Jirsák 18. 08. 2017, 15:32:26
DNS je pro spoustu pouziti naprosto tragickej nesmysl.
Nějak jste opět přehlédl, že byla řeč o uživatelské přívětivosti nebo-li o user-friendly řešení. Opravdu není vrchol uživatelského komfortu to, že bude uživatel někam psát IPv6 adresu. On není vrchol uživatelského komfortu ani to, když někam vypisuje IPv4 adresu.

Pokud napr. v systemu mereni a rizeni (nebavim se o systemech, jejich zavada zpusobi smrt/vybuch/rozsahle skody, ale o obycejnejsich, kde se sice vypadek tolerovat da, ale neni zadouci zbytecne spolehlivost zhorsovat). Uz jen proto, ze oproti prostemu odeslani paketu vyzaduje vyhledat adresu k jmenu a to je operace s ne moc dobre definovanou casovou odezvou.
Kdo chce psa bít… Když chcete odeslat IP paket, musíte nejprve zjistit linkovou adresu adresáta, což je také operace s ne moc dobře definovanou časovou odezvou. A pokud řešíte tohle, pak je otázka, zda IP je zrovna ten nejvhodnější protokol.

Krome toho je blbost menit adresy, kdyz mohou byt trvale navazana dlouhodoba spojeni a je nesmysl je rusit kvuli takove malichernosti, jako zmena pripojeni ven.
Neprotiřečíte si trošku? Buď spojení zůstává dostupné, pak neměníte IP adresy a spojení zůstanou zachována. Nebo dané spojení přestalo být funkční, začnete používat jiné spojení a tedy jiné adresy, ale pak ta navázaná spojení byla přerušena tím výpadkem spojení, protože nikdo po cestě opravdu neví, že ty pakety pro vaše IP adresy má teď posílat jinudy.

(Opet, projistotu pro nechapave: ja rozumim tomu, ze to neni v rozporu s IPv6 moznostmi a jsem za to samozrejme rad. Pisu to jen pro zjevny nedostatek fantazie ci zkusenosti, ktery vedl k zpochybnovani uzitecnosti pevnych adres a k propagacim zcestnych alternativ jako dynamicky se menici vnitrni DNS.)
Možná zkuste ostatní méně podezřívat z nechápavosti a lépe číst komentáře, na které reagujete. Užitečnost pevných adres v rámci sítě v určitých specifických případech tu nikdo nezpochybňuje, naopak tu opakovaně byly zmiňovány link local adresy, nebo-li právě ty pevné adresy v rámci sítě, které jsou zabudované do samých základů IPv6. Pokud byste myslel globální pevné IP adresy, tam bych tu užitečnost velmi zpochybňoval, ale o těch nebyla řeč.
Název: Re:IPv6 ease of use
Přispěvatel: robotron 18. 08. 2017, 16:06:32
DNS je pro spoustu pouziti naprosto tragickej nesmysl.
Nějak jste opět přehlédl, že byla řeč o uživatelské přívětivosti nebo-li o user-friendly řešení. Opravdu není vrchol uživatelského komfortu to, že bude uživatel někam psát IPv6 adresu. On není vrchol uživatelského komfortu ani to, když někam vypisuje IPv4 adresu.

Asi si pod tim vagnim pojmem privetivosti kazdej predstavi neco trochu jineho.

Citace
Kdo chce psa bít… Když chcete odeslat IP paket, musíte nejprve zjistit linkovou adresu adresáta, což je také operace s ne moc dobře definovanou časovou odezvou.

To uznavam. Porad ale plati, ze DNS navic pridava prvek nespolehlivosti a prodlevy a menici se adresy nekdy i vyraznou slozitost ci nepohodli navic.

Citace
Krome toho je blbost menit adresy, kdyz mohou byt trvale navazana dlouhodoba spojeni a je nesmysl je rusit kvuli takove malichernosti, jako zmena pripojeni ven.
Neprotiřečíte si trošku? Buď spojení zůstává dostupné, pak neměníte IP adresy a spojení zůstanou zachována. Nebo dané spojení přestalo být funkční, začnete používat jiné spojení a tedy jiné adresy, ale pak ta navázaná spojení byla přerušena tím výpadkem spojení,

Neprotirecim, protoze jde o ta spojeni v ramci vnitrni site.

Citace
Možná zkuste ostatní méně podezřívat z nechápavosti a lépe číst komentáře, na které reagujete. Užitečnost pevných adres v rámci sítě v určitých specifických případech tu nikdo nezpochybňuje,

Mne se zdalo, ze zpochybnuje.

Citace
naopak tu opakovaně byly zmiňovány link local adresy, nebo-li právě ty pevné adresy v rámci sítě, které jsou zabudované do samých základů IPv6.

A to je dobre a to zas prozmenu nezpochybnuju ja.

Citace
Pokud byste myslel globální pevné IP adresy, tam bych tu užitečnost velmi zpochybňoval, ale o těch nebyla řeč.

Tady se shodneme.
Název: Re:IPv6 ease of use
Přispěvatel: Martin 18. 08. 2017, 19:12:33
Citace
Přístup na Internet:
1. Přes proxy server, nejlépe s automatickou detekcí
  Většina aplikací umí s proxy fungovat.

To neplati. Zkuste pres to tahat ssh, rdp, anyconnect, atd...

Tu variantu s proxy serverem jsem uvedl jen pro úplnost, v praxi se to použije jen málokdy. Pokud by se řešil běžný kancelářský přístup na Internet, tak by to mohlo stačit.
Název: Re:IPv6 ease of use
Přispěvatel: Janci 18. 08. 2017, 21:59:45
Amir se s tim, ze pokud nevypukne valka, ktera vy silne zredukovala pocet pripojenych začizeni, tak ipv4 pujde o hajzlu, protoze adresy nejsou. Uz ted se to vselijak flikuje a ipv4 je v poslednim tazeni. A spousta lidi ma dnes pripojeni k "Internetu" za devatero NATy a jejich ISP je kolikrat takovy kreten, ze jim k nekolikrat  NATovane ipv4 adrese neumi dat ani verjny ipv6 rozsah.

Naopak, kym nevypukne vojna, ktora by vyznamne zredukovala pocet IPv4 zariadeni bude IPv4 stale ziva. IPv6 bolo navrhnute pred 20 rokmi na to, aby riesilo vtedajsie problemy IPv4, ktore su dnes neexistujuce. Naopak dnesne problemy neriesi. Smrt IPv6.
Název: Re:IPv6 ease of use
Přispěvatel: v10 18. 08. 2017, 23:07:03
ipv6 je překombinovaná geekovina pro běžného uživatele neuchopitelná a ignorovaná a proto se již těch dvacet let plácá tam kde je (analogie s linuxem), bude třeba začít znova a lépe s ipv10  8)
Název: Re:IPv6 ease of use
Přispěvatel: lojzak 18. 08. 2017, 23:21:30
...

Naopak, kym nevypukne vojna, ktora by vyznamne zredukovala pocet IPv4 zariadeni bude IPv4 stale ziva. IPv6 bolo navrhnute pred 20 rokmi na to, aby riesilo vtedajsie problemy IPv4, ktore su dnes neexistujuce. Naopak dnesne problemy neriesi. Smrt IPv6.

Jasně, problém s nedostatkem IPv4 adres se vyřešil používáním NATů a nejlépe několikanásobných.
Název: Re:IPv6 ease of use
Přispěvatel: Jenda 19. 08. 2017, 06:06:42
IPv6 bolo navrhnute pred 20 rokmi na to, aby riesilo vtedajsie problemy IPv4, ktore su dnes neexistujuce.

Zajímavé. Já i sítě které spravuji se s nedostatkem IPv4 adres potýkáme neustále.
Název: Re:IPv6 ease of use
Přispěvatel: Jenda 19. 08. 2017, 06:14:07
Nikdy v budoucnu neměnné adresy v lokální síti jsou link local adresy, které jsou integrální součástí IPv6.

Jak se správně řeší, když mám sítí víc? Site local nám zrušili, takže si mám alokovat fd00::/8 a použít ty?
Název: Re:IPv6 ease of use
Přispěvatel: Filip Jirsák 19. 08. 2017, 08:07:38
IPv6 bolo navrhnute pred 20 rokmi na to, aby riesilo vtedajsie problemy IPv4, ktore su dnes neexistujuce. Naopak dnesne problemy neriesi. Smrt IPv6.
V té první větě máte vlastně pravdu. Před dvaceti roky byl problém, že se blíží nedostatek IPv4 adres. Tenhle problém už opravdu spoustu let nemáme, protože nedostatek IPv4 adres už dávno je – akorát se postupně stupňuje, jak velký je ten nedostatek. Tenhle problém naštěstí IPv6 řeší. A bez IPv6 se nikam dál nehneme, natož abychom mohli vyřešit nějaké nové problémy.
Název: Re:IPv6 ease of use
Přispěvatel: Filip Jirsák 19. 08. 2017, 08:19:48
Nikdy v budoucnu neměnné adresy v lokální síti jsou link local adresy, které jsou integrální součástí IPv6.

Jak se správně řeší, když mám sítí víc? Site local nám zrušili, takže si mám alokovat fd00::/8 a použít ty?
Používat neměnné IP adresy mezi sítěmi mi nepřipadá jako dobrý nápad. Tím, že je tam víc sítí, vstupuje do toho ještě mnohem víc nejistoty, takže padá ten argument, že to má být co nejjednodušší (myšleno co nejméně technologií a protokolů). Pokud jsou to třeba nějaká jednoduchá čidla, o kterých psal Robotron, měla by komunikovat jen s nějakým sběrným zařízením ve své síti – když je pro ně problém DNS, stejný problém bude i objevování routerů. Takže pokud je sítí víc, mezi sítěmi bych stabilitu názvů řešil pomocí DNS, ve výsledku je to mnohem jednodušší.

A pokud by náhodou někdo opravdu strašně nutně potřeboval několik sítí, které komunikují mezi sebou ale ne s internetem a používají jenom IP adresy, může vlastně použít jakékoli IP adresy si vzpomene.
Název: Re:IPv6 ease of use
Přispěvatel: lup 19. 08. 2017, 08:38:14
ipv4 budu používat do té doby dokud internetové služby, které používám, budou přes ipv4 dostupné, jinak pohodička  8) a jen se bavím s jakými hovadinami se kvůli ipv6 potýkáte ;D
Název: Re:IPv6 ease of use
Přispěvatel: Jenda 19. 08. 2017, 10:00:05
Kéž bych se také mohl jen bavit tím, s jakými hovadinami se kvůli IPv4 potýká někdo jiný...
Název: Re:IPv6 ease of use
Přispěvatel: Tomas2 19. 08. 2017, 11:12:16
koukám, že tohle vypadá skoro jako náboženské války. Ipv4 jsme se naučili tak dobře používat, že to pro nás vlastně je synonymum pro internet, i moje mamka ví co to je IP adresa a jak jí na routeru/počítači změnit.

IPv6 je evolučně dál, mamka už nepotřebuje vědět jak a kde jí změnit, už se o to nemusí starat, síť se nastaví jednou a funguje napříč několika aktivními prvky a novými mobily a změnou isp jako by nic.

Většina zdejších výkřiků proti ipv6 je od lidí, kteří jí neovládají, ale stračně rádi kritizuji a ze zvyku jí chtějí používat jako ipv4. Je to ale úplně jiná technologie se stejným cílem jako ipv4.

Říkat, že chci NAT kvůli bezpečnosti je jako chtít kvůli tomu záclonu do oken, stačí tma, světlo ve vnitř a skoro jak by tam záclona nebyla. Od bezpečnosti jsou firewally (=okenice) a brány (=vchodové dveře). To, že jsme si za ty roky zvykli, že záclona stačí k uchránění soukromí nemění nic na tom, že to je blbost, stačí si vyjet za sousedy do zahraničí a zjistíte, že záclony v oknech často nemají a stejně si svoje soukromí chrání i lépe než my...
Název: Re:IPv6 ease of use
Přispěvatel: Milfaus 19. 08. 2017, 20:24:06
ipv6 je překombinovaná geekovina pro běžného uživatele neuchopitelná a ignorovaná a proto se již těch dvacet let plácá tam kde je (analogie s linuxem), bude třeba začít znova a lépe s ipv10  8)

Jenže Linux je užitečný alespoň na serveru, dá se dokonce říct, že je na serveru jen těžko nahraditelný.
Mimo to běží na hromadě těch malých krabiček od routerů po chytré vibrátory přes mixéry po bomby.

IPv6 je oproti Linuxu takový ten šlem, co se udělá na týden špinavém nádobí.
Název: Re:IPv6 ease of use
Přispěvatel: Tomas2 20. 08. 2017, 11:07:55
Jenže Linux je užitečný alespoň na serveru, dá se dokonce říct, že je na serveru jen těžko nahraditelný.
Mimo to běží na hromadě těch malých krabiček od routerů po chytré vibrátory přes mixéry po bomby.

To není pravda, nahraditelný je a řekl bych docela snadno. Vysokou penetrace má jen u webových serverů, u ostatních provozů už tak vysoká není a konkurence je velice silná.

Díky GPL jeho rozšíření na routerech, vibrátorech a bombách (WTF) není tak vysoké. Spíše se používají různé varianty unix systémů. Kde ale má jasnou dominantu jsou mobily.

viz třeba https://en.wikipedia.org/wiki/Usage_share_of_operating_systems
Název: Re:IPv6 ease of use
Přispěvatel: Sten 21. 08. 2017, 05:03:41
Jak se správně řeší, když mám sítí víc? Site local nám zrušili, takže si mám alokovat fd00::/8 a použít ty?

Nejlépe používat globální adresy, poskytnout PI adresy by měl umět každý firemní ISP nabízející IPv6. Pokud to nejde, pak ULA jsou správné řešení.
Název: Re:IPv6 ease of use
Přispěvatel: M. 21. 08. 2017, 13:12:23
S ohledem na původní požadavky a doplnění o utajení maxima o vnitřní sítě, tak to neplní ani žádný NAT na IPv4, natož pro IPv6. Kdo to řeší, tak dosti složitěji (stejně pro IPv4/IPv6).

Požadovaný NAT-PT (1:N) pro IPv6 existuje, umí ho dneska už skoro korektně i linux, některé bedny od Cisco, Juniperu. Vedle toho je také NPT (network prefix translation, 1:1 překlad prefixů). Ale je třeba upozornit na to, že přímo i autoři specifikcí po dané NAT technologie uvádí a v RFC deklarují, že přes to všechno fungovat nebude a nabádají i autory aplikací/protokolů, aby si nekomplikovali život/návrhy postupy umožňující funkčnost přes NAT pro IPv6, protože se to bere jen jako nouzovka pro specifické použití a tam se uživatel smíří, že nefunguje vše. A fakticky to tak i je, když vezmu Win10, strčím je na IPv6 bez NATu a pak za IPv6  NAT (stačí i méně destruktivní NPT), tak řada věcí najednou ouvej.

Obecně pro původní požadavky pro mximální jednoduchost a stálost vnitřní sítě, tak je asi řešení nasazení ULA adres do vnitřní sítě (fc00::/7) a na těch primárně jede vnitřní IPv6 provoz. Ty už jsou neměnné i při změně vnější konektivity a k tomu paralelně zařízení dostávjí i globální IPv6 adresu(y) dle aktuální konektivity, která se mění dle situace a uplinku. Funguje víc než dobře. V kombinaci  DHCPv6-PD na uplinkách i velmi automatizovaně (pomiňme tlupu alternativních ISP, co vše mlátí ručně až do routerů koncáků) při změně uplink stavu. Samozřejmě v kombinci s vhodným stavovým firewallem, který by v základu (dle RFC doporučení pro koncové routery) měl pustit vše korektní ven a dovnitř jen omezené nastavené služby/porty, případně v základě max ICMP ping, IPsec/IKE/MIP.
Kombinace ULA a globální IPv6 adresy má v kombinci s běžnými klienty (typu Win7-10) slabinu asi jen v tom, že pokud se ztratí IPv6 globální konektivita úplně a zůstane dostupná IPv4 konektivita, tak zařízení mají jen IPv6 ULA adresu se snaží pak i s ní kontaktovat zdroje po IPv6 ven, což nejde (už ten koncový router by neměl forwrdovat pakety s ULA zdrojovými adresami na WAN). V takovém případě by měl být měla klienty upřednostněno IPv4, pokud je dostupné.
ULA řeší i to případné propojování větších sítí tunely mezi sebou, kde si s link local adresami nevystačím a při dodržení konceptu ULA i je celkem nereálné, že při propojení několika vnitřních sítí dojde ke konfliktu adres použitých v jednotlivých LAN (jak se občas na IPv4 děje s adresami dle RFC1918).
Název: Re:IPv6 ease of use
Přispěvatel: Sten 21. 08. 2017, 17:45:41
Kombinace ULA a globální IPv6 adresy má v kombinci s běžnými klienty (typu Win7-10) slabinu asi jen v tom, že pokud se ztratí IPv6 globální konektivita úplně a zůstane dostupná IPv4 konektivita, tak zařízení mají jen IPv6 ULA adresu se snaží pak i s ní kontaktovat zdroje po IPv6 ven, což nejde (už ten koncový router by neměl forwrdovat pakety s ULA zdrojovými adresami na WAN). V takovém případě by měl být měla klienty upřednostněno IPv4, pokud je dostupné.

V Linuxu to v případě, kdy je k dispozici IPv4 a ULA IPv6, upřednostní IPv4, ale není to doporučené chování podle RFC 3484. Podle RFC se má IPv4 upřednostnit jen v případě, kdy je k dispozici veřejná IPv4 adresa, tedy pokud je site-local (NATovaná) IPv4 a ULA IPv6, měla by se upřednostnit IPv6. Předpokládám, že tohle bude ten problém ve Windows; mělo by to jít změnit přes prefixpolicies. Klientské aplikace by tohle vůbec neměly řešit.
Název: Re:IPv6 ease of use
Přispěvatel: M. 23. 08. 2017, 10:46:24
Ano, přes prefixpolicies to jde ve Windows doladit do OK stavu. Pak je jen na tzateli, zda to je ještě snadná úprava. :-)

Jinak ten návrh s PI bloky, tak tomu bych se bránil, respektive by tomu měl bránit už ten ISP/LIR v řadě přípdů. Ono si i držet X PI bloků něco bude stát n pořízení, navíc domlouvat routing, případně vlastní AS a BGP... To je orpavdu pro toho, kdo potřebuje víc konektivit a být dostupný na stejném bloku přes víc linek, kde nabízím služby široké veřejnosti a ne kvůli svým interním záležitostem, tam patří nasadit ty ULA prefixy a lokality mezi sebou tunelovat.
Název: Re:IPv6 ease of use
Přispěvatel: lojzak 23. 08. 2017, 11:44:23
Mám pocit, že odpor vůči IPv6 je způsoben tím, že zápis IPv6 adresy je jiný než zápis IPv4 adresy.  ;D Ti, kdo píší, že IPv6 je geekovina a nedotažený bastl jsou frustrování, že najednou neumí pracovat s hexadecimálními čísly. A nebo je to forma autismu - celou dobu byli zvyklí na na dekadický zápis adresy po osmi oktetech a najednou by se měli učit něco jiného.  :D

Zajímalo by mě, jakou mají zarytí odpůrci IPv6 praxi se správou IPv6 sítí.
Název: Re:IPv6 ease of use
Přispěvatel: Milfaus 23. 08. 2017, 13:51:51
Zajímalo by mě, jakou mají zarytí odpůrci IPv6 praxi se správou IPv6 sítí.

Stejnou, jakou jsem měl s provozem dualstacku Novell Netware a IPv4 protokolu.

Jde o to, že u IPv4 můžeš mít hodně vysokou kontrolu nad tím, jaké má zařízení IP adresu.
Nastavíš si pravidla na firewallu pro dané IP adresy, které jsou neměnná.
S IPv6 tuto kontrolu můžeš získat také, ale řekl bych za podstatně, podstatně, podstatně vyššího úsilí a navíc potřebuješ provozovat oba protokoly zároveň. V korporátní praxi je problém ten, že 1/2 výrobních zařízení IPv6 neumí a nezná, tj. je s IPv6 zcela nepoužitelná a to včetně těch nově prodávaných. Navíc potřebuješ dost přesně zkoumat to, co má jakou adresu, kam to leze a neleze. Debilní implementace debilního protokolu jen dráždí už tak uhnané a vystresované ajťáky, kteří se starají, aby měl každý Lojza od lisu na gumovky práci, protože ten lis sbírá data. IPv4 a IPv6 mají odlišnou logiku a ty musíš mít v provozu oba protokoly. Líp by bylo Lojzu vyhodit z práce a fabriku přesunout do Číny, ale i ten (dost možná) retardovaný Lojza má ženu a děti, které potřebuje nakrmit. Je jasné, že Lojza tomu nerozumí, protože mu doma na tabletu a notebooku značky Acer všechno celkem šlape a může si prohlédnout to svoje porno, když tedy přijde z gumovkárny, ale Lojzův svět je jen ubohá zjednodušenina skutečnosti.

Název: Re:IPv6 ease of use
Přispěvatel: slezi2 23. 08. 2017, 13:57:14
Mám pocit, že odpor vůči IPv6 je způsoben tím, že zápis IPv6 adresy je jiný než zápis IPv4 adresy.  ;D Ti, kdo píší, že IPv6 je geekovina a nedotažený bastl jsou frustrování, že najednou neumí pracovat s hexadecimálními čísly. A nebo je to forma autismu - celou dobu byli zvyklí na na dekadický zápis adresy po osmi oktetech a najednou by se měli učit něco jiného.  :D

Zajímalo by mě, jakou mají zarytí odpůrci IPv6 praxi se správou IPv6 sítí.

A Vy?

Mám na starost menší síť (cca 2500 klientů) a IPV6 bych rád nasadil do ostrého provozu,ale bohužel na náš model sítě se   špatně(neříkám že to nejde)aplikuje.Např. přidělení prefixu /56 pro uživatele co má TP-LINK.Po každém n-tém(n = náhodné číslo) restartu má jiný IAID ,což v mikrotiku znamená přidělení jiného prefixu.Celkově je IPV6 v zařízeních nedotažené.To je z pohledu ISP.
Co se týká koncových uživatelů.tam většinou není problém.Stačí dát router(i ten TP-LINK) a funguje to.
Mě osobně by stačilo,kdyby prefix šel v DHCP-PD přidělovat dle mac adresy.
Jinak proti IPV6 nic nemám.
Název: Re:IPv6 ease of use
Přispěvatel: Milfaus 23. 08. 2017, 14:11:18
To je z pohledu ISP.

Musíš zavést PPPoE :-D Jednak budeš mít lepší přehled o tom, co se děje, jednak půjde lépe sdílet jediná veřejná IP adresa, těch 2 500 lidí se ti za ní v pohodě vejde, stačí jim dát limit 25 současných spojení :-D Navíc jim při té příležitosti můžeš dát i IPv6. Kdo nezaplatí, ten PPPoE spojení naváže jen na stránku s velkým nápisem "Zaplať zmrde!"
(Ve skutečnosti mám PPPoE rád.)

Protože když se pokusíš zavádět IPv6 na silně routované síti, budeš chtít fail over, load balancing a podobné koniny uvnitř routované sítě, celkem tě to zabaví :-D Hlavně pokud se pokusíš to realizovat čistě na IPv6, ta implementace řady výrobců je vážně zralá  ;D

Jinak je tvoje práce jen prodávání housek, prostě klonuješ konfiguraci A na n stanic, to není nic, kde by IPv6 dělala problémy.
Název: Re:IPv6 ease of use
Přispěvatel: Milfaus 23. 08. 2017, 14:13:20
... ten PPPoE spojení naváže, ALE DOSTANE SE JEN na stránku s velkým nápisem "Zaplať ...

Edit s ohledem na "lidi s oblibou napichující hnidy" tzn. hnidopichy.
Název: Re:IPv6 ease of use
Přispěvatel: asdf111 23. 08. 2017, 15:54:54
Mám pocit, že odpor vůči IPv6 je způsoben tím, že zápis IPv6 adresy je jiný než zápis IPv4 adresy.  ;D Ti, kdo píší, že IPv6 je geekovina a nedotažený bastl jsou frustrování, že najednou neumí pracovat s hexadecimálními čísly. A nebo je to forma autismu - celou dobu byli zvyklí na na dekadický zápis adresy po osmi oktetech a najednou by se měli učit něco jiného.  :D

Zajímalo by mě, jakou mají zarytí odpůrci IPv6 praxi se správou IPv6 sítí.
nikomu nic nebrani zacat pouzivat ipv6 adresy v tomto formate :)
32.1.4.112.92.59.0.0.82.229.73.255.254.238.136.103
alebo
0010000000000001 0000010001110000 0101110000111011 0000000000000000 0101001011100101 0100100111111111 1111111011101110 1000100001100111


@Milfaus v ipv6 funguje aj staticka konfiguracia aj DHCPv6, cize kontrola nad firewallmi je tu zabezpecena v rovnakej miere ako na ipv4, to ze tu mame moznost SLAAC je len prijemny bonus, v datacentrach to je velmi prijemny bonus, kedze su IPcky deterministicke podla MAC. jedine co skomplikuje firewall pravidla su privacy extensions, ale tie sa spravidla pouzivaju len na outbound konektivitu a skor na domace pouzitie, cize nic co by bolo treba definovat na firewalloch.
Název: Re:IPv6 ease of use
Přispěvatel: MP 23. 08. 2017, 16:14:18
Obecně pro původní požadavky pro mximální jednoduchost a stálost vnitřní sítě, tak je asi řešení nasazení ULA adres do vnitřní sítě (fc00::/7) a na těch primárně jede vnitřní IPv6 provoz. Ty už jsou neměnné i při změně vnější konektivity a k tomu paralelně zařízení dostávjí i globální IPv6 adresu(y) dle aktuální konektivity, která se mění dle situace a uplinku. Funguje víc než dobře.

Jak tohle bude fungovat v pripade VPN a obou stranach pouziti fc00::/7?
Název: Re:IPv6 ease of use
Přispěvatel: Jenda 23. 08. 2017, 16:42:32
Jak tohle bude fungovat v pripade VPN a obou stranach pouziti fc00::/7?
Tak ono to není fc00::/7, ale fc00:40_náhodných_nebo_assignovaných_bitů::/48, takže pravděpodobnost náhodné kolize je 2^-40. A když k ní dojde, tak to bude úplně stejně na prd jako když se připojuješ z domova, kde máš síť 192.168.0.0, do práce, kde mají síť 192.168.0.0. Tak mě napadá, nemůžeš si u IPv6 pomoct stejně jako u link local, tj. fc00:kolize::%eth0?
Název: Re:IPv6 ease of use
Přispěvatel: Jenda 23. 08. 2017, 16:46:45
Jde o to, že u IPv4 můžeš mít hodně vysokou kontrolu nad tím, jaké má zařízení IP adresu.
Nastavíš si pravidla na firewallu pro dané IP adresy, které jsou neměnná.
S IPv6 tuto kontrolu můžeš získat také, ale řekl bych za podstatně, podstatně, podstatně vyššího úsilí

Já bych řekl, že jim je buď nastavím staticky úplně stejně, nebo se vygenerují z MAC adresy po přijmutí RA úplně stejně, nebo jim je přidělí DHCPv6 úplně stejně.
Název: Re:IPv6 ease of use
Přispěvatel: Filip Jirsák 23. 08. 2017, 16:51:50
Obecně pro původní požadavky pro mximální jednoduchost a stálost vnitřní sítě, tak je asi řešení nasazení ULA adres do vnitřní sítě (fc00::/7) a na těch primárně jede vnitřní IPv6 provoz. Ty už jsou neměnné i při změně vnější konektivity a k tomu paralelně zařízení dostávjí i globální IPv6 adresu(y) dle aktuální konektivity, která se mění dle situace a uplinku. Funguje víc než dobře.

Jak tohle bude fungovat v pripade VPN a obou stranach pouziti fc00::/7?
To je prostě špatný nápad. IPv6 adres je dost, je jich spousta. Jakmile chcete po IPv6 komunikovat mezi více sítěmi, požijte normální routovatelné IPv6 adresy, které vám přidělí ISP. Klidně pak tunelujte provoz přes VPN, to je jedno. Ale ULA nebo link-local adresy jsou určené opravdu jen pro lokální provoz, pokoušet se s jejich pomocí komunikovat ven (byť přes VPN) je špatně. A obecně, pokud někdo chce použít ULA nebo link-local adresy, měl by opravdu chápat principy IPv6. Pokud je někdo chce použít jenom jako náhradu privátních adres z IPv4, nejspíš dělá něco špatně a vymstí se mu to.
Název: Re:IPv6 ease of use
Přispěvatel: MP 23. 08. 2017, 17:47:10
Jak tohle bude fungovat v pripade VPN a obou stranach pouziti fc00::/7?
Tak ono to není fc00::/7, ale fc00:40_náhodných_nebo_assignovaných_bitů::/48, takže pravděpodobnost náhodné kolize je 2^-40. A když k ní dojde, tak to bude úplně stejně na prd jako když se připojuješ z domova, kde máš síť 192.168.0.0, do práce, kde mají síť 192.168.0.0. Tak mě napadá, nemůžeš si u IPv6 pomoct stejně jako u link local, tj. fc00:kolize::%eth0?

Pravdepodobnost kolize je tentokrat mnohem vyssi, nebot kazdy se bude snazit pouzivat zapamatovatelny rozsah. A nejde mi ani tak o klienty jako spis o routery/vpn koncentratory.
Název: Re:IPv6 ease of use
Přispěvatel: MP 23. 08. 2017, 17:49:47
Obecně pro původní požadavky pro mximální jednoduchost a stálost vnitřní sítě, tak je asi řešení nasazení ULA adres do vnitřní sítě (fc00::/7) a na těch primárně jede vnitřní IPv6 provoz. Ty už jsou neměnné i při změně vnější konektivity a k tomu paralelně zařízení dostávjí i globální IPv6 adresu(y) dle aktuální konektivity, která se mění dle situace a uplinku. Funguje víc než dobře.

Jak tohle bude fungovat v pripade VPN a obou stranach pouziti fc00::/7?
To je prostě špatný nápad. IPv6 adres je dost, je jich spousta. Jakmile chcete po IPv6 komunikovat mezi více sítěmi, požijte normální routovatelné IPv6 adresy, které vám přidělí ISP. Klidně pak tunelujte provoz přes VPN, to je jedno. Ale ULA nebo link-local adresy jsou určené opravdu jen pro lokální provoz, pokoušet se s jejich pomocí komunikovat ven (byť přes VPN) je špatně. A obecně, pokud někdo chce použít ULA nebo link-local adresy, měl by opravdu chápat principy IPv6. Pokud je někdo chce použít jenom jako náhradu privátních adres z IPv4, nejspíš dělá něco špatně a vymstí se mu to.

Takze zatimco pri ipv4 proste nastavim redundanci na urovni verejne IP adresy mezi VPN koncentratory v pripade vice  isp, tak u ipv6 budu muset duplikovat acl/cryptomapy pro rozdilne IP rozsahy? Chapu to spravne ty normalni routovatelne ipv6 adresy z vaseho prispevku?
Název: Re:IPv6 ease of use
Přispěvatel: Milfaus 23. 08. 2017, 18:25:07

Ono je dost problematické chtít na IPv6 implementovat principy z IPv4, jsou to jiné světy.
Nejsnazší je zahodit všechno, co víš a začít znova, bohužel.
Název: Re:IPv6 ease of use
Přispěvatel: Filip Jirsák 23. 08. 2017, 18:39:22
Takze zatimco pri ipv4 proste nastavim redundanci na urovni verejne IP adresy mezi VPN koncentratory v pripade vice  isp, tak u ipv6 budu muset duplikovat acl/cryptomapy pro rozdilne IP rozsahy?
To záleží na tom, co bude umět váš software. V IPv4 podporuje redundanci na úrovni veřejné IP adresy, kterou prostě nastavíte, nic nebrání tomu, aby v IPv6 podporoval redundanci na úrovni prefixu sítě, kterou prostě nastavíte. A nebo se prostě vykašlete na nějaký drahý VPN koncentrátor, který tvoří single point of failure, a prostě použijete IPsec pro end-to-end šifrování.

Ono je dost problematické chtít na IPv6 implementovat principy z IPv4, jsou to jiné světy.
Nejsnazší je zahodit všechno, co víš a začít znova, bohužel.
Z hlediska návrhu sítě spíš bohudík. Ano, znamená to naučit se nové věci.
Stejně tak většina lidí zahodila vše, co věděla o ježdění na koních, a začali se učit řídit auta. Dnes se na silnicích nepohybují lidé, kteří by se snažili auta řídit jako koně – bohudík, nikoli bohužel.
Název: Re:IPv6 ease of use
Přispěvatel: Milfaus 23. 08. 2017, 19:07:14
Stejně tak většina lidí zahodila vše, co věděla o ježdění na koních, a začali se učit řídit auta. Dnes se na silnicích nepohybují lidé, kteří by se snažili auta řídit jako koně – bohudík, nikoli bohužel.

To není přesné.
Jezdili jsme pohodlně autem a teď máme používat tohle:
(http://alpha666.de/wordpress/wp-content/uploads/2009/07/garrison_it.jpg)
Název: Re:IPv6 ease of use
Přispěvatel: Milfaus 23. 08. 2017, 19:08:54
Stejně tak většina lidí zahodila vše, co věděla o ježdění na koních, a začali se učit řídit auta. Dnes se na silnicích nepohybují lidé, kteří by se snažili auta řídit jako koně – bohudík, nikoli bohužel.

To není přesné.
Jezdili jsme pohodlně autem a teď máme používat tohle:
(http://alpha666.de/wordpress/wp-content/uploads/2009/07/garrison_it.jpg)

Protože se to nezobrazuje:
http://alpha666.de/wordpress/wp-content/uploads/2009/07/garrison_it.jpg
http://alpha666.de/wordpress/wp-content/uploads/2009/07/garrison_it.jpg (http://alpha666.de/wordpress/wp-content/uploads/2009/07/garrison_it.jpg)
(http://1.bp.blogspot.com/-k5CbzIxNW5o/UCWfd2QwvoI/AAAAAAAAALc/HX2imab85RQ/s1600/1445zs2.png)
http://1.bp.blogspot.com/-k5CbzIxNW5o/UCWfd2QwvoI/AAAAAAAAALc/HX2imab85RQ/s1600/1445zs2.png (http://1.bp.blogspot.com/-k5CbzIxNW5o/UCWfd2QwvoI/AAAAAAAAALc/HX2imab85RQ/s1600/1445zs2.png)
Název: Re:IPv6 ease of use
Přispěvatel: Jenda 24. 08. 2017, 02:01:14
To není přesné.
Jezdili jsme pohodlně autem a teď máme používat tohle:

Mně se teda s IPv4 pohodlně vůbec nejezdí - především z důvodu zoufalého nedostatku adres a všudypřítomné maškarády.
Název: Re:IPv6 ease of use
Přispěvatel: Filip Jirsák 24. 08. 2017, 07:10:09
Mně se teda s IPv4 pohodlně vůbec nejezdí - především z důvodu zoufalého nedostatku adres a všudypřítomné maškarády.
Chtěl jsem napsat to samé, ale pak mi došlo, že se to přirovnává k dnešním autům – která člověk musí řídit, pořád se o ně musí starat, hledat kde může zaparkovat, jezdí to na mrtvé dinosaury… Takže je to vlastně dost podobné. Ve své době to byl jistě přínos, ale dnes už by člověk raději něco bez té spousty komplikací. To platí pro IPv4 i pro dnešní auta.
Název: Re:IPv6 ease of use
Přispěvatel: PetrM 24. 08. 2017, 08:39:18
Chtěl jsem napsat to samé, ale pak mi došlo, že se to přirovnává k dnešním autům – která člověk musí řídit, pořád se o ně musí starat, hledat kde může zaparkovat, jezdí to na mrtvé dinosaury… Takže je to vlastně dost podobné. Ve své době to byl jistě přínos, ale dnes už by člověk raději něco bez té spousty komplikací. To platí pro IPv4 i pro dnešní auta.
Tak. bylo by komfortnější prostě před domem nastoupit do kabinky, říct kam člověk chce, a místo řízení se bavit třeba sledováním krajiny nebo četbou. A po vystoupení ať si to dělá co chce, v té chvíli to už nepotřebuju.

No nebylo by to jak píchnout kabely do routeru, zadat přihlašovací údaje do sítě ISP a normálně by to jelo? (přihlásí se, stáhne prefix, rozhodí stanicím a ty se nakonfigurují samy)
Název: Re:IPv6 ease of use
Přispěvatel: MP 24. 08. 2017, 09:31:24
Takze zatimco pri ipv4 proste nastavim redundanci na urovni verejne IP adresy mezi VPN koncentratory v pripade vice  isp, tak u ipv6 budu muset duplikovat acl/cryptomapy pro rozdilne IP rozsahy?
To záleží na tom, co bude umět váš software. V IPv4 podporuje redundanci na úrovni veřejné IP adresy, kterou prostě nastavíte, nic nebrání tomu, aby v IPv6 podporoval redundanci na úrovni prefixu sítě, kterou prostě nastavíte. A nebo se prostě vykašlete na nějaký drahý VPN koncentrátor, který tvoří single point of failure, a prostě použijete IPsec pro end-to-end šifrování.

Takze misto centralniho bodu, ktery je specializovany na VPN provoz, budeme to vse tahat z koncovych zarizeni (VM,kontejnery,PC) a resit jeste i konfiguraci kazdeho takoveho stroje z hlediska FW/VPN? No...
Název: Re:IPv6 ease of use
Přispěvatel: Lol Phirae 24. 08. 2017, 09:46:51
Takze misto centralniho bodu, ktery je specializovany na VPN provoz, budeme to vse tahat z koncovych zarizeni (VM,kontejnery,PC)

Aha, to jsem netušil, že u Vás ten VPN "koncentrátor" nic "netahá", ale místo toho si generuje vlastní provoz a žije si vlastním životem... No, z hlediska vyhozených peněz to je vlastně pochopitelné, že je třeba existenci té krabice nějak ospravedlnit.  ::)
Název: Re:IPv6 ease of use
Přispěvatel: PetrM 24. 08. 2017, 13:37:54
Takze misto centralniho bodu, ktery je specializovany na VPN provoz, budeme to vse tahat z koncovych zarizeni (VM,kontejnery,PC) a resit jeste i konfiguraci kazdeho takoveho stroje z hlediska FW/VPN? No...

FW stejně běží na routeru, takže na příjmu [prefix_vzdalene_site] ACCEPT a defaultně DROP na obou stranách.

Koncový zařízení může pro sychr dělat na svým FW to samý. Navíc mu stačí říct IP adresu zařízení ve druhé síti, nebo jeho DNSko.

A co se nestalo - oba dva se vidí přímo. Šifrování je přímo ve standardu IPv6,... Kdo by se drbal s tunelem, privátníma adresama,...?
Název: Re:IPv6 ease of use
Přispěvatel: MP 24. 08. 2017, 14:41:33
Takze misto centralniho bodu, ktery je specializovany na VPN provoz, budeme to vse tahat z koncovych zarizeni (VM,kontejnery,PC) a resit jeste i konfiguraci kazdeho takoveho stroje z hlediska FW/VPN? No...

FW stejně běží na routeru, takže na příjmu [prefix_vzdalene_site] ACCEPT a defaultně DROP na obou stranách.

Koncový zařízení může pro sychr dělat na svým FW to samý. Navíc mu stačí říct IP adresu zařízení ve druhé síti, nebo jeho DNSko.

A co se nestalo - oba dva se vidí přímo. Šifrování je přímo ve standardu IPv6,... Kdo by se drbal s tunelem, privátníma adresama,...?

A presne na to narazim. Misto nekolika centralnich FW se bude konfigurovat FW na kazdym koncaku. A protoze ipv6 pouziva ipsec, tak mu urcite nestaci jen ip/dns druhe strany. Kde mate klice, DH, protokoly atd.? Doted jsem nevidel, jak se to na (linux) koncaku konfiguruje, to jako by se parametry ipsecu vcetne phrase/certs musely ulozit v kazdym koncaku?
BTW, ipv6 ma v rfc "should" ohledne ipsecu...
Název: Re:IPv6 ease of use
Přispěvatel: asdf111 24. 08. 2017, 14:55:30
host-to-host vpn si niekto robi snad len na nejaku private VPS na pristup na ssh :) spravit site to site vpn, nastavit routing na klientoch a funguje vsetko tak isto ako s ipv4.
Název: Re:IPv6 ease of use
Přispěvatel: PetrM 24. 08. 2017, 15:02:48
A presne na to narazim. Misto nekolika centralnich FW se bude konfigurovat FW na kazdym koncaku. A protoze ipv6 pouziva ipsec, tak mu urcite nestaci jen ip/dns druhe strany. Kde mate klice, DH, protokoly atd.? Doted jsem nevidel, jak se to na (linux) koncaku konfiguruje, to jako by se parametry ipsecu vcetne phrase/certs musely ulozit v kazdym koncaku?
BTW, ipv6 ma v rfc "should" ohledne ipsecu...

Ne, nastaví se centrální FW, aby se sítě s daným prefixem viděly. Zbytek routování už je jenom na té úrovni, že jsou sítě spojený, jenom  máš v takové síti dva (nebo několik) prefixů. V takto spojených sítích vidí každý každýho (proto je dobrý mít od ISP minimálně /65 a řešit subnet pro sdílený zdroje).

Šifrování je o modifikaci cestou, volba šifrovanýho protokolu je jistota (https, sshfs,...). A protokoly jsou snad standard.

Pokud je někde potřeba klíč k síti/mašině, tak se dá hodit koncákovi skriptem, pomocí rsync,... Nebo hodit klíče do balíčku, zaregistrovat si repo a je to.

A další možnost, na co se využívá VPN, je protunelování do domácí sítě. Ve standardu je navrženo nastavení domácí sítě s automatickým mechanismem, který tohle dovoluje automaticky. Připojíš se do sítě, pošleš automaticky info o IP adrese na domácí router, ten pak cokoliv pošle na tebe a odesílateli řekne, že máš dočasně jinou IP adresu... V pracxi jsem to ještě netestoval.
Název: Re:IPv6 ease of use
Přispěvatel: Martin 24. 08. 2017, 15:11:56
V popisech výhod IPv6 se dříve uvádělo a leckde ještě uvádí "vyšší bezpečnost" a myslí se tím právě povinné použití IPSecu. Na úrovni koncové stanice to asi nikdy prakticky nefungovalo a proto se tam teď uvádí to "should". Původní myšlenka byla, že každé spojení bude šifrované, proto bylo použití IPSecu povinné. Ale než se to dostalo do praxe, rozšířilo se šifrování z koncové stanice přes https a proto nemá cenu dnes podobně plošně nasazovat IPSec a prot se IPSec jen "doporučuje".
Název: Re:IPv6 ease of use
Přispěvatel: Sten 24. 08. 2017, 16:52:06
A presne na to narazim. Misto nekolika centralnich FW se bude konfigurovat FW na kazdym koncaku. A protoze ipv6 pouziva ipsec, tak mu urcite nestaci jen ip/dns druhe strany. Kde mate klice, DH, protokoly atd.? Doted jsem nevidel, jak se to na (linux) koncaku konfiguruje, to jako by se parametry ipsecu vcetne phrase/certs musely ulozit v kazdym koncaku?
BTW, ipv6 ma v rfc "should" ohledne ipsecu...

Jen centrální FW (hard shell, soft inside) je už dlouhou dobu považován za špatný návrh bezpečnosti. I v IPv4 byste měl kromě centrálního mít firewally i na všech strojích. Centrální firewall v IPv6 zůstává, důležitý rozdíl oproti NAT je v tom, že UDP punching bez NATu je velmi jednoduchý, zatímco pokud je NAT na obou stranách, potřebujete brokera a někdy i proxy (pokud je to symetrický NAT).

IPSec se používá hlavně site-to-site, tedy jako VPN.
Název: Re:IPv6 ease of use
Přispěvatel: MP 24. 08. 2017, 18:11:31
A presne na to narazim. Misto nekolika centralnich FW se bude konfigurovat FW na kazdym koncaku. A protoze ipv6 pouziva ipsec, tak mu urcite nestaci jen ip/dns druhe strany. Kde mate klice, DH, protokoly atd.? Doted jsem nevidel, jak se to na (linux) koncaku konfiguruje, to jako by se parametry ipsecu vcetne phrase/certs musely ulozit v kazdym koncaku?
BTW, ipv6 ma v rfc "should" ohledne ipsecu...

Jen centrální FW (hard shell, soft inside) je už dlouhou dobu považován za špatný návrh bezpečnosti. I v IPv4 byste měl kromě centrálního mít firewally i na všech strojích. Centrální firewall v IPv6 zůstává, důležitý rozdíl oproti NAT je v tom, že UDP punching bez NATu je velmi jednoduchý, zatímco pokud je NAT na obou stranách, potřebujete brokera a někdy i proxy (pokud je to symetrický NAT).

IPSec se používá hlavně site-to-site, tedy jako VPN.

IPSec se pouziva nejen site-to-site. Staci se podivat na AnyConnect, resp. cokoli s IKEv2.
To, ze ma mit kazdy koncak fw je sice pekne, ale realita pokulhava. U Woknous se fw aspon da konfigurovat pres domenu, ale Linux? Stacilo mi, kdyz jsem musel konfigurovat fw mezi 4 strojema, dnes jich mam desetinasobne. CM to sice castecne resi, ale porad z toho vznika vetsi bordel nez centralni fw na hranici jednotlivych zon...
Název: Re:IPv6 ease of use
Přispěvatel: MP 24. 08. 2017, 18:28:20
Ja jako ipv6 neshazuji, ma to urcite veci, co by se mi ted hodily. Jen resim problemy, ktere s tim nastavaji z hlediska firemniho nasazeni a tady zejmena ty vpn jsou prvni na rane, pak veci jako dualstack, atd to jen komplikuji...
Název: Re:IPv6 ease of use
Přispěvatel: j 24. 08. 2017, 18:42:21
A presne na to narazim. Misto nekolika centralnich FW se bude konfigurovat FW na kazdym koncaku. ....
Vis co mi vysvetli? Proc sem vubec lezes, kdyz o sitovani nevis vubec nic.

Ma smysl takovymu tardovi psat, ze ipv6 ma pochopitelne na ipsec dva rezimy - p2p (end2end) sifrovani a samozrejme pripadne i net2net tunel?

V kazdym pripade plati, ze na obou strana sou verejny adresy, a tudiz netreba resit (casto naprosto neresitelny) kokotiny na tema ze obe site pouzivaj stejnej privatni rozsah.
Název: Re:IPv6 ease of use
Přispěvatel: j 24. 08. 2017, 18:46:19
V popisech výhod IPv6 se dříve uvádělo a leckde ještě uvádí "vyšší bezpečnost" a myslí se tím právě povinné použití IPSecu. Na úrovni koncové stanice to asi nikdy prakticky nefungovalo a proto se tam teď uvádí to "should". ...
To se pletes, to se zmenilo kvuli IoT a revu na tema ze na to neni vykon a ramet. Zasadni chyba samo ...

...ale Linux? Stacilo mi, kdyz jsem musel konfigurovat fw mezi 4 strojema, dnes jich mam desetinasobne. ...
Aha, tak ty nejenze netusis nic o sitovani, ty vis lautr hovno i o administraci, kdyz je ti zatezkou spustit klidne na milion stroju jeden script ...
Název: Re:IPv6 ease of use
Přispěvatel: Filip Jirsák 24. 08. 2017, 19:12:57
Jen resim problemy, ktere s tim nastavaji z hlediska firemniho nasazeni a tady zejmena ty vpn jsou prvni na rane, pak veci jako dualstack, atd to jen komplikuji...
Jenže ty problémy v  99 % případů vznikají tak, že někdo chce místo elegantního řešení, které má IPv6 zabudované, použít soustavu hacků, kterou zná z IPv4.
Název: Re:IPv6 ease of use
Přispěvatel: Milfaus 24. 08. 2017, 19:51:24
Jen resim problemy, ktere s tim nastavaji z hlediska firemniho nasazeni a tady zejmena ty vpn jsou prvni na rane, pak veci jako dualstack, atd to jen komplikuji...
Jenže ty problémy v  99 % případů vznikají tak, že někdo chce místo elegantního řešení, které má IPv6 zabudované, použít soustavu hacků, kterou zná z IPv4.

To má Jirsák pravdu, jsou to dva světy a zásadní chybou je snažit se s IPv6 pracovat jako s IPv4.
Jak jsem tu už 100% zmínil, IPv6 je hnusný bolák a postupně vylézají další a další červíci, ostatně kdyby byla IPv6 tak super, dávno je nasazená a nahradila IPv4. Ano, ajťáci jsou konzervativní, ale i takové konzervy nahradili AT skříně těma ATX, 36pinové simm 72 pinovými EDO, pak DIMM, pak DDR a dnes máme DDR4, nahradili jsme Netscape Chromem, nahradili jsme PS2 USBčkem, nahradili jsme MSDOS Windowsama a Linuxem, modernizovali jsme na cloudová řešení, nahradili jsme klasické telefonní ústředny IP telefonií a Skypem, jehličkové tiskárny laserem, CRT monitory LCD, pevné disky nahrazujeme SSD i v serverech a o servery se starají super konzervy. IPv6 je zhnisaná rána, proto je nasazování pomalé a lidem se do toho nechce. Ano, asi se budeme muset mazat v hovnech, ale s hovnem IPv6 se pracuje jinak než s máslem IPv4, zapomeňte na mazání na chleba a ukrajování nožem, IPv6 je prostě žumpa, ta se nabírá šoufkem nebo vysává hovnocucem, ohledně žumpy neuplatníte žádnou zkušenost spojenou s máslem.
Název: Re:IPv6 ease of use
Přispěvatel: léčím 24. 08. 2017, 20:21:08
svininu ipv6 léčím šikovnou boot option "ipv6.disable=1" v /etc/default/grub  8)
Název: Re:IPv6 ease of use
Přispěvatel: Milfaus 24. 08. 2017, 20:44:49
svininu ipv6 léčím šikovnou boot option "ipv6.disable=1" v /etc/default/grub  8)

Což ovšem není řešení, protože se tomu asi nevyhneme.
Za tři nebo čtyři roky bude IPv6 zcela běžná.
Název: Re:IPv6 ease of use
Přispěvatel: prd 24. 08. 2017, 21:14:30
za posledních deset let se používání internetových služeb zcela změnilo, mnohem více se používají globální služby, potřeba p2p spojení pominula, tím pádem není problém schovat za nat desetitisíce uživatelů, aniž by to významně někoho omezovalo, prostě k zavedení ipv6 je nyní mnohem méně důvodů než před lety a motivace zavádění ipv6 reálně poklesla.
Název: Re:IPv6 ease of use
Přispěvatel: prd 24. 08. 2017, 21:18:12
výše uvedeným reaguji na předchozí "Za tři nebo čtyři roky bude IPv6 zcela běžná."
takže nikoli, ipv6 nebude běžná ani za pět let a v enterprise sítích nebude ani za deset let.
Název: Re:IPv6 ease of use
Přispěvatel: Filip Jirsák 24. 08. 2017, 21:38:47
Jak jsem tu už 100% zmínil, IPv6 je hnusný bolák … červíci … AT skříně … Netscape Chromem … PS2 … telefonní ústředny … konzervy … hovnocucem … máslem.
Dostali jsme se od AT skříní přes hovnocucy až k máslu, ale nějak jste zapomněl napsat nějaké argumenty ohledně IPv6.
Název: Re:IPv6 ease of use
Přispěvatel: Milfaus 24. 08. 2017, 21:42:17

Hodím ti do toho vidle.
Jednak je IPv4 adres dost, nedostatek byl vyvolán uměle.
Stačí se podívat, kdo všechno vlastní ip rozsahy A.
http://www.aturtschi.com/whois/neta1.html (http://www.aturtschi.com/whois/neta1.html)
Jestli to je nebo není aktuální, to nevím a je to jedno, adres je dost.
Pokud někdo sedí na rozsahu x.0.0.0 - x.255.255.255 můžeš tím nakrmit vážně hodně hladových krků.

Už před nějakými patnácti lety tu byl plán na readresaci, ale Fašounci prosazující IPv6 to odmítli "že bude lepší přejít na IPv6".

Ale IPv6 se nasadí a tím důvodem není Afrika, protože sedět pod banánovníkem a posílat spamm můžeš i skrz NAT.
Tím důvodem není ani Amerika ani Evropa.

Hlavní důvod je Čína, která IPv6 valí velmi intenzivně.
Čína je fakticky jediný relevantní důvod nasazení IPv6.

Tento důvod ovšem možná také pomine, protože v současné době se internet spíš rozděluje, vznikají samostatné oddělené sítě. Čína má Velký Čínský firewall, Rusové se bohužel taky trhají a o Africe nebo Islámských zemích je zbytečné mluvit.

Zavedení IPv6 je tedy podpořeno uměle vyvolaným nedostatkem a tlakem z Číny.

Jistě, je celkem problém sítě rozsekávat na velmi malé pidižvíky v různých regionech, ono se to pak blbě routuje, ale schválně, kolik počítačový sítí by se v ČR, SK a Rakousku schovalo za jednu jedinou x.0.0.0 - x.255.255.255 bavíme se o tom, že tam je jeden NAT, tj. jedna veřejná adresa pro každého. Německo by potřebovalo nejméně dvě takové sítě, ale ty sítě jsou a nejsou obsazené. Ostatně jsem měl dočinění s firmou, která má pro sebe celý jeden rozsah x.0.0.0 - x.255.255.255 a nepoužívá ho.

Pokud mi nevěříš, koukni do té tabulky a zkus si opingat reálné využití IPv4.
Jistě znáš Googlí DNS 8.8.8.8 ... a kolik IP adres je z toho rozsahu živých co?
Název: Re:IPv6 ease of use
Přispěvatel: Filip Jirsák 24. 08. 2017, 21:48:51
za posledních deset let se používání internetových služeb zcela změnilo, mnohem více se používají globální služby, potřeba p2p spojení pominula, tím pádem není problém schovat za nat desetitisíce uživatelů, aniž by to významně někoho omezovalo, prostě k zavedení ipv6 je nyní mnohem méně důvodů než před lety a motivace zavádění ipv6 reálně poklesla.
Zaměňujete příčinu a následek. Možnost p2p spojení pominula, což je významné omezení, proto se místo toho používají globální internetové služby, kdy se ten NAT obejde přes nějaký centrální server. To, že se k domácí webkameře dostanete jedině přes cloud, termostat topení nastavujete také přes cloud a soubory z počítače do notebooku, který leží vedle něj, přenášíte přes Dropbox, nejsou žádné super vychytávky, ale ošklivé hacky – a nebýt NATu, byly by tady podobné služby už dávno předtím a nečekalo by se, až někdo vymyslí, jak to prohnat přes servery, a až ty servery budou dostatečně levné, aby se to vyplatilo. Kdyby ty výše uvedené dnešní „normální“ postupy někdo popsal v době, kdy každé zařízení připojené k internetu mělo veřejnou IP adresu, zavřeli by ho do blázince.
Název: Re:IPv6 ease of use
Přispěvatel: Filip Jirsák 24. 08. 2017, 21:57:46
Pokud někdo sedí na rozsahu x.0.0.0 - x.255.255.255 můžeš tím nakrmit vážně hodně hladových krků.
Za prvé, už nějakou dobu je zařízení připojených k internetu více, než je celý adresní prostor IPv4. Takže IPv4 adres není dost ani ve snu. Za druhé, adresní prostor samozřejmě nelze využít do poslední IP adresy – aby mohl fungovat, musí v něm být docela dost volného prostoru. A vaše představa, že když nějaká IP adresa neodpovídá na ping, není přidělená, je opravdu směšná. Plán na readresaci tu možná před patnácti lety byl, ale neuplatnil se proto, že už tehdy byl IPv4 adres nedostatek a na nějakou readresaci bylo zoufale pozdě. Naštěstí v době, kdy by ještě nějaká readresace byla možná, o tom rozhodovali příčetní lidé, a uvědomili si, že odsunout problém o pár let není řešení.
Název: Re:IPv6 ease of use
Přispěvatel: hpv 24. 08. 2017, 22:06:52
opusť myšlenku, že je potřeba mít každé zařízení s veřejnou ip adresou, prostě k tomu není důvod, doba dc++ a p2p sdílení je už pryč, dnes je drtivá většina komunikace typu klient-server, takže je lhostejné, že jednu veřejnou ip sdílí deset tisíc klientů.
Název: Re:IPv6 ease of use
Přispěvatel: Lol Phirae 24. 08. 2017, 22:16:02
takže je lhostejné, že jednu veřejnou ip sdílí deset tisíc klientů.

Tak jistě, sice ti dojdou porty a nebude to fungovat, ale to je detail...
Název: Re:IPv6 ease of use
Přispěvatel: Filip Jirsák 24. 08. 2017, 22:19:04
opusť myšlenku, že je potřeba mít každé zařízení s veřejnou ip adresou, prostě k tomu není důvod
Odůvodňovat je potřeba to komplikovanější řešení, tedy privátní adresy a NAT. Pro veřejné adresy všude je jednoduchý důvod – je to nejjednodušší.

dnes je drtivá většina komunikace typu klient-server, takže je lhostejné, že jednu veřejnou ip sdílí deset tisíc klientů.
Lhostejné to není, obracíte příčinu a následek. Dnes je drtivá většina komunikace typu klient-server právě proto, že je to jediné funkční řešení. Myslíte, že autoři Skype vymýšleli z dlouhé chvíle, jak se dostat přes NAT a jak zprostředkovávat hovory pomocí uživatelských uzlů, které uživatelům „kradly“ konektivitu? Že se pak Microsoft rozhodl, že raději bude platit provoz serverů, které volání zprostředkují, protože nevěděl, co s prachama? A nebo celé to nákladné řešení vzniklo jenom proto, že nejjednodušší a nejlevnější cesta, tedy volat přímo z jednoho zařízení na jiné, nebyla použitelná?
Název: Re:IPv6 ease of use
Přispěvatel: Jenda 24. 08. 2017, 22:20:07
Přijde mi, že se diskuze zvrhla k „já chci NAT a všichni ostatní musí řešit u svých protokolů, aby s ním fungovaly!“. Tůdle.

To, ze ma mit kazdy koncak fw je sice pekne, ale realita pokulhava. U Woknous se fw aspon da konfigurovat pres domenu, ale Linux?

Hmm, shellovými příkazy s iptables?

Stacilo mi, kdyz jsem musel konfigurovat fw mezi 4 strojema, dnes jich mam desetinasobne.

A co tak typicky na linuxových strojích ve FW nastavuješ?

a tady zejmena ty vpn jsou prvni na rane

Já furt nějak nepochopil, v čem je problém. Že když protistrana změní providera, tak místo adresy budeš muset změnit prefix?

pak veci jako dualstack, atd to jen komplikuji...

Úplně stejně by někdo mohl říct, že dualstack komplikuje IPv4. (btw. nějaký nápad, jak udělat přechod bez dualstacku? nikdo zatím s ničím funkčním nepřišel…)

Jak jsem tu už 100% zmínil, IPv6 je hnusný bolák a postupně vylézají další a další červíci

Nezmínil. Teda možná jo, ale já mám filtr, že mi prohlížeč zobrazuje jenom tvrzení podpořená argumenty.

Jednak je IPv4 adres dost, nedostatek byl vyvolán uměle. Adres je dost. Zavedení IPv6 je tedy podpořeno uměle vyvolaným nedostatkem a tlakem z Číny.

To je nesmysl. IPv4 adres jsou i při velmi efektivní alokaci 3 miliardy (25% režie prostě bude vždycky), ale lidí v zemích s dostatečnou technickou úrovní, aby měli Internet, už jsou 4 miliardy. A to prosím ta nejbohatší miliarda je v zemích, kde naprosto běžně mají počítač a notebook a smartphone a televizi a APčko a kotel a ledničku a...

Už před nějakými patnácti lety tu byl plán na readresaci, ale Fašounci prosazující IPv6 to odmítli "že bude lepší přejít na IPv6".

Reclaimem těch pár rozsahů by se problém možná oddálil z roku 1998 do roku 2002.

Pokud mi nevěříš, koukni do té tabulky a zkus si opingat reálné využití IPv4.

Ty máš svůj notebook a mobil trvale zapnutý a online?

opusť myšlenku, že je potřeba mít každé zařízení s veřejnou ip adresou, prostě k tomu není důvod, doba dc++ a p2p sdílení je už pryč, dnes je drtivá většina komunikace typu klient-server, takže je lhostejné, že jednu veřejnou ip sdílí deset tisíc klientů.

Vždyť už ti vysvětlil, že ta kauzalita je opačně.

Tak jistě, sice ti dojdou porty a nebude to fungovat, ale to je detail...

Můžeš si pamatovat nejenom port, ale celou pětici. (ano, NAT to trochu zesložití a zpomalí)
Název: Re:IPv6 ease of use
Přispěvatel: lozak 24. 08. 2017, 22:21:39
No jo Milfaus, voni jsou hlava. Na světě je 7.5G lidí, z toho je asi 3/4 ve věku, kdy jsou schopní používat počítače, telefony, atd. Když budeme počítat jen rozvinuté a rozvíjející země, mohli bychom dostat 3 až 4G. Už tady narážíme na limity 32bit adresace a to jsem počítal jen jedno zařízení na každého človéka ze zmíněné skupiny. Velká většina lidí má počítač doma, telefon, počítač v práci/ve škole, nezanedbatelné procento má i další zařízení (televize, tablet, pracovní telefon, další počítač...). Dost adres si ukousne infrastruktura a hlavně taky servery poskytující obsah.

Jenom pro představu, na světě je údajně 2G aktivních Android zařízení a 1G iOS zařízení. Tolik k "umělému" nedostatku adres.
Název: Re:IPv6 ease of use
Přispěvatel: Milfaus 24. 08. 2017, 22:27:23
rozhodovali příčetní lidé, a uvědomili si, že odsunout problém o pár let není řešení

Že přiřazená adresa nemusí odpovídat na ping je mi velmi známé, ač to tuším není podle RFC (drop/reject), ale také to používám. Pak fabulujete něco o tom, že je víc zařízení, než IP adres, což je sice pravda, ale ne každé zařízení tu veřejnou adresu skutečně potřebuje, ve veřejnou adresu potřebuje jen málo zařízení a pro tato zařízení je adres dost. Mobily a domácí sítě o dvou noteboocích a tabletu mohou za NAT fungovat víc než dobře.

Opakujete stejné výmysly, co jsem slyšel před patnácti lety, kdy byl plán na readresaci zamítnut.
Ty stejné výmysly, které slyším už někdy od roku 1999 když se začalo s experimenty v ČR.
Kdyby IPv6 bylo dobré, lidi by to velmi ochotně přijali už dávno.
Každý výrobce by to dávno dobře implementoval.
Ale to se nestalo.

IPv6 je 1/3 technologických požadavků a 2/3 Fašismu. Fašimus ve smyslu "My víme nejlíp, co je pro vás nejlepší a proto to MUSÍTE používat! A bude to takhle!" Je to především fašistická ideologie, která hlásá, že nejlepší správné řešení je IPv6, každé zařízení MUSÍ mít veřejnou adresu a MUSÍ to být takhle.

Readresace se dala uskutečnit, ale to by fašounci riskovali, že lidi na IPv6 nepřejdou.
To je skutečný důvod, proč k readresaci nedošlo!
Fašounci se totiž báli, že jejich nejlepší "konečné řešení této otázky" by bylo zpochybněno.
Je za tím skrytá hnusná a totalitní filozofie.

Já věřím v IPv4 a nikomu nezakazuji IPv6. Ať si každý dělá, co chce.
Člověk může být fanatik, ostatně slovo fanoušek pochází od slova fanatik.
Rozdíl mezi fanouškem/fanatikem je ten, že fanoušek bude tvrdit "mám rád AMD", fanatik bude tvrdit "AMD je to nejlepší" a fašounek bude tvrdit "nVidia musí chcípnout, všichni si musí pořídit Intel! za Fuhrerem! Ideologií vpřed"

Fašounci IPv6 všem nutí, protože jejich fašounství je jediné správné, jejich názor je jediný správný a proto ho chtějí vnutit ostatním, považují IPv4 je zpátečnické, konzervativní a porušující zásady Internetu. Ustanovili se morálními elitami "čistoty bílé rasy" resp. "čistoty internetu".
Je to jen jiná forma fašismu!

IPv4 zásady internetu nenarušuje, ty narušuje to, že svět bude rozdělen na hromadu malých sítí běžících na IPv6 se státní cenzurou a omezeným přístupem "ven".

Jsem za ten plivanec do tváře IPv6 fanatiků rád. Sice je od despotických šílenců a totalitních vlád, ale přistál tam, kam patří.

Nechci Vám urazit, nevím, jestli jste jen fanoušek IPv6, fanatik nebo jestli jste fašounek.
IPv6 se mi hnusí a příčí, nejvíc proto, že je násilně nuceno.
Kdyby se ta přeadresace udělala, IPv6 by se stejně nakonec prosadilo, ale bylo by to daleko méně násilné a já bych tu teď nerozléval nočník.

Fakt si to neberte osobně, no pokud vás to naštvalo, přemýšlejte o tom, že jsem Vám nastavil zrcadlo.
Název: Re:IPv6 ease of use
Přispěvatel: Lol Phirae 24. 08. 2017, 22:39:33
Můžeš si pamatovat nejenom port, ale celou pětici. (ano, NAT to trochu zesložití a zpomalí)

To jistě. Což nezmění nic na tom, že desítky tisíc aktivních zařízení za jednou IP je naprostý nefunkční nesmysl.
Název: Re:IPv6 ease of use
Přispěvatel: ona 24. 08. 2017, 22:42:50
Můžeš si pamatovat nejenom port, ale celou pětici. (ano, NAT to trochu zesložití a zpomalí)

To jistě. Což nezmění nic na tom, že desítky tisíc aktivních zařízení za jednou IP je naprostý nefunkční nesmysl.

Technicky v tom žádný problém není  8)
Název: Re:IPv6 ease of use
Přispěvatel: Milfaus 24. 08. 2017, 22:43:21
Na světě je 7.5G lidí, z toho je asi 3/4 ve věku, kdy jsou schopní používat počítače, telefony

Jo, jenže kolik těch telefonů je zapojených do internetu co?
Představa, že každý Číňan má v mobilu Internet je směšná, stejně jako to, že každý z nich potřebuje veřejnou adresu.
V situaci, kdy jsme byli před 15-ti lety a i dnes, by stačilo IPv4 efektivně využít.

Dnes je situace taková, že IPv4 adres je použito relativně málo, právě s ohledem na to, že tu jako žáby na prameni sedí některé instituce a korporace na velkých rozsazích adres, které by šlo rozdělit daleko lépe. Děje se daleko větší onanie, než by bylo nutné a to v situaci PŘEBYTKU IPv4 adres.

Svět teď funguje na IPv4, točí se, země vychází a na Internet přistupují miliardy lidí.
Bohužel daleko spraseněji, než by bylo nutné, to jsou ty NATy za NATem za NATem...

A lék na to má být hnisavá a především vnucovaná IPv6.

Já můžu jen brblat, říkám pravdu, ale směle mě ignorujte.
Je mi to u (_._)
Název: Re:IPv6 ease of use
Přispěvatel: lozak 24. 08. 2017, 22:44:14
Že přiřazená adresa nemusí odpovídat na ping je mi velmi známé, ač to tuším není podle RFC (drop/reject)
Ono to zařízení nemusí být zapnuté nebo nemusí být zrovna připojené. Na fakultě jsme mívali pro vlastní zařízení veřejné adresy a na kolejích taky.

Mobily a domácí sítě o dvou noteboocích a tabletu mohou za NAT fungovat víc než dobře.
Říct, že něco může za NATem fungovat více než dobře je napřesdržku.

Fašounci IPv6 všem nutí...
Ale vůbec ne, klidně si zůstaň na IPv4 napořád. Až se pak za takových 15 let rozhodne root.cz odstřihnout na svém serveru IPv4, tak ty sem nebudeš moct psát ty své srajdy.
Název: Re:IPv6 ease of use
Přispěvatel: Milfaus 24. 08. 2017, 22:45:37
Můžeš si pamatovat nejenom port, ale celou pětici. (ano, NAT to trochu zesložití a zpomalí)

To jistě. Což nezmění nic na tom, že desítky tisíc aktivních zařízení za jednou IP je naprostý nefunkční nesmysl.

Technicky v tom žádný problém není  8)

No právě že je.
Protože za jednu IP se schová teoreticky nanejvýš 65535 / rozumný počet portů = zařízení.

To, co tu je provozováno, je zbytečná onanie, IPv4 adres je skutečně dost.
Dost na to, aby každá domácnost, která si o to řekne, měla jednu nebo dvě IP adresy.
Navíc sítě A se dají celkem pěkně regionálně stěhovat.
Ani nejsou použité, takže by to mohlo probíhat pěkně v klídku, bez stresu, snížila by se fragmentace IPv4 a svět by byl o něco lepším místem.
Název: Re:IPv6 ease of use
Přispěvatel: Lol Phirae 24. 08. 2017, 22:46:53
Technicky v tom žádný problém není  8)

No samozřejmě, akorát to nebude fungovat, ale to nevadí, hlavně že tě nebude obtěžovat to fašistické IPv6. Sice otevřením prohlížeče bez jakéhokoliv tabu vyčerpáš celou svou alokaci "internetu", ale to je přece úplně jedno.
Název: Re:IPv6 ease of use
Přispěvatel: Milfaus 24. 08. 2017, 22:49:38
Ono to zařízení nemusí být zapnuté nebo nemusí být zrovna připojené. Na fakultě jsme mívali pro vlastní zařízení veřejné adresy a na kolejích taky.

Říct, že něco může za NATem fungovat více než dobře je napřesdržku.

Jo, takže když vidím, že ta síť je směrovaná, ale nemá bránu, tak to znamená co? Chytrá hlavo?

A schválně mi řekni, proč stará Blažková potřebuje mít v mobilu veřejnou adresu?
Nebo proč to potřebuje mít pekař Novák, který si tam jen čte novinky.cz, spamuje facebook a VELMI VESELE SKYPUJE.
Já to taky nepotřebuji.

Mimo to, jak říkám, adres je dost, jen nejsou využité.
Název: Re:IPv6 ease of use
Přispěvatel: ona 24. 08. 2017, 22:51:09
Můžeš si pamatovat nejenom port, ale celou pětici. (ano, NAT to trochu zesložití a zpomalí)

To jistě. Což nezmění nic na tom, že desítky tisíc aktivních zařízení za jednou IP je naprostý nefunkční nesmysl.

Technicky v tom žádný problém není  8)

No právě že je.
Protože za jednu IP se schová teoreticky nanejvýš 65535 / rozumný počet portů = zařízení.

To je ale velký a zásadní omyl  8)
Název: Re:IPv6 ease of use
Přispěvatel: Milfaus 24. 08. 2017, 22:51:30
No samozřejmě, akorát to nebude fungovat, ale to nevadí, hlavně že tě nebude obtěžovat to fašistické IPv6. Sice otevřením prohlížeče bez jakéhokoliv tabu vyčerpáš celou svou alokaci "internetu", ale to je přece úplně jedno.

A kolik lidí z deseti tisíc leze někam jinam než na web, poštu a Skype/Viber/Blabla?
Pro ty dva tu je veřejných adres víc než dost.
Název: Re:IPv6 ease of use
Přispěvatel: Milfaus 24. 08. 2017, 22:53:57
To je ale velký a zásadní omyl  8)

No tak jistě, dá se to sprasit ještě víc, sledovat spojení a skrz jeden port pouštět několik chudáků.
Ano, to je rozumné řešení v situaci, kdy je IP adres víc než je potřeba.
Ovšem já na sado-maso praktiky moc nejsem no.
Název: Re:IPv6 ease of use
Přispěvatel: lozak 24. 08. 2017, 22:59:47
Jo, jenže kolik těch telefonů je zapojených do internetu co?
Představa, že každý Číňan má v mobilu Internet je směšná, stejně jako to, že každý z nich potřebuje veřejnou adresu.
Mobilní internet třeba Číňan nemá, ale IP adresu stejně potřebuje a nebo v krátké době potřebovat bude. S tím, jak LTE vytlačuje 3G a 2G. Na LTE už se bude všechno, tedy SMS i hovor, balit do packetů. Už také vznikají LTE čipsety pro "hloupé" telefony.

Dnes je situace taková, že IPv4 adres je použito relativně málo, právě s ohledem na to, že tu jako žáby na prameni sedí některé instituce a korporace na velkých rozsazích adres, které by šlo rozdělit daleko lépe. Děje se daleko větší onanie, než by bylo nutné a to v situaci PŘEBYTKU IPv4 adres.
No jasně, průser oddálíme o pár let a drobením těch velkých rozsahů uděláme neskutečný bordel v BGP tabulkách.

Svět teď funguje na IPv4, točí se, země vychází a na Internet přistupují miliardy lidí.
Planeta se přelidňuje, spotřebovává se neskutečné množství zdrojů, znečišťujeme planetu a Země se taky točí. ...když zrovna něco "nějak" funguje, tak to ještě neznamená, že je to dobře.

A lék na to má být hnisavá a především vnucovaná IPv6.
Normální člověk napíše, co je na IPv6 špatně, idiot místo toho napíše, že je hnisavá.

Já můžu jen brblat, říkám pravdu, ale směle mě ignorujte.
Jo, jo, "já mám pravdu", to o sobě rádi říkají i náboženští fanatici a demagogové.

Je mi to u (_._)
No evidentně ti to u pr.... není, když tu furt spamuješ. Asi máš mindrák z toho, že nejsi schopný se naučit novou technologii, tak tu prudíš.
Název: Re:IPv6 ease of use
Přispěvatel: ona 24. 08. 2017, 23:02:33
To je ale velký a zásadní omyl  8)

No tak jistě, dá se to sprasit ještě víc, sledovat spojení a skrz jeden port pouštět několik chudáků.
Ano, to je rozumné řešení v situaci, kdy je IP adres víc než je potřeba.
Ovšem já na sado-maso praktiky moc nejsem no.

user experience je stejná a nat zařízení si se stavovou informaci pro jednotlivé sessions dobře poradí  8)
Název: Re:IPv6 ease of use
Přispěvatel: Lol Phirae 24. 08. 2017, 23:04:18
A kolik lidí z deseti tisíc leze někam jinam než na web, poštu a Skype/Viber/Blabla?

Ty máš asi v hlavě opravdu totální hovna. Prosímtě, podívej se na nějaký router, který to umožňuje, na stavovou tabulku. Jinak viz např. zde něco ke studiu (http://www.icir.org/christian/publications/2016-imc-cgnat.pdf). Ani ten nejvíc dokurvený ISP s CGNATem necpe za jednu IP víc než 128 uživatelů. Hádej proč.
Název: Re:IPv6 ease of use
Přispěvatel: lozak 24. 08. 2017, 23:05:28
No právě že je.
Protože za jednu IP se schová teoreticky nanejvýš 65535 / rozumný počet portů = zařízení.
Mám 65535 zařízení, které si pošlou packet (což není ani na navázání TCP spojení) a končíme. A to jsem ještě gentlemansky neodečetl well known porty, které se jako zdrojové překvapivě nedají použít.

To, co tu je provozováno, je zbytečná onanie, IPv4 adres je skutečně dost.
Kolik je podle tebe těch nevyužitých adres, které jsou přerozdělit?
Název: Re:IPv6 ease of use
Přispěvatel: lozak 24. 08. 2017, 23:10:05

Jo, takže když vidím, že ta síť je směrovaná, ale nemá bránu, tak to znamená co? Chytrá hlavo?

A schválně mi řekni, proč stará Blažková potřebuje mít v mobilu veřejnou adresu?
Nebo proč to potřebuje mít pekař Novák, který si tam jen čte novinky.cz, spamuje facebook a VELMI VESELE SKYPUJE.
Já to taky nepotřebuji.

Mimo to, jak říkám, adres je dost, jen nejsou využité.

Bavili jsme so o zařízeních, které mají neodpovídají na ping. Já řekl, že ani nemusí schválně neodpovídat na ping, že mohou být momentálNé vypnuté.

Když by měla Blažková veřejnou adresu, může si se sousedkou Vomáčkovou pokecat přes VoIP napřímo. Stejně tak pekař Novák. Když bude mít veřejnou IP, nemusí používat srajdy jako je Skype, může si zavolat napřímo.
Ono se málokrát stalo, že servery Skype byly nedostupné, že jo?
Název: Re:IPv6 ease of use
Přispěvatel: Lol Phirae 24. 08. 2017, 23:12:27
nat zařízení si se stavovou informaci pro jednotlivé sessions dobře poradí  8)

Ano, určitě. A ISP si určitě výborně poradí s těmi petabajty logů ročně, které to bude generovat a které je ze zákona povinen uchovávat.
Název: Re:IPv6 ease of use
Přispěvatel: Milfaus 24. 08. 2017, 23:14:45
Ani ten nejvíc dokurvený ISP s CGNATem necpe za jednu IP víc než 128 uživatelů. Hádej proč.

Tak to by ses divil, jak se to dá krásně dočuňit a co dělají některé CZ "Freenety" (ještě, že se nejmenují Free Internety...to by bylo matení zákazníka).

Já ovšem takové sado-maso praktiky nepodporuji a prskám, že se tu za jednu IP schová víc lidí, než kolik jich přijde na vystoupení Evy a Vaška! A že je to zbytečné.
Název: Re:IPv6 ease of use
Přispěvatel: Milfaus 24. 08. 2017, 23:18:14
Když by měla Blažková veřejnou adresu, může si se sousedkou Vomáčkovou pokecat přes VoIP napřímo. Stejně tak pekař Novák. Když bude mít veřejnou IP, nemusí používat srajdy jako je Skype, může si zavolat napřímo.
Ono se málokrát stalo, že servery Skype byly nedostupné, že jo?

Ale veřejné adresy tu dávno jsou, IPv6 není nikomu zakázaná a stejně si ta Blažková raději pustí Skype.
Tak to mi tedy řekni proč?
Mohl bys zkusit argumentovat situací v ČR, ale není jen ČR a různé Blažkové, Blaszkové, Balszakové, TchinPingGuen, 행복한 i 祝福的 jedou na Skype nebo jejich lokální variantě nevyužívající SIP.
Název: Re:IPv6 ease of use
Přispěvatel: Lol Phirae 24. 08. 2017, 23:19:14
Ani ten nejvíc dokurvený ISP s CGNATem necpe za jednu IP víc než 128 uživatelů. Hádej proč.

Tak to by ses divil, jak se to dá krásně dočuňit a co dělají některé CZ "Freenety" (ještě, že se nejmenují Free Internety...to by bylo matení zákazníka).

Dobrý, no. Já se nebavím vo Frantovi z garáže, co si se sousedama sežene /29 a začne budovat síť na přípojce od UPC, ale o ISP.
Název: Re:IPv6 ease of use
Přispěvatel: Jenda 24. 08. 2017, 23:23:41
A kolik lidí z deseti tisíc leze někam jinam než na web, poštu a Skype/Viber/Blabla?

Ty máš asi v hlavě opravdu totální hovna.

Ten Skype je zrovna dobrý příklad - místo toho, aby to fungovalo P2P jako na začátku, se nejdřív začalo se supernody (a zneužíváním jejich kapacity), pak supernody dělal provozovatel a teď je to totálně centralizované.

A schválně mi řekni, proč stará Blažková potřebuje mít v mobilu veřejnou adresu?

Že by třeba pro to, aby mohla synchronizovat fotky a kontakty jinak než přes gůgle čmoud? Nebo prostě pro to, že odpadá spousta štvaní s NATem?
Název: Re:IPv6 ease of use
Přispěvatel: Milfaus 24. 08. 2017, 23:27:48
Dobrý, no. Já se nebavím vo Frantovi z garáže, co si se sousedama sežene /29 a začne budovat síť na přípojce od UPC, ale o ISP.

U lokálních WIFInářů je to běžná praxe a protože mají klidně dva nebo tři tisíce lidí, řadí je to mezi ISP.
Že to je hnus a svinstvo, na tom se doufám shodneme.

Já, věřím, že by se veřejná IP adresa měla dostat na wanové rozhraní k tobě domů a NAT by měl být starostí tvojí a to včetně asi nejběžnější situace s vytáčením PPPoE. Tj. když chceš mít na netu RPI, tak si ho měj, prostě si vystrč požadovaný port a žij blaze a dlouho. Stávající situace, když tu je moře nepoužitých IP adres a na druhé straně přenatováno, je prostě špatně.
Název: Re:IPv6 ease of use
Přispěvatel: lozak 24. 08. 2017, 23:28:05
Ale veřejné adresy tu dávno jsou, IPv6 není nikomu zakázaná a stejně si ta Blažková raději pustí Skype.
Tak to mi tedy řekni proč?

Protože Blažková nemá páru, že to jde jinak a líp a v tom je ten problém. Lidi si zvykli na omezení daná tím, že jsou za NATem.
Ale zkus přijít za starou Blažkovou až bude nasraná sedět u notebooku, protože bude mít zrovna Skype výpadek a ona si nepokecá s vnoučatama. Řekni ji, že si zavolá i bez Skypu a uvidíš ten zájem.
Název: Re:IPv6 ease of use
Přispěvatel: Milfaus 24. 08. 2017, 23:35:33
Že by třeba pro to, aby mohla synchronizovat fotky a kontakty jinak než přes gůgle čmoud? Nebo prostě pro to, že odpadá spousta štvaní s NATem?

Jo, jenže to s IPv6 dělat dávno může, ale nedělá.
Čím to co?

Ten Skype je zrovna dobrý příklad - místo toho, aby to fungovalo P2P jako na začátku, se nejdřív začalo se supernody (a zneužíváním jejich kapacity), pak supernody dělal provozovatel a teď je to totálně centralizované.

A proč by to muselo být P2P?
Dřív se jel MSDOS a dnes se jede Windows, já se k MSDOS vracet nechci.
Dřív se chodilo pěšky, dnes se jezdí autem.
Lidem to nevadí, lidem to vyhovuje tak, jak to je - a to je to přitom zbytečně sprasené.

Lidi se nechtějí zabývat rozcházením pravidel na firewallu, aby se jim přes tu IPv6ku někdo dobouchal.
Lidi prostě chtějí otevřít program jedním stisknutím, druhým přetáhnout fotky a třetím se vrátit k předchozí činnosti.
Nezajímá je technické pozadí, nechtějí se v tom (vesměs) vrtat.

A blábolte si co chcete, realita je taková, že lidem stávající model dostačuje, nevyžaduje od nich žádné zásahy do firewallu, nemusí se zabývat technickými detaily, protože to řeší centrálně spravovaný server. Lidi jsou líný a klidně si tvrďte něco jinýho. Je mi to fuk.
Název: Re:IPv6 ease of use
Přispěvatel: Milfaus 24. 08. 2017, 23:38:05
Ale zkus přijít za starou Blažkovou až bude nasraná sedět u notebooku, protože bude mít zrovna Skype výpadek a ona si nepokecá s vnoučatama. Řekni ji, že si zavolá i bez Skypu a uvidíš ten zájem.

Paní Blažková, musíte se přihlásit tady do té krabičky, povolit si pravidlo firewallu pro příchozí spojení a to musíte udělat úplně všude, protože jinak se Vám Máňa nedovolá, musíte to nastavit u všech, kde budete na návštěvě, protože jinak se vám Máňa nedovolá, no a když to zrovna nepůjde, tak RTFM Blažková!

Aha  ;D
Název: Re:IPv6 ease of use
Přispěvatel: lozak 24. 08. 2017, 23:49:28
Jo, jenže to s IPv6 dělat dávno může, ale nedělá.
Čím to co?

Protože spousta providerů má v hlavě nasráno stejně jako ty a IPv6 nemá. To souvisí s tím, že autoři aplikací prdí na princip end2end a radši použijí nějaký server jako prostředníka.
Název: Re:IPv6 ease of use
Přispěvatel: lozak 24. 08. 2017, 23:55:38
A proč by to muselo být P2P?
Dřív se jel MSDOS a dnes se jede Windows, já se k MSDOS vracet nechci.
Dřív se chodilo pěšky, dnes se jezdí autem.
Lidem to nevadí, lidem to vyhovuje tak, jak to je - a to je to přitom zbytečně sprasené.

Ne, to je blbý příklad. Lepší příklad je, že za války byl nedostatek potravin (paralela s nedostatkem IP adres) a tak se zavedl přídělový systém na lístky (paralela se sdílením adres a s masivním NATováním). A teď, když je možnost reformovat hospodářství a přídělový systém zrušit (paralela se zavedením IPv6) přijde nějaký blbeček a řekne, že reforma není potřeba, protože v sýpkách jde ještě vymést z podlahy pár zrníček (paralela s přerozdělováním nevyužitých adres).

Lidi se nechtějí zabývat rozcházením pravidel na firewallu, aby se jim přes tu IPv6ku někdo dobouchal.
Lidi prostě chtějí otevřít program jedním stisknutím, druhým přetáhnout fotky a třetím se vrátit k předchozí činnosti.
Nezajímá je technické pozadí, nechtějí se v tom (vesměs) vrtat.
Nic takového přece dělat nemusí. Vše může být plug-and-play i s IPv6.
Název: Re:IPv6 ease of use
Přispěvatel: lozak 24. 08. 2017, 23:57:46
Paní Blažková, musíte se přihlásit tady do té krabičky, povolit si pravidlo firewallu pro příchozí spojení a to musíte udělat úplně všude, protože jinak se Vám Máňa nedovolá, musíte to nastavit u všech, kde budete na návštěvě, protože jinak se vám Máňa nedovolá, no a když to zrovna nepůjde, tak RTFM Blažková!

Aha  ;D

A NAT si snad Blažková taky musela nastavovat sama?
Název: Re:IPv6 ease of use
Přispěvatel: Milfaus 24. 08. 2017, 23:58:48
Protože spousta providerů má v hlavě nasráno stejně jako ty a IPv6 nemá. To souvisí s tím, že autoři aplikací prdí na princip end2end a radši použijí nějaký server jako prostředníka.

Jo, jo, jo, a platí to pro celý svět viď  ;D

Houby, lidi neumí na firewallu nastavit ani prd a proto se ty služby nepoužívají, lidi by volali vývojáři té aplikace "a proč nám to nejde". Na mobilech to jde daleko snáz, tam je jen SW firewall a stejně se to nepoužívá, protože jak by se lojza připojil ne přes data, ale přes WIFI, byl by zase v háji, protože si neumí nastavit firewall.

Jen šílenci mohou věřit, že se vrátí situace z devadesátých let. Dneska je Internet masovka a ty lidi se o to nechtějí zajímat, chtějí konzumovat, nechtějí nic nastavovat, chtějí přednastavené zařízení a spustit to jedním tlačítkem.
Ale když myslíte...
Název: Re:IPv6 ease of use
Přispěvatel: lozak 25. 08. 2017, 00:02:51
Lidi si taky nenastavujou NAT a FW na routeru sami. Tak nějak to mají přednastaveno buď z továrny a nebo od někoho, kdo tomu rozumí.

A děláš, jako by NAT+FW na IPv4 byla nějaká účinná obrana.
Název: Re:IPv6 ease of use
Přispěvatel: Milfaus 25. 08. 2017, 00:03:29
A NAT si snad Blažková taky musela nastavovat sama?

Aha, takže bys to chtěl vyřešit jak?
Jako že lidi nebudou mít žádný firewall?
Nebo jen SW firewall a to v situaci, kdy je každé deváté zařízení s Androidem napadené virem?
Nebo že by se defaulně povolila komunikace dovnitř?
A pro jaké porty, skupina A hraje hry, skupina B sdílí písničky, skupina C kecá se skypem, skupina D chce využívat port XY, jiná port XYZ...?
Takže bys zrušil firewally?

No to potěš koště, až ti nějaký pinďour haxne chytrou ledničku, nastaví termostat na 50 stupnů, bude šmírovat webovku, honit si klacek u fotek z dětské chůvičky...

Ne že by to teď nemohl udělat, ale pokud se příchozí spojení na firewallu odmítají, tak se ti domů tak snadno nedobouchá. Jak vystavíš celou tu "chytrou" domácnost včetně měřiče spotřeby vody a ovládání brány na Internet, tak budeš čumět jako péro z gauče.
Název: Re:IPv6 ease of use
Přispěvatel: lozak 25. 08. 2017, 00:08:35
... Nebo jen SW firewall ...
Otázka za zlatého bludišťáka: Jaký je rozdíl mezi HW a SW firewallem?


Ne že by to teď nemohl udělat, ale pokud se příchozí spojení na firewallu odmítají, tak se ti domů tak snadno nedobouchá. Jak vystavíš celou tu "chytrou" domácnost včetně měřiče spotřeby vody a ovládání brány na Internet, tak budeš čumět jako péro z gauče.
Další, co si myslí, že když je za NATem, tak je v bezpečí.
Název: Re:IPv6 ease of use
Přispěvatel: Milfaus 25. 08. 2017, 00:18:07
Další, co si myslí, že když je za NATem, tak je v bezpečí.

S nat traversal jsem si hrál ještě když ty jsi žbluňkal taťkovi v pytlíku  ;D
Většina dnes prodávaných krabiček ten firewall má, neříkám že nějaký robustní SPI firewall, ale relativně dobré řešení mají skoro všechny.

Ale...je to marný, je to marný, je to marný...
Běž Blažkový vysvětlit, jak si má nastavit firewall s IPv6 u sebe doma a jak to má nastavit i u Máni, se kterou si chce psát. Přesvědč jí, že je to lepší, než použít Skype nebo Viber.
To by tě mohlo na pár let zabavit. Tak pak přijď.
Název: Re:IPv6 ease of use
Přispěvatel: lozak 25. 08. 2017, 00:23:18
To víš, že jo ty experte. Všemu nejlíp rozumíš, ale tvrdil jsi, že za NATem z jedné adresy může na další adresu komunikovat 65535 klientů.

---

Všechno může fungovat i bez jakékoli snahy uživatele. Kdo chce hledá způsoby, kdo nechce, hledá výmluvy.

Mimochodem, pořád si neodpověděl, kolik je podle tebe evyužitých adres, které se dají přerozdělit.
Název: Re:IPv6 ease of use
Přispěvatel: lozak 25. 08. 2017, 00:24:33
S nat traversal jsem si hrál ještě když ty jsi žbluňkal taťkovi v pytlíku  ;D

Ani nemusíš prostřelovat NAT, stačí infokované zařízení uvnitř sítě.
Název: Re:IPv6 ease of use
Přispěvatel: M. 25. 08. 2017, 00:39:17
To se ti zase nějak tu rozjelo. :-)
Sprosté zkratky (jak šel čas) UPnP Firewall-hole-punching / NAT-PMP / PCP a jejich podpora by Blažkový v klientovi i home branách nestačil (pro IPv6 to poslední) pro řešení otázky toho prostupu firewallu dovnitř?
Je fakt, že to umí použít dneska i řaada breberek k nakažení komplů, takže někdy je lepší mít server stranu v routeru/domácí bráně vypnutou. :-)
Název: Re:IPv6 ease of use
Přispěvatel: asdf111 25. 08. 2017, 00:52:16
ipv6 je fasizmus, zato o specifikacii ipv4 prebehlo globalne referndum :))

Kto skusi uhadnut ako funguju IP telefony za domacim routrom? ako sa dokaze niekto dovolat na telefon ktory je za NATom?
No ten telefon sa pekne krasne v pravidelnych intervaloch ozyva na centralny server aby udrziaval stale znamy port otvoreny na routri v NAT tabulke, a cez tento NAT sa vie operator z vonku dovolat :) takto pekne funguje NAT a security :)
Název: Re:IPv6 ease of use
Přispěvatel: Jenda 25. 08. 2017, 00:59:11
Sprosté zkratky (jak šel čas) UPnP Firewall-hole-punching / NAT-PMP / PCP a jejich podpora by Blažkový v klientovi i home branách nestačil (pro IPv6 to poslední) pro řešení otázky toho prostupu firewallu dovnitř?

Tak nejdřív se tu zdrbe IPv6 za to jak je prý složité implementovat i nastavit a pak si jako alternativu vybereme IPv4 s NATem, UPNP a hole punchingem, což jako složité není? Holy fuck.

A proč by to muselo být P2P?

Aby to mělo menší latence a vyšší rychlost (telefonní hovor k sousedovi nebo synchronizace souborů na počítač vedle nepojede přes půl Evropy), aby to bylo levnější (dodavatel SW nebude muset platit šílenou konektivitu) a aby existovala konkurence (na trh mohou vstoupit i malé firmy nebo dokonce free software, kde nejsou prachy na to rozstrkat po celém světě servery na přenos dat).

A blábolte si co chcete

Nápodobně, právě jsem vyhodnotil, že další diskuze pro mě nebude mít žádný odborný přínos (a to je asi hlavní věc, co mě zajímá).
Název: Re:IPv6 ease of use
Přispěvatel: M. 25. 08. 2017, 01:08:46
Sprosté zkratky (jak šel čas) UPnP Firewall-hole-punching / NAT-PMP / PCP a jejich podpora by Blažkový v klientovi i home branách nestačil (pro IPv6 to poslední) pro řešení otázky toho prostupu firewallu dovnitř?

Tak nejdřív se tu zdrbe IPv6 za to jak je prý složité implementovat i nastavit a pak si jako alternativu vybereme IPv4 s NATem, UPNP a hole punchingem, což jako složité není? Holy fuck.

Jak chcete rozumně pro domácího tupého koncáka na home gateway umožnit v reálu prostup komunikace dovnitř, pokud tam chce mít puštěno něco, co poslouchá na spojení z venku? Zvláště pokud je v bráně stavový firewall, který v základu blokuje směrem dovnitř skoro vše, vyjma pár doporučených protokolů. Pak řešení, že brána umí PCP a klienská aplikace také a řekne zkrátka firewallu, že teď pro danou IPv6 adresu pouštěj dovnitř tyto porty...
Pro IPv4 jeí to stejné, tam přibývá situace port forwardu kvůli NATu.
Název: Re:IPv6 ease of use
Přispěvatel: Milfaus 25. 08. 2017, 01:53:31

Už naučili UPnP Firewall autorizaci?
Jenak UPnP Firewall není až tolik rozšířený (připouštím, že se pletu), ale v poslední době jsem to neviděl, sice mi rukama prošlo tak deset různých krabiček, ale žádná z nich to neuměla a poslední, která to uměla, zase neuměla autorizaci, takže si telefon/tablet/Widle (dle vlastní vůle) mohl dělat co chtěl.

UPnP Firewall by byl řešení, pokud by fungoval skutečně všude, pokud na 7mi WIFInách bude a na 3 nebude, lidi tak jako tak dají přenost službám s centrálním serverem. Mějme situaci Domov-Babička-Práce-Hospoda-Pronájem(zaměň za kolej, spaní u přítelkyně, pronájem) - na kolika místech to musí fungovat, aby se to dalo prohlásit za funkční?

Buď to bude tak, že si zařízení budou moct dělat co chtějí, třeba kamera z Číny si stáhne nový firmware a otevře si díru ven...nebo to bude vyžadovat odbornou konfiguraci a lidi to nebudou používat, protože to krabička z Lídlu nebude mít nastavené... Popravdě nevím, co je horší. Tj. nepolezou mi domů do sítě jen Číňani, ale celý svět, protože UPnP vystaví tu kameru volně do netu? Kolik lidí si na takových zařízeních mění hesla?

Být v kůži výrobce, tak to nastavím tak, aby to bylo v defaultním nastavení vypnuté, jinak mě dá prví blbec k soudu.
A jak to bude vypnuté, je tam nutný krok "přihlášení se a nastavení", což hodně lidí prostě nezvládne.
Už najít IP adresu toho zařízení je pro řadu lidí zcela nepřekonatelný oříšek.
Vlastně i nastavit to zařízení po telefonu, když se někomu snažíte sdělit IPv4 adresu je dneska mimořádně obtížné a to nemluvím o IPv6 adrese a schopnostech BFU jí do prohlížeče napsat třeba v situaci, kdy linka nejede a je potřeba po telefonu pořešit to, proč nejede.

Nemyslím si, že by se časy p2p mohly vrátit.
Lidi o to vlastně nestojí. Najde se skupina těch výjimek, které potvrdí pravidlo, ale majorita se o nějaké UPNP na firewallu nebo veřejnou adresu prostě nestará. Chtějí si jedním kliknutím spustit službu, nemyslet, neřešit, aby fungovala 99% času.

Tohle je také znamení, že to nebude tak snadné, jak by si někteří mohli myslet:
https://www.howtogeek.com/122487/htg-explains-is-upnp-a-security-risk/ (https://www.howtogeek.com/122487/htg-explains-is-upnp-a-security-risk/)

Osobně si nedovedu představit, že bych to měl povolené.

Flash applet could change the primary DNS server with a UPnP request. Port forwarding would be the least of your worries – a malicious DNS server could redirect traffic to other websites.

LoL?
Co jde udělat Flashem, jde udělat i Javascriptem.
Takže vlezu na webovou stránku a najednou na mě může začít nějaký blembák střílet?
To se mi nelíbí.
Název: Re:IPv6 ease of use
Přispěvatel: M. 25. 08. 2017, 02:03:30
UPnP neumí IPv6, respektive specifikace přišla pozdě.
PCP autorizaci umí, ale jak je to použitelné v home segmentu je otázka, spíše mířeno na firemní sektor, kde na základě autorizace povoluje a filtruje PCP server komu co dovolí otevřít.
Název: Re:IPv6 ease of use
Přispěvatel: Milfaus 25. 08. 2017, 02:06:28

Tak jsem se koukal, prošmejdil nastavení nového modemu a našel v modemu položku "UPnP Configuration" je to vypnuté, není tam žádná nápověda, co to dělá nebo třeba nějaké možnosti nastavení. Čert ví, co to je, protože to není v konfiguraci firewallu a nemá to žádný popis. Navíc je to zašité pěkně v Advanced a když jsem to zařízení nasazoval, tak jsem si toho nevšiml. Jestli to není jen k WIFI...

Jak to bude defaultně zapnuté, je to zlo, jak to bude defaultně vypnuté, většina lidí to nenajde.
App, bez autorizace je to stejně spíš noční můra, kdy se lednička rozhodně vystavit na internet a lidi se mi budou smát, že v ní mám zkyslé mléko, olejovky a pět piv... chytrá lednička má navíc i kameru, takže si lidi budou moct prohlédnout mojí fotku, jak v noci na Adama čučím do ledničky...

Nějak takhle:
https://thumb10.shutterstock.com/display_pic_with_logo/74538/74538,1256577338,3/stock-photo-fat-man-gets-beer-from-the-fridge-39629044.jpg (https://thumb10.shutterstock.com/display_pic_with_logo/74538/74538,1256577338,3/stock-photo-fat-man-gets-beer-from-the-fridge-39629044.jpg)
Název: Re:IPv6 ease of use
Přispěvatel: Filip Jirsák 25. 08. 2017, 07:12:23
A schválně mi řekni, proč stará Blažková potřebuje mít v mobilu veřejnou adresu?
To už tu bylo řečeno. Vy akorát pořád dokola opakujete ty samé nesmysly, a je vám úplně jedno, že už je někdo dávno vyvrátil. Ale klidně vám to zopakuji ještě jednou:

Potřebuje mít veřejnou IP adresu proto, protože je to zdaleka nejjednodušší a tudíž nejlevnější řešení. Takže pokud chcete dál obhajovat používání IPv4, měl byste vy najít nějakou výhodu používání privátních adres a NATů – přece nikdo rozumný nebude používat dražší řešení, které nepřináší žádné výhody.
Název: Re:IPv6 ease of use
Přispěvatel: PetrM 25. 08. 2017, 07:23:03
Jak chcete rozumně pro domácího tupého koncáka na home gateway umožnit v reálu prostup komunikace dovnitř, pokud tam chce mít puštěno něco, co poslouchá na spojení z venku? Zvláště pokud je v bráně stavový firewall, který v základu blokuje směrem dovnitř skoro vše, vyjma pár doporučených protokolů. Pak řešení, že brána umí PCP a klienská aplikace také a řekne zkrátka firewallu, že teď pro danou IPv6 adresu pouštěj dovnitř tyto porty...
Pro IPv4 jeí to stejné, tam přibývá situace port forwardu kvůli NATu.

Úplně jednoduše. Port 80 se ne web serveru taky otevírá jmenovitě pro každou IP adresu, která na něj chce přistupovat? Prostě aplikace/protokol bude mít zadokumentováno, který port používá a ten se jednou otevře a hotovo. Zbytek bude na aplikaci - "Volá sir Milfaus von Blbštejn, přijmout hovor?"

A že to zákazník neumí? Tak zavolá ISPíkovi, nadiktuje porty a připlatí si 50Kč za změnu konfigurace. ISP snad umí router ovládat přes SSH. A je to furt levnější, než platit měsíční výpalný.
Název: Re:IPv6 ease of use
Přispěvatel: Milfaus 25. 08. 2017, 07:56:09
Potřebuje mít veřejnou IP adresu proto, protože je to zdaleka nejjednodušší a tudíž nejlevnější řešení. Takže pokud chcete dál obhajovat používání IPv4, měl byste vy najít nějakou výhodu používání privátních adres a NATů – přece nikdo rozumný nebude používat dražší řešení, které nepřináší žádné výhody.

Mějme veřejnou IPv4 adresu a IPv6 adresu, obě jsou za firewallem, který Blažková neumí nastavit a nastavovat nebude.
Jak se k ní chcete dobouchat? Nedoboucháte!

Tak to změňme, jaký je rozdíl z hlediska P2P sítí/spojení rozdíl mezi IPv4 za NATem a Firewallem a IPv4 za firewallem, IPv6 za NATem a Firewallem a IPv6 za firewallem?

To P2P pořád nejede, je to za firewallem na IPv4 i IPv6 a Blažková to neumí nastavit, takže se dovnitř nikdo stejně nedobouchá.

Tj. IPv6 ve skutečnosti nevrací situaci do stavu otevřených P2P sítí, resp. vrací, ale jen pro dva lidi z deseti tisíc.

P2P je dneska mrtvé, přežité a jako takové pro 98% stáda nezajímavé.
I kdyby se to začalo nějak používat, buď to povede ke zprasení pravidel na Firewallech z Lídlu, tj. dovnitř i ven prostě jen ta všechno nebo daná služba jednomu pojede a druhému ne.

Dneš je doba cloudu, velkých CDN služeb, distribuovaného a segmentovaného Internetu (Čínský, Ruský, Turecký).
Velkým hráčům i BFU to vyhovuje.

IPv6 bohužel vyhrálo, BOHUŽEL, ale P2P se už nevrátí, za provozování P2P bude stejně kriminál, což je ostatně dobře, protože je nutné chránit duševní vlastnictví Amerických korporací a Hollywoodu.

Ale můžu se plést, vraťme se tedy k bodu:
To P2P pořád nejede, je to za firewallem na IPv4 i IPv6 a Blažková to neumí nastavit, takže se dovnitř nikdo stejně nedobouchá.

Jako odborník mi prosím vysvětlete, jak mi pomůže IPv6 v situaci oproti NAT IPv4 v případě, kdy je firewall nastavený stejně, tj. veškerý příchozí provoz reject/drop, veškerý odchozí allow.
Název: Re:IPv6 ease of use
Přispěvatel: Milfaus 25. 08. 2017, 08:05:00
Úplně jednoduše. ... A že to zákazník neumí? Tak zavolá ISPíkovi, nadiktuje porty a připlatí si 50Kč za změnu konfigurace. ISP snad umí router ovládat přes SSH. A je to furt levnější, než platit měsíční výpalný.

LOL ;D Už vidím, jak Blažková volá na O2 a chce, aby jí nastavili zařízení, které jí koupila snacha Alze ;D
Prostě "Jako Hurvínek válku..." :-D

Ale mohli bychom to udělat centrálně, například ze zákona zavést celo-Evropskou povinnost poskytnout svému ISP přístup do vašeho domácícho routeru pod trestem odnětí svobody až na dva roky.

Už to vidím: Hele Máňo, tady to zařízení tam dej, koupil jsem ho na Aukro a nezapomeň nastavit přístup pro ISP, prostě vlezeš do konfigurace, otevři port ven do netu a nastav heslo admin na 1234 ;D

Nojó, to se pozná odborník  ;D
Název: Re:IPv6 ease of use
Přispěvatel: j 25. 08. 2017, 08:16:06
Potřebuje mít veřejnou IP adresu proto, protože je to zdaleka nejjednodušší a tudíž nejlevnější řešení. Takže pokud chcete dál obhajovat používání IPv4, měl byste vy najít nějakou výhodu používání privátních adres a NATů – přece nikdo rozumný nebude používat dražší řešení, které nepřináší žádné výhody.

Mějme veřejnou IPv4 adresu a IPv6 adresu, obě jsou za firewallem, který Blažková neumí nastavit a nastavovat nebude.
Jak se k ní chcete dobouchat? Nedoboucháte!
Mejme dementa kterej netusi co je to upnp ....
Název: Re:IPv6 ease of use
Přispěvatel: Milfaus 25. 08. 2017, 08:21:55
Mejme dementa kterej netusi co je to upnp ....

Mějme dementa, co neumí anglicky a nepřečetl si článek, co jsem postoval o stránku předem.

Tohle je také znamení, že to nebude tak snadné, jak by si někteří mohli myslet:
https://www.howtogeek.com/122487/htg-explains-is-upnp-a-security-risk/ (https://www.howtogeek.com/122487/htg-explains-is-upnp-a-security-risk/)

UPNP není běžné a ani bezpečné.
Webová stránka může změnit moje DNS? LOL?
I kdyby mě jen vystavila do netu, je to svinstvo.
A klidně to může být i haxnutá reklama.
Pěkně děkuji.
Název: Re:IPv6 ease of use
Přispěvatel: j 25. 08. 2017, 08:35:06
opusť myšlenku, že je potřeba mít každé zařízení s veřejnou ip adresou, prostě k tomu není důvod, doba dc++ a p2p sdílení je už pryč, dnes je drtivá většina komunikace typu klient-server, takže je lhostejné, že jednu veřejnou ip sdílí deset tisíc klientů.
Jiste chory mozky ktery vymejskej picoviny se vzdy najdou ... neexistuje ani jedinej duvod k tomu aby kazdy jedno zarizeni nemelo verejnej prefix adres.

takže je lhostejné, že jednu veřejnou ip sdílí deset tisíc klientů.

Tak jistě, sice ti dojdou porty a nebude to fungovat, ale to je detail...
To je drobnost ... rozsirime rozsah portu ne? ... ;D

Jo, jenže kolik těch telefonů je zapojených do internetu co?
Představa, že každý Číňan má v mobilu Internet je směšná, stejně jako to, že každý z nich potřebuje veřejnou adresu.
Nj, jak sem psal, mejme blba, kterej netusi, ze 4G je ip only sit. V US dokonce ipv6 only.

A schválně mi řekni, proč stará Blažková potřebuje mít v mobilu veřejnou adresu?
Protoze ty trotle potrebuje, aby se ji nekdo dovolal, viz vejs.

A kolik lidí z deseti tisíc leze někam jinam než na web, poštu a Skype/Viber/Blabla?
Pro ty dva tu je veřejných adres víc než dost.
Uplne vsichni ... ale ty nemas paru ... sem zvedav, jak budes ty mililardy jednotlivych adres routovat ...
Název: Re:IPv6 ease of use
Přispěvatel: j 25. 08. 2017, 08:41:00
UPNP není běžné a ani bezpečné.
Webová stránka může změnit moje DNS? LOL?
I kdyby mě jen vystavila do netu, je to svinstvo.
A klidně to může být i haxnutá reklama.
Pěkně děkuji.
Jiste, blb, kterej netusi co zvani, upnp funguje uplne stejne i za NATem... jen misto nastaveni firewallu se snazni nastavovat portforward, coz za CGN samo nejde.  A samozrejme ze to muze pouzit libovolna aplikace ktera uvnitr site bezi. Jezne dement jako ty tu zvani o tom, ze stara blazkova si bude muset nekde neco nastavovat. Nebude, nastavi se ji to samo. Vi co totiz ty trotle ipv6 umoznuje? Mit doma nekolik siti, pricemz upnp povilit jen na jedny z nich ... napriklad. Takze k siti ve ktery bezi muj pornoserver se z venku nikdo jednoduse nedostane ... zazrak co? To za NATem nijak jednoduse nastavit nejde.
Název: Re:IPv6 ease of use
Přispěvatel: Filip Jirsák 25. 08. 2017, 08:42:27
Tak to změňme, jaký je rozdíl z hlediska P2P sítí/spojení rozdíl mezi IPv4 za NATem a Firewallem a IPv4 za firewallem, IPv6 za NATem a Firewallem a IPv6 za firewallem?
Rozdíl je v tom, že se správce koncové sítě sám rozhodne, jestli tam ten firewall chce mít nebo nechce, jestli nějaké zařízení má nebo nemá být dostupné z jiných sítí a případně ze kterých.

Což je mimochodem další z vlastností, která je mimo představivost těch, kteří se zasekli v IPv4 NATech – když mají všechna zařízení veřejnou IP adresu, můžu na hraničním firewallu nastavovat přístup podle IP adres nebo sítí. Tj. nemusím rozlišovat jen to, zda dané zařízení má být dostupné z celého internetu, ale můžu určit, ze kterých konkrétně sítí. Takže třeba v nějaké SOHO síti, když nebudou chtít mít někam otevřený přístup z celého internetu, povolí tam přístup jenom z IP adres svých zaměstnanců. Opět, je to velice levné řešení, nepotřebujete žádný VPN koncentrátor, zaměstnanci se nemusí otravovat s nějakým nastavováním VPN, a přitom to udělá prakticky stejnou službu.

Zpět k vaší námitce – zařízení v SOHO sítích ve skutečnosti z hlediska bezpečnosti za firewallem schovaná nejsou. Pokud chcete něco účinně schovat za firewall, musí všechna zařízení v té chráněné síti být bezpečná. (Proto se zřizují DMZ, kde máte jen pár zařízení, která opravdu zabezpečíte.) Takže ta vaše představa, jak budou všechna zařízení v SOHO sítích schovaná za firewallem, neodpovídá realitě – ten firewall by tam byl k ničemu, opět by to byla jen další zbytečná komplikace.

Dneš je doba cloudu, velkých CDN služeb, distribuovaného a segmentovaného Internetu (Čínský, Ruský, Turecký).
Velkým hráčům i BFU to vyhovuje.
Jistě že to vyhovuje těm, kteří mají svůj byznys založený na tom, že vám umožní obejít NAT. Když NAT nebude, bude to zase vyhovovat těm, kteří svůj byznys založí na tom, že je možné komunikovat přímo. Přičemž to celé bude efektivnější, protože se nebudou vynakládat obrovské sumy na vytváření překážek a jejich obcházení. Pro spoustu služeb dál zůstane výhodný model s centrálními servery, tak se bude dál používat – IPv6 tomu nijak nebrání.
Název: Re:IPv6 ease of use
Přispěvatel: M. 25. 08. 2017, 09:10:50
UPNP není běžné a ani bezpečné.
Webová stránka může změnit moje DNS? LOL?
I kdyby mě jen vystavila do netu, je to svinstvo.
A klidně to může být i haxnutá reklama.
Pěkně děkuji.
Jiste, blb, kterej netusi co zvani, upnp funguje uplne stejne i za NATem... jen misto nastaveni firewallu se snazni nastavovat portforward, coz za CGN samo nejde.

Toto řeší PCP. UPnP nepodporuje IPv6 a ani CGNAT, PCP už umí všechny režimy (IPv6, IPv4, IPv4 s NATem). Navíc PCP podporuje i vyjednaní otevření portů v CGN. Takže v CGN je nastaveno, že dovolím zakošovi mít otevřeno max X portů, případně v jakém rozshu, a aplikace si to může proděravět až k sobě. Pár rozumných home bran umí i režim, že po LAN dostanou přes UPnP požadavek, ten převedou na PCP a v CGN a pak sobě to otevřou.

Jinak souhlsím, že UPnP je díra. Hlavní problém je, že muže takto přebít/převzít/ovlivnit další zařízení. PCP toto už řeší, aby si vzjemně různé koncové krabičky z LAN to tak snadno nepřebaly.
Námitka toho, že čínská webkamera/lednička si udělá díru přes UPnP/PCP/... a pak do toho vidí celý svět není podstatná. Pokud krabička může volně ven (což pro SOHO segment je standard), tak ta data stejně někde vypublikuje sama a řada krabiček to názorně předvádí, že dokud nezískají spojení ven, tak vůbec nefungují a Bůh ví (autoři často také ne nebo to tají), kam co  vše posílají...

Ta myšlenka, že mísot toho zavolám svému ISPíkovi a on mi to nastaví je v podstatě realita u řady alternativních ISP, kde takto na požadvky klientů to řeší a nastavují lidem a mají to jako konkurenční výhodu proti O2 čumákům (všečtně oblíbeného stavu, kdy home brána zákoše je ovládaná jen ISPíkem a koncák vůbec do ní nemá přistup/heslo).
Název: Re:IPv6 ease of use
Přispěvatel: MP 25. 08. 2017, 10:18:06
Což je mimochodem další z vlastností, která je mimo představivost těch, kteří se zasekli v IPv4 NATech – když mají všechna zařízení veřejnou IP adresu, můžu na hraničním firewallu nastavovat přístup podle IP adres nebo sítí. Tj. nemusím rozlišovat jen to, zda dané zařízení má být dostupné z celého internetu, ale můžu určit, ze kterých konkrétně sítí. Takže třeba v nějaké SOHO síti, když nebudou chtít mít někam otevřený přístup z celého internetu, povolí tam přístup jenom z IP adres svých zaměstnanců. Opět, je to velice levné řešení, nepotřebujete žádný VPN koncentrátor, zaměstnanci se nemusí otravovat s nějakým nastavováním VPN, a přitom to udělá prakticky stejnou službu.

Hmm, on je kazdy protokol sifrovany? Aha, neni, takze nakonec se bez VPN neobejdeme ve firemnim prostredi. Ta moznost nastavovani dle externi IP adresy zamestnance je urcite zajimava, ale musi vzdy platit, ze ta adresa se nezmeni.

Mimochodem, doba p2p je pryc i z toho duvodu, ze tam nebude fungovat (re)sync dat mezi zarizenimi jednoho uzivatele. Na to proste potrebuje centralizovany bod. Staci si vzpomenout na problem myslim s jabberem?
Název: Re:IPv6 ease of use
Přispěvatel: PetrM 25. 08. 2017, 10:30:27
Hmm, on je kazdy protokol sifrovany? Aha, neni, takze nakonec se bez VPN neobejdeme ve firemnim prostredi.

Je problém v IPv4 nastavit v /etc/config/network nastavit další síť a provoz na některý IP adresy pustit do ní? Je problém, aby tahle "síť" byl šifrovaný tunel na jinou pobočku? Je problém, aby místo jednotlivých IPv4 adres byly IPv6 /56 nebo /48 prefixy?

Ta moznost nastavovani dle externi IP adresy zamestnance je urcite zajimava, ale musi vzdy platit, ze ta adresa se nezmeni.

Pokud máš NTB zaměstnavatele, stačí nastavit domovskou síť a hurá, máš šifrovaný přístup do firmy odkudkoliv. A dokonce IT od zaměstnavatele se na NTB dostane kamkoliv (například v případě krádeže), stačí se kdekoliv připojit k síti. Takže je otázka, proč si pustit zaměstnavatele do vlastní sítě.

Mimochodem, doba p2p je pryc i z toho duvodu, ze tam nebude fungovat (re)sync dat mezi zarizenimi jednoho uzivatele. Na to proste potrebuje centralizovany bod. Staci si vzpomenout na problem myslim s jabberem?

Centralizovaný bod je obvykle domácí router. Obě zařízení znají jeho IP adresu, ta je veřejná a připojí se k němu odkudkoliv... Podmínkou přece není, aby ten "pevný bod" byl v datacentru v Tramtárii, ani aby ho sdílelo 20k zařízení.
Název: Re:IPv6 ease of use
Přispěvatel: Filip Jirsák 25. 08. 2017, 10:34:07
Hmm, on je kazdy protokol sifrovany? Aha, neni, takze nakonec se bez VPN neobejdeme ve firemnim prostredi.
Zatím není. Ale když chci šifrovat, použiju IPsec.

Ta moznost nastavovani dle externi IP adresy zamestnance je urcite zajimava, ale musi vzdy platit, ze ta adresa se nezmeni.
Což je pro ISP to nejjednodušší řešení.

Mimochodem, doba p2p je pryc i z toho duvodu, ze tam nebude fungovat (re)sync dat mezi zarizenimi jednoho uzivatele. Na to proste potrebuje centralizovany bod. Staci si vzpomenout na problem myslim s jabberem?
Synchronizace mezi zařízeními jednoho uživatele je naopak ten případ, kde se p2p využije. Když si na svém domácím PC uložím soubor do synchronizované složky, logický postup je, že se to přes domácí síť sesynchornizuje do NASu i do mobilu. Současné řešení, že se to z toho PC pošle přes internet na nějaký server, odkud si to zvlášť stáhne NAS a zvlášť mobil, je praštěné. To, že některá zařízení nejsou trvale zapnutá, vyřeší zpravidla ten domácí NAS. Aby nedošlo k nějakému nedorozumění, ta možnost mít to uložené na nějakém vzdáleném serveru tím nepadá, tam je to zazálohované – ale nedává žádný smysl tahat to z něj opakovaně přes internet, když ta data mám na zařízení ve stejné síti.
Název: Re:IPv6 ease of use
Přispěvatel: MP 25. 08. 2017, 10:36:08
Přijde mi, že se diskuze zvrhla k „já chci NAT a všichni ostatní musí řešit u svých protokolů, aby s ním fungovaly!“. Tůdle.

To, ze ma mit kazdy koncak fw je sice pekne, ale realita pokulhava. U Woknous se fw aspon da konfigurovat pres domenu, ale Linux?

Hmm, shellovými příkazy s iptables?

Stacilo mi, kdyz jsem musel konfigurovat fw mezi 4 strojema, dnes jich mam desetinasobne.

A co tak typicky na linuxových strojích ve FW nastavuješ?

a tady zejmena ty vpn jsou prvni na rane

Já furt nějak nepochopil, v čem je problém. Že když protistrana změní providera, tak místo adresy budeš muset změnit prefix?

pak veci jako dualstack, atd to jen komplikuji...

Ad iptables...ona kazda distribuce pouziva iptables jako primarni fw? a kde mas zajistenou distribuci techto pravidel, aniz bys predem musel "rozjet" nejaky CM?

Ad nastavovani fw...na jedny strane tu je info, ze ma byt na kazdem stroji fw...a ty se ptas, co nastavuji? icmp, dns, ntp, nfs, http, https, sql, smtp, vpn, proxy...atd atd...nektery websluzby jsou i na nestandardnich portech...Jasny, bylo by fajn, kdyby existovalo nejake rozumne reseni spravy pro mezikomunikaci, nebyly by potreba na internich mezisitich fw, vetsina z nich je totiz pozadu za rychlostmi siti z hlediska hw...

Ad prefix...da se do vpn(/fw) nastavit jen cast prefixu v acl? tzn bez isp prefixu? Mozna jo, jeste jsem to nezkousel, ale zde je hlavni problem firemni sfery, adresy musi byt nemenne, protoze vpn/firewally dynamicke zmeny neumi (myslim tim oproti dynamicke rekonfiguraci na zaklade propagace ipv6 nastaveni z routeru).
Název: Re:IPv6 ease of use
Přispěvatel: MP 25. 08. 2017, 10:43:34
Hmm, on je kazdy protokol sifrovany? Aha, neni, takze nakonec se bez VPN neobejdeme ve firemnim prostredi.

Je problém v IPv4 nastavit v /etc/config/network nastavit další síť a provoz na některý IP adresy pustit do ní? Je problém, aby tahle "síť" byl šifrovaný tunel na jinou pobočku? Je problém, aby místo jednotlivých IPv4 adres byly IPv6 /56 nebo /48 prefixy?

Ta moznost nastavovani dle externi IP adresy zamestnance je urcite zajimava, ale musi vzdy platit, ze ta adresa se nezmeni.

Pokud máš NTB zaměstnavatele, stačí nastavit domovskou síť a hurá, máš šifrovaný přístup do firmy odkudkoliv. A dokonce IT od zaměstnavatele se na NTB dostane kamkoliv (například v případě krádeže), stačí se kdekoliv připojit k síti. Takže je otázka, proč si pustit zaměstnavatele do vlastní sítě.

Mimochodem, doba p2p je pryc i z toho duvodu, ze tam nebude fungovat (re)sync dat mezi zarizenimi jednoho uzivatele. Na to proste potrebuje centralizovany bod. Staci si vzpomenout na problem myslim s jabberem?

Centralizovaný bod je obvykle domácí router. Obě zařízení znají jeho IP adresu, ta je veřejná a připojí se k němu odkudkoliv... Podmínkou přece není, aby ten "pevný bod" byl v datacentru v Tramtárii, ani aby ho sdílelo 20k zařízení.

ad dalsi sit...ano je to problem. Znamena to dalsi nastaveni fw, dns, ssl certifikaty (postfix treba neumi sni, pokud se nepletu, ani nastavit ruzne certy na ruzne ip)...proste slozitejsi sit misto jedne ip per koncak.

ad domovska sit...sifruje to dns? ntp? sambu? atd?

ad centralizovany bod...na zarizeni A mam telegram. Zarizeni A vypnu, zapnu B. Jak mi router zesynchronizuje komunikaci? To je reakce i na Jirsaka, bude si Blazkova nastavovat nekde NAS, aby se ji syncla komunikace na mobil, tablet, atd?
Název: Re:IPv6 ease of use
Přispěvatel: PetrM 25. 08. 2017, 10:56:22
ad dalsi sit...ano je to problem. Znamena to dalsi nastaveni fw, dns, ssl certifikaty (postfix treba neumi sni, pokud se nepletu, ani nastavit ruzne certy na ruzne ip)...proste slozitejsi sit misto jedne ip per koncak.

V čem? Máš málo IP adres na další síť? Migruj na šestku. :D

Ve čtyřce jedno zařízení = jedna IP adresa = jedna sada unikátních pravidel (smí tam, nesmí tam,..)

V šestce jedno zařízení = několik IP adres = je online v několika sítích = pravidla nastavíš pro síť a zařízení naučíš, který sítě smí využívat.

ad domovska sit...sifruje to dns? ntp? sambu? atd?

Když si to router vyžádá, zabalí se cokoliv do IPSec. Je s tím problém? V čem je to horší, než třeba OpenVPN?

ad centralizovany bod...na zarizeni A mam telegram. Zarizeni A vypnu, zapnu B. Jak mi router zesynchronizuje komunikaci? To je reakce i na Jirsaka, bude si Blazkova nastavovat nekde NAS, aby se ji syncla komunikace na mobil, tablet, atd?

Router nijak, proces v tom zařízení. Zapneš, zeptá se DNSka na routeru na druhý zařízení, přímo se připojí a mrkne, jestli jsou tam nový data. Nebo to může být bez routeru rovnou NAS se známou IP adresou, moutne si ho po sshfs,... Stejně, jako dneska nějaký proces oslovuje nějakou tajemnou bednu v čmoudu. Nebo myslíš, že se to dělá jinak?
Název: Re:IPv6 ease of use
Přispěvatel: Filip Jirsák 25. 08. 2017, 10:56:54
ad centralizovany bod...na zarizeni A mam telegram. Zarizeni A vypnu, zapnu B. Jak mi router zesynchronizuje komunikaci? To je reakce i na Jirsaka, bude si Blazkova nastavovat nekde NAS, aby se ji syncla komunikace na mobil, tablet, atd?
Ne, to není reakce na mne. Já jsem jasně napsal, že to existenci centrálního serveru nevylučuje, takže když zařízení A vypnu a zařízení B zapnu, pořád se to může sesynchronizovat z nejbližšího zařízení, které běží trvale – což v některých případech pořád může být nějaký server v internetu.

Vy možná se všemi svými zařízeními pracujete tak, že důsledně používáte jen jedno, a než zapnete jiné, tak to první vypnete. Před zapnutím počítače vypnete mobil – a až si pořídíte nějaký router, který bude mít trochu místa na synchronizaci souborů, budete muset vypínat i ten. Většina lidí to ale takhle nedělá, takže pro ně bude možnost synchronizace přímo v lokální síti přínosem.

Nevím, co byste chtěl na NASu kvůli té synchronizaci nastavovat. Bavíme se o případu, kdy má Dropbox, má jeho aplikaci nainstalovanou v počítači, mobilu i NASu. Takže jediná „složitost“ je v tom, aby autoři té Dropbox aplikace doplnili funkci, která dokáže zjistit, jak náročné je komunikovat se kterým dalším klientem, a podle toho se rozhodla, odkud a kam bude data posílat.
Název: Re:IPv6 ease of use
Přispěvatel: MP 25. 08. 2017, 11:34:53
ad centralizovany bod...na zarizeni A mam telegram. Zarizeni A vypnu, zapnu B. Jak mi router zesynchronizuje komunikaci? To je reakce i na Jirsaka, bude si Blazkova nastavovat nekde NAS, aby se ji syncla komunikace na mobil, tablet, atd?
Ne, to není reakce na mne. Já jsem jasně napsal, že to existenci centrálního serveru nevylučuje, takže když zařízení A vypnu a zařízení B zapnu, pořád se to může sesynchronizovat z nejbližšího zařízení, které běží trvale – což v některých případech pořád může být nějaký server v internetu.

Vy možná se všemi svými zařízeními pracujete tak, že důsledně používáte jen jedno, a než zapnete jiné, tak to první vypnete. Před zapnutím počítače vypnete mobil – a až si pořídíte nějaký router, který bude mít trochu místa na synchronizaci souborů, budete muset vypínat i ten. Většina lidí to ale takhle nedělá, takže pro ně bude možnost synchronizace přímo v lokální síti přínosem.

Nevím, co byste chtěl na NASu kvůli té synchronizaci nastavovat. Bavíme se o případu, kdy má Dropbox, má jeho aplikaci nainstalovanou v počítači, mobilu i NASu. Takže jediná „složitost“ je v tom, aby autoři té Dropbox aplikace doplnili funkci, která dokáže zjistit, jak náročné je komunikovat se kterým dalším klientem, a podle toho se rozhodla, odkud a kam bude data posílat.

Staci vypnuta wifi na zarizeni B a vase teorie o synchronizaci jdou do kopru.

A co se tyce NASu, takze pane Jirsak, kazdou aplikaci bude Blazkova nastavovat, ze ma syncovat na NAS? A zabezpeceni bude jak? Kazda appka si precte vsechna data na NASu? Nebo ucet per appka? Takze vyvojari kazdeho dropbox/gdrive/atd., vyvojari kazde appky budou resit sync extra mezi zarizenimi/nas/sw? Komplexnost roste raketovou radou.
Název: Re:IPv6 ease of use
Přispěvatel: MP 25. 08. 2017, 11:48:03
ad dalsi sit...ano je to problem. Znamena to dalsi nastaveni fw, dns, ssl certifikaty (postfix treba neumi sni, pokud se nepletu, ani nastavit ruzne certy na ruzne ip)...proste slozitejsi sit misto jedne ip per koncak.

V čem? Máš málo IP adres na další síť? Migruj na šestku. :D

Ve čtyřce jedno zařízení = jedna IP adresa = jedna sada unikátních pravidel (smí tam, nesmí tam,..)

V šestce jedno zařízení = několik IP adres = je online v několika sítích = pravidla nastavíš pro síť a zařízení naučíš, který sítě smí využívat.

ad domovska sit...sifruje to dns? ntp? sambu? atd?

Když si to router vyžádá, zabalí se cokoliv do IPSec. Je s tím problém? V čem je to horší, než třeba OpenVPN?

ad centralizovany bod...na zarizeni A mam telegram. Zarizeni A vypnu, zapnu B. Jak mi router zesynchronizuje komunikaci? To je reakce i na Jirsaka, bude si Blazkova nastavovat nekde NAS, aby se ji syncla komunikace na mobil, tablet, atd?

Router nijak, proces v tom zařízení. Zapneš, zeptá se DNSka na routeru na druhý zařízení, přímo se připojí a mrkne, jestli jsou tam nový data. Nebo to může být bez routeru rovnou NAS se známou IP adresou, moutne si ho po sshfs,... Stejně, jako dneska nějaký proces oslovuje nějakou tajemnou bednu v čmoudu. Nebo myslíš, že se to dělá jinak?

Takze misto 1 IP a nastaveni pravidel pro ni budeme mit komplexnejsi FW protoze mame komplexnejsi site? Ideal, zvlast v pripade fw na koncaku a ne na edge mezi sitema. Staci se podivat na jeden z problemu dualstacku, co jde do VPN pres ipv4, tak muze jit pres ipv6 nezabezpecenou cestou. Idea vice IP je sice pekna a realne pouzitelna, ale sekuritaci z toho budou mit dost bolehlav...

A co se tyce routeru...asi jste mel upresnit, ze nastaveni domovske site = nastaveni i ipsecu, protoze jinak to znelo pouze jako ciste ipv6.
Název: Re:IPv6 ease of use
Přispěvatel: Filip Jirsák 25. 08. 2017, 12:02:46
Staci vypnuta wifi na zarizeni B a vase teorie o synchronizaci jdou do kopru.
To byste asi měl napsat podrobněji. Podle vás se vaše zařízení dokážou přes NAT synchronizovat s internetovým serverem, i když nejsou připojená k síti, ale když budou mít IPv6 adresu, tak to nebude fungovat? Nebo v čem spočívá vaše námitka? Jaký je ten use case, kdy by třeba klient Dropboxu uměl data stahovat ne jen z centrálních serverů, ale i z ostatních zařízení, kdy to podle vás nebude fungovat?

A co se tyce NASu, takze pane Jirsak, kazdou aplikaci bude Blazkova nastavovat, ze ma syncovat na NAS?
Opět netuším, o jakém problému píšete. Dnes má paní Blažková účet u Dropboxu, má nainstalovanou aplikaci Dropboxu na svém počítači, na telefonu, na NASu. Na všech se přihlásila ke stejnému účtu, takže se jí soubory mezi těmi zařízeními synchronizují. Dnes se vše synchronizuje přes centrální servery Dropboxu, když něco zkopíruje na počítači do složky Dropboxu, do mobilu i na NAS server se to bude stahovat z internetu.

My se tady bavíme o úpravě, že vývojáři těch aplikací využijí toho, že ta zařízení mají veřejné IP adresy a mohou spolu komunikovat. Takže aplikace v NASu zjistí, že je lepší stáhnout ten nový soubor z PC než ze serverů Dropboxu, takže ho stáhne rovnou z PC. Mobil totéž.

Mohl byste konkrétně popsat, co bude nově uživatel v té Dropbox aplikaci nastavovat? Jaký nový problém v zabezpečení tam vidíte?

Takze vyvojari kazdeho dropbox/gdrive/atd., vyvojari kazde appky budou resit sync extra mezi zarizenimi/nas/sw? Komplexnost roste raketovou radou.
Ano, vývojáři každé aplikace pro synchronizaci budou moci doplnit funkci, že nebudou data stahovat z jednoho zařízení, ale budou mít jejich seznam a zjistí, ze kterého lze stahovat nejrychleji. To je opravdu komplexní úkol, který se dá v první verzi vyřešit i tak komplikovaným algoritmem, že si všechny ty IP adresy seřadím a vezmu tu, která má nejdelší prefix shodný s IP adresou mého zařízení. To je tak komplexní úkol, že by to třeba mohli zadat někomu k vyřešení v rámci přijímacího pohovoru.
Název: Re:IPv6 ease of use
Přispěvatel: btn 25. 08. 2017, 12:13:10
Staci vypnuta wifi na zarizeni B a vase teorie o synchronizaci jdou do kopru.
To byste asi měl napsat podrobněji. Podle vás se vaše zařízení dokážou přes NAT synchronizovat s internetovým serverem, i když nejsou připojená k síti, ale když budou mít IPv6 adresu, tak to nebude fungovat? Nebo v čem spočívá vaše námitka? Jaký je ten use case, kdy by třeba klient Dropboxu uměl data stahovat ne jen z centrálních serverů, ale i z ostatních zařízení, kdy to podle vás nebude fungovat?

A co se tyce NASu, takze pane Jirsak, kazdou aplikaci bude Blazkova nastavovat, ze ma syncovat na NAS?
Opět netuším, o jakém problému píšete. Dnes má paní Blažková účet u Dropboxu, má nainstalovanou aplikaci Dropboxu na svém počítači, na telefonu, na NASu. Na všech se přihlásila ke stejnému účtu, takže se jí soubory mezi těmi zařízeními synchronizují. Dnes se vše synchronizuje přes centrální servery Dropboxu, když něco zkopíruje na počítači do složky Dropboxu, do mobilu i na NAS server se to bude stahovat z internetu.

My se tady bavíme o úpravě, že vývojáři těch aplikací využijí toho, že ta zařízení mají veřejné IP adresy a mohou spolu komunikovat. Takže aplikace v NASu zjistí, že je lepší stáhnout ten nový soubor z PC než ze serverů Dropboxu, takže ho stáhne rovnou z PC. Mobil totéž.

Mohl byste konkrétně popsat, co bude nově uživatel v té Dropbox aplikaci nastavovat? Jaký nový problém v zabezpečení tam vidíte?

Já třeba nechci na žádném svém zařízení mít listening port, komunikaci zahájí klient a stavový firewall propustí pouze komunikaci související s touto relací, žádnou komunikaci iniciovanou zvenku dovnitř si na svoje zařízení nepustím  8)
Název: Re:IPv6 ease of use
Přispěvatel: lojzak 25. 08. 2017, 12:19:25
@Milfaus

Pro někoho, kdo považuje NAT za vrchol technického pokroku jsou výhody p2p nepochopitelné, to je jasné. Ostatní to ale můžou vidět jinak. Myslíš, že velkým hráčům stávající situace vyhovuje? Jasně, Google si rád platí za svoje servery a konektivitu, i když by data mohla téct napřímo.

Jsem jediný, komu přijde nenormální, že když chce Pepa z depa nasdílet sousedovi fotky s dovolené, že ty fotky letí přes celou Evropu?
Název: Re:IPv6 ease of use
Přispěvatel: Cek 25. 08. 2017, 12:36:46
@Milfaus

Myslíš, že velkým hráčům stávající situace vyhovuje? Jasně, Google si rád platí za svoje servery a konektivitu, i když by data mohla téct napřímo.


Myslim, ze jim situace vyhovuje hlavne proto, ze se muzou tema datama prohrabavat. Jejich zisk z toho je mnohem vyssi nez je stoji provoz serveru, jinak by to nedelali....
Název: Re:IPv6 ease of use
Přispěvatel: Milfaus 25. 08. 2017, 12:47:20
Já třeba nechci na žádném svém zařízení mít listening port, komunikaci zahájí klient a stavový firewall propustí pouze komunikaci související s touto relací, žádnou komunikaci iniciovanou zvenku dovnitř si na svoje zařízení nepustím  8)

To většina informovaných lidí, jenže UPnP na to má jiný názor, zařízení se do netu prostě "pustí samo".
Název: Re:IPv6 ease of use
Přispěvatel: JSH 25. 08. 2017, 12:48:50
Já třeba nechci na žádném svém zařízení mít listening port, komunikaci zahájí klient a stavový firewall propustí pouze komunikaci související s touto relací, žádnou komunikaci iniciovanou zvenku dovnitř si na svoje zařízení nepustím  8)
Oki, takže každá appka místo poslouchání na portu pravidelně volá domů. Jednu díru to trochu přivře a jinou zase otevře.
Název: Re:IPv6 ease of use
Přispěvatel: MP 25. 08. 2017, 12:52:11
Já třeba nechci na žádném svém zařízení mít listening port, komunikaci zahájí klient a stavový firewall propustí pouze komunikaci související s touto relací, žádnou komunikaci iniciovanou zvenku dovnitř si na svoje zařízení nepustím  8)
Oki, takže každá appka místo poslouchání na portu pravidelně volá domů. Jednu díru to trochu přivře a jinou zase otevře.

Takze pro kazdou aplikaci vyhradime samostatny port? Supeeeeer.  Port pro skype, port pro whatsupp, port pro dropbox, port pro...pro...pro...pro...To nam asi tech 64k portu stacit nebude.
Název: Re:IPv6 ease of use
Přispěvatel: Milfaus 25. 08. 2017, 12:55:06
2 Faggots

Jo, IPv6 znovu vzkřísí P2P sítě, vyřeší všechny bezpečnostní problémy a svět bude zase o něco krásnější.
Fakt jste mě přesvědčili, vzdávám se své víry, pod palbou invektiv odvolávám, už se s Vámi nebudu hádat.
GJ hošani!
(https://media.giphy.com/media/CvZuv5m5cKl8c/giphy.gif)
Název: Re:IPv6 ease of use
Přispěvatel: JSH 25. 08. 2017, 13:01:21
Já třeba nechci na žádném svém zařízení mít listening port, komunikaci zahájí klient a stavový firewall propustí pouze komunikaci související s touto relací, žádnou komunikaci iniciovanou zvenku dovnitř si na svoje zařízení nepustím  8)
Oki, takže každá appka místo poslouchání na portu pravidelně volá domů. Jednu díru to trochu přivře a jinou zase otevře.

Takze pro kazdou aplikaci vyhradime samostatny port? Supeeeeer.  Port pro skype, port pro whatsupp, port pro dropbox, port pro...pro...pro...pro...To nam asi tech 64k portu stacit nebude.
Jestli jde o kolize mezi preferovanými porty různých appek, tak nejpoužívanějších je pár desítek, max stovek. Tam bych se kolizí vážně nebál. :)
Název: Re:IPv6 ease of use
Přispěvatel: dbuisdn 25. 08. 2017, 13:02:28
Tyvole tady se to zase zvrhlo v gaychat...
Název: Re:IPv6 ease of use
Přispěvatel: Filip Jirsák 25. 08. 2017, 13:05:47
Takze pro kazdou aplikaci vyhradime samostatny port? Supeeeeer.  Port pro skype, port pro whatsupp, port pro dropbox, port pro...pro...pro...pro...To nam asi tech 64k portu stacit nebude.
Vy máte na jednom zařízení spuštěných šedesát tisíc aplikací, které komunikují po síti? To ty soubory synchronizujete po bajtech, každý bajt jinou aplikací, ne?
Název: Re:IPv6 ease of use
Přispěvatel: mtf 25. 08. 2017, 13:27:31
Takze pro kazdou aplikaci vyhradime samostatny port? Supeeeeer.  Port pro skype, port pro whatsupp, port pro dropbox, port pro...pro...pro...pro...To nam asi tech 64k portu stacit nebude.
Vy máte na jednom zařízení spuštěných šedesát tisíc aplikací, které komunikují po síti? To ty soubory synchronizujete po bajtech, každý bajt jinou aplikací, ne?

Je to hovadina, prostě se smiř s tím, že prakticky všechna komunikace jede po http/s vůči serverům globálních služeb a doba p2p spojení a klientských aplikací poslouchajících na svým vyhrazeným portu je v nenávratnu  8)
Název: Re:IPv6 ease of use
Přispěvatel: Filip Jirsák 25. 08. 2017, 13:45:12
Je to hovadina, prostě se smiř s tím, že prakticky všechna komunikace jede po http/s vůči serverům globálních služeb a doba p2p spojení a klientských aplikací poslouchajících na svým vyhrazeným portu je v nenávratnu  8)
Stejně tak je asi v nenávratnu doba, kdy se v diskusích argumentovalo. Je nová doba, argumenty jsou zbytečné, cokoli lze dokázat použitím magické formulky „prostě se smiř“.
Název: Re:IPv6 ease of use
Přispěvatel: Milfaus 25. 08. 2017, 14:00:40
Stejně tak je asi v nenávratnu doba, kdy se v diskusích argumentovalo. Je nová doba, argumenty jsou zbytečné, cokoli lze dokázat použitím magické formulky „prostě se smiř“.

Těžko se argumentuje s někým, kdo zjevně ignoruje existující fakta, běžící služby, zaběhlé "byť třeba špatné" standardy a zvyklosti, bezpečnostní omezení atd. Kdybyste dokázal rozbíjet argumenty oponentů a to tak "hele, ale to není pravda, protože se to snadno udělá takhle", dost možná by se diskuze vyvíjela úplně jinak. Vy tu opakujete pořád to stejné, nepřipouštíte argumenty protistran a když to druhou stranu omrzí, vítězoslavně prohlásíte tu blbost výše  ;D

No ale už mlčím, už mlčím, nechci se do tohoto hnojníkového flame zase zapojovat.

Název: Re:IPv6 ease of use
Přispěvatel: Filip Jirsák 25. 08. 2017, 14:32:32
Těžko se argumentuje s někým, kdo zjevně ignoruje existující fakta
Jak vidíte, tak to zvládám to a fakta, která ignorujete, vám připomínám.

běžící služby, zaběhlé "byť třeba špatné" standardy a zvyklosti, bezpečnostní omezení atd.
Těžko bych mohl argumentovat tím, co je na stávajícím řešení špatně a jak to lze udělat lépe, kdybych stávající řešení ignoroval. To, že se dneska používá nějaké řešení, ale neznamená, že to tak musí být navěky – zvlášť když to řešení má významné problémy.

Kdybyste dokázal rozbíjet argumenty oponentů a to tak "hele, ale to není pravda, protože se to snadno udělá takhle", dost možná by se diskuze vyvíjela úplně jinak.
Pletete se. Takovéhle argumenty totiž v diskusi jsou. Diskuse by se možná vyvíjela úplně jinak, kdybyste ty argumenty vzal na vědomí a reagoval na ně.

Vy tu opakujete pořád to stejné, nepřipouštíte argumenty protistran
Asi tu diskusi špatně čtete. Já na argumenty protistrany reaguju – když jsou nepravdivé, tak je vyvracím. Co s nimi mám dělat jiného? A když ten argument vyvrátím a vy se dál tváříte, že je platný (aniž byste vyvrátil protiargument), co s ním mám dělat jiného, než že vám ho znova vyvrátím?

Vy jste například tvrdil, že IPv4 adres je dost. Což není pravda a lze to dokázat jednoduše například tím, že zařízení připojených k internetu je výrazně více, než 4 miliardy, tedy celkový počet všech dostupných IPv4 adres. Což jsem také udělal – a byl jste to vy, kdo ten argument ignoroval a tvrdil pořád dokola, že adres je stejně dost. Nebo je snad někde v diskusi váš argument, který by to tvrzení o počtu zařízení větším než počtu IPv4 adres vyvracel?
Název: Re:IPv6 ease of use
Přispěvatel: PetrM 25. 08. 2017, 17:49:55
Já třeba nechci na žádném svém zařízení mít listening port, komunikaci zahájí klient,...

Aby mohla začít komunikace, musí jedna strana poslouchat a druhá jí dát vědět, že chce komunikovat. To jinak nejde. Buďto bude moje zařízení sedět a čekat na kontakt, nebo se každou minutu ptát "máš pro mě něco?" někoho mimo síť.

A pokud to chceš tak, že ve tvé síti nebude nikdo poslouchat, tak počítej s problémama, který se ti nebudou líbit:
- Mobil bude co sekundu pingat na ústřednu, jestli ti někdo nevolá a za dvě hodiny máš po baterce (rozdíl mezi příjmem a vysíláním je hodně poznat)
- Už tak ořezaný uplink 1Mbps bude trvale zatížený 0.5Mbps pingů a udržovacích zpráv na server
- Útočník bude mít po dvou hodinách poslechu tisíce šifrovaných zpráv, lišících se jenom timestampem - a pro prolomení šifer je to docela cenný vzorek, zvlášť když zná čas jejich pořízení
- Útočník podle cílové adresy a portu vidí, jaký SW používáš. Stačí mu na to 10s.
- Nepojede ti sdílení v lokální síti. Nespustíš sambu, DLNA, lokální servery,...
- Administrace jenom na stroji, SSH neposlouchá na portu
- Zapomeň na ladění aplikací, pokud programuješ. GDB by muselo poslouchat na localhostu.
- Nepojede ti tisk po síti, protože na to musí tiskárna nebo print server poslouchat
- Budeš dávat IP adresy ručně, a to i mobilům návštěv. Protože se jaksi nehodí, aby DHCP server poslouchal požadavky o přidělení adres...
- Nedostaneš se ven ze sítě, protože gateway nesmí poslolouchat v lokální síti
- Zapomeň na tunely, VPN server apod. taky musí poslouchat třeba na localhostu nebo na portu koncentrátoru.
- ...

Prostě bez poslouchání není spojení a pokud chceš (i sám sobě) poskytovat jakoukoliv službu (včetně gatewaye do internetu), musí někdo poslouchat. A nezapomínej, že z venku se protuneluješ třeba i VPNkem - to nesmí počítač po VPN navázat spojení se síťovým diskem? To máš hodně blbý....
Název: Re:IPv6 ease of use
Přispěvatel: PetrM 25. 08. 2017, 18:28:00
@Milfaus

Myslíš, že velkým hráčům stávající situace vyhovuje? Jasně, Google si rád platí za svoje servery a konektivitu, i když by data mohla téct napřímo.


Myslim, ze jim situace vyhovuje hlavne proto, ze se muzou tema datama prohrabavat. Jejich zisk z toho je mnohem vyssi nez je stoji provoz serveru, jinak by to nedelali....

Dělal jsem vývoj embedded SW u jedné zahraniční firmy. Měli jsme fungující produkt, ke kterýmu se marketing rozhodl přidat možnost ovládání z mobilu a dálkovýho upgrade software. Jinak řečeno, IP konektivitu a sdílení cca 2kB dat mezi krabičkou a mobilem. Dovol několik postřehů:

1) Při přípravě projektu se ukázalo, že s přímým spojením (IPv6) se nedá počítat a musíme jít do IPv4 s tunelováním NATu. Takže vlastní servery. Cenová kalkulace ukázala, že protunelování NATu při uvažované výrobě a životnosti výrobku vychází na jeho 30% ceny a alternativou je jenom měsíční výpalný, který by se zákazníkovi nelíbilo a šel by ke konkurenci. Pokud by konkurence fungovala napřímo na šestce, jde o třetinu dolů s prodejní cenou.
2) Ukázalo se, že otevřít NAT na různých SOHO krabičkách znamená ping do 10s, zvedlo to spotřebu zařízení o cca 45% proti stavu, kdy by jenom poslouchalo na portu. Dost blbě to vypadalo v dokumentaci, když u sebe byla online a offline verze. Muselo se to hodit aspoň tři stránky od sebe, aby to nebylo tak nápadný.
3) Nemůžeš přestat komunikovat ani ve chvíli, kdy je appka na mobilu vypnutá. Po zapnutí by se nemohla dostat k aktuálním datům.
4) Servery. Nadupaný dělo vydrželo prototypku a start výroby. Po půl roce dva load balancery, pět front end serverů a vlastní vlákno do racku z nixu. Jenom na to, aby papouškovaly co 10s zařízením, že uživatel na mobilu nic nezměnil.
5) V původním zařízení se ve 3:15 provedl self test a aktualizace. V reálu to bylo mezi 3:10 a 3:20. Po překročení kritickýho množství zařízení ve fieldu si DDOSly server a vyskákaly na nich hlášky o chybě, že mají uživatelé volat servis. Ono kritický množství bylo kolem 55k zařízení. Servisáci to naházeli na technockou podporu, technická podpora sbírala lejna do 200l sudů a pak to hodila na nás. Nic moc příjemný.
6) Marketing podepsal kontrakt na prodej 120k zařízení ročně po dobu pěti let. S tím, že ve smlouvě byla reakce na změnu nastavení na mobilu do 5s. (= ping na C&C po 2s). Manažer, co měl na starosti online background, týden mluvil jak J když chce sbalit Kate. Pak se trochu uklidnil, nechal se slyšet, že tohle si zaslouží řešit za trest chuji v Redmondu, nechal to migrovat do Ažůru a zdrhl...

A přitom by stačilo, kdyby s krabička s mobilem viděly napřímo. Něco se změní na zařízení, pošle to na mobil (třeba jenom 5x denně). Uživatel změní nastavení na mobilu, appka se přihláší na zařízení a updatuje to. Na serverech zůstane 1x týdně na žádost krabičky informovat o nové verzi SW a řešit pořadník stahování + párování telefonů a krabiček podle uživatele při instalaci. Ani ten noční peak by nebyl problém, prostě by tam nebylo úzký hrdlo na jedné lince, 90% trafficu by odpadlo (neběží appka v mobilu), 9% by bylo lokálně z obýváku do ložnice (a tam se 2kB po WiFi do mobilu ztratí), 1% by holt bylo na ISP a mobilech. Server 0%.

Tož asi tak... Příklad s IP kamerama a nezabezpečený služby pro přístup k nim snad ani není třeba komentovat.
Název: Re:IPv6 ease of use
Přispěvatel: Milfaus 25. 08. 2017, 18:37:05
Tož asi tak...

Gratuluji ti k tomu, že jsi sehnal firmu, co ti za tvojí práci platí.
Fakt se jí drž!
Název: Re:IPv6 ease of use
Přispěvatel: PetrM 25. 08. 2017, 18:51:34
Tož asi tak...

Gratuluji ti k tomu, že jsi sehnal firmu, co ti za tvojí práci platí.
Fakt se jí drž!

Pozdě, už jsem je poslal někam a dva roky makám jinde.

A jenom tak mimochodem, do tohohle projektu bylo namočeno kolem 80 lidí, většina vývoj (HW, mechanika, embedded SW, server side SW, web pro registraci, DB s krabičkama, HW testy, SW testy, tooly, simulace, matematická analýza algoritmů, příprava produkce,...). Rozhodně se nejednalo o one man show a o každým detailu se hodiny diskutovalo, jak to udělat co nejlíp.

NAT je prostě ta nejhorší věc, jakou můžeš v IoT potkat, pokud potřebuješ komunikovat po Ethernetu mimo objekt (a zvlášť při omezení např. kapacitou akumulátorů, FUPem,...). Vidět na všechny spárovaný krabičky a mít mezi nima jenom 2x IPTABLES je proti tomu nádhera.
Název: Re:IPv6 ease of use
Přispěvatel: Filip Jirsák 25. 08. 2017, 19:50:50
Tož asi tak...

Gratuluji ti k tomu, že jsi sehnal firmu, co ti za tvojí práci platí.
Fakt se jí drž!
Děkujeme Milfausovi za příkladnou ukázku toho, jak vypadá argument někoho, kdo neignoruje existující fakta a běžící služby, připouští argumenty protistran a vždy argumentuje k věci.

Těžko se argumentuje s někým, kdo zjevně ignoruje existující fakta, běžící služby, zaběhlé "byť třeba špatné" standardy a zvyklosti, bezpečnostní omezení atd. Kdybyste dokázal rozbíjet argumenty oponentů a to tak "hele, ale to není pravda, protože se to snadno udělá takhle", dost možná by se diskuze vyvíjela úplně jinak. Vy tu opakujete pořád to stejné, nepřipouštíte argumenty protistran a když to druhou stranu omrzí, vítězoslavně prohlásíte tu blbost výše  ;D
Název: Re:IPv6 ease of use
Přispěvatel: Evzen 08. 09. 2017, 09:12:17
Mam dotaz a prijde mi vhodny do tohoto vlakna.
Potrebuji se dostat v mobilni aplikace (operator O2) na server, ktery ma pouze IPV6 adresu.
Posledni leta jsem pouzival Sixx tunel z IPV4 na IPV6 ktery byl v cervnu  zrusen. Snazim se uchodit podobny Hurricane Electric ale zatim bez vysledku.
Je jeste nejaka jina moznost, jak se dostat z O2 mobilu na IPV6 ?

Omlouvam se jestli dotaz je zodpovezeny nekde jinde.

Dik
Název: Re:IPv6 ease of use
Přispěvatel: SB 08. 09. 2017, 15:22:48
Teredo Android(?) asi neumí, ale mělo by fungovat spojení na VPN (ať vlastní či placená), která má IPv6.
Název: Re:IPv6 ease of use
Přispěvatel: Filip Jirsák 08. 09. 2017, 20:06:19
Mam dotaz a prijde mi vhodny do tohoto vlakna.
Ne, vodný je do nového vlákna, tady nejspíš zapadne.

Je jeste nejaka jina moznost, jak se dostat z O2 mobilu na IPV6 ?
Hm, „zavedení plánujeme, termín zatím není stanoven“. To jsem si myslel, že mobilní operátoři budou mezi prvními, když jinde už jsou IPv6-only mobilní sítě.

Snazim se uchodit podobny Hurricane Electric ale zatim bez vysledku.
Bylo by lepší, kdybyste napsal, o co jste se snažil a jak to dopadlo. Nejspíš vám pak někdo bude schopen poradit, co s tím. Takhle vám někdo možná doporučí něco jiného, ale je dost pravděpodobné, že skončíte zase „bez výsledku“.
Název: Re:IPv6 ease of use
Přispěvatel: Dargos 12. 09. 2017, 23:12:15
Jediná možnost jak se z mobilu dostat na ipv6 je tunel. Řeším to přes openvpn tunel na můj server na kterém běží ipv6.
Název: Re:IPv6 ease of use
Přispěvatel: standa_net 13. 09. 2017, 09:17:22
Taky používám VPN tunel pro přemostění do IPv6 sítě, návod třeba zde: https://techblog.synagila.com/2016/02/24/build-a-openvpn-server-on-ubuntu-to-provide-a-ipv6-tunnel-over-ipv4/
Název: Re:IPv6 ease of use
Přispěvatel: j 13. 09. 2017, 18:23:24
...Snazim se uchodit podobny Hurricane Electric ale zatim bez vysledku.
HEcko ma pokud vim defakto jedinou podminku - musis mit na tom zarizeni verejnou IPv4. Mas?

Jinak jak bylo receno, asi nejsmysluplnejsi je vlastni tunel (openvpn) na nejaky vlastni stroj (at uz doma nebo nejaka vps), ktery ma 6tku. Pripadne v zavislosti na tom o co jde by pak ani nemusel byt treba tunel, protoze je mozny se pripojovat na 4kovou adresu toho vlastniho stroje, kterej to pak veme a preda do 6tkovy site.

Ale v kazdym pripade bys mel vynadat ten debilum co ti prodavaj ten naprosto nefungujici internet. Cim vic lidi jim bude nadavat, tim vetsi mas sanci ze dostanes tu 6tku nativne.