IPv6 ease of use

[zvědavý]

V diskusi https://forum.root.cz/index.php?topic=16078.msg222061 se někdo negativně zmínil o IPv6 s tím, že se bude držet IPv4 dokud to půjde, a okamžitě dostal hrst odpovědí, jak IPv6 řeší všechno, co IPv4. Tak se chci zeptat:

Co si mám koupit za zařízení, abych dostal podobnou funkcionalitu jako od jakéhokoliv routeru pro IPv4:

Vstup:

Síť s nějak nastavenými adresami v privátním rozsahu. Nyní to je na IPv4, ale předpokládejme pro účely hledaného řešení, že náhrada za IPv6 proběhla a teď ta síť běží na nějakých privátních IPv6 adresách.

Požadovaná funkčnost:

Vezmu krabičku, zapojím ji místo staré krabičky, v konfiguraci nastavím, které lokální adresy moje lokální síť používá. Nic jiného dělat nebudu. Krabička zařídí:

1) IP adresy v lokální síti se nezmění.

2) Všechny packety směřující ven budou mít IP adresu krabičky, ne vnitřních počítačů. Vnitřní adresy se nikde ve vnějším provozu neobjeví.

3) Všechny příchozí packety jsou na krabičce zahozeny, leda že by byly odpověďmi na některý odchozí packet.

4) Když budu potřebovat, aby některý vnitřní počítač přijímal vnější požadavky, tak krabičce řeknu, že packety se zadanými vlastnostmi má přeposílat na vnitřní IP adresu X a port Y. Není přímý přístup z vnější sítě do vnitřní, vše musí jít přes krabičku, a není jediný vztah mezi vnější a vnitřní IP adresou ani portem je uvnitř konfigurace krabičky.

5) Pokud budu potřebovat změnit providera, tak v krabičce přenastavím konfiguraci vnější sítě a je hotovo. Nic jiného měnit nebudu a ve vnitřní síti se nezmění absolutně nic.

Tj. klasický PAT, ale na IPv6.

Jestli už něco takového existuje, super, jdu do toho. Zatím jsem ale nabyl dojmu, že vždy budu muset aspoň některý z bodů oželet - tedy že například výměna krabičky půjde snadno, ale změní se mi prefix IP adres. A to je z mého pohledu zásadní problém s IPv6 - není to user friendly. Ale pevně doufám, že jsem sto let za opicemi a už to je vyřešené, protože dříve nebo později budu do IPv6 muset jít.

Prosím, neřešme teď, jestli je přímá připojitelnost z internetu užitečná nebo ne, ani to, že stanovené podmínky nezaručují bezpečí. Otázka je položená na to, jak mám s IPv6 zařídit splnění stanovených požadavků, a to, jestli jsou ty požadavky hloupé, nesmyslné, nebezpečné nebo cokoliv jiného, je off-topic. Díky.

[Reklama]

[Trupik]

IPv6 je jednoducho rozdielna technológia, s odlišnou filozofiou a iným spôsobom usporiadania. To čo máš teraz pod IPv4 chceš aby rovnako fungovalo pod IPv6. Je to podobné, ako keby si chcel presedlať z koňa na motorku ale dával si podmienku, že motorka musí žrať seno a piť vodu. S týmto prístupom to bude ťažké.

[daemon]

Ty požadavky jsou v principu nesmyslné a nemá tedy smysl Ti odpovídat. Nebudu v tuto chvíli spekulovat, proč jsi je stanovil právě takto. Mohu k tomu poznamenat pouze tolik, že IPv4 a IPv6 jsou dva různé odlišné protokoly, které se používají poněkud odlišným způsobem, byť v konečném důsledku slouží ke stejnému účelu. To přirovnání s koněm a motorkou, které tady napsal kdosi přede mnou, docela sedí.

[Petr Krčmář]

Doporučuji začít knihou o IPv6 od Pavla Satrapy (zdarma ke stažení). Tam jsou popsané všechny důležité principy IPv6, třeba to, jak fungují veřejné prefixy a jejich delegace zákazníkům.

[Filip Jirsák]

předpokládejme pro účely hledaného řešení, že náhrada za IPv6 proběhla a teď ta síť běží na nějakých privátních IPv6 adresách.

Proč? Chcete to udělat správně tak, jak to má být s IPv6, nebo to chcete co nejvíc zašmodrchat, abyste dokázal, jak je ta IPv6 k ničemu?

1) IP adresy v lokální síti se nezmění.

To půjde těžko, když jste tam měl IPv4 adresy a teď chcete IPv6 adresy.

2) Všechny packety směřující ven budou mít IP adresu krabičky, ne vnitřních počítačů. Vnitřní adresy se nikde ve vnějším provozu neobjeví.

NAT můžete dělat i na IPv6. Ale asi to nebudou umět běžné krabičky koupené v Lidlu za 20 Kč v akci, protože pro domácí síť rozhodně není NAT s IPv6 potřeba.

3) Všechny příchozí packety jsou na krabičce zahozeny, leda že by byly odpověďmi na některý odchozí packet.

To záleží na nastavení firewallu.

4) Když budu potřebovat, aby některý vnitřní počítač přijímal vnější požadavky, tak krabičce řeknu, že packety se zadanými vlastnostmi má přeposílat na vnitřní IP adresu X a port Y. Není přímý přístup z vnější sítě do vnitřní, vše musí jít přes krabičku, a není jediný vztah mezi vnější a vnitřní IP adresou ani portem je uvnitř konfigurace krabičky.

Když pominu ten nesmyslný NAT, opět jen nakonfigurujete firewall, kde nastavíte, které IPv6 adresy a porty ve vnitřní síti mají být dostupné z internetu.

5) Pokud budu potřebovat změnit providera, tak v krabičce přenastavím konfiguraci vnější sítě a je hotovo. Nic jiného měnit nebudu a ve vnitřní síti se nezmění absolutně nic.

Ve vnitřní síti se změní prefix sítě. Nebo si můžete koupit PI adresy, ale proč byste to dělal…

Tj. klasický PAT, ale na IPv6.

Jak už jsem psal, musíte si vybrat, jestli to chcete dělat tak, jak to má být s IPv6, pak to bude i user-friendly – a nebo jestli chcete dokazovat, že to jde i s IPv6 udělat úplně blbě.

tedy že například výměna krabičky půjde snadno, ale změní se mi prefix IP adres. A to je z mého pohledu zásadní problém s IPv6 - není to user friendly.

User friendly je používání DNS, takže vás nějaká změna prefixu IPv6 adres vůbec netrápí.

Ale pevně doufám, že jsem sto let za opicemi a už to je vyřešené, protože dříve nebo později budu do IPv6 muset jít.

Ano, vyřešené to je. Akorát to řešení musíte použít.

Otázka je položená na to, jak mám s IPv6 zařídit splnění stanovených požadavků, a to, jestli jsou ty požadavky hloupé, nesmyslné, nebezpečné nebo cokoliv jiného, je off-topic. Díky.

To si musíte vybrat. Nemůžete zároveň chtít hloupé a nesmyslné požadavky, a zároveň chtít, aby řešení bylo user friendly. Hloupé a nesmyslné požadavky vždy vedou k hloupým a uživatelsky nepřátelským řešením.

[Reklama]

[Zvědaný]

IPv6 je jednoducho rozdielna technológia, s odlišnou filozofiou a iným spôsobom usporiadania. To čo máš teraz pod IPv4 chceš aby rovnako fungovalo pod IPv6. Je to podobné, ako keby si chcel presedlať z koňa na motorku ale dával si podmienku, že motorka musí žrať seno a piť vodu. S týmto prístupom to bude ťažké.

V zásadě máš pravdu, jen se trochu lišíme v tom, jak vnímáme ty požadavky. Ty je vnímáš jako blbost ("žrát seno"), já je vnímám jako důležitou funkční vlastnost ("jezdit i mimo zpevněné cesty"). Takže bych opravil, že nepotřebuji nutně, aby se IPv6 chovala stejně jako IPv4, ale určitě chci snadné použití v režimu "vnější síť se nedozví nic o struktuře vnitřní sítě, vnitřní síť je zcela nezávislá na síti vnější". Na rozdíl od mnoha diskutujících zde to považuji za přirozený požadavek. A upřímně řečeno mě docela překvapuje, že tolik lidí to jako přirozený požadavek nevidí.

[Zvědaný]

Doporučuji začít knihou o IPv6 od Pavla Satrapy (zdarma ke stažení). Tam jsou popsané všechny důležité principy IPv6, třeba to, jak fungují veřejné prefixy a jejich delegace zákazníkům.

Knížku mám přečtenou, ale bohužel tam nacházím principy a ne řešení. Já to chápu, že to je důležité, ale ne pro moje použití - já nepotřebuju navrhovat síť ani ji spravovat. Hledám řešení, které mi zajistí funkční síť při srovnatelném úsilí a při nezhoršené bezpečnosti a soukromí. Je to tak nesmyslný požadavek?

[Filip Jirsák]

Takže bych opravil, že nepotřebuji nutně, aby se IPv6 chovala stejně jako IPv4, ale určitě chci snadné použití v režimu "vnější síť se nedozví nic o struktuře vnitřní sítě, vnitřní síť je zcela nezávislá na síti vnější". Na rozdíl od mnoha diskutujících zde to považuji za přirozený požadavek. A upřímně řečeno mě docela překvapuje, že tolik lidí to jako přirozený požadavek nevidí.

Myslím, že drtivá většina lidí tenhle požadavek považuje za přirozený. A IPv6 ten požadavek splňuje. Vnější síť vidí akorát do, že daný síťový prefix je routován na daný router. Co s tím ten router dělá a jaká je struktura sítě za routerem už z venku nikdo nevidí (na základě IPv6 – samozřejmě to někdo může zkoumat na základě obsahu paketů, stejně jako u IPv4). Stejně tak je vnitřní síť nezávislá na vnější síti – každé zařízení má linkovou IPv6 adresu a pak několik veřejných IPv6 adres (typicky alespoň jednu pro každé upstream spojení, které daná síť má).

Zrovna tenhle váš požadavek má IPv6 řešeno podstatně lépe, než IPv4 – v IPv6 máte linkové adresy, máte k dispozici IPv6 mobilitu, máte k dispozici privacy extensions.

[Zvědaný]

předpokládejme pro účely hledaného řešení, že náhrada za IPv6 proběhla a teď ta síť běží na nějakých privátních IPv6 adresách.

Proč? Chcete to udělat správně tak, jak to má být s IPv6, nebo to chcete co nejvíc zašmodrchat, abyste dokázal, jak je ta IPv6 k ničemu?

Chci to udělat tak, abych nemusel zhoršovat parametry, které jsou pro mě důležité. Ty parametry jsou pro mě bezpečnost (vnitřní zařízení nejsou přímo přístupná, vždy musí jít přes prostředníka, který vytvoří jednu bezpečnostní vrstvu navíc), soukromí (vnější síť neví nic o uspořádání vnitřní), nezávislost (vnitřní síť neví nic o uspořádání vnější) a jednoduchost použití. Pokud to IPv6, jako novější a doufejme i lepší protokol, splňuje, tak chci vědět, jak to v něm mám udělat.

1) IP adresy v lokální síti se nezmění.

To půjde těžko, když jste tam měl IPv4 adresy a teď chcete IPv6 adresy.

Proto jsem psal, "předpokládejme pro účely hledaného řešení, že náhrada za IPv6 proběhla a teď ta síť běží na nějakých privátních IPv6 adresách."

2) Všechny packety směřující ven budou mít IP adresu krabičky, ne vnitřních počítačů. Vnitřní adresy se nikde ve vnějším provozu neobjeví.

NAT můžete dělat i na IPv6. Ale asi to nebudou umět běžné krabičky koupené v Lidlu za 20 Kč v akci, protože pro domácí síť rozhodně není NAT s IPv6 potřeba.

Otázka nebyla, jestli se kupují v Lidlu, ani kolik stojí. Otázka byla, která ty požadavky splňuje.

3) Všechny příchozí packety jsou na krabičce zahozeny, leda že by byly odpověďmi na některý odchozí packet.

To záleží na nastavení firewallu.

Opět. Na to jsem se neptal. Ptal jsem se, která krabička to umí.

4) Když budu potřebovat, aby některý vnitřní počítač přijímal vnější požadavky, tak krabičce řeknu, že packety se zadanými vlastnostmi má přeposílat na vnitřní IP adresu X a port Y. Není přímý přístup z vnější sítě do vnitřní, vše musí jít přes krabičku, a není jediný vztah mezi vnější a vnitřní IP adresou ani portem je uvnitř konfigurace krabičky.

Když pominu ten nesmyslný NAT, opět jen nakonfigurujete firewall, kde nastavíte, které IPv6 adresy a porty ve vnitřní síti mají být dostupné z internetu.

Opět.

5) Pokud budu potřebovat změnit providera, tak v krabičce přenastavím konfiguraci vnější sítě a je hotovo. Nic jiného měnit nebudu a ve vnitřní síti se nezmění absolutně nic.

Ve vnitřní síti se změní prefix sítě.

To je pro mě zhoršení.

Nebo si můžete koupit PI adresy, ale proč byste to dělal…

To by mohlo být řešení, kdyby to nebylo v rozporu zase s požadavkem na soukromí.

Tj. klasický PAT, ale na IPv6.

Jak už jsem psal, musíte si vybrat, jestli to chcete dělat tak, jak to má být s IPv6, pak to bude i user-friendly – a nebo jestli chcete dokazovat, že to jde i s IPv6 udělat úplně blbě.

Je mi jedno, jak to bude udělané, ale chci, aby to splňovalo požadavky, které jsem popsal. Pokud to půjde bez NATu, klidně. Nastínil jsem řešení na bázi NATu, protože ho znám a vím, jak v něm požadavky vyjádřit. Pokud se to řeší jinak, tak to udělejme jinak, netrvám na NATu. Ale nechci se dostat do situace, kdy je nové řešení v důležitých aspektech zhoršením proti řešení starému, a už vůbec se nechci dostat do situace, kdy to zhoršení pozoruji ve všech důležitých aspektech.

tedy že například výměna krabičky půjde snadno, ale změní se mi prefix IP adres. A to je z mého pohledu zásadní problém s IPv6 - není to user friendly.

User friendly je používání DNS, takže vás nějaká změna prefixu IPv6 adres vůbec netrápí.

Kdo bude to DNS spravovat? Co když DNS řešení z jakéhokoliv důvodu vypadne? Sorry, tohle je pro mě zhoršení.

Ale pevně doufám, že jsem sto let za opicemi a už to je vyřešené, protože dříve nebo později budu do IPv6 muset jít.

Ano, vyřešené to je. Akorát to řešení musíte použít.

Zatím se snažím (neúspěšně) zjistit, jaké to řešení je, potom ho rád použiju.

[Lol Phirae]

Když si někdo založí dotaz na "ease of use" a veškeré relevantní vlastnosti v tomto směru fungující out-of-the-box zlikviduje požadovaným znásilněním IPv6 do podoby zkripleného IPv4 NATu, tak si můžu akorát poklepat na čelo a jít dál. Škoda času.

[j]

...

Tobe nemuze fungovat nic, proze blbcum veci jednoduse nefungujou. By me zajimalo, jak lezes sem, kdyz ti nefunguje to dns ...

[JardaP .]

Chci to udělat tak, abych nemusel zhoršovat parametry, které jsou pro mě důležité. Ty parametry jsou pro mě bezpečnost (vnitřní zařízení nejsou přímo přístupná, vždy musí jít přes prostředníka, který vytvoří jednu bezpečnostní vrstvu navíc), soukromí (vnější síť neví nic o uspořádání vnitřní), nezávislost (vnitřní síť neví nic o uspořádání vnější) a jednoduchost použití. Pokud to IPv6, jako novější a doufejme i lepší protokol, splňuje, tak chci vědět, jak to v něm mám udělat.

Mozna budete zklaman, ale NAT neni bezpecnostni vrstva a dokonce existuji techniky, jak scanovat stroje za NATem a snad dokonce jak na ne utocit. Soukromi ma resit firewall.


Jinak pro vas asi bude nejlepsi, kdyz se ipv6 z daleka vyhnete. Idealni bude, kdyz si najdete jednoho z tech cetnych, zaostalych ISP, kteri ipv6 nenabizeji, i kdyz leta tvrdi, jak jsou ready.

[asdf111]

moj openwrt router funguje uplne out of the box Funguje dualband, cize aj ipv4 aj ipv6 nezavisle, pri ipv6 mam moznost si urcit SLAAC+DNS advertisement, alebo DHCPv6. Na klientoch mam moznost is nastavit privacy extension, cize mi to meni IPcku v pravidelnych intervaloch na nahodne IPcky. Mne to pride vo vsetkych ohladoch lepsie ako ipv4, ci uz z pohladu security, privacy, alebo samotnej funkcnosti siete.

[3ex]

Nejlepsi jsou ti, jak si mysli, jak jim NAT schovava informace o vnitrni siti. Pak jim na ukazku snifnu data na uplinku, kde si mysli, ze maji jenom verejnou IP a z http a dalsich hlavicek jim dodam seznam pocitacu s vnitrnima ip adresama a typem OS a jsou z toho v haji :-)

[Filip Jirsák]

Chci to udělat tak, abych nemusel zhoršovat parametry, které jsou pro mě důležité. Ty parametry jsou pro mě bezpečnost (vnitřní zařízení nejsou přímo přístupná, vždy musí jít přes prostředníka, který vytvoří jednu bezpečnostní vrstvu navíc), soukromí (vnější síť neví nic o uspořádání vnitřní), nezávislost (vnitřní síť neví nic o uspořádání vnější) a jednoduchost použití. Pokud to IPv6, jako novější a doufejme i lepší protokol, splňuje, tak chci vědět, jak to v něm mám udělat.

Dobře. A které parametry má tedy to řešení splňovat – tyhle, které jste vyjmenoval, a nebo ty nesmyslné parametry, které jste jmenoval, jako privátní IP adresy a NAT?

Proto jsem psal, "předpokládejme pro účely hledaného řešení, že náhrada za IPv6 proběhla a teď ta síť běží na nějakých privátních IPv6 adresách."

Budu tedy brát, že platí ty parametry, které jsem citoval výše. Takže žádné privátní IPv6 adresy, ale normální IPv6 síť – link local adresy a adresy od všech upstream providerů.

Otázka byla, která ty požadavky splňuje.

Routovat IPv6 bude umět každý IPv6 router – kdyby to neuměl, nebude to router.

Opět. Na to jsem se neptal. Ptal jsem se, která krabička to umí.

IPv6 firewall by měl umět každý domácí IPv6 router. Pokud to nějaký neumí, nekupujte ho. Pokud chcete konkrétní jména těch, co to umí, tak třeba Turris Omnia, Ubiquiti nebo Mikrotiky.

Ve vnitřní síti se změní prefix sítě.

To je pro mě zhoršení.

Proč? Link local adresy máte pořád stejné, adresy zařízení jsou pořád stejné, změnil se jen prefix sítě. Není to v rozporu s těmi vašimi požadavky, je to úplně normální. Pokud je to pro vás zhoršení, asi něco děláte špatně.

Je mi jedno, jak to bude udělané, ale chci, aby to splňovalo požadavky, které jsem popsal. Pokud to půjde bez NATu, klidně. Nastínil jsem řešení na bázi NATu, protože ho znám a vím, jak v něm požadavky vyjádřit. Pokud se to řeší jinak, tak to udělejme jinak, netrvám na NATu. Ale nechci se dostat do situace, kdy je nové řešení v důležitých aspektech zhoršením proti řešení starému, a už vůbec se nechci dostat do situace, kdy to zhoršení pozoruji ve všech důležitých aspektech.

Já jsem vám popsal řešení pomocí IPv6, které tu vaši první skupinu požadavků (kterou jsem citoval na začátku komentáře) splňuje. Nesplňuje to tu druhou nesmyslnou sadu požadavků.

Kdo bude to DNS spravovat? Co když DNS řešení z jakéhokoliv důvodu vypadne? Sorry, tohle je pro mě zhoršení.

Spravovat to bude router, tak jako to dělá při použití IPv4. Ptal jste se na user friendly řešení, tak jsem vám takové nabídl. Pokud z nějakého důvodu chcete uživatelsky nepřívětivé řešení, nikdo vás nenutí DNS používat.

Zatím se snažím (neúspěšně) zjistit, jaké to řešení je, potom ho rád použiju.

Problém je, že jste si vymyslel nějaké svoje nesmyslné řešení, a na tom trváte.