IPv6 ease of use

[v10]

ipv6 je překombinovaná geekovina pro běžného uživatele neuchopitelná a ignorovaná a proto se již těch dvacet let plácá tam kde je (analogie s linuxem), bude třeba začít znova a lépe s ipv10 

[Reklama]

[lojzak]

...

Naopak, kym nevypukne vojna, ktora by vyznamne zredukovala pocet IPv4 zariadeni bude IPv4 stale ziva. IPv6 bolo navrhnute pred 20 rokmi na to, aby riesilo vtedajsie problemy IPv4, ktore su dnes neexistujuce. Naopak dnesne problemy neriesi. Smrt IPv6.

Jasně, problém s nedostatkem IPv4 adres se vyřešil používáním NATů a nejlépe několikanásobných.

[Jenda]

IPv6 bolo navrhnute pred 20 rokmi na to, aby riesilo vtedajsie problemy IPv4, ktore su dnes neexistujuce.

Zajímavé. Já i sítě které spravuji se s nedostatkem IPv4 adres potýkáme neustále.

[Jenda]

Nikdy v budoucnu neměnné adresy v lokální síti jsou link local adresy, které jsou integrální součástí IPv6.

Jak se správně řeší, když mám sítí víc? Site local nám zrušili, takže si mám alokovat fd00::/8 a použít ty?

[Filip Jirsák]

IPv6 bolo navrhnute pred 20 rokmi na to, aby riesilo vtedajsie problemy IPv4, ktore su dnes neexistujuce. Naopak dnesne problemy neriesi. Smrt IPv6.

V té první větě máte vlastně pravdu. Před dvaceti roky byl problém, že se blíží nedostatek IPv4 adres. Tenhle problém už opravdu spoustu let nemáme, protože nedostatek IPv4 adres už dávno je – akorát se postupně stupňuje, jak velký je ten nedostatek. Tenhle problém naštěstí IPv6 řeší. A bez IPv6 se nikam dál nehneme, natož abychom mohli vyřešit nějaké nové problémy.

[Reklama]

[Filip Jirsák]

Nikdy v budoucnu neměnné adresy v lokální síti jsou link local adresy, které jsou integrální součástí IPv6.

Jak se správně řeší, když mám sítí víc? Site local nám zrušili, takže si mám alokovat fd00::/8 a použít ty?

Používat neměnné IP adresy mezi sítěmi mi nepřipadá jako dobrý nápad. Tím, že je tam víc sítí, vstupuje do toho ještě mnohem víc nejistoty, takže padá ten argument, že to má být co nejjednodušší (myšleno co nejméně technologií a protokolů). Pokud jsou to třeba nějaká jednoduchá čidla, o kterých psal Robotron, měla by komunikovat jen s nějakým sběrným zařízením ve své síti – když je pro ně problém DNS, stejný problém bude i objevování routerů. Takže pokud je sítí víc, mezi sítěmi bych stabilitu názvů řešil pomocí DNS, ve výsledku je to mnohem jednodušší.

A pokud by náhodou někdo opravdu strašně nutně potřeboval několik sítí, které komunikují mezi sebou ale ne s internetem a používají jenom IP adresy, může vlastně použít jakékoli IP adresy si vzpomene.

[lup]

ipv4 budu používat do té doby dokud internetové služby, které používám, budou přes ipv4 dostupné, jinak pohodička  a jen se bavím s jakými hovadinami se kvůli ipv6 potýkáte

[Jenda]

Kéž bych se také mohl jen bavit tím, s jakými hovadinami se kvůli IPv4 potýká někdo jiný...

[Tomas2]

koukám, že tohle vypadá skoro jako náboženské války. Ipv4 jsme se naučili tak dobře používat, že to pro nás vlastně je synonymum pro internet, i moje mamka ví co to je IP adresa a jak jí na routeru/počítači změnit.

IPv6 je evolučně dál, mamka už nepotřebuje vědět jak a kde jí změnit, už se o to nemusí starat, síť se nastaví jednou a funguje napříč několika aktivními prvky a novými mobily a změnou isp jako by nic.

Většina zdejších výkřiků proti ipv6 je od lidí, kteří jí neovládají, ale stračně rádi kritizuji a ze zvyku jí chtějí používat jako ipv4. Je to ale úplně jiná technologie se stejným cílem jako ipv4.

Říkat, že chci NAT kvůli bezpečnosti je jako chtít kvůli tomu záclonu do oken, stačí tma, světlo ve vnitř a skoro jak by tam záclona nebyla. Od bezpečnosti jsou firewally (=okenice) a brány (=vchodové dveře). To, že jsme si za ty roky zvykli, že záclona stačí k uchránění soukromí nemění nic na tom, že to je blbost, stačí si vyjet za sousedy do zahraničí a zjistíte, že záclony v oknech často nemají a stejně si svoje soukromí chrání i lépe než my...

[Milfaus]

ipv6 je překombinovaná geekovina pro běžného uživatele neuchopitelná a ignorovaná a proto se již těch dvacet let plácá tam kde je (analogie s linuxem), bude třeba začít znova a lépe s ipv10 

Jenže Linux je užitečný alespoň na serveru, dá se dokonce říct, že je na serveru jen těžko nahraditelný.
Mimo to běží na hromadě těch malých krabiček od routerů po chytré vibrátory přes mixéry po bomby.

IPv6 je oproti Linuxu takový ten šlem, co se udělá na týden špinavém nádobí.

[Tomas2]

Jenže Linux je užitečný alespoň na serveru, dá se dokonce říct, že je na serveru jen těžko nahraditelný.
Mimo to běží na hromadě těch malých krabiček od routerů po chytré vibrátory přes mixéry po bomby.

To není pravda, nahraditelný je a řekl bych docela snadno. Vysokou penetrace má jen u webových serverů, u ostatních provozů už tak vysoká není a konkurence je velice silná.

Díky GPL jeho rozšíření na routerech, vibrátorech a bombách (WTF) není tak vysoké. Spíše se používají různé varianty unix systémů. Kde ale má jasnou dominantu jsou mobily.

viz třeba https://en.wikipedia.org/wiki/Usage_share_of_operating_systems

[Sten]

Jak se správně řeší, když mám sítí víc? Site local nám zrušili, takže si mám alokovat fd00::/8 a použít ty?

Nejlépe používat globální adresy, poskytnout PI adresy by měl umět každý firemní ISP nabízející IPv6. Pokud to nejde, pak ULA jsou správné řešení.

[M.]

S ohledem na původní požadavky a doplnění o utajení maxima o vnitřní sítě, tak to neplní ani žádný NAT na IPv4, natož pro IPv6. Kdo to řeší, tak dosti složitěji (stejně pro IPv4/IPv6).

Požadovaný NAT-PT (1:N) pro IPv6 existuje, umí ho dneska už skoro korektně i linux, některé bedny od Cisco, Juniperu. Vedle toho je také NPT (network prefix translation, 1:1 překlad prefixů). Ale je třeba upozornit na to, že přímo i autoři specifikcí po dané NAT technologie uvádí a v RFC deklarují, že přes to všechno fungovat nebude a nabádají i autory aplikací/protokolů, aby si nekomplikovali život/návrhy postupy umožňující funkčnost přes NAT pro IPv6, protože se to bere jen jako nouzovka pro specifické použití a tam se uživatel smíří, že nefunguje vše. A fakticky to tak i je, když vezmu Win10, strčím je na IPv6 bez NATu a pak za IPv6  NAT (stačí i méně destruktivní NPT), tak řada věcí najednou ouvej.

Obecně pro původní požadavky pro mximální jednoduchost a stálost vnitřní sítě, tak je asi řešení nasazení ULA adres do vnitřní sítě (fc00::/7) a na těch primárně jede vnitřní IPv6 provoz. Ty už jsou neměnné i při změně vnější konektivity a k tomu paralelně zařízení dostávjí i globální IPv6 adresu(y) dle aktuální konektivity, která se mění dle situace a uplinku. Funguje víc než dobře. V kombinaci  DHCPv6-PD na uplinkách i velmi automatizovaně (pomiňme tlupu alternativních ISP, co vše mlátí ručně až do routerů koncáků) při změně uplink stavu. Samozřejmě v kombinci s vhodným stavovým firewallem, který by v základu (dle RFC doporučení pro koncové routery) měl pustit vše korektní ven a dovnitř jen omezené nastavené služby/porty, případně v základě max ICMP ping, IPsec/IKE/MIP.
Kombinace ULA a globální IPv6 adresy má v kombinci s běžnými klienty (typu Win7-10) slabinu asi jen v tom, že pokud se ztratí IPv6 globální konektivita úplně a zůstane dostupná IPv4 konektivita, tak zařízení mají jen IPv6 ULA adresu se snaží pak i s ní kontaktovat zdroje po IPv6 ven, což nejde (už ten koncový router by neměl forwrdovat pakety s ULA zdrojovými adresami na WAN). V takovém případě by měl být měla klienty upřednostněno IPv4, pokud je dostupné.
ULA řeší i to případné propojování větších sítí tunely mezi sebou, kde si s link local adresami nevystačím a při dodržení konceptu ULA i je celkem nereálné, že při propojení několika vnitřních sítí dojde ke konfliktu adres použitých v jednotlivých LAN (jak se občas na IPv4 děje s adresami dle RFC1918).

[Sten]

Kombinace ULA a globální IPv6 adresy má v kombinci s běžnými klienty (typu Win7-10) slabinu asi jen v tom, že pokud se ztratí IPv6 globální konektivita úplně a zůstane dostupná IPv4 konektivita, tak zařízení mají jen IPv6 ULA adresu se snaží pak i s ní kontaktovat zdroje po IPv6 ven, což nejde (už ten koncový router by neměl forwrdovat pakety s ULA zdrojovými adresami na WAN). V takovém případě by měl být měla klienty upřednostněno IPv4, pokud je dostupné.

V Linuxu to v případě, kdy je k dispozici IPv4 a ULA IPv6, upřednostní IPv4, ale není to doporučené chování podle RFC 3484. Podle RFC se má IPv4 upřednostnit jen v případě, kdy je k dispozici veřejná IPv4 adresa, tedy pokud je site-local (NATovaná) IPv4 a ULA IPv6, měla by se upřednostnit IPv6. Předpokládám, že tohle bude ten problém ve Windows; mělo by to jít změnit přes prefixpolicies. Klientské aplikace by tohle vůbec neměly řešit.

[M.]

Ano, přes prefixpolicies to jde ve Windows doladit do OK stavu. Pak je jen na tzateli, zda to je ještě snadná úprava. :-)

Jinak ten návrh s PI bloky, tak tomu bych se bránil, respektive by tomu měl bránit už ten ISP/LIR v řadě přípdů. Ono si i držet X PI bloků něco bude stát n pořízení, navíc domlouvat routing, případně vlastní AS a BGP... To je orpavdu pro toho, kdo potřebuje víc konektivit a být dostupný na stejném bloku přes víc linek, kde nabízím služby široké veřejnosti a ne kvůli svým interním záležitostem, tam patří nasadit ty ULA prefixy a lokality mezi sebou tunelovat.