IPv6 je už čas?

Jenda

Re:IPv6 je už čas?
« Odpověď #30 kdy: 25. 12. 2015, 20:32:03 »
ty, ktere nemaji ekvivalenty maji vice devastujici ucinek
Jmenuj tři.

opravdu doporucuji clanky od Mateje Gregra a jeho spolupracovniku, kde naleznete vse popsane jako na zlatem podnose vcetne tak oblibenych obrazku z wiresharku a videi ze systemu, ktere jsou pod utokem
Zběžně jsem je četl a žádný nový devastující útok bez ekvivalentu v IPv4 si nepamatuju.

Není vůl, aby používal takovou zmršenou sračku...
Už jsem psal nahoře, že tohle slyším všude, ale ještě jsem neslyšel žádný skutečný argument. Přeskočil jsi můj komentář, nebo sis prostě řekl, že uvádět argumenty je zbytečné?

Použít 192.168.1.0/24 jako firemní síť může jen naprostý debil...
OK, tak řekněme, že použije Rozsah Doporučovaný Uživatelem bflmpsswž. Tuhle diskuzi čte víc lidí a zalíbí se jim ten rozsah taky. A co pak?


pb.

Re:IPv6 je už čas?
« Odpověď #31 kdy: 26. 12. 2015, 08:12:05 »
Proč bych to ve firemní síti používal, když provoz dualstacku je jen problém za druhým a duplicitní spravování firewallu.
Co by to uživatelům přineslo?
Jak bych kontroloval provoz?

Jasně, doma nasadit IPv6 klidně, ale ve firmě?

Já teda ve firemních sítích IPv6 už spustu let spravuju. Už jen z toho důvodu, aby to nespravoval někdo jiný, bez mého vědomí.

j

Re:IPv6 je už čas?
« Odpověď #32 kdy: 26. 12. 2015, 09:53:24 »
Jeden takový chytrý člověk určil pravidlo 80:20.
20% produktů generuje 80% zisku atd.

Při nasazení pod 30% je to jen blbost, důvod vyhodit debila admina pro nezodpovědnost.
Při nasazení pod 60% je to plýtvání prostředky.

Mas recht, tebe bych vykop na prvnim miste ... protoze ve firemnich sitich dela ipv6 uz pres 50% zcela spolehlive.

Pokud dbate na to, aby sit fungovala za kazdych okolnosti, pak urcite IPv6 nenasazovat (je naprosto trivialni shodit celou sit vcetne IPv4 jako bonus - viz. http://www.root.cz/clanky/stav-ipv4-drancovani-a-vsudypritomny-nat/nazory/vlakno/20/). V opacnem pripade je IPv6 velice dobrym pomocnikem a nasazeni bych podporil.
Je naprosto primitivni shodit jakoukoli ethernetovou sit, a netreba k tomu ani ipv4.


Já taky trávím spoustu času řešením problémů způsobených NATy. Ty mi asi umíš poradit, jak se tomu vyhnout. Sem s tím.
Přiznám se, že ve firmách které spravuji maji většinou veřejnou adresu a svůj firewall. Ale obecně bych řekl, že pokud trávíš spoustu času s problémy s natem tak to neumíš. Já se setkal s problémem s natem snad jen u nějakých VPN a IP telefonování, ale oboje je snadno řešitelné a postupy jsou univerzální.

Rád bych ti poradil jak se těm "problémům" vyhnout, ale bez toho že víme co ten obrovský problém je to asi nepůjde.
[/quote]
Ja zas bych nerek ale vim, ze ty netusis o cem zvanis ... ty tvoje univerzalni postupy vyzadujou vsemozny helpery, aby se spojeni pres NAT protlacilo vubec nejak, a pak to jeste zavisi na aktualni fazi mesice, jestli to zrovna pojede.

Já se setkal s problémem s natem snad jen u nějakých VPN a IP telefonování, ale oboje je snadno řešitelné a postupy jsou univerzální.

Rád bych ti poradil jak se těm "problémům" vyhnout, ale bez toho že víme co ten obrovský problém je to asi nepůjde.
Jaké snadné univerzální řešení mi poradíte, pokud můj notebook dostane v nějaké síti připojení k internetu s privátní adresou 192.168.1.2 a já se s ním chci spojit prostřednictvím VPN do firemní sítě zrovna na adresu 192.168.1.2?
To je prece jednoduchy ne? Udelas si NAT ... prenatujes 192.168. trebas na 10.1 ... a pak jeste 5x cestou ... a pak zjistis, ze na to interni ftpko se vazne nepripojis, ani kdyby ses usima odstrkoval ...

Alsoun

Re:IPv6 je už čas?
« Odpověď #33 kdy: 26. 12. 2015, 14:31:19 »
Taky jsem musel jednoho horlivého "propagátora" šestky vyhodit, chtěl to nasazovat takříkajíc hrubou silou.
Na šestku ve firmách ještě zdaleka nedozrál čas, ale tady na chatě mi jede.

Sten

Re:IPv6 je už čas?
« Odpověď #34 kdy: 26. 12. 2015, 14:56:48 »
Taky jsem musel jednoho horlivého "propagátora" šestky vyhodit, chtěl to nasazovat takříkajíc hrubou silou.
Na šestku ve firmách ještě zdaleka nedozrál čas, ale tady na chatě mi jede.

Jak se nasazuje IPv6 hrubou silou? My jsme ji nasazovali tak, že jsme ji povolili na routeru. Nikoho jsme k ničemu nemuseli nutit. (Ale ono také záleží na tom, jak dobře máte udělanou síť. Pokud máte hard shell, soft inside, pak každá změna znamená ohrožení všechno v té síti.)


j

Re:IPv6 je už čas?
« Odpověď #35 kdy: 27. 12. 2015, 01:37:25 »
Taky jsem musel jednoho horlivého "propagátora" šestky vyhodit, chtěl to nasazovat takříkajíc hrubou silou.
Na šestku ve firmách ještě zdaleka nedozrál čas, ale tady na chatě mi jede.

To by me zajimalo, jak se "nasazuje "... sem zapnul RAcko a naconfil firewall, a ... jediny co se zmenilo, ze ty veci co 6tku umej maji misto linkovy jeste i verejnou adresu ... takze se knim da dostat i v pripade, ze se neco podela, narozdil od tech 4kovych.

A jako bonus mam redukci srani se s NATem.

Ale jo, ty nejspis patris k tem, ktery kdyz nemaj ipcka 1,2,3,4,5 ... tak z toho maj nocni mury. A DNS je pro ne sprosty slovo.

hua

Re:IPv6 je už čas?
« Odpověď #36 kdy: 28. 12. 2015, 12:14:07 »
Ale jo, ty nejspis patris k tem, ktery kdyz nemaj ipcka 1,2,3,4,5 ... tak z toho maj nocni mury. A DNS je pro ne sprosty slovo.

Já chápu, že tomu nerozumíš, ono spravovat tři počítáky v neziskovce a čas od času jít mávat praporkem HateFree a dávat tagy #přihřejvám je trochu něco jiného než se starat o počítače ve velké firmě.

Tak schválně, jak 100% bezpečně identifikuješ zdroj a cíl provozu na firewallu?
Ono totiž patří do best practices se koukat, jaký provoz ti jde ven, odkud a kam.
A rovnou ti říkám, s IPv6 je to daleko větší ojeb.
A jen taková kravina.

j

Re:IPv6 je už čas?
« Odpověď #37 kdy: 28. 12. 2015, 12:47:48 »
Pise mamlas, kterej netusi o cem zvani, hosiku, mam tu kolem tak kolem par stovek veci v siti, a na identifikaci toho, co kde komunikuje vazne nepotrebuju narozdil od tebe znat IPcka. A kdyz uz je vedet chci, si je zjistim lusknutim prstu, vcetne toho, ze vsechny widlostroje maj povoleny privacy ext.

Ondro

Re:IPv6 je už čas?
« Odpověď #38 kdy: 28. 12. 2015, 13:06:13 »
To by me zajimalo, jak se "nasazuje "... sem zapnul RAcko a naconfil firewall, a ... jediny co se zmenilo, ze ty veci co 6tku umej maji misto linkovy jeste i verejnou adresu ... takze se knim da dostat i v pripade, ze se neco podela, narozdil od tech 4kovych.

A jako bonus mam redukci srani se s NATem.

Ale jo, ty nejspis patris k tem, ktery kdyz nemaj ipcka 1,2,3,4,5 ... tak z toho maj nocni mury. A DNS je pro ne sprosty slovo.

U IPv4 je problem s nedostatkom IP adries a to je dnes asi jediny vazny dovod prechodu na IPv6.  Ako som uz spominal, tak aj IPv6 je zastaraly protokol s kopou nedokonalosti.
Ked sa ti nieco "podela", tak ta verejna IP na zariadeni zdaleka nemusi zachranit. To nieje ziaden argument na prechod na IPv6.
S NATom sa srat nemusis ale musis sa srat napr. s tym, ze vsetky zariadenia maju verejnu IP. IPv6 nieje ziadna spasa. Pre siete BFU je(bude) to skor pohorma. Bez nakonfigurovaneho firewallu budu ich zariadenia dobre ciele na zneuzitie. Neverejne IP a router s NATom mali svoju vyhodu.

K tej poslednej vete. Preco by niekto s par PC mal a musel riesit DNS?

Re:IPv6 je už čas?
« Odpověď #39 kdy: 28. 12. 2015, 13:16:06 »
Jak už bylo mnohokrát řečeno, NAT nechrání proti ničemu. Klidně předá paket z venčí do vnitřní sítě a přepíše u něj adresu na lokální. Bývá u něj ale nastaven firewall, který tomu brání, takže ten paket je pak zahozen. Stejný firewall je ale možné triviálně nastavit i na šestce a funkce bude stejná.

Všichni u IPv6 argumentují koncovými uživateli, ale zásadní problém má druhá strana: servery. Služeb přibývá, datacentra by ráda expandovala, ale nemají adresy. Poskytovatelé VPS uměle brzdí rozvoj, protože nemají adresy. Je problém mít na VPS víc adres, protože nejsou adresy. Chybí něco, čeho nemá být nedostatek: čísla. Zkuste si otevřít datacentrum. Dostanete 1024 adres a konec. To vám stačí na pár zákazníků. Je to reálný problém.

Paradoxní je, že na „serverové straně“ je šestka dávno zavedená a je běžná. Ale pořád se musí všichni držet čtyřky, přestože to začíná být čím dál větší problém. Čili řešit se to skutečně teď musí u uživatelů doma, ale ne proto, že to chtějí nebo potřebují. Těm je to jedno, stejně jako je jim ukradená IPv4, DNS, MTU a tisíc dalších věcí.

j

Re:IPv6 je už čas?
« Odpověď #40 kdy: 28. 12. 2015, 15:58:00 »
U IPv4 je problem s nedostatkom IP adries a to je dnes asi jediny vazny dovod prechodu na IPv6.  Ako som uz spominal, tak aj IPv6 je zastaraly protokol s kopou nedokonalosti.
Ked sa ti nieco "podela", tak ta verejna IP na zariadeni zdaleka nemusi zachranit. To nieje ziaden argument na prechod na IPv6.
S NATom sa srat nemusis ale musis sa srat napr. s tym, ze vsetky zariadenia maju verejnu IP. IPv6 nieje ziadna spasa. Pre siete BFU je(bude) to skor pohorma. Bez nakonfigurovaneho firewallu budu ich zariadenia dobre ciele na zneuzitie. Neverejne IP a router s NATom mali svoju vyhodu.

K tej poslednej vete. Preco by niekto s par PC mal a musel riesit DNS?

Jiste, pres NAT uzasne chodej veci jako ftp, SIP, torrent, ... IP v privatnim rozsahu nema vyhodu absolutne zadnou, jen si mamlojove myslej, ze sou v bezpeci, coz sou asi tak stejne, jako kdyz si stoupnou nahy na vaclavak a budou vykrikovat, ze je nikdo fotit nesmi.

DNS je zcela standardni nastroj a sit bez DNS je nefunckni sit. Nadto lze provoz DNS zcela snadno delegovat k ISP (napr). A pokud nekdo nepotrebuje DNS, tak rozhodne ani nepotrebuje vedet, ze jeho HW pouziva nejaky IP.

lopata

Re:IPv6 je už čas?
« Odpověď #41 kdy: 28. 12. 2015, 16:15:59 »

dukaz sporem o chybnosti vaseho argumentu:

kdyby za NAT nefungovalo pravidlo, ze se na me nikdo nemuze dostat, tak by musel fungovat peer2peer skrz NAT.

to je technologicky mozne a da se toho dosahnout pomoci source routing volitelnych hlavicek IP vrstvy.

kdyby ovsem doopravdy byla zapnuta jejich podpora na strojich provadejicich NAT, tak by to muselo znamenat, ze nebudete vykrikovat, ze je internet rozbity a nefunguje peer2peer a potrebujete ipv6.

takze si vyberte, muzete jen jednu moznost:

bud je internet rozbity (absence peer2peer v dusledku NAT) a uzivatele za nat jsou v bezpeci

nebo je internet funkcni a uzivatele stoji nazi na vaclavaku a vykrikuji nefotte si me.

varianta dva je totiz realita IPv6 nasazeni nikoiv IPv4 nasazeni.

lopata

Re:IPv6 je už čas?
« Odpověď #42 kdy: 28. 12. 2015, 16:17:13 »
nasazeni dualstacku pak spojuje nevyhody obou reseni, proto ho nikdo nechce pouzivat.

lopata

Re:IPv6 je už čas?
« Odpověď #43 kdy: 28. 12. 2015, 16:35:33 »
dualstack je totiz stejna zrudnost jako radovy domek.

zatim co ipv4 je bytovka.

ipv6 je samostatne rodinny dum - v dnesnim nasazeni spis maringotka nebo karavan s demontovanymi koly parkujici na ulici pred domem, zatim co dum je spis ipv4 s verejnou adresou.

dualstack ipv4 s ipv6 pak z toho vychazi jako radovy rodinny dum - v dnesim krektnim vysoce ohleduplnem nasazeni spis neco jako zemjamka kde muzete chodit po strese.

spojuje v sobe nevyhody bytovky a nevyhody samostatne stojiciho rodineho domu.

Re:IPv6 je už čas?
« Odpověď #44 kdy: 28. 12. 2015, 19:43:09 »

dukaz sporem o chybnosti vaseho argumentu:

kdyby za NAT nefungovalo pravidlo, ze se na me nikdo nemuze dostat, tak by musel fungovat peer2peer skrz NAT.
Máte v tom důkazu chybu. Žádný peer2peer skrz NAT by fungovat nemusel.

Představte si jednoduchý příklad. V domácí síti máte IP adresy z rozsahu 192.168.1.0/24, na svém routeru děláte NAT na IP adresu přidělenou vaším ISP a nemáte tam žádný firewall. Klíčová otázka: co se stane, pokud na vnější rozhraní bude doručen paket s IP adresou 192.168.1.2 a takovou adresu má zařízení ve vaší vnitřní síti? Ano, správně, router ten paket s radostí odešle na cílové zařízení.

NAT totiž nebrání vůbec ničemu, pokud něco v komunikaci brání, pak je to konfigurace routování před tím NATem. A o té zpravidla nevíte vůbec nic.