IPv6 ease of use

[Milfaus]

Potřebuje mít veřejnou IP adresu proto, protože je to zdaleka nejjednodušší a tudíž nejlevnější řešení. Takže pokud chcete dál obhajovat používání IPv4, měl byste vy najít nějakou výhodu používání privátních adres a NATů – přece nikdo rozumný nebude používat dražší řešení, které nepřináší žádné výhody.

Mějme veřejnou IPv4 adresu a IPv6 adresu, obě jsou za firewallem, který Blažková neumí nastavit a nastavovat nebude.
Jak se k ní chcete dobouchat? Nedoboucháte!

Tak to změňme, jaký je rozdíl z hlediska P2P sítí/spojení rozdíl mezi IPv4 za NATem a Firewallem a IPv4 za firewallem, IPv6 za NATem a Firewallem a IPv6 za firewallem?

To P2P pořád nejede, je to za firewallem na IPv4 i IPv6 a Blažková to neumí nastavit, takže se dovnitř nikdo stejně nedobouchá.

Tj. IPv6 ve skutečnosti nevrací situaci do stavu otevřených P2P sítí, resp. vrací, ale jen pro dva lidi z deseti tisíc.

P2P je dneska mrtvé, přežité a jako takové pro 98% stáda nezajímavé.
I kdyby se to začalo nějak používat, buď to povede ke zprasení pravidel na Firewallech z Lídlu, tj. dovnitř i ven prostě jen ta všechno nebo daná služba jednomu pojede a druhému ne.

Dneš je doba cloudu, velkých CDN služeb, distribuovaného a segmentovaného Internetu (Čínský, Ruský, Turecký).
Velkým hráčům i BFU to vyhovuje.

IPv6 bohužel vyhrálo, BOHUŽEL, ale P2P se už nevrátí, za provozování P2P bude stejně kriminál, což je ostatně dobře, protože je nutné chránit duševní vlastnictví Amerických korporací a Hollywoodu.

Ale můžu se plést, vraťme se tedy k bodu:
To P2P pořád nejede, je to za firewallem na IPv4 i IPv6 a Blažková to neumí nastavit, takže se dovnitř nikdo stejně nedobouchá.

Jako odborník mi prosím vysvětlete, jak mi pomůže IPv6 v situaci oproti NAT IPv4 v případě, kdy je firewall nastavený stejně, tj. veškerý příchozí provoz reject/drop, veškerý odchozí allow.

[Reklama]

[Milfaus]

Úplně jednoduše. ... A že to zákazník neumí? Tak zavolá ISPíkovi, nadiktuje porty a připlatí si 50Kč za změnu konfigurace. ISP snad umí router ovládat přes SSH. A je to furt levnější, než platit měsíční výpalný.

LOL Už vidím, jak Blažková volá na O2 a chce, aby jí nastavili zařízení, které jí koupila snacha Alze
Prostě "Jako Hurvínek válku..." :-D

Ale mohli bychom to udělat centrálně, například ze zákona zavést celo-Evropskou povinnost poskytnout svému ISP přístup do vašeho domácícho routeru pod trestem odnětí svobody až na dva roky.

Už to vidím: Hele Máňo, tady to zařízení tam dej, koupil jsem ho na Aukro a nezapomeň nastavit přístup pro ISP, prostě vlezeš do konfigurace, otevři port ven do netu a nastav heslo admin na 1234

Nojó, to se pozná odborník 

[j]

Potřebuje mít veřejnou IP adresu proto, protože je to zdaleka nejjednodušší a tudíž nejlevnější řešení. Takže pokud chcete dál obhajovat používání IPv4, měl byste vy najít nějakou výhodu používání privátních adres a NATů – přece nikdo rozumný nebude používat dražší řešení, které nepřináší žádné výhody.

Mějme veřejnou IPv4 adresu a IPv6 adresu, obě jsou za firewallem, který Blažková neumí nastavit a nastavovat nebude.
Jak se k ní chcete dobouchat? Nedoboucháte!

Mejme dementa kterej netusi co je to upnp ....

[Milfaus]

Mejme dementa kterej netusi co je to upnp ....

Mějme dementa, co neumí anglicky a nepřečetl si článek, co jsem postoval o stránku předem.

Tohle je také znamení, že to nebude tak snadné, jak by si někteří mohli myslet:
https://www.howtogeek.com/122487/htg-explains-is-upnp-a-security-risk/

UPNP není běžné a ani bezpečné.
Webová stránka může změnit moje DNS? LOL?
I kdyby mě jen vystavila do netu, je to svinstvo.
A klidně to může být i haxnutá reklama.
Pěkně děkuji.

[j]

opusť myšlenku, že je potřeba mít každé zařízení s veřejnou ip adresou, prostě k tomu není důvod, doba dc++ a p2p sdílení je už pryč, dnes je drtivá většina komunikace typu klient-server, takže je lhostejné, že jednu veřejnou ip sdílí deset tisíc klientů.

Jiste chory mozky ktery vymejskej picoviny se vzdy najdou ... neexistuje ani jedinej duvod k tomu aby kazdy jedno zarizeni nemelo verejnej prefix adres.

takže je lhostejné, že jednu veřejnou ip sdílí deset tisíc klientů.

Tak jistě, sice ti dojdou porty a nebude to fungovat, ale to je detail...

To je drobnost ... rozsirime rozsah portu ne? ...

Jo, jenže kolik těch telefonů je zapojených do internetu co?
Představa, že každý Číňan má v mobilu Internet je směšná, stejně jako to, že každý z nich potřebuje veřejnou adresu.

Nj, jak sem psal, mejme blba, kterej netusi, ze 4G je ip only sit. V US dokonce ipv6 only.

A schválně mi řekni, proč stará Blažková potřebuje mít v mobilu veřejnou adresu?

Protoze ty trotle potrebuje, aby se ji nekdo dovolal, viz vejs.

A kolik lidí z deseti tisíc leze někam jinam než na web, poštu a Skype/Viber/Blabla?
Pro ty dva tu je veřejných adres víc než dost.

Uplne vsichni ... ale ty nemas paru ... sem zvedav, jak budes ty mililardy jednotlivych adres routovat ...

[Reklama]

[j]

UPNP není běžné a ani bezpečné.
Webová stránka může změnit moje DNS? LOL?
I kdyby mě jen vystavila do netu, je to svinstvo.
A klidně to může být i haxnutá reklama.
Pěkně děkuji.

Jiste, blb, kterej netusi co zvani, upnp funguje uplne stejne i za NATem... jen misto nastaveni firewallu se snazni nastavovat portforward, coz za CGN samo nejde.  A samozrejme ze to muze pouzit libovolna aplikace ktera uvnitr site bezi. Jezne dement jako ty tu zvani o tom, ze stara blazkova si bude muset nekde neco nastavovat. Nebude, nastavi se ji to samo. Vi co totiz ty trotle ipv6 umoznuje? Mit doma nekolik siti, pricemz upnp povilit jen na jedny z nich ... napriklad. Takze k siti ve ktery bezi muj pornoserver se z venku nikdo jednoduse nedostane ... zazrak co? To za NATem nijak jednoduse nastavit nejde.

[Filip Jirsák]

Tak to změňme, jaký je rozdíl z hlediska P2P sítí/spojení rozdíl mezi IPv4 za NATem a Firewallem a IPv4 za firewallem, IPv6 za NATem a Firewallem a IPv6 za firewallem?

Rozdíl je v tom, že se správce koncové sítě sám rozhodne, jestli tam ten firewall chce mít nebo nechce, jestli nějaké zařízení má nebo nemá být dostupné z jiných sítí a případně ze kterých.

Což je mimochodem další z vlastností, která je mimo představivost těch, kteří se zasekli v IPv4 NATech – když mají všechna zařízení veřejnou IP adresu, můžu na hraničním firewallu nastavovat přístup podle IP adres nebo sítí. Tj. nemusím rozlišovat jen to, zda dané zařízení má být dostupné z celého internetu, ale můžu určit, ze kterých konkrétně sítí. Takže třeba v nějaké SOHO síti, když nebudou chtít mít někam otevřený přístup z celého internetu, povolí tam přístup jenom z IP adres svých zaměstnanců. Opět, je to velice levné řešení, nepotřebujete žádný VPN koncentrátor, zaměstnanci se nemusí otravovat s nějakým nastavováním VPN, a přitom to udělá prakticky stejnou službu.

Zpět k vaší námitce – zařízení v SOHO sítích ve skutečnosti z hlediska bezpečnosti za firewallem schovaná nejsou. Pokud chcete něco účinně schovat za firewall, musí všechna zařízení v té chráněné síti být bezpečná. (Proto se zřizují DMZ, kde máte jen pár zařízení, která opravdu zabezpečíte.) Takže ta vaše představa, jak budou všechna zařízení v SOHO sítích schovaná za firewallem, neodpovídá realitě – ten firewall by tam byl k ničemu, opět by to byla jen další zbytečná komplikace.

Dneš je doba cloudu, velkých CDN služeb, distribuovaného a segmentovaného Internetu (Čínský, Ruský, Turecký).
Velkým hráčům i BFU to vyhovuje.

Jistě že to vyhovuje těm, kteří mají svůj byznys založený na tom, že vám umožní obejít NAT. Když NAT nebude, bude to zase vyhovovat těm, kteří svůj byznys založí na tom, že je možné komunikovat přímo. Přičemž to celé bude efektivnější, protože se nebudou vynakládat obrovské sumy na vytváření překážek a jejich obcházení. Pro spoustu služeb dál zůstane výhodný model s centrálními servery, tak se bude dál používat – IPv6 tomu nijak nebrání.

[M.]

UPNP není běžné a ani bezpečné.
Webová stránka může změnit moje DNS? LOL?
I kdyby mě jen vystavila do netu, je to svinstvo.
A klidně to může být i haxnutá reklama.
Pěkně děkuji.

Jiste, blb, kterej netusi co zvani, upnp funguje uplne stejne i za NATem... jen misto nastaveni firewallu se snazni nastavovat portforward, coz za CGN samo nejde.

Toto řeší PCP. UPnP nepodporuje IPv6 a ani CGNAT, PCP už umí všechny režimy (IPv6, IPv4, IPv4 s NATem). Navíc PCP podporuje i vyjednaní otevření portů v CGN. Takže v CGN je nastaveno, že dovolím zakošovi mít otevřeno max X portů, případně v jakém rozshu, a aplikace si to může proděravět až k sobě. Pár rozumných home bran umí i režim, že po LAN dostanou přes UPnP požadavek, ten převedou na PCP a v CGN a pak sobě to otevřou.

Jinak souhlsím, že UPnP je díra. Hlavní problém je, že muže takto přebít/převzít/ovlivnit další zařízení. PCP toto už řeší, aby si vzjemně různé koncové krabičky z LAN to tak snadno nepřebaly.
Námitka toho, že čínská webkamera/lednička si udělá díru přes UPnP/PCP/... a pak do toho vidí celý svět není podstatná. Pokud krabička může volně ven (což pro SOHO segment je standard), tak ta data stejně někde vypublikuje sama a řada krabiček to názorně předvádí, že dokud nezískají spojení ven, tak vůbec nefungují a Bůh ví (autoři často také ne nebo to tají), kam co  vše posílají...

Ta myšlenka, že mísot toho zavolám svému ISPíkovi a on mi to nastaví je v podstatě realita u řady alternativních ISP, kde takto na požadvky klientů to řeší a nastavují lidem a mají to jako konkurenční výhodu proti O2 čumákům (všečtně oblíbeného stavu, kdy home brána zákoše je ovládaná jen ISPíkem a koncák vůbec do ní nemá přistup/heslo).

[MP]

Což je mimochodem další z vlastností, která je mimo představivost těch, kteří se zasekli v IPv4 NATech – když mají všechna zařízení veřejnou IP adresu, můžu na hraničním firewallu nastavovat přístup podle IP adres nebo sítí. Tj. nemusím rozlišovat jen to, zda dané zařízení má být dostupné z celého internetu, ale můžu určit, ze kterých konkrétně sítí. Takže třeba v nějaké SOHO síti, když nebudou chtít mít někam otevřený přístup z celého internetu, povolí tam přístup jenom z IP adres svých zaměstnanců. Opět, je to velice levné řešení, nepotřebujete žádný VPN koncentrátor, zaměstnanci se nemusí otravovat s nějakým nastavováním VPN, a přitom to udělá prakticky stejnou službu.

Hmm, on je kazdy protokol sifrovany? Aha, neni, takze nakonec se bez VPN neobejdeme ve firemnim prostredi. Ta moznost nastavovani dle externi IP adresy zamestnance je urcite zajimava, ale musi vzdy platit, ze ta adresa se nezmeni.

Mimochodem, doba p2p je pryc i z toho duvodu, ze tam nebude fungovat (re)sync dat mezi zarizenimi jednoho uzivatele. Na to proste potrebuje centralizovany bod. Staci si vzpomenout na problem myslim s jabberem?

[PetrM]

Hmm, on je kazdy protokol sifrovany? Aha, neni, takze nakonec se bez VPN neobejdeme ve firemnim prostredi.

Je problém v IPv4 nastavit v /etc/config/network nastavit další síť a provoz na některý IP adresy pustit do ní? Je problém, aby tahle "síť" byl šifrovaný tunel na jinou pobočku? Je problém, aby místo jednotlivých IPv4 adres byly IPv6 /56 nebo /48 prefixy?

Ta moznost nastavovani dle externi IP adresy zamestnance je urcite zajimava, ale musi vzdy platit, ze ta adresa se nezmeni.

Pokud máš NTB zaměstnavatele, stačí nastavit domovskou síť a hurá, máš šifrovaný přístup do firmy odkudkoliv. A dokonce IT od zaměstnavatele se na NTB dostane kamkoliv (například v případě krádeže), stačí se kdekoliv připojit k síti. Takže je otázka, proč si pustit zaměstnavatele do vlastní sítě.

Mimochodem, doba p2p je pryc i z toho duvodu, ze tam nebude fungovat (re)sync dat mezi zarizenimi jednoho uzivatele. Na to proste potrebuje centralizovany bod. Staci si vzpomenout na problem myslim s jabberem?

Centralizovaný bod je obvykle domácí router. Obě zařízení znají jeho IP adresu, ta je veřejná a připojí se k němu odkudkoliv... Podmínkou přece není, aby ten "pevný bod" byl v datacentru v Tramtárii, ani aby ho sdílelo 20k zařízení.

[Filip Jirsák]

Hmm, on je kazdy protokol sifrovany? Aha, neni, takze nakonec se bez VPN neobejdeme ve firemnim prostredi.

Zatím není. Ale když chci šifrovat, použiju IPsec.

Ta moznost nastavovani dle externi IP adresy zamestnance je urcite zajimava, ale musi vzdy platit, ze ta adresa se nezmeni.

Což je pro ISP to nejjednodušší řešení.

Mimochodem, doba p2p je pryc i z toho duvodu, ze tam nebude fungovat (re)sync dat mezi zarizenimi jednoho uzivatele. Na to proste potrebuje centralizovany bod. Staci si vzpomenout na problem myslim s jabberem?

Synchronizace mezi zařízeními jednoho uživatele je naopak ten případ, kde se p2p využije. Když si na svém domácím PC uložím soubor do synchronizované složky, logický postup je, že se to přes domácí síť sesynchornizuje do NASu i do mobilu. Současné řešení, že se to z toho PC pošle přes internet na nějaký server, odkud si to zvlášť stáhne NAS a zvlášť mobil, je praštěné. To, že některá zařízení nejsou trvale zapnutá, vyřeší zpravidla ten domácí NAS. Aby nedošlo k nějakému nedorozumění, ta možnost mít to uložené na nějakém vzdáleném serveru tím nepadá, tam je to zazálohované – ale nedává žádný smysl tahat to z něj opakovaně přes internet, když ta data mám na zařízení ve stejné síti.

[MP]

Přijde mi, že se diskuze zvrhla k „já chci NAT a všichni ostatní musí řešit u svých protokolů, aby s ním fungovaly!“. Tůdle.

To, ze ma mit kazdy koncak fw je sice pekne, ale realita pokulhava. U Woknous se fw aspon da konfigurovat pres domenu, ale Linux?

Hmm, shellovými příkazy s iptables?

Stacilo mi, kdyz jsem musel konfigurovat fw mezi 4 strojema, dnes jich mam desetinasobne.

A co tak typicky na linuxových strojích ve FW nastavuješ?

a tady zejmena ty vpn jsou prvni na rane

Já furt nějak nepochopil, v čem je problém. Že když protistrana změní providera, tak místo adresy budeš muset změnit prefix?

pak veci jako dualstack, atd to jen komplikuji...

Ad iptables...ona kazda distribuce pouziva iptables jako primarni fw? a kde mas zajistenou distribuci techto pravidel, aniz bys predem musel "rozjet" nejaky CM?

Ad nastavovani fw...na jedny strane tu je info, ze ma byt na kazdem stroji fw...a ty se ptas, co nastavuji? icmp, dns, ntp, nfs, http, https, sql, smtp, vpn, proxy...atd atd...nektery websluzby jsou i na nestandardnich portech...Jasny, bylo by fajn, kdyby existovalo nejake rozumne reseni spravy pro mezikomunikaci, nebyly by potreba na internich mezisitich fw, vetsina z nich je totiz pozadu za rychlostmi siti z hlediska hw...

Ad prefix...da se do vpn(/fw) nastavit jen cast prefixu v acl? tzn bez isp prefixu? Mozna jo, jeste jsem to nezkousel, ale zde je hlavni problem firemni sfery, adresy musi byt nemenne, protoze vpn/firewally dynamicke zmeny neumi (myslim tim oproti dynamicke rekonfiguraci na zaklade propagace ipv6 nastaveni z routeru).

[MP]

Hmm, on je kazdy protokol sifrovany? Aha, neni, takze nakonec se bez VPN neobejdeme ve firemnim prostredi.

Je problém v IPv4 nastavit v /etc/config/network nastavit další síť a provoz na některý IP adresy pustit do ní? Je problém, aby tahle "síť" byl šifrovaný tunel na jinou pobočku? Je problém, aby místo jednotlivých IPv4 adres byly IPv6 /56 nebo /48 prefixy?

Ta moznost nastavovani dle externi IP adresy zamestnance je urcite zajimava, ale musi vzdy platit, ze ta adresa se nezmeni.

Pokud máš NTB zaměstnavatele, stačí nastavit domovskou síť a hurá, máš šifrovaný přístup do firmy odkudkoliv. A dokonce IT od zaměstnavatele se na NTB dostane kamkoliv (například v případě krádeže), stačí se kdekoliv připojit k síti. Takže je otázka, proč si pustit zaměstnavatele do vlastní sítě.

Mimochodem, doba p2p je pryc i z toho duvodu, ze tam nebude fungovat (re)sync dat mezi zarizenimi jednoho uzivatele. Na to proste potrebuje centralizovany bod. Staci si vzpomenout na problem myslim s jabberem?

Centralizovaný bod je obvykle domácí router. Obě zařízení znají jeho IP adresu, ta je veřejná a připojí se k němu odkudkoliv... Podmínkou přece není, aby ten "pevný bod" byl v datacentru v Tramtárii, ani aby ho sdílelo 20k zařízení.

ad dalsi sit...ano je to problem. Znamena to dalsi nastaveni fw, dns, ssl certifikaty (postfix treba neumi sni, pokud se nepletu, ani nastavit ruzne certy na ruzne ip)...proste slozitejsi sit misto jedne ip per koncak.

ad domovska sit...sifruje to dns? ntp? sambu? atd?

ad centralizovany bod...na zarizeni A mam telegram. Zarizeni A vypnu, zapnu B. Jak mi router zesynchronizuje komunikaci? To je reakce i na Jirsaka, bude si Blazkova nastavovat nekde NAS, aby se ji syncla komunikace na mobil, tablet, atd?

[PetrM]

ad dalsi sit...ano je to problem. Znamena to dalsi nastaveni fw, dns, ssl certifikaty (postfix treba neumi sni, pokud se nepletu, ani nastavit ruzne certy na ruzne ip)...proste slozitejsi sit misto jedne ip per koncak.

V čem? Máš málo IP adres na další síť? Migruj na šestku.

Ve čtyřce jedno zařízení = jedna IP adresa = jedna sada unikátních pravidel (smí tam, nesmí tam,..)

V šestce jedno zařízení = několik IP adres = je online v několika sítích = pravidla nastavíš pro síť a zařízení naučíš, který sítě smí využívat.

ad domovska sit...sifruje to dns? ntp? sambu? atd?

Když si to router vyžádá, zabalí se cokoliv do IPSec. Je s tím problém? V čem je to horší, než třeba OpenVPN?

ad centralizovany bod...na zarizeni A mam telegram. Zarizeni A vypnu, zapnu B. Jak mi router zesynchronizuje komunikaci? To je reakce i na Jirsaka, bude si Blazkova nastavovat nekde NAS, aby se ji syncla komunikace na mobil, tablet, atd?

Router nijak, proces v tom zařízení. Zapneš, zeptá se DNSka na routeru na druhý zařízení, přímo se připojí a mrkne, jestli jsou tam nový data. Nebo to může být bez routeru rovnou NAS se známou IP adresou, moutne si ho po sshfs,... Stejně, jako dneska nějaký proces oslovuje nějakou tajemnou bednu v čmoudu. Nebo myslíš, že se to dělá jinak?

[Filip Jirsák]

ad centralizovany bod...na zarizeni A mam telegram. Zarizeni A vypnu, zapnu B. Jak mi router zesynchronizuje komunikaci? To je reakce i na Jirsaka, bude si Blazkova nastavovat nekde NAS, aby se ji syncla komunikace na mobil, tablet, atd?

Ne, to není reakce na mne. Já jsem jasně napsal, že to existenci centrálního serveru nevylučuje, takže když zařízení A vypnu a zařízení B zapnu, pořád se to může sesynchronizovat z nejbližšího zařízení, které běží trvale – což v některých případech pořád může být nějaký server v internetu.

Vy možná se všemi svými zařízeními pracujete tak, že důsledně používáte jen jedno, a než zapnete jiné, tak to první vypnete. Před zapnutím počítače vypnete mobil – a až si pořídíte nějaký router, který bude mít trochu místa na synchronizaci souborů, budete muset vypínat i ten. Většina lidí to ale takhle nedělá, takže pro ně bude možnost synchronizace přímo v lokální síti přínosem.

Nevím, co byste chtěl na NASu kvůli té synchronizaci nastavovat. Bavíme se o případu, kdy má Dropbox, má jeho aplikaci nainstalovanou v počítači, mobilu i NASu. Takže jediná „složitost“ je v tom, aby autoři té Dropbox aplikace doplnili funkci, která dokáže zjistit, jak náročné je komunikovat se kterým dalším klientem, a podle toho se rozhodla, odkud a kam bude data posílat.