Grupy dyskusyjne   »   pl.comp.pecet   »   ip4 v ip6

ip4 v ip6

Data: 2019-05-09 18:14:01
Autor: pueblo
ip4 v ip6
Może ktoś mnie objaśnić, jaka różnica. Pytam w kontekście dostawców internetu.
Mogę sobie przeczytać definicje, ale i tak nie wiem jakie to ma praktyczne konsekwencje w używaniu netu(www, poczta, newsy, jakieś vod itd.), tzn. wiem, że jakieś tam programy nie będą działać na ip6(emule?)
W ogóle nie wiem, gdzie to sobie "umiejscowić w głowie", że jakiś dostawca jest na ip6. Nawet gdzieś czytałem że Orange światłowód to ip6 i że to niby dlatego be. A myślę nad zmianą ISP, nawet własnie na Orange.
Może jak ktoś coś ciekawego napisze, to zatrybię, albo znajdę pkt. zaczepienia.

Data: 2019-05-09 20:49:55
Autor: Szyk Cech
ip4 v ip6
Ip4 i Ip6 to tak jakbyś miał 2 różne sieci.
Tyle, że można tunelować ruch Ip4 do Ip6. Ale w drugą stronę już oczywiście nie - czyli komp z przydzielonym Ip6 (z poza puli tunelowanej do Ip4) nie będzie widział żadnego serwera z Ip4. Na dobrą sprawę wszystkie serwisy powinny mieć 2 fizyczne łącza: Ip4 i Ip6.

Nie wnikając w problem tunelowania możesz śmiało myśleć, że to 2 odrębne i nie kompatybilne sieci. Tak jakbyś miał Ip4 i Novel-a w latach 90 XXw.

Data: 2019-05-09 19:42:02
Autor: pueblo
ip4 v ip6
Witaj Szyk Cech, 09 maj 2019 w news:oD_AE.87150$3l7.35104fx12.fr7
napisałeś/aś:
Ip4 i Ip6 to tak jakbyś miał 2 różne sieci.
Tyle, że można tunelować ruch Ip4 do Ip6. Ale w drugą stronę już oczywiście nie - czyli komp z przydzielonym Ip6 (z poza puli
tunelowanej do Ip4) nie będzie widział żadnego serwera z Ip4. Na
dobrą sprawę wszystkie serwisy powinny mieć 2 fizyczne łącza: Ip4 i
Ip6.
Z czego wynika, że mogą się zdarzyć serwery tylko ip4 i wtedy się z nimi żadnym sposobem po prostu nie połączę?
Nie wnikając w problem tunelowania możesz śmiało myśleć, że to 2
odrębne i nie kompatybilne sieci.

Czy mam rozumieć, że to fizycznie inna infrastruktura, sprzęt w jakimś zakresie?

Data: 2019-05-09 19:46:07
Autor: pueblo
ip4 v ip6
Witaj pueblo, 09 maj 2019 w
news:5cd4828a$0$528$65785112news.neostrada.pl napisałeś/aś:

Czy mam rozumieć, że to fizycznie inna infrastruktura, sprzęt w
jakimś zakresie?

Na stronie https://www.myip.com/

na dole jeset wykres IPv6 Adoption, który pokazuje poziom poniżej 30%. Czyli co? Taki porocent sieci działa też/tylko na ip6?

Data: 2019-05-12 13:34:42
Autor: Mateusz Viste
ip4 v ip6
On Thu, 09 May 2019 19:46:07 +0000, pueblo wrote:
Na stronie https://www.myip.com/

na dole jeset wykres IPv6 Adoption, który pokazuje poziom poniżej 30%.
Czyli co? Taki porocent sieci działa też/tylko na ip6?

To jest wykres zerżnięty od Google. Pokazuje, że niecałe 30% użytkowników łączy się z Google za pomocą IPv6. Należy jednak pamiętać, że istnieją spore różnicy pomiędzy krajami:

https://www.google.fr/ipv6/statistics.html#tab=per-country-ipv6-adoption

Do tego taka statystyka mówi tylko o tych użytkownikach, którzy łączą się z Google (ściślej Google + Youtube), a to - jak wiadomo - nie cały świat. Na wschodzie np. dużo popularniejsza jest para Yandex + RuTube, a jeszcze dalej na wschód to już mają w ogóle całkiem swój świat, dla nas Europejczyków poza zasięgiem z racji bariery językowej i niezerowego ryzyka dostania oczopląsu. :)

Mateusz

Data: 2019-05-09 22:25:20
Autor: Roman Tyczka
ip4 v ip6
On 09 May 2019 19:42:02 GMT, pueblo wrote:

Nie wnikając w problem tunelowania możesz śmiało myśleć, że to 2
odrębne i nie kompatybilne sieci.

Czy mam rozumieć, że to fizycznie inna infrastruktura, sprzęt w jakimś zakresie?

Nie fizycznie tylko logicznie, biega to po tej samej miedzi i
światłowodach.

--
pozdrawiam
Roman Tyczka

Data: 2019-05-11 08:36:54
Autor: Szyk Cech
ip4 v ip6
W dniu 09.05.2019 o 20:49, Szyk Cech pisze:> Ip4 i Ip6 to tak jakbyś miał 2 różne sieci.
> Tyle, że można tunelować ruch Ip4 do Ip6. Ale w drugą stronę już
> oczywiście nie - czyli komp z przydzielonym Ip6 (z poza puli tunelowanej
> do Ip4) nie będzie widział żadnego serwera z Ip4.

Host Ip6 będzie widział serwery z Ip4 (dzięki tunelowaniu). Natomiast żadne tunelowanie nie pomoże by z Ip4 widzieć serwer Ip6 (z poza puli tunelowanej).

Data: 2019-05-10 21:05:37
Autor: heby
ip4 v ip6
On 09/05/2019 20:14, pueblo wrote:
Może ktoś mnie objaśnić, jaka różnica. Pytam w kontekście dostawców
internetu.

W tym kontekście jeśli jesteś userem domowym temat ipv6 praktycznie nie istnieje.

Posiadanie ipv6 może mieć jakieś zalety ale normalny internet userowy też nie działa na ipv6. Posiadanie domen w tej adresacji ciągle jest wyjątkiem.

Daruj sobie chyba że chcesz jakieś tunele stawiac, wtedy ma to śladowy sens.

Data: 2019-05-10 20:03:21
Autor: Mateusz Viste
ip4 v ip6
On Fri, 10 May 2019 21:05:37 +0200, heby wrote:
W tym kontekście jeśli jesteś userem domowym temat ipv6 praktycznie nie
istnieje.

Youtube, Google, Wikipedia, Instagram i wiele innych... działa od dawna pod IPv6.

Posiadanie ipv6 może mieć jakieś zalety ale normalny internet userowy
też nie działa na ipv6.

Co to jest ten "internet userowy"? Jakiś równoległy rodzaj internetu?

Daruj sobie chyba że chcesz jakieś tunele stawiac, wtedy ma to śladowy
sens.

Niebawem pojawią się strony IPv6-only. Co wtedy? 2^32 to naprawdę za mało by nas wszystkich obsłużyć.

Mateusz

Data: 2019-05-10 22:37:26
Autor: heby
ip4 v ip6
On 10/05/2019 22:03, Mateusz Viste wrote:
On Fri, 10 May 2019 21:05:37 +0200, heby wrote:
W tym kontekście jeśli jesteś userem domowym temat ipv6 praktycznie nie
istnieje.
Youtube, Google, Wikipedia, Instagram i wiele innych... działa od dawna
pod IPv6.

Czyli 3 bilinowe promila internetu jeśli chodzi o strony www?

Posiadanie ipv6 może mieć jakieś zalety ale normalny internet userowy
też nie działa na ipv6.
Co to jest ten "internet userowy"?

Normalny user to taki co korzysta z netu w celu okopywania się w swoich ideologiach, obejrzy pornola i czase poklika w messengerze. Dla niego istnieje normalny internet userowy.

Daruj sobie chyba że chcesz jakieś tunele stawiac, wtedy ma to śladowy
sens.
Niebawem pojawią się strony IPv6-only.

One się pojawiają niebawem już od hoho że hoho. I się nie pojawia. Dostawcy internetu nie bawią się w IPv6 a tunele do IPv6 zostały jeden po drugim zlikwidowane.

Co wtedy? 2^32 to naprawdę za mało
by nas wszystkich obsłużyć.

Od dawna jest nas możliwych znacznie więcej dzięki NATowi. Jak ktoś potrzebuje normalny IP to już nie jest w kategorii normalnych userów.

Data: 2019-05-10 21:34:47
Autor: Mateusz Viste
ip4 v ip6
On Fri, 10 May 2019 22:37:26 +0200, heby wrote:
On 10/05/2019 22:03, Mateusz Viste wrote:
Youtube, Google, Wikipedia, Instagram i wiele innych... działa od dawna
pod IPv6.

Czyli 3 bilinowe promila internetu jeśli chodzi o strony www?

Uczciwiej byłoby skorzystać z metryki obsługiwanego ruchu, a to już nie będzie promil.

Normalny user to taki co korzysta z netu w celu okopywania się w swoich
ideologiach,

Nie mam pojęcia co to może oznaczać.

obejrzy pornola i czase poklika w messengerze.

Co do pierwszego to nie wiem, natomiast jeśli chodzi o drugie to działa pod IPv6. Facebook także (domniemywam że FB podchodzi pod twoją definicję "userowego internetu")

Niebawem pojawią się strony IPv6-only.

One się pojawiają niebawem już od hoho że hoho. I się nie pojawia.

Oczywiście, że się pojawią. Już istnieją, choć póki co to jeszcze anegdotyczny margines. Przykład: https://loopsofzen.uk/

Dostawcy internetu nie bawią się w IPv6

Chyba żartujesz :) Admin lokalnej sieci osiedlowej być może o IPv6 nie słyszał, ale poważni dostawcy od lat pracują nad wdrożeniem IPv6, a spora część już to zrobiła. Obecnie w skali globu 25% użytkowników internetu już jest pod IPv6. Polska jest niestety mocno w tyle, bo adopcja ledwo sięga 10%, ale na zachodzie np. niemal co drugi Niemiec już klika po IPv6 (często nawet o tym nie wiedząc).
Fajny wykresik: https://www.google.com/intl/en/ipv6/
statistics.html#tab=ipv6-adoption

a tunele do IPv6 zostały jeden po drugim zlikwidowane.

Bo tunelowanie to jest nieżyciowy pomysł, wprowadzający bolesną fragmentację z racji ograniczonego MTU, dodatkową latencję oraz zdławione pasmo.

Co wtedy? 2^32 to naprawdę za mało by nas wszystkich obsłużyć.

Od dawna jest nas możliwych znacznie więcej dzięki NATowi.

NAT należy do tej samej kategorii pomysłów, co tunelowanie IPv6. Generuje problemy zarówno po stronie użytkownika, jak i dostawcy. Nikt o zdrowych zmysłach nie chce bawić się w NAT - operatorzy robią to dlatego, że chwilowo nie mają innej opcji.

Mateusz

Data: 2019-05-10 23:27:53
Autor: Marcin Debowski
ip4 v ip6
On 2019-05-10, Mateusz Viste <mateusz@nie.pamietam> wrote:
NAT należy do tej samej kategorii pomysłów, co tunelowanie IPv6. Generuje problemy zarówno po stronie użytkownika, jak i dostawcy. Nikt o zdrowych zmysłach nie chce bawić się w NAT - operatorzy robią to dlatego, że chwilowo nie mają innej opcji.

Nie wiem jak Ty, ale ja chromolę mieć domową/pracową sieć na routowalnych adresach publicznych :)

--
Marcin

Data: 2019-05-11 09:59:21
Autor: Mateusz Viste
ip4 v ip6
On Fri, 10 May 2019 23:27:53 +0000, Marcin Debowski wrote:

On 2019-05-10, Mateusz Viste <mateusz@nie.pamietam> wrote:
NAT należy do tej samej kategorii pomysłów, co tunelowanie IPv6.
Generuje problemy zarówno po stronie użytkownika, jak i dostawcy. Nikt
o zdrowych zmysłach nie chce bawić się w NAT - operatorzy robią to
dlatego, że chwilowo nie mają innej opcji.

Nie wiem jak Ty, ale ja chromolę mieć domową/pracową sieć na
routowalnych adresach publicznych :)

Przesądy i religia? Bo technicznych powodów do obaw nie ma żadnych.

Mateusz

Data: 2019-05-11 23:11:07
Autor: Marcin Debowski
ip4 v ip6
On 2019-05-11, Mateusz Viste <mateusz@nie.pamietam> wrote:
On Fri, 10 May 2019 23:27:53 +0000, Marcin Debowski wrote:

On 2019-05-10, Mateusz Viste <mateusz@nie.pamietam> wrote:
NAT należy do tej samej kategorii pomysłów, co tunelowanie IPv6.
Generuje problemy zarówno po stronie użytkownika, jak i dostawcy. Nikt
o zdrowych zmysłach nie chce bawić się w NAT - operatorzy robią to
dlatego, że chwilowo nie mają innej opcji.

Nie wiem jak Ty, ale ja chromolę mieć domową/pracową sieć na
routowalnych adresach publicznych :)

Przesądy i religia? Bo technicznych powodów do obaw nie ma żadnych.

To w jaki sposób realizowana jest kontrola dostępu do i z sieci lokalnej (jesli chcemy mieć kontrolę dostępu)? Tak jakbym to robił na MACach sokor wszystkie adresy miałyby być unikatowe? A dynamiczny przydział adresów w sieci z ograniczonym dostępem jest podobny czy różni się od IPv4?

Mogę aktywować u siebie IPv6, sprzęt też ma mozliwości, ale trochę się boją, że nie ogarnę kwestii bezpieczeństwa.

--
Marcin

Data: 2019-05-12 06:17:22
Autor: Mateusz Viste
ip4 v ip6
On Sat, 11 May 2019 23:11:07 +0000, Marcin Debowski wrote:
To w jaki sposób realizowana jest kontrola dostępu do i z sieci lokalnej
(jesli chcemy mieć kontrolę dostępu)?

Firewall stateful. Rozwiązanie istniejące od wczesnych lat '90 i znacząco prostsze (a zarazem pewniejsze) od jakiejkolwiek implementacji NAT.

Tak jakbym to robił na MACach
sokor wszystkie adresy miałyby być unikatowe?

Nie rozumiem analogii do MAC - to nie ta warstwa. Firewalling przy IPv4 wykonuje się dokładnie tak samo, jak przy IPv6. Np. "sieć lokalna ma dostęp do zewsząd, a cokolwiek innego odrzucam" - to jedna prosta reguła skutecznie zastępująca bezpieczeństwo rzekomo zapewniane przez NAT.

A dynamiczny przydział
adresów w sieci z ograniczonym dostępem jest podobny czy różni się od
IPv4?

Implementacja różna (NDP lub DHCPv6 zamiast DHCP, oraz ICMPv6 zamiast ARP), ale z punktu widzenia użytkownika nic się nie zmienia - "podpinam komputer do sieci i po sekundzie mam adres należący do lokalnej sieci".

Mateusz

Data: 2019-05-12 12:21:58
Autor: Mateusz Viste
ip4 v ip6
On Sun, 12 May 2019 13:27:10 +0200, heby wrote:
Gratuluje wyjątkowo prostego pojmowania zaganień sieciowych. Teraz
zainteresuj się dlaczego połowa metod komunikacji w internecie w wyniku
użycia tej prostej reguły nie zadziała. Zacznij od ftp i dlaczego w nim
wyróznia się tryby pasywny i aktywny. Ta masz hinty:

https://en.wikipedia.org/wiki/
File_Transfer_Protocol#NAT_and_firewall_traversal

Gratuluję bycia kretynem i wymądrzania się nie na temat. Z mojej strony mogę tylko podzielić się takim linkiem:

https://pl.wikipedia.org/wiki/Dydaktyka

Mateusz

Data: 2019-05-12 14:58:09
Autor: heby
ip4 v ip6
On 12/05/2019 14:21, Mateusz Viste wrote:
Gratuluje wyjątkowo prostego pojmowania zaganień sieciowych. Teraz
zainteresuj się dlaczego połowa metod komunikacji w internecie w wyniku
użycia tej prostej reguły nie zadziała. Zacznij od ftp i dlaczego w nim
wyróznia się tryby pasywny i aktywny. Ta masz hinty:

https://en.wikipedia.org/wiki/
File_Transfer_Protocol#NAT_and_firewall_traversal

Gratuluję bycia kretynem

Czyli jednak nie merytorycznie. Całkiem zgrabny przykład dydaktyki.

Data: 2019-05-12 13:27:55
Autor: Mateusz Viste
ip4 v ip6
On Sun, 12 May 2019 14:58:09 +0200, heby wrote:
On 12/05/2019 14:21, Mateusz Viste wrote:
Gratuluje wyjątkowo prostego pojmowania zaganień sieciowych. Teraz
zainteresuj się dlaczego połowa metod komunikacji w internecie w
wyniku użycia tej prostej reguły nie zadziała. Zacznij od ftp i
dlaczego w nim wyróznia się tryby pasywny i aktywny. Ta masz hinty:

https://en.wikipedia.org/wiki/
File_Transfer_Protocol#NAT_and_firewall_traversal

Gratuluję bycia kretynem

Czyli jednak nie merytorycznie. Całkiem zgrabny przykład dydaktyki.

Krzykacz-mądrala to ciężki przypadek edukacyjny. Kiedy byłem młody, miałem jeszcze do takich cierpliwość. Dziś już nie mam.

Jeśli jednak pragniesz w dalszym ciągu zabłysnąć w internecie, sugeruję rozwinąć swoją wcześniejszą myśl, ale tym razem trzymając się kontekstu.

Kontekst: lokalna sieć IPv4+NAT. Użytkownik (nazwijmy go "Marcin") migruje w stronę IPv6+Firewall z jedną prostą regułą - którą już podałem.

Wskaż, które protokoły działają przy IPv4+NAT, a przestaną przy IPv6+Firewall.

FTP w trybie aktywnym nie działa w obu przypadkach* - bo to była historyczna pomyłka, no ale ciężko winić ówczesnych twórców, czasy były wszak całkiem inne (1980).

Mateusz

*Nie uwzględniam tutaj implementacji NAT które posiadają wewnętrzne hacki na wsparcie polecenia PORT - mowa o "czystym" NAT i "czystym" firewallingu.

Data: 2019-05-12 15:42:58
Autor: heby
ip4 v ip6
On 12/05/2019 15:27, Mateusz Viste wrote:
Wskaż, które protokoły działają przy IPv4+NAT, a przestaną przy
IPv6+Firewall.

Każde "aktywne" z głupimi regułami firewalla, szczególnie WAN INPUT => DROP.

FTP w trybie aktywnym nie działa w obu przypadkach*

Działa w NAT w obu przypadkach gdzieś od końca lat 90 jak miałem okazję to pierwszy raz uzyć w Linuxie. NAT miał i ma wsparcie dla protokołu ftp od czasów wcześniejszych niż pamiętam.

*Nie uwzględniam tutaj implementacji NAT które posiadają wewnętrzne hacki
na wsparcie polecenia PORT - mowa o "czystym" NAT i "czystym"
firewallingu.

Nie wiem skąd Ci przyszło do głowy że istnieje coś takiego jak czysty NAT używany gdziekolwiek poza akademickim marudzeniem. 99.99% NATów w necie ma wsparcie dla protokołów z otwieraniem, czasem aktywnym, sąsiednich strumieni. Spróbuj wyładować moduły jądra w routerze odpowiedzialne za to wsparcie, spora część usług w necie umrze.

NAT z helperami do ftp były kiedyś używane co zabawy w skanowanie portów ofiary za natem. Ot, taka ciekawostka.

Zakładanie że świat nagle zacznie działać na ipv6 jest troche mało sensowne. Cały internet działa po 4 i raczej nie zmieni się to w najbliższym czasie a te śladowe ilosci ipv6 na które stać tylko duże firmy nic nie dały - dalej cały ruch odbywa się po ipv4 ze śladową ilością ipv6 i oni mają to bardziej dla picu nic z sensownych powodów.

Aby "przechodzenie" na ipv6 miało sens od strony suwerena najpierw nie tylko wielcy ale i malutcy muszą uruchomić swoje usługi. Nikt tego nie zrobi dzisiaj bo nie ma zysku ani zalet, szczególnie dla piedołowatch firm hostujących strony lokalnej kwiaciarni. CO z tego że facebook działa jak kwiatków nie kupisz?

Data: 2019-05-12 15:13:14
Autor: Mateusz Viste
ip4 v ip6
On Sun, 12 May 2019 15:42:58 +0200, heby wrote:
On 12/05/2019 15:27, Mateusz Viste wrote:
Wskaż, które protokoły działają przy IPv4+NAT, a przestaną przy
IPv6+Firewall.

Każde "aktywne" z głupimi regułami firewalla, szczególnie WAN INPUT =>
DROP.

Ale ja się pytam które. Tak konkretnie. Bo póki co podałeś tylko FTP, a to mocno chybiony przykład - by nie powiedzieć mętna dezinformacja.

Działa w NAT w obu przypadkach gdzieś od końca lat 90 jak miałem okazję
to pierwszy raz uzyć w Linuxie. NAT miał i ma wsparcie dla protokołu ftp
od czasów wcześniejszych niż pamiętam.

Brzydkie hacki które masz na myśli istnieją zarówno we wszelkich implementacjach NAT, jak i w implementacjach firewalli. Co więcej, wsparcie dla przykładowego polecenia PORT w firewallu jest trywialnie proste. Wsparcie tego samego w NAT natomiast wymaga nie lada magii: przepisanie części streamu TCP aby podmienić adres i port przedstawiany przez klienta, przeliczenie na nowo checksumów TCP, przesunięcie numerów sekwencyjnych, wykonanie tymczasowego przekierowania danego portu po stronie WAN, no i śledzenie tego całego bałaganu aż do końca połączenia kontrolnego.

W przypadku firewalla sprawa ogranicza się do otwarcia jednej klapki na kilka sekund, bez jakiejkolwiek ingerencji w zawartość streamu TCP.

Przy czym cały czas mówimy o czymś, co powstało 40 lat temu i w praktyce dziś już nie występuje - wszelkie sensowne implementacje FTP od bardzo dawna wspierają (i preferują) PASV.

Spróbuj wyładować moduły jądra w routerze
odpowiedzialne za to wsparcie, spora część usług w necie umrze.

Ponawiam pytanie - czym jest ta "spora część usług"? Wcześniej pisałeś, że połowa. Które to protokoły? A w szczególności - na co Marcin, jako użytkownik końcowy, powinien zwrócić uwagę zastępując u siebie NAT firewallem?

No i do tej pory nie rozumiem, za czym postulujesz. Czy za tym, aby zlikwidować wszystkie firewalle świata, bo NAT jest fajny i bezpieczny?

Zakładanie że świat nagle zacznie działać na ipv6 jest troche mało
sensowne.

Trend w kierunku IPv6 utrzymuje się od kilku dobrych lat. Nic nie wskazuje na to, by zainteresowanie tym tematem malało - wręcz przeciwnie.

Ciekawostka: Pokrycie IPv6 w Indiach przez dwa ostatnie lata skoczyło z 1% do 65%. Źródło: statystyki Akamai, https://bit.ly/2VimooM

Cały internet działa po 4 i raczej nie zmieni się to w
najbliższym czasie

Legacy IPv4 zostanie z pewnością na długo. Nie zmienia to faktu, że internet IPv6 cały czas rośnie, a pojawienie się powszechnych usług IPv6-
only jest tylko kwestią czasu.

a te śladowe ilosci ipv6 na które stać tylko duże firmy nic nie dały -
dalej cały ruch odbywa się po ipv4 ze śladową ilością ipv6 i oni mają
to bardziej dla picu nic z sensownych powodów.

To ciekawa teoria, jakoby duże, poważne firmy inwestowały od lat w coś tylko dla jaj. A twierdzenie, że na IPv6 stać tylko duże firmy to kolejna rażąca próba dezinformacji. Nie umiem odgadnąć co tobą kieruje - masz jakieś stare pule IPv4 do sprzedania?

Aby "przechodzenie" na ipv6 miało sens od strony suwerena najpierw nie
tylko wielcy ale i malutcy muszą uruchomić swoje usługi. Nikt tego nie
zrobi dzisiaj bo nie ma zysku ani zalet, szczególnie dla piedołowatch
firm hostujących strony lokalnej kwiaciarni. CO z tego że facebook
działa jak kwiatków nie kupisz?

Tacy "malutcy" samowolnie tego nie zrobią, bo im się faktycznie nie chce i/lub nie mają czasu i/lub wydaje im się, że są mądrzejsi od reszty. Na szczęście to nie oni wyznaczają kierunek rozwoju i w pewnym momencie będą zmuszeni przejść na IPv6 aby przeżyć. Może nie dziś, i pewnie jeszcze nie jutro - ale prędzej czy później to nastąpi.

Mateusz

Data: 2019-05-12 18:53:52
Autor: heby
ip4 v ip6
On 12/05/2019 17:13, Mateusz Viste wrote:
Każde "aktywne" z głupimi regułami firewalla, szczególnie WAN INPUT =>
DROP.
Ale ja się pytam które. Tak konkretnie.

Przecież tego jest na tony w necie. Tu masz przykład:

https://en.wikipedia.org/wiki/Application-level_gateway

Bo póki co podałeś tylko FTP, a
to mocno chybiony przykład - by nie powiedzieć mętna dezinformacja.

Nic nie jest chybione. W latach 90 znalezienie serwera ftp z trybem pasywnym było mało prawdopodobne. Sytuacja utrzymywała się do co najmniej 2005 roku. Do dzisiaj widuje serwery ftp, głównie uniwersyteckie mirrory, które albo nie mają trybu pasywnego albo mają tylko dla wybrancyh hostów. Nic dziwnego że sporo serwerów ftp ma równolegle dostęp przez www.

Działa w NAT w obu przypadkach gdzieś od końca lat 90 jak miałem okazję
to pierwszy raz uzyć w Linuxie. NAT miał i ma wsparcie dla protokołu ftp
od czasów wcześniejszych niż pamiętam.
Brzydkie hacki

Nie, to część integralna NATa, powstała razem z nim. Który sam z siebie jest lub nie hackiem, podobnie jak firewalle.

implementacjach NAT, jak i w implementacjach firewalli. Co więcej,
wsparcie dla przykładowego polecenia PORT w firewallu jest trywialnie
proste.

O ile nie musisz wspierać protokołów "aktywnych". Wtedy nagle staje się mniej trywialne.

Wsparcie tego samego w NAT natomiast wymaga nie lada magii:
przepisanie części streamu TCP aby podmienić adres i port przedstawiany
przez klienta, przeliczenie na nowo checksumów TCP, przesunięcie numerów
sekwencyjnych, wykonanie tymczasowego przekierowania danego portu po
stronie WAN, no i śledzenie tego całego bałaganu aż do końca połączenia
kontrolnego.

Całkiem sprawnie sobie z tym radzimy od lat 90 co najmniej. Ogólnie internet to bałagan jest i jakoś sobie radzimy. Ipv6 tak na marginesie tylko dorzuca swoje głupoty do całości bałaganu.

W przypadku firewalla sprawa ogranicza się do otwarcia jednej klapki na
kilka sekund, bez jakiejkolwiek ingerencji w zawartość streamu TCP.

Czemu na kilka sekund ;) ?

Przy czym cały czas mówimy o czymś, co powstało 40 lat temu i w praktyce
dziś już nie występuje - wszelkie sensowne implementacje FTP od bardzo
dawna wspierają (i preferują) PASV.

Wyłącz i pouzywaj internetu jako superuser a nie suweren. Sprawdzisz w praktyce. Na ten przykład nie da się łaczyć do niektórych usług VPN. Suprise.

Spróbuj wyładować moduły jądra w routerze
odpowiedzialne za to wsparcie, spora część usług w necie umrze.
Ponawiam pytanie - czym jest ta "spora część usług"?

Link powyżej.

Wcześniej pisałeś,
że połowa. Które to protokoły? A w szczególności - na co Marcin, jako
użytkownik końcowy, powinien zwrócić uwagę zastępując u siebie NAT
firewallem?

Suweren potrzebuje facebooka, porno i to mniej wiecej tyle. Dla niego internet może działać na płynny rosół, nikogo nie będą interesować duperele techniczne.

Niestety mnie interesują.

No i do tej pory nie rozumiem, za czym postulujesz. Czy za tym, aby
zlikwidować wszystkie firewalle świata, bo NAT jest fajny i bezpieczny?

Nat ani fajny ani bezpieczny. Ale jak to zwykle bywa w IT już dawno zdobył świat i nie będzie lepiej. I ja go wcale nie chce, jak chce statyczny numer IPv[4|6] ale ja nie jestem suweren. Moje zdanie się nie liczy. Nastepny numer jaki dostane od dostawcy internetu będzie za NATem. Czas się pogodzić.

Zakładanie że świat nagle zacznie działać na ipv6 jest troche mało
sensowne.
Trend w kierunku IPv6 utrzymuje się od kilku dobrych lat.

Owszem trend jest. Np. moje T[h]uje rosą od kilku lat po parenaście cm. Czyli trend jest.

Nic nie
wskazuje na to, by zainteresowanie tym tematem malało - wręcz przeciwnie.

Tak, nic nie wskazuje na to aby moje T[h]uje miały maleć.

To świadczy o tym że za chwile zdobędą świat. Jak zdążą przed śmiercią termiczną wszechświata oczywiście.

Ciekawostka: Pokrycie IPv6 w Indiach przez dwa ostatnie lata skoczyło z
1% do 65%. Źródło: statystyki Akamai, https://bit.ly/2VimooM

Wow. Czas się wynosić z IPv4 i oglądać te kilka stron na 6 podnosząc statystyki.

Cały internet działa po 4 i raczej nie zmieni się to w
najbliższym czasie
Legacy IPv4 zostanie z pewnością na długo. Nie zmienia to faktu, że
internet IPv6 cały czas rośnie, a pojawienie się powszechnych usług IPv6-
only jest tylko kwestią czasu.

Tak, też na to liczyłem. Kilka lat temu zrobiłem sobie w domku infrastrukturę IPv6 ready. Podpieli internet z IPv6. Ale nie działa. Zapytałem czemu nie działa skoro w umowie jest że działa. No więc nie działa bo nikt nie pytał i "chyba się popsuło jakoś kiedyś, nie wiadomo kiedy". Nie, nie naprawili. Na co to komu, Panie...

a te śladowe ilosci ipv6 na które stać tylko duże firmy nic nie dały -
dalej cały ruch odbywa się po ipv4 ze śladową ilością ipv6 i oni mają
to bardziej dla picu nic z sensownych powodów.
To ciekawa teoria, jakoby duże, poważne firmy inwestowały od lat w coś
tylko dla jaj. A twierdzenie, że na IPv6 stać tylko duże firmy to kolejna
rażąca próba dezinformacji. Nie umiem odgadnąć co tobą kieruje - masz
jakieś stare pule IPv4 do sprzedania?

A więc SPISEK! To było wiadomo od początku!

Duże firmy inwestowały sobie w IPv6 bo należeli do róznych konsorcjów zajmujących się tym tematem, bo było to marketingowo istotne aby błyszczej jako nowoczesne, bo im rozwiązywało jakieś problemy wewnątrzne, bo było cool itd itp. Na zewnątrz wystawili kilka stron i na tym koniec. Kurtyna. Czekamy na akt 2, czyli wejście chińczyków a może i rosjan robiących własne internety.

Tacy "malutcy" samowolnie tego nie zrobią, bo im się faktycznie nie chce
i/lub nie mają czasu i/lub wydaje im się, że są mądrzejsi od reszty. Na
szczęście to nie oni wyznaczają kierunek rozwoju i w pewnym momencie będą
zmuszeni przejść na IPv6 aby przeżyć. Może nie dziś, i pewnie jeszcze nie
jutro - ale prędzej czy później to nastąpi.

No to czekamy do pojutrza. Na chwile obecną w mojej okolicy nie ma ani jednego dostawcy domowego internetu który ma taki ficzer. Poza dużymi stronami pozostałą część infrastruktury netowej działa po staremu bez śladu potrzeby zmian. Suweren nie ma potrzeby. Należy liczyć aby powstała jakaś usługa z okolic darmowego porno, działająca tylko na ipv6. Wtedy operatorzy internetu na wyścigi dorzucą ten ficzer. A tak, nie masz szans na użycie sobie.

PS. Kilka lat temu tunelowałem sobie ipv6. Ale tunel zamkneli. To zmieniłem tunel i też zamkneli. To następny i ... zamkneli. No i dupa. Deewolucja.

Jak chcesz się bawić to się baw. Przecież ja też tego nie robiłem z sensownych powodów.

Data: 2019-05-12 18:41:38
Autor: Mateusz Viste
ip4 v ip6
On Sun, 12 May 2019 18:53:52 +0200, heby wrote:
On 12/05/2019 17:13, Mateusz Viste wrote:
Ale ja się pytam które. Tak konkretnie.

Przecież tego jest na tony w necie. Tu masz przykład:
https://en.wikipedia.org/wiki/Application-level_gateway

Czyli nie podasz... No trudno.

Bo póki co podałeś tylko FTP, a to mocno chybiony przykład - by nie
powiedzieć mętna dezinformacja.

Nic nie jest chybione. W latach 90 znalezienie serwera ftp

Podajesz rzewne wspomnienia z lat 90 jako argument w wątku o rozwoju IPv6? Naprawdę?

z trybem pasywnym było mało prawdopodobne. Sytuacja utrzymywała się do
co najmniej 2005 roku.

Mocno naciągasz, no ale powiedzmy że nie było mnie wtedy na świecie i naiwnie wierzę w to co opowiadasz. Tylko że 2005 to było 15 lat temu.

implementacjach NAT, jak i w implementacjach firewalli. Co więcej,
wsparcie dla przykładowego polecenia PORT w firewallu jest trywialnie
proste.

O ile nie musisz wspierać protokołów "aktywnych". Wtedy nagle staje się
mniej trywialne.

Jest i będzie trywialne w porównaniu do jakichkolwiek operacji związanych z NAT i ingerencją w dialog aplikacyjny.

Całkiem sprawnie sobie z tym radzimy od lat 90 co najmniej.

Niby takie proste i opanowane, ale na firewalle - które są w obsłudze takich wyjątków znacząco łatwiejsze do ogarnięcia - jednak psioczysz.

W przypadku firewalla sprawa ogranicza się do otwarcia jednej klapki na
kilka sekund, bez jakiejkolwiek ingerencji w zawartość streamu TCP.

Czemu na kilka sekund ;) ?

Bo na ustalenie sesji nie potrzeba więcej. A jak już jest ustalona, to standardowy mechanizm stateful przejmuje pałeczkę.

Wow. Czas się wynosić z IPv4 i oglądać te kilka stron na 6 podnosząc
statystyki.

Ale kto mówi o "wynoszeniu się z IPv4"? Nie zmyślaj. Z IPv4 będziemy żyć przez co najmniej kolejne kilkanaście lat, a wsparcie IPv6 będzie równolegle intensywnie rosło. Postępu nie zatrzymasz.

Tak, też na to liczyłem. Kilka lat temu zrobiłem sobie w domku
infrastrukturę IPv6 ready. Podpieli internet z IPv6. Ale nie działa.
Zapytałem czemu nie działa skoro w umowie jest że działa. No więc nie
działa bo nikt nie pytał i "chyba się popsuło jakoś kiedyś, nie wiadomo
kiedy". Nie, nie naprawili. Na co to komu, Panie...

W latach 2000-2006 też bawiłem się z IPv6. I też było gorzej z niż bez. Ale od tego czasu wiele się zmieniło.

No to czekamy do pojutrza. Na chwile obecną w mojej okolicy nie ma ani
jednego dostawcy domowego internetu który ma taki ficzer.

Neostrada nie dochodzi? No to można tylko współczuć.

Jak chcesz się bawić to się baw. Przecież ja też tego nie robiłem z
sensownych powodów.

Etap "zabawy" z IPv6 już dawno minął. Teraz IPv6 po prostu działa. Jak oglądam statystyki domowego routera to ok. 50% ruchu jest via IPv6 (zapewne w dużej mierze za sprawą małżonki, która lubi czasem oglądać filmy o gotowaniu na YT). Bez żadnego grzebania czy kombinowania - nawet nic włączać nie musiałem, bo mój ISP włącza IPv6 domyślnie. Normalny człowiek - w sensie nie-specjalista - nawet by się nie spostrzegł.

Mateusz

Data: 2019-05-12 20:58:35
Autor: heby
ip4 v ip6
On 12/05/2019 20:41, Mateusz Viste wrote:
Przecież tego jest na tony w necie. Tu masz przykład:
https://en.wikipedia.org/wiki/Application-level_gateway
Czyli nie podasz... No trudno.

Jak się czytać nie umie to nie poradzę.

Bo póki co podałeś tylko FTP, a to mocno chybiony przykład - by nie
powiedzieć mętna dezinformacja.
Nic nie jest chybione. W latach 90 znalezienie serwera ftp
Podajesz rzewne wspomnienia z lat 90 jako argument w wątku o rozwoju IPv6?
Naprawdę?

Tak ponieważ znaczna część proto używanych obecnie używana byla również wtedy.

z trybem pasywnym było mało prawdopodobne. Sytuacja utrzymywała się do
co najmniej 2005 roku.
Mocno naciągasz, no ale powiedzmy że nie było mnie wtedy na świecie i
naiwnie wierzę w to co opowiadasz. Tylko że 2005 to było 15 lat temu.

Niewiele się od tego czasu zmieniło.

Całkiem sprawnie sobie z tym radzimy od lat 90 co najmniej.
Niby takie proste i opanowane, ale na firewalle - które są w obsłudze
takich wyjątków znacząco łatwiejsze do ogarnięcia - jednak psioczysz.

NIe psiaczę na firewalle. Pokazuje tylko że trywialność już była. Obecnie mamy potrójne NATy u suwerena.

W przypadku firewalla sprawa ogranicza się do otwarcia jednej klapki na
kilka sekund, bez jakiejkolwiek ingerencji w zawartość streamu TCP.
Czemu na kilka sekund ;) ?
Bo na ustalenie sesji nie potrzeba więcej. A jak już jest ustalona, to
standardowy mechanizm stateful przejmuje pałeczkę.

Ufff jakie to bezpieczne :D

Wow. Czas się wynosić z IPv4 i oglądać te kilka stron na 6 podnosząc
statystyki.
Ale kto mówi o "wynoszeniu się z IPv4"? Nie zmyślaj. Z IPv4 będziemy żyć
przez co najmniej kolejne kilkanaście lat, a wsparcie IPv6 będzie
równolegle intensywnie rosło. Postępu nie zatrzymasz.

No to sobie konfiguruj. Przecież nikt nie broni poza tym że to takie hobby.

No to czekamy do pojutrza. Na chwile obecną w mojej okolicy nie ma ani
jednego dostawcy domowego internetu który ma taki ficzer.
Neostrada nie dochodzi? No to można tylko współczuć.

Nic nie dochodzi. To takie zadupie Polski, Aglomeracja Śląska się nazywa. 100m gruntu nie do pokonania dla dostawców.

Data: 2019-05-15 14:07:03
Autor: ń
ip4 v ip6
Czy UPC pracuje już na IPv6 ?
Czy zależy to od modelu modemu?


-- -- -
Teraz IPv6 po prostu działa.

Data: 2019-05-15 12:19:25
Autor: Mateusz Viste
ip4 v ip6
On Wed, 15 May 2019 14:07:03 +0200, ń wrote:
Czy UPC pracuje już na IPv6 ?

Google podpowiada że tak, zdaje się już od lipca 2014.

www.upc.pl ma całkiem przyjemny adres: 2001:67c:794::4 :)

Czy zależy to od modelu modemu?

Być może, ale to pytanie do pomocy technicznej UPC - oni najlepiej wiedzą, jaki sprzęt rozdali klientom i u kogo co może działać.

Mateusz

Data: 2019-05-13 00:14:48
Autor: Marcin Debowski
ip4 v ip6
On 2019-05-12, Mateusz Viste <mateusz@nie.pamietam> wrote:
Ciekawostka: Pokrycie IPv6 w Indiach przez dwa ostatnie lata skoczyło z 1% do 65%. Źródło: statystyki Akamai, https://bit.ly/2VimooM

Ciekaw jestem, gdzie można znależź wiarygodne statystyki
https://ipv6-test.com/stats/country/IN
https://www.google.com/intl/en/ipv6/statistics.html

Co źródło to inne wielkości.

--
Marcin

Data: 2019-05-12 13:27:10
Autor: heby
ip4 v ip6
On 12/05/2019 08:17, Mateusz Viste wrote:
Nie rozumiem analogii do MAC - to nie ta warstwa. Firewalling przy IPv4
wykonuje się dokładnie tak samo, jak przy IPv6. Np. "sieć lokalna ma
dostęp do zewsząd, a cokolwiek innego odrzucam" - to jedna prosta reguła
skutecznie zastępująca bezpieczeństwo rzekomo zapewniane przez NAT.

Gratuluje wyjątkowo prostego pojmowania zaganień sieciowych. Teraz zainteresuj się dlaczego połowa metod komunikacji w internecie w wyniku użycia tej prostej reguły nie zadziała. Zacznij od ftp i dlaczego w nim wyróznia się tryby pasywny i aktywny. Ta masz hinty:

https://en.wikipedia.org/wiki/File_Transfer_Protocol#NAT_and_firewall_traversal

Data: 2019-05-12 23:41:02
Autor: Marcin Debowski
ip4 v ip6
On 2019-05-12, Mateusz Viste <mateusz@nie.pamietam> wrote:
On Sat, 11 May 2019 23:11:07 +0000, Marcin Debowski wrote:
To w jaki sposób realizowana jest kontrola dostępu do i z sieci lokalnej
(jesli chcemy mieć kontrolę dostępu)?

Firewall stateful. Rozwiązanie istniejące od wczesnych lat '90 i znacząco prostsze (a zarazem pewniejsze) od jakiejkolwiek implementacji NAT.

Może to faktycznie kwestia przyzwyczajeń, ale segmentacja sieci na lokalnych adresach wydaje się mi dużo bardziej przejrzysta. Jak coś jest bardziej przejrzyste, to trudniej o błędy. W IPv6 jak rozumiem dostanę pewną pulę adresów od IPSa (też mnie to przeraża, że będę zalezny w takiej kwestii od IPS). Pewnie da się to też posegmentować, na poziomie FW i bez NATu. A preferuję segmentacje, bo mam różne warstwy bezpieczeństwa. Np. nie chcę aby dostep do podsieci gdzie chodzi cctv był z podsieci, która umozliwia dostęp po wifi.

Generalnie zadaję te pytania bo o IPv6 nie wiem nic a powoli dobrze by było stan ten zmienić.

Tak jakbym to robił na MACach
sokor wszystkie adresy miałyby być unikatowe?

Nie rozumiem analogii do MAC - to nie ta warstwa. Firewalling przy IPv4 wykonuje się dokładnie tak samo, jak przy IPv6. Np. "sieć lokalna ma dostęp do zewsząd, a cokolwiek innego odrzucam" - to jedna prosta reguła skutecznie zastępująca bezpieczeństwo rzekomo zapewniane przez NAT.

Analogia w unikatowosci adresu. Tylko tyle, bo wiadomo, że kontrolować dostępu po samym MACu to nie jest dobry pomysł.

A dynamiczny przydział
adresów w sieci z ograniczonym dostępem jest podobny czy różni się od
IPv4?

Implementacja różna (NDP lub DHCPv6 zamiast DHCP, oraz ICMPv6 zamiast ARP), ale z punktu widzenia użytkownika nic się nie zmienia - "podpinam komputer do sieci i po sekundzie mam adres należący do lokalnej sieci".

No to jasne, ale czytam np., że routery (zgaduję, że te ISP i inne nieco "większe" mogą dynamicznie "przenumerować" całé pule adresów IPv6. To jak ja mam w tej sytuacji zrobić np. static DHCP? Po segmencie adresu? Przenumerowanie dotyczy tylko adresów segmentów sieci (network prefix), a adres link-local jest zawsze zachowany?

--
Marcin

Data: 2019-05-13 07:20:57
Autor: Mateusz Viste
ip4 v ip6
On Sun, 12 May 2019 23:41:02 +0000, Marcin Debowski wrote:
Generalnie zadaję te pytania bo o IPv6 nie wiem nic a powoli dobrze by
było stan ten zmienić.

Hurricane Electric ma całkiem fajny (darmowy) program certyfikacyjny. A przynajmniej był całkiem fajny, kiedy zdawałem go kilkanaście lat temu. Nawet koszulkę od nich wtedy dostałem za zdanie, z dumnym napisem "IPv6 Certified Sage".

https://ipv6.he.net/certification/

Może to faktycznie kwestia przyzwyczajeń, ale segmentacja sieci na
lokalnych adresach wydaje się mi dużo bardziej przejrzysta. Jak coś jest
bardziej przejrzyste, to trudniej o błędy.

W kwestii routingu nic się nie zmienia. Odchodzi tylko bolesny NAT.

Zamiast mieć takie 3 sieci:
192.168.1.0/24
192.168.2.0/24
192.168.3.0/24

Będziesz mieć np. takie trzy*:

2a01:aaaa:bbbb:1:/64
2a01:aaaa:bbbb:2:/64
2a01:aaaa:bbbb:3:/64

*przy czym powyższe zależy od tego co oferuje ISP, patrz dwa punkty niżej. Jeśli to normalny ISP dla normalnych ludzi (a nie tranzytowiec lub łączność "dla firm"), to sprawa może być nieco mniej oczywista.

W IPv6 jak rozumiem dostanę pewną pulę adresów od IPSa (też mnie to
przeraża, że będę zalezny w takiej kwestii od IPS).

No ale przecież już jesteś zależny, jeśli chodzi o adres publiczny. Przy IPv6 twoja sieć staje się faktyczną częścią internetu - dlatego też nie może mieć tu miejsca żadna dowolność.

Pewnie da się to też posegmentować, na poziomie FW i bez NATu.

Tak, możesz mieć w domu różne podsieci do różnych potrzeb, ale pod warunkiem, że ISP przydzieli ci prefiks większy od /64 i zgodzi się wykonywać routing prefiksów na twoją domową bramę. Sądzę jednak, że większość ISP raczej będzie przydzielać klientom domowym bloki /64, a to oznacza tylko jedną sieć logiczną (mającą za to ponad 4 miliardy razy więcej adresów niż cały obecny internet). Niemniej jeśli się uprzesz to i w takiej sytuacji możesz dokonać segmentacji w domu - twój domowy router/
firewall musi wtedy działać po części w trybie bridge, tj. zezwolić aby kilka jego interfejsów należało do tej samej sieci IP. Filtry z reguły ustawia się wtedy w zależności od interfejsów, a nie adresacji (np. "to co wchodzi interfejsem CCTV_0 nie ma prawa wyjść w internet").

No to jasne, ale czytam np., że routery (zgaduję, że te ISP i inne nieco
"większe" mogą dynamicznie "przenumerować" całé pule adresów IPv6. To
jak ja mam w tej sytuacji zrobić np. static DHCP?

Możliwość masowej renumeracji prefiksów istnieje, ale czy w praktyce ktokolwiek będzie jej używał w środowisku ISP? Mam wątpliwości, bo nie za bardzo jest potrzeba takiego cyrkowania - adresów starczy dla wszystkich. No ale tak czy siak - wszystko sprowadza się do kwestii umownej z ISP. Jeśli przydzielił statyczny prefix IPv6, to wiesz że się nie zmieni.

Przenumerowanie dotyczy tylko adresów segmentów sieci (network prefix),
a adres link-local jest zawsze zachowany?

Adres link-local jest pochodną adresu MAC, ale tylko w swoich ostatnich 8 bajtach. Router narzuca swój prefiks link-local. Ale dla ciebie to żaden problem, skoro i tak masz swój własny router/firewall przed CPE ISP.

Mateusz

Data: 2019-05-13 19:09:03
Autor: Mateusz Viste
ip4 v ip6
On Mon, 13 May 2019 20:58:56 +0200, marrgol wrote:
W IPv6 jest zdefiniowana pula adresów lokalnych (tzw. ULA) będąca
odpowiednikiem prywatnych sieci w IPv4, więc nic nie stoi na
przeszkodzie by nadal samemu kontrolować/segmentować swoją sieć lokalną,
bez uzależnienia od przydziału adresu, czy nawet całej puli, od IPS-a, i
z miejscem na pewną dowolność. :-)

Szczegóły: https://tools.ietf.org/html/rfc4193.

Ano. Nie chciałem mieszać ponad potrzebę, no ale na upartego można... Tylko wtedy zaczyna się już ostra jazda - każdy host w sieci nagle ma 4 adresy: 1x IPv4, 1x IPv6 link-local, 1x IPv6 Global, 1x IPv6 ULA...

A Marcin pisał, że lubi przejrzystość. :)

Mateusz

Data: 2019-05-13 20:58:56
Autor: marrgol
ip4 v ip6
On 2019-05-13 at 09:20, Mateusz Viste wrote:
Może to faktycznie kwestia przyzwyczajeń, ale segmentacja sieci na
lokalnych adresach wydaje się mi dużo bardziej przejrzysta. Jak coś jest
bardziej przejrzyste, to trudniej o błędy.

W kwestii routingu nic się nie zmienia. Odchodzi tylko bolesny NAT.

Zamiast mieć takie 3 sieci:
192.168.1.0/24
192.168.2.0/24
192.168.3.0/24

Będziesz mieć np. takie trzy*:

2a01:aaaa:bbbb:1:/64
2a01:aaaa:bbbb:2:/64
2a01:aaaa:bbbb:3:/64

*przy czym powyższe zależy od tego co oferuje ISP, patrz dwa punkty niżej. Jeśli to normalny ISP dla normalnych ludzi (a nie tranzytowiec lub łączność "dla firm"), to sprawa może być nieco mniej oczywista.

W IPv6 jak rozumiem dostanę pewną pulę adresów od IPSa (też mnie to
przeraża, że będę zalezny w takiej kwestii od IPS).

No ale przecież już jesteś zależny, jeśli chodzi o adres publiczny. Przy IPv6 twoja sieć staje się faktyczną częścią internetu - dlatego też nie może mieć tu miejsca żadna dowolność.

Pewnie da się to też posegmentować, na poziomie FW i bez NATu.

Tak, możesz mieć w domu różne podsieci do różnych potrzeb, ale pod warunkiem, że ISP przydzieli ci prefiks większy od /64 i zgodzi się wykonywać routing prefiksów na twoją domową bramę. Sądzę jednak, że większość ISP raczej będzie przydzielać klientom domowym bloki /64, a to oznacza tylko jedną sieć logiczną (mającą za to ponad 4 miliardy razy więcej adresów niż cały obecny internet). Niemniej jeśli się uprzesz to i w takiej sytuacji możesz dokonać segmentacji w domu - twój domowy router/
firewall musi wtedy działać po części w trybie bridge, tj. zezwolić aby kilka jego interfejsów należało do tej samej sieci IP. Filtry z reguły ustawia się wtedy w zależności od interfejsów, a nie adresacji (np. "to co wchodzi interfejsem CCTV_0 nie ma prawa wyjść w internet").

W IPv6 jest zdefiniowana pula adresów lokalnych (tzw. ULA) będąca
odpowiednikiem prywatnych sieci w IPv4, więc nic nie stoi na
przeszkodzie by nadal samemu kontrolować/segmentować swoją sieć
lokalną, bez uzależnienia od przydziału adresu, czy nawet całej
puli, od IPS-a, i z miejscem na pewną dowolność. :-)

Szczegóły: https://tools.ietf.org/html/rfc4193.


--
mrg

Data: 2019-05-14 00:14:04
Autor: Marcin Debowski
ip4 v ip6
On 2019-05-13, marrgol <marrgol@address.invalid> wrote:
On 2019-05-13 at 09:20, Mateusz Viste wrote:
Może to faktycznie kwestia przyzwyczajeń, ale segmentacja sieci na
lokalnych adresach wydaje się mi dużo bardziej przejrzysta. Jak coś jest
bardziej przejrzyste, to trudniej o błędy.

W kwestii routingu nic się nie zmienia. Odchodzi tylko bolesny NAT.

Zamiast mieć takie 3 sieci:
192.168.1.0/24
192.168.2.0/24
192.168.3.0/24

Będziesz mieć np. takie trzy*:

2a01:aaaa:bbbb:1:/64
2a01:aaaa:bbbb:2:/64
2a01:aaaa:bbbb:3:/64

*przy czym powyższe zależy od tego co oferuje ISP, patrz dwa punkty niżej. Jeśli to normalny ISP dla normalnych ludzi (a nie tranzytowiec lub łączność "dla firm"), to sprawa może być nieco mniej oczywista.

W IPv6 jak rozumiem dostanę pewną pulę adresów od IPSa (też mnie to
przeraża, że będę zalezny w takiej kwestii od IPS).

No ale przecież już jesteś zależny, jeśli chodzi o adres publiczny. Przy IPv6 twoja sieć staje się faktyczną częścią internetu - dlatego też nie może mieć tu miejsca żadna dowolność.

Pewnie da się to też posegmentować, na poziomie FW i bez NATu.

Tak, możesz mieć w domu różne podsieci do różnych potrzeb, ale pod warunkiem, że ISP przydzieli ci prefiks większy od /64 i zgodzi się wykonywać routing prefiksów na twoją domową bramę. Sądzę jednak, że większość ISP raczej będzie przydzielać klientom domowym bloki /64, a to oznacza tylko jedną sieć logiczną (mającą za to ponad 4 miliardy razy więcej adresów niż cały obecny internet). Niemniej jeśli się uprzesz to i w takiej sytuacji możesz dokonać segmentacji w domu - twój domowy router/
firewall musi wtedy działać po części w trybie bridge, tj. zezwolić aby kilka jego interfejsów należało do tej samej sieci IP. Filtry z reguły ustawia się wtedy w zależności od interfejsów, a nie adresacji (np. "to co wchodzi interfejsem CCTV_0 nie ma prawa wyjść w internet").

W IPv6 jest zdefiniowana pula adresów lokalnych (tzw. ULA) będąca
odpowiednikiem prywatnych sieci w IPv4, więc nic nie stoi na
przeszkodzie by nadal samemu kontrolować/segmentować swoją sieć
lokalną, bez uzależnienia od przydziału adresu, czy nawet całej
puli, od IPS-a, i z miejscem na pewną dowolność. :-)

Szczegóły: https://tools.ietf.org/html/rfc4193.

Mateusz, marrgol, dzięki za informacje. W tej chwili jest tak jak się spodziewałem - walczę już drugi dzień z ISP, który twierdzi, że właczył, a mój ONR jakoś nie dostaje adresu IPv6. Znając miejscowe kompetencje, mocno obawiam się, ze nie dość, że tego nie zrobią to jeszcze coś gruntownie sp. Stad i obawy, że mieliby dysponować pulą przydzielanych adresów. Jak mam tylko lokalne adresy w obrebie wewnętrznej sieci to choćby WAN padł to u mnie nadal wszystko wewnętrznie działa, a tu, jak mi lo coś wywina to jak? Zasoby są obsługiwane po IP. Chyba się jednak nie obejdzie bez lokalnych adresów.

Na razie planuje to tak, że o ile się uda ISP w końcu to włączyc, to zrobię sobię małą siec testową obok obecnej i tam będę się bawił.

--
Marcin

Data: 2019-05-14 14:29:37
Autor: Marcin Debowski
ip4 v ip6
On 2019-05-14, Marcin Debowski <agatek@INVALID.zoho.com> wrote:
Na razie planuje to tak, że o ile się uda ISP w końcu to włączyc, to zrobię sobię małą siec testową obok obecnej i tam będę się bawił.

Zaczęło się i idzie zgodnie z przewidywaniami. Po porażce na poziomie BOKu, sprawę przekazano *inżynierom*. Pod koniec dnia, zadzwonił miły pan, który w ogóle nie chciał słuchac, że na routerach nie ma IPv6 (nie dostają tego z WANu) i uparcie namawiał mnie abym włączył IPv6 na karcie w swoim laptopie. Nakierowywał mnie, ze mam otworzyć panel kontrolny, a gdy po drugim razie zwróciłem mu uwagę, że nie wszyscy mają Windows, to się zgodził, po czym powiedział żebym otworzył panel kontrolny. Wymiękłem i zbutowałem do Windows.

Zgodnie z przykazaniem, odhaczyłem (był zaznaczony) i ponownie zahaczyłe kwadracik z IPv6 na adapterze karty po czym pan nakierował mnie na linię poleceń i był cały dumny jak mu przeczytałem co tam jest bo faktycznie stało, że jest IPv6 (nielokalny) ale wyrażnie było napisane, że to tunelowanie po IPv4. Nie docierało, zaproponowałem więc, że wejdę na jedną stronę testową, ok, wlazłem, 0/10, nie ma IPv6. Zaczął mi tłumaczyć, że strona nie spełnia wymogów formalnych (?). Zaproponowałem aby podał taką, która spełnia. Nie potrafił, to zaproponowałem, że skoro jak twierdzi działa to po prostu wyłączne IPv4 i wlezę na FB. Ochodzo przystał. Wyłączyłem. Wifi siadło od razu bo AP nie pobiera adresu (niby skąd skoro WAN nie daje a nie mam lokalnych DHCPv6). Powiedziałem mu, że po ipconfig pokazuje tylko local link. Pan zafrasował. Poprosił o zrzuty ekranu. Boję jutra.

--
Marcin

Data: 2019-05-10 23:21:46
Autor: Marcin Debowski
ip4 v ip6
On 2019-05-10, Mateusz Viste <mateusz@nie.pamietam> wrote:
Niebawem pojawią się strony IPv6-only. Co wtedy? 2^32 to naprawdę za mało by nas wszystkich obsłużyć.

Tak mówili od zawsze, ale nie rozumiem w zwiazku z powyższym pewnego fenomenu. Jeszcze 5-7 lat temu dostanie statycznego adresu IPv4 to był wyczyn (wydatek). Teraz za psie pieniądze, czyli np. w parodolarowym pakiecie można mieć taki statyczny IP praktycznie gdzie się człowiek nie obejrzy. O co tu chodzi? Coś grubego zwolniło jakąś pulę?

--
Marcin

Data: 2019-05-11 09:57:54
Autor: Mateusz Viste
ip4 v ip6
On Fri, 10 May 2019 23:21:46 +0000, Marcin Debowski wrote:
On 2019-05-10, Mateusz Viste <mateusz@nie.pamietam> wrote:
Niebawem pojawią się strony IPv6-only. Co wtedy? 2^32 to naprawdę za
mało by nas wszystkich obsłużyć.

Tak mówili od zawsze, ale nie rozumiem w zwiazku z powyższym pewnego
fenomenu. Jeszcze 5-7 lat temu dostanie statycznego adresu IPv4 to był
wyczyn (wydatek). Teraz za psie pieniądze, czyli np. w parodolarowym
pakiecie można mieć taki statyczny IP praktycznie gdzie się człowiek nie
obejrzy. O co tu chodzi? Coś grubego zwolniło jakąś pulę?

RIPE i ARIN wyrwali już jakiś czas temu spore pule nieużytków od historycznych klientów, którzy w latach '80 zarezerwowali spore zasoby nigdy z nich później nie korzystając. Jednocześnie dla LIRów zaostrzyli zasady przyznawania pul (m.in. wymóg aktywnego rozgłaszania prefiksów). Dzięki temu na rynku pojawiły się znów dostępne adresy - ale to wszystko desperackie akcje na krótką metę.

Mateusz

Data: 2019-05-11 00:53:45
Autor: Animka
ip4 v ip6
W dniu 2019-05-10 o 22:03, Mateusz Viste pisze:
Youtube, Google, Wikipedia, Instagram i wiele innych... działa od dawna
pod IPv6.

Pod IPv4 także działa i właśnie używam tylko IPv4.


--
animka

Data: 2019-05-11 12:11:58
Autor: 2late
ip4 v ip6
On 10/05/2019 09:03 PM, Mateusz Viste wrote:
Niebawem pojawią się strony IPv6-only. Co wtedy? 2^32  to naprawdę za mało
by nas wszystkich obsłużyć.

Mateusz

Zanim pojawia sie strony, w pierwszej kolejnosci na IPv6 przejda predzej wszystkie urzadzenia typu kasa fiskalna, laweczka multimedialna, pralka czy mikrofalowka albo inna zarowka.
Nie podejrzewam zeby ktos zaryzykowal i zrobil strone internetowa IPv6 only. Aktualnie jest problem z porzuceniem starych technologi typu flash, windows xp, etc...

Pozdrawiam
--
2late(TM) Outspace Communication Inc.(R) 1999*2019(C)
Stupidity, like virtue, is its own reward
https://www.youtube.com/watch?v=IwflqSZ-xks

Data: 2019-05-11 13:28:25
Autor: Mateusz Viste
ip4 v ip6
On Sat, 11 May 2019 12:11:58 +0100, 2late wrote:
Nie podejrzewam zeby ktos zaryzykowal i zrobil strone internetowa IPv6
only.

Takie już są (w b. skromnej ilości, bo jak zauważyłeś to wiąże się póki co z dużym ryzykiem) - w jednej z poprzednich wiadomości podałem przykład. Domniemywam, że w azjatyckim świecie takich stron jest więcej, ale nie sprawdzę bo nie rozumiem ich krzaczków.

Mateusz

Data: 2019-05-11 16:03:32
Autor: Robert Wańkowski
ip4 v ip6
W dniu 2019-05-11 o 15:28, Mateusz Viste pisze:
On Sat, 11 May 2019 12:11:58 +0100, 2late wrote:
Nie podejrzewam zeby ktos zaryzykowal i zrobil strone internetowa IPv6
only.

Takie już są (w b. skromnej ilości, bo jak zauważyłeś to wiąże się póki
co z dużym ryzykiem) - w jednej z poprzednich wiadomości podałem
przykład. Domniemywam, że w azjatyckim świecie takich stron jest więcej,
ale nie sprawdzę bo nie rozumiem ich krzaczków.

Włączam tą stronę https://test-ipv6.com/index.html.pl_PL
I mam m.i. takie komunikaty:

-"Wygląda na to, że jesteś w stanie przeglądać Internet wyłącznie poprzez protokół IPv4. Nie będziesz w stanie dostać się do stron udostępnionych wyłącznie za pomocą IPv6."

-"Twój serwer DNS (prawdopodobnie prowadzony przez twojego dostawcę usług) wygląda jak by posiadał połączenie do Internetu z wykorzystaniem protokołu IPv6."

Jak to rozumieć? Jeżeli wpisze nazwę strony to wejdę na nią, a jeżeli numer IP to nie zostanę wpuszczony?

Robert

Data: 2019-05-11 14:25:21
Autor: Mateusz Viste
ip4 v ip6
On Sat, 11 May 2019 16:03:32 +0200, Robert Wańkowski wrote:
-"Twój serwer DNS (prawdopodobnie prowadzony przez twojego dostawcę
usług) wygląda jak by posiadał połączenie do Internetu z wykorzystaniem
protokołu IPv6."

Jak to rozumieć? Jeżeli wpisze nazwę strony to wejdę na nią, a jeżeli
numer IP to nie zostanę wpuszczony?

Komunikat jak sądzę mówi tylko tyle, że serwer DNS z którego korzystasz jest w stanie zwrócić adres IPv6 dla danej strony, jeśli o taki rekord (AAAA) poprosisz. No ale nic ci po tym, skoro i tak nie masz IPv6.

Jeśli masz tylko adres IPv4 to przeglądarka, chcąc połączyć się np. z facebook, zapyta (pośrednio przez system operacyjny) serwer DNS o rekord 'A' dla facebook.com i otrzyma odpowiedź:

facebook.com.  IN  A  179.60.192.36

Jeśli natomiast miałbyś adres IPv4 ORAZ adres IPv6, to przeglądarka zapyta o rekordy A (ipv4) i AAAA (ipv6). Odpowiedź w takim razie będzie wyglądać tak:

facebook.com.  IN  AAAA  2a03:2880:f11f:83:face:b00c:0:25de
facebook.com.  IN  A     179.60.192.36

W takiej sytuacji przeglądarka będzie mogła wybrać (zależnie od swoich preferencji), czy połączyć się po IPv4 czy po IPv6.

Mateusz

Data: 2019-05-11 19:58:41
Autor: Animka
ip4 v ip6
W dniu 2019-05-11 o 16:03, Robert Wańkowski pisze:
W dniu 2019-05-11 o 15:28, Mateusz Viste pisze:
On Sat, 11 May 2019 12:11:58 +0100, 2late wrote:
Nie podejrzewam zeby ktos zaryzykowal i zrobil strone internetowa
IPv6 only.

Takie już są (w b. skromnej ilości, bo jak zauważyłeś to wiąże się
póki co z dużym ryzykiem) - w jednej z poprzednich wiadomości
podałem przykład. Domniemywam, że w azjatyckim świecie takich stron
jest więcej, ale nie sprawdzę bo nie rozumiem ich krzaczków.

Włączam tą stronę https://test-ipv6.com/index.html.pl_PL I mam m.i.
takie komunikaty:

-"Wygląda na to, że jesteś w stanie przeglądać Internet wyłącznie poprzez protokół IPv4. Nie będziesz w stanie dostać się do stron udostępnionych wyłącznie za pomocą IPv6."

-"Twój serwer DNS (prawdopodobnie prowadzony przez twojego dostawcę usług) wygląda jak by posiadał połączenie do Internetu z
wykorzystaniem protokołu IPv6."

Jak to rozumieć? Jeżeli wpisze nazwę strony to wejdę na nią, a jeżeli
 numer IP to nie zostanę wpuszczony?

Włącz u siebie to IPv6 w ustawieniach sieciowych (ikona poł. sieciowych w
tray'u)  i jeszcze raz sprawdź na tej stronie czy taki sam komunikat sę pokaże.


--
animka

Data: 2019-05-10 20:07:23
Autor: pueblo
ip4 v ip6
Witaj heby, 10 maj 2019 w news:qb4i23$eqn$2dont-email.me
napisałeś/aś:
On 09/05/2019 20:14, pueblo wrote:
Może ktoś mnie objaśnić, jaka różnica. Pytam w kontekście dostawców
internetu.

W tym kontekście jeśli jesteś userem domowym temat ipv6 praktycznie
nie istnieje.

Posiadanie ipv6 może mieć jakieś zalety ale normalny internet
userowy też nie działa na ipv6. Posiadanie domen w tej adresacji
ciągle jest wyjątkiem.

Daruj sobie chyba że chcesz jakieś tunele stawiac, wtedy ma to
śladowy sens.
Wiesz, tu nie chodzi o to, że ja chcę ip6. Jak pisałem, podobno np. orange w światłowodzie to jest ip6 i interesuje mnie to, co będzie jak się na to zdecyduję. Dlatego pytałem, bo nie wiem czy to prawda, że jakiś IPS może mieć łącze ip6 a inny ip4.

Data: 2019-05-10 21:40:58
Autor: Mateusz Viste
ip4 v ip6
On Fri, 10 May 2019 20:07:23 +0000, pueblo wrote:
Wiesz, tu nie chodzi o to, że ja chcę ip6. Jak pisałem, podobno np.
orange w światłowodzie to jest ip6 i interesuje mnie to, co będzie jak
się na to zdecyduję.

Nic nie będzie. Wszystko będzie działać (póki co) tak samo - tyle że przeglądarka do części stron i usług internetowych będzie korzystała z protokołu IPv6 (facebook, youtube, messenger, wikipedia, itd itp). Ale użytkownik tego w ogóle nie zauważy.

Dlatego pytałem, bo nie wiem czy to prawda, że
jakiś IPS może mieć łącze ip6 a inny ip4.

Część ISP proponuje łącza IPv4, a część IPv4+IPv6. W przyszłości wszystkie oferty będą w dual stacku, czyli IPv4+IPv6. A w jeszcze dalszej przyszłości IPv4 całkiem zniknie.

Mateusz

Data: 2019-05-10 22:25:56
Autor: RadoslawF
ip4 v ip6
W dniu 2019-05-10 o 22:07, pueblo pisze:

Posiadanie ipv6 może mieć jakieś zalety ale normalny internet
userowy też nie działa na ipv6. Posiadanie domen w tej adresacji
ciągle jest wyjątkiem.

Daruj sobie chyba że chcesz jakieś tunele stawiac, wtedy ma to
śladowy sens.

Wiesz, tu nie chodzi o to, że ja chcę ip6. Jak pisałem, podobno np.
orange w światłowodzie to jest ip6 i interesuje mnie to, co będzie jak
się na to zdecyduję. Dlatego pytałem, bo nie wiem czy to prawda, że jakiś
IPS może mieć łącze ip6 a inny ip4.

Pracując na ip6 nie zachowano kompatybilności z ip4.
Jedyny znany mi feler tego rozwiązania to że urządzenia sieciowe
muszą obsługiwać oba protokoły czy jak kto woli obie sieci.
Czyli dostawcy więcej płacą za urządzenia.
Serwery DNS obsługują oba protokoły więc z punku widzenia
użytkownika nie ma znaczenia czy stronka www.nagie.babki
jest w sieci ip6 czy ip4.
A skoro orange w światłowodzie jest na ip6 to możesz sprawdzić
to co napisałem rozmową z jakimś użytkownikiem ich łącza.


Pozdrawiam

Data: 2019-05-10 21:56:43
Autor: PH
ip4 v ip6
Od wielu już lat operatorzy w Chinach i Indiach pracują na IPv6. Tylko na IPv6, bo po prostu ich sieci komórkowe mają tylu użytkowników, że nawet NAT nie pomaga. Dostęp do IPv4 jest realizowany po stronie operatora przez translację, więc dostępu do żadnych stron się nie traci.

Tak samo działa np. sieć wewnetrzna FB, przez co zyskuje się parę ms wchodząc tam po IPv6.

W Orange (stacjonarnie) jest póki co obsługa obydwu protokołów. Żaden komórkowy operator u nas jeszcze nie używa IPv6, przynajmniej nigdy nie udało mi się uzyskać IPv6 łącząc się z LTE.

A do ochrony sieci służy coś, co wynaleziono długo przed NAT - nazywa się firewall.

Pozdrawiam
Paweł

ip4 v ip6

Nowy film z video.banzaj.pl więcej »
Redmi 9A - recenzja budżetowego smartfona