Компания Cloudflare проанализировала степень внедрения протокола IPv6 в глобальной сети, используя в качестве источника данных сведения о трафике в своих сервисах. В трафике сети доставки контента число пользователей, поддерживающих IPv6, оценено в 35.9% (доля поддержки IPv6 среди ботов составляет 24%, а среди людей - 46%). Для сравнения по данным интернет-регистратора APNIC общемировая степень внедрения IPv6 оценена в 36.64%. Лидеры по внедрению IPv6: Индия (81.53%), Малазия (69.48%), Франция (66.67%), Бельгия (66.02%) и Германия (64.91%). В России уровень поддержки IPv6 составляет 10.84%, Украине - 11.76%, Беларуси - 13.59%, Казахстане - 14.61%, Узбекистане - 0.15%, Киргизии - 0.05%...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=60295
Раньше Росссия была одним из лидеров по внедрению ипв6, жаль, что упустили позиции.
А зачем провайдерам тратить деньги на ненужно? Ты до "недружественных" сайтов всё равно без спутникового интернета не дотянешься, зачем адресному ресурсу пропадать. А если будет у тебя спутниковый интернет или специальный VPN для дворян (разумеется, не для баловства, а дщя работы на благо Родины!) - то будет и нативный v6, а проблемы чебурашек члена привелигированной касты особо волновать и не будут.
> Ты до "недружественных" сайтов всё равно без спутникового интернета не дотянешьсяДотягиваюсь даже без VPN, просто обычным cloudflare warp. Живу на украине у нас почти весь рунет заблочен по ip (не по dns).
Круть, у вас ещё спутники не контролируют? У нас (вна Украине) уже контролируют — ставят своё оборудование как-бы в аренду с контролем интернета. А те кто берет персональное оборудование и сам подключается к спутниковому интернету — не обслуживают и выслеживают. Хотел я недавно поставить спутник, вот такие нюансы узнал. Вы там демократичную свободную индейку подкиньте своему Роскомнадзору.
Замена слов на телефоне меняет смысл предложений. Не индейку, а идейку.
У нас кто берет оборудование особенно от Маска это оборудование в одном месте почему-то сразу оказывается.
Точка наведения для артиллерии?
Запускай свой спутник -
становись независимым и демократичным
Так уже давно и деньги тратить не нужно. Железо уже давно ipv6 поддерживает.
А можно не обновлять железо...
Зачем обновлять сетевую карту? Ей по барабану что там: хоть 4, хоть 6.
Чтобы всякие offload и прочие прелести работали.
Кстати, хороший пример заучивания до дыр многослоек OSI vs действительность.
А их тяжело было выучить? Скорее их понимание приводит к запоминанию
Ну, это как сказать. Вот у меня на фабрике шкаф с цисками работает лет десять точно и менять там никто ничего не будет еще столько. С одновременной поддержкой двух сетевых протоколов в условиях сетевой загрузки компов, назначенных адерсов и dhcp мобильным клиентам, маршрутизацией в три сети у этого шкафа не очень складывается именно на уровне ipv6-железа. А с ipv4 все пучком получается.
> А зачем провайдерам тратить деньги на ненужно?MTS даже не нужно ничего тратить, просто включить по умолчанию. Так как у них уже есть такая бесплатная услуга. Если NAT64 включить, то ещё и память можно будет разгрузить. Возможно даже расходы энергии снизятся.
Нужны ли инкам бусы в обмен на золото?
Вполне вероятно нужны. Золота у них много, а вот бусы диковинка.
Причем, учитывая, что так то золото ценно лишь потому, что люди просто так решили. Большая часть добытого золота либо таскается в виде побрякушек на теле (не сильно отличаясь от тех же инков), либо лежит в банках в виде слитков. В принципе, никакой пользы от него нет.
Смысл золота не в том, что оно полезно, а в том, что оно легко делится, достаточно редко (нельзя его добыть из ниоткуда и сильно обесценить) и не портится. Поэтому хорошо подходит как деньги.
> Причем, учитывая, что так то золото ценно лишь потому, что люди просто
> так решили. Большая часть добытого золота либо таскается в виде побрякушек
> на теле (не сильно отличаясь от тех же инков), либо лежит
> в банках в виде слитков. В принципе, никакой пользы от него
> нет.Золото обладает кучей уникальных физических и химических свойств, именно которые и обуславливают его ценность во всех отношениях. Другого металла ему на замену нет. Простой пример -- в каждой микросхеме, что в твоем компе, выводы с кристалла на контакты -- золото. Зеркало телескопа Webb покрыто золотом. Узнай сам, почему именно так.
> Нужны ли инкам бусы в обмен на золото?Судя по тому какие суммы платят за кусочки кремния, который так по жизни - под ногами валяется по сути... ответ, думаю, очевиден.
У меня прошлый провайдер наоборот в прошлом году отрубил IPv6. Спросил у них, сказали якобы по указания от РКН...
судя по всему есть такое. для DPI ipv6 добавляет много работы.
Зачем ipv6 в России? Весь рунет сидит за nat.
Тем не менее, внедряют IPv6.
Я в Москве не нашел ни одного провайдера с ipv6
> Я в Москве не нашел ни одного провайдера с ipv6Вот все в РФ: https://version6.ru/isp
РТ выдаёт по умолчанию лет 6 уже
Это могдо быть до образования РКН.
Не была она никогда лидером, не сочиняйте.
> Раньше Росссия была одним из лидеров по внедрению ипв6, жаль, что упустили
> позиции.А потом провы смекнули, что для надбавки на конский ценник абонентки в неё можно добавить конскую постоянную надбавку за модную фичу - предоставление IPv6, это следующая "модная фича", после платной надбавки за сервис - "статический IP".
А т.к. обычный народ не хочет оплачивать, по их мнению "за воздух", поэтому по всей СНГовии и такая картина. Всякое инженерное лидерство в очередной раз затормозила жадность собирающих дань с населения. Такие дела.
но зачем оно нам? лидерство по ненужному.
Гнаться за лидерством где попало, признак глупости и ущербности.
Россия и сейчас один из лидеров - суверенный интернет имеется.
А то что не у каждой кофеварки есть внешний белый айпишник - пофиг.
Вот китайцы решились только ipv6 делать новое все.
Пусть попользуются, потестируют. Наверняка дыр в протоколе вагоны - вафлисты с wpa2 не дадут солгать.
Вот пускай вся азия на нас поработает - тогда и будет повод переходить.
У нас население не то чтобы растет взрывными темпами.
Дооооо. Китайцам шестёрка настолько "понравилась", что аж пилят теперь свой "new IP". Хотя казалось бы, в шестёрке всё есть, запас адресов больше чем фотонов во вселенной...ipv6 yet another бессмысленная технология от академиков. В биореактор.
> Дооооо. Китайцам шестёрка настолько "понравилась", что аж пилят теперь свой "new IP".
> Хотя казалось бы, в шестёрке всё есть, запас адресов больше чем
> фотонов во вселенной...
> ipv6 yet another бессмысленная технология от академиков. В биореактор.Посмотри на страничке ссылке и по слову identity[1], *что* китайцам не понравилось. Если утрировать, им не понравилось, что технологии позволяют буквально пускать в интернет по паспорту, а этим в IPv6 не воспользовались. Как в миниатюре Жванецкого про турникеты - кто, с какого компьютера, зачем.
[1] https://www.itu.int/en/ITU-T/Workshops-and-Seminars/20191014...
> Дооооо. Китайцам шестёрка настолько "понравилась", что аж пилят теперь свой "new IP".
> Хотя казалось бы, в шестёрке всё есть, запас адресов больше чем
> фотонов во вселенной...У него есть главное - уже внедрено и работает. Более-менее по всему глобусу. Поддерживаясь кучей железок. А без этого никакой супер протокол нафиг не.
> ipv6 yet another бессмысленная технология от академиков. В биореактор.
Ну ты и будешь тогда качать только китайское порно, видимо. При том - из пары китайских универов следущие 10+ лет, пока этот new-чтототам не стандартизуют.
Для провайдера ipv6 это оверинжиниринг и потенциальные дыры в самых неожиданных местах. Нинужно.На серверах ipv6 выключен везде на уровне параметров груба, требование СБ.
Для чебурнета и кванмен и IPv4 пространства хватит.
Для интернета вещей и подобного,не хватит, и с большим запасом не хватит ipv4.
Так сделаем адреса по 48 бит , - оно и для чебурнета вещей достаточно, и с богомерзским западным интернетом не совместимо. И все Слава Отечеству! Гор
Вот лучше бы занялись бы внедрением блокировок телеметрии и лишней такой шелухи.
Ух, сейчас бы чужой трафик разгребать и что-то там блокировать. Сам разберёшься. А если не разберёшься, то значит и не надо тебе.
> блокировок телеметрииА что существует механизм выявления телеметрии? Так пол интернета придётся заблокировать.
Раньше не думал что появится, например, тот же блокировщик рекламы. Просто что у нас привыкли бороться с вражескими сайтами, но вот там где реклама всякого шлака, вида "таро-карт" не банят.
скоро запретят и таро и экстрасенсов и колдунов тоже.
И налоги? Кстати, тароианцы налоги платят?
А то ещё сидит ясновидящий, и ясно видит Главную Тайну: кто сколько у кого своровал, куда вывел, и сколько отдал "за защиту".
И потолок, и стены
Пчёлам против мёда быть предлагаешь?
> Вот лучше бы занялись бы внедрением блокировок телеметрии и лишней такой шелухи.Клаудфларь то? Которая себя фронтом на половину сайтов подпихнула, делая "SSL Bumping" по сути? Вот ща, пчелы против меда :)
Объективно ipv6 не нужен т.к. всё равно все сидят за nat, и а тех адресов ipv4 хватит за глаза для сервисов светящих голой жoпoй в инет.
Не нужен потому что все сидят за NAT. Вот это логика. Лекарство от рака не нужно, потому что люди болеют раком.Ладно, сложно наверно. При IPV6 они больше не будут сидеть за нато.
Вот тут ХЗ, IPv6 NAT есть.
Зачем в IPv6 NAT? Вот мне провайдер даёт IPv6 с /56. Нахрена мне NAT в такой сети?
Для анонимизации. А повсеместный IPv6 нужен чтобы хотя бы мудачью из роскомпозора было сложнее банить по айпи.
Пфф... Будут банить с маской произвольной длины, какой захотят.
Так ёлы, владельцам VPN'ов стоит озаботиться скупкой отдельных или небольших группок апишников из разных префиксов у их владельцев. Т.о., более-иенее равномерно размазать алреса по всему пространству. А что касаемо маршрутизации, так придумали же недавно протокол для индивидуальных адресов.
> Будут банить с маской произвольной длины, какой захотят.А сейчас что мешает так делать?
> Для анонимизации. А повсеместный IPv6 нужен чтобы хотя бы мудачью из
> роскомпозора было сложнее банить по айпи.Ну во первых в V6 тебе дают целую подсеть - и потом гадай, один это юзер/девайс и проч или разные. Это надо профайл собирать - а на 2^128 динамических айпишников база профайлов так то начинает со временем весить очень некомфортно.
Во вторых для этого скорее впны и прокси существуют. И прочие торы. Он кстати тоже умеет в V6. И у многих бриджей/entry/... - есть IPv6.
Ну так целую подсеть и банить. Целиком. Не проблема.
> Ну так целую подсеть и банить. Целиком. Не проблема.В случае каких-то совсем задолбавших потуг из проблемной подсети так и делают - но в целом это позволяет гораздо гранулярнее накрывать источник проблем.
В случае натов - выбор получается довольно голимый, нагнуть всю толпу - или получать проблемный трафик до упора. Выносить абузеров юнитами вида "забанили весь MTS - наступила тишь и гладь" жто замечательно, конечно, но при орудовании таким методом вскоре оказывается забанен весь интернет и тогда и конекться сам с собой! И баны широкими подмасками с плеча ведут туда же. Некоторые подсети такого конечно заслуживают - но в IPv6 можно произвести измерения, набрать статистику и принять решение - индивидуально оно или уже по подсети. А в IPv4 NAT такой опции нет. И в результате получается как с антибиотиками - ну да, вытравило лишних. А заодно и полезных, что ессно воздается от души ;).
> Для анонимизации.NAT для анонимизации сортира от спальни или от кухни?
> А повсеместный IPv6 нужен чтобы хотя бы мудачью из роскомпозора было сложнее банить по айпи.
Никак не сложнее.
> Для анонимизации. А повсеместный IPv6 нужен чтобы хотя бы мудачью из роскомпозора
> было сложнее банить по айпи.не, глаза у админов уже мутировали под айпив6 и что лиш чутьчуть сможет вызвать у них детские истерики это порты на цифре из айпишника
Вот именно из-за такого подхода- ipv6 не просто не нужен, а откровенно вреден.
Если забыть/забить про/на EUI64, а пользоваться DHCP6, то для квартиры вполне достаточно /120. Если каждому /56 (вы)давать, поломается кровать... подсетки быстро закончатся.
Подсетки быстро не закончатся даже если «каждому» по /48 выдавать. Но текущие рекомендации «для квартиры» — /60.
Для квартир максимум именно /56, а минимум /48 - общая рекомендация RIPE, под которой мы все в этой части глобуса. Так что всё что больше /56 может свидетельствовать лишь о жлобстве провайдера.Ниже я дал ссылки, но злобный максимов бот их скрыл.
https://www.ripe.net/publications/docs/ripe-690#4-2-2---48-f...4.2.2. /48 for business customers and /56 for residential customers
https://www.ripe.net/publications/docs/ripe-690#4-2-3--prefi...
4.2.3. Prefixes, longer than /56
It is strongly discouraged to assign prefixes longer than /56 unless there are very strong and unsolvable technical reasons for doing this.
Не знаю, нахрена вам лично, но:
cat .config | grep IP6_NF_NAT
cat .config | grep IP6_NF_TARGET_MASQUERADE
cat .config | grep IP6_NF_TARGET_NPT
НАТ конечно костыль, но костыль оказался удобным. Он позволяет отделить легко и быстро всю мою локальную сеть от мира.
Мне честно нафиг не нужно чтобы мой чайник светился в интернете белым айпи.
Ну я то ладно, я смогу настроить оборудование так, чтобы он и с ипв6 не светился.
А вот как обычный пользователь это сделает, вопрос для меня закрытый, ни как. НАТ тут не панацея, но помогает.
Для этого давно придуман фаервол. NAT в качестве фаервола используют лишь ламеры.
В каждой отрасли должно быть Бесполезное Сакральное Напоминание.
- Не плавают, а ходят.
- Кривошипно-шатунного механизма нет.
- NAT не файрвол.А файрвол не вотервиндоу, чтобы по умолчанию давать минимальную связность и отбрасывать к ней при ошибках в правилах. Которые допускают производители домашних роутеров[1][2]. Которые покупают ламеры. Которые не принимают такие решения (использовать что-то в качестве чего-то), а сидят с тем, что есть из коробки (и производитель иногда следит, чтобы больше ничего доступно не было).
[1] https://www.reddit.com/r/TPLink_Omada/comments/10lpu8u/er605.../
[2] https://community.tp-link.com/en/home/forum/topic/78968
НАТ позволяет ламерам себя обезопасить. Это плохо?
Не позволяет он себя обезопасить ... Откуда этот миф ? Он позволяет внутренней сети ходит в инет через один IP адрес. Был когда-то IPX-IP gateway от Novell ... Классная штука ... Никаких тебе IP в клиенте и натов с dhcp.
Почему миф то? NAT существенно уменьшает attack surface, при этом доступен любому домохозяйству.
А чем он отличается от включённого фаервола, на котором просто закрыты все входящие?
> А чем он отличается от включённого фаервола, на котором просто закрыты все
> входящие?тем, что на большинстве роутеров абсолютно нет Огнестены!
Плюс у ИПв6 белые айпи все! Твоя локалка становится глобалкой.
> тем, что на большинстве роутеров абсолютно нет Огнестены!Что за бред?
>> тем, что на большинстве роутеров абсолютно нет Огнестены!
> Что за бре?Это база, а не бред. Фаирвол ставят там где им пользуются, а большинство роутеров ставятся с настройками по умолчанию. И поверь, производители это знают.
Конечно есть модели с огнестеной, но покупают их не так много, а настраивают их еще меньше чем покупают.
Пройдись по знакомым своим, поспрашивай, удивишься реальности.
>>> тем, что на большинстве роутеров абсолютно нет Огнестены!
>> Что за бре?
> Это база, а не бред. Фаирвол ставят там где им пользуются, а
> большинство роутеров ставятся с настройками по умолчанию. И поверь, производители это
> знают.
> Конечно есть модели с огнестеной, но покупают их не так много, а
> настраивают их еще меньше чем покупают.
> Пройдись по знакомым своим, поспрашивай, удивишься реальности.Я и по собственному опыту вижу включённый фаервол в настройках по умолчанию.
Откуда вы вылазите, я не понимаю.
с ИПв6 я получаю белые айпи, которые видны из инета. Это база.
В то время, НАТ маскирирует локальную сеть и закрывает из вне доступ. Для этого мне надо на шлюзе настраивать проброс портов, либо выдавать внутри сети белые айпи.И да, это повышает безопасность. Прикинь. Не панацея, но для обычных пользователей это уже огромный плюс.
Сам то ты откуда вылез, такой тёмный? Маскировка локальной сети NAT-ом является лишь побочным эффектом. Точно такой же эффект, но бех костылей с трансляцией и пробросами портов можно получить при помощи фаервола и вот для него это уже не будет побочной функциональностью, а основной.
[сообщение отредактировано модератором]
Вот я темный, ага, только ты читать не умеешь.
Вылез чудо в перьях, умный такой весь, только читать не умеет и думает что умный. Тьфу.
Прочти с первого моего сообщения. Где я это и писал и написал почему НАТ хорош.Для дремучих малолеток, рассказываю.
В домашнем сегмент оборудования, шлюзов, роутеров, свичей, репитеров и тп, нет такой функции как Фаирвол. Априори.
Но что интересней, если он бы так и был, это ровным счетом ничего не означало бы. Так как редкая птица, ой то есть пользователь, знает что такое Фаирвол. А про настройку, я вообще молчу.
Более того, большинство гуру айтишников, тоже не умеют его настраивать. Я очень удивлюсь, если ты его умеешь настраивать.
Так вот большинство пользователей, даже пароль на оборудовании не меняет, так как не знает что так надо делать и что так можно делать.И вот скажи мне гений умный просветленный, какой так фаирвор ты собрался ставить пользователю? Сам лично гений умный просветленный будешь всем настраивать?
Естественно нет, ты же только болтать языком умеешь, а к реальной ситуации даже 11 метровой палкой не подойдешь. Обычный теоретик на Опеннете.
> Вот я темный, ага, только ты читать не умеешь.
> Вылез чудо в перьях, умный такой весь, только читать не умеет и
> думает что умный. Тьфу.
> Прочти с первого моего сообщения. Где я это и писал и написал
> почему НАТ хорош.
>
> Для дремучих малолеток, рассказываю.Излил желчь, полегчало? В следующий раз лучше запишись к гастроэнтерологу, я серьёзно.
> В домашнем сегмент оборудования, шлюзов, роутеров, свичей, репитеров и тп, нет такой
> функции как Фаирвол. Априори.Ещё как есть. Иногда бывает, что раутер принадлежит провайдеру который имеет там исключительные административные права и часть настроек раутера скрывает от клиента, считая его домохозяйкой. Но это не значит, что фаервола там нет или что он не работает.
> Но что интересней, если он бы так и был, это ровным счетом
> ничего не означало бы. Так как редкая птица, ой то есть
> пользователь, знает что такое Фаирвол. А про настройку, я вообще молчу.Да ну и что же там нужно настраивать? По умолчанию все входящие соединения запрещены, то есть ты по умолчанию получаешь ровно ту же самую защиту, котороую тебе даёт NAT, но уже не как побочный эффект, а целенаправлено и правильно. При этом, с IPv6, у тебя не будет массы проблем, которые нередко бывают из-за NAT.
> Более того, большинство гуру айтишников, тоже не умеют его настраивать. Я очень
> удивлюсь, если ты его умеешь настраивать.Начинай удивляться, потому что я не только умею, но и на самом деле настраивал фаерволы в прошлом и на домашних раутерах и на серверах.
> Так вот большинство пользователей, даже пароль на оборудовании не меняет, так как
> не знает что так надо делать и что так можно делать.Ты не поверишь, но домашним пользователям смена пароля на раутере вообще ничего не даёт. Подключение к вебморде снаружи всё равно запрещено. К тому же сейчас пароли по умолчанию уже сплош и рядом рандомные. Но мы ведь не пароли обсуждаем, правда? Упоминанием смены этих паролей ты просто пытаешь выглядить эдаким крутым профи, на самом деле им не являясь.
> И вот скажи мне гений умный просветленный, какой так фаирвор ты собрался
> ставить пользователю? Сам лично гений умный просветленный будешь всем настраивать?
> Естественно нет, ты же только болтать языком умеешь, а к реальной ситуации
> даже 11 метровой палкой не подойдешь. Обычный теоретик на Опеннете.Детский сад какой-то. Выпей воды что ли.
>> Вот я темный, ага, только ты читать не умеешь.
>> Вылез чудо в перьях, умный такой весь, только читать не умеет и
>> думает что умный. Тьфу.
>> Прочти с первого моего сообщения. Где я это и писал и написал
>> почему НАТ хорош.
>>
>> Для дремучих малолеток, рассказываю.
> Излил желчь, полегчало? В следующий раз лучше запишись к гастроэнтерологу, я серьёзно.Сказал чел который начал затирать про светлость свою. Тьфу, лицемер.
>> В домашнем сегмент оборудования, шлюзов, роутеров, свичей, репитеров и тп, нет такой
>> функции как Фаирвол. Априори.
> Ещё как есть. Иногда бывает, что раутер принадлежит провайдеру который имеет там
> исключительные административные права и часть настроек раутера скрывает от клиента, считая
> его домохозяйкой. Но это не значит, что фаервола там нет или
> что он не работает.Сразу видно чел теоретик, практикой не обделен. Особенно на роутерах от провайдеров. Во первых у тебя туда нет доступа. Во вторых, там в 99% дефолтные настройки! И в 100% в 1% это тупо прописали логин и пароль и данные для интернета. Всё!
Большинство таких роутеров настраивается по инструкции людьми, которые не знают что такое Айпи Адрес.
Сколько я таких роутеров видел, не пересчитать.
И нигде не было фаирвола.
Фаирвол на домашнем сегменте редкий зверь. Но тебе теоретику видней, ты же по своему роутеру судишь.>> Но что интересней, если он бы так и был, это ровным счетом
>> ничего не означало бы. Так как редкая птица, ой то есть
>> пользователь, знает что такое Фаирвол. А про настройку, я вообще молчу.
> Да ну и что же там нужно настраивать? По умолчанию все входящие
> соединения запрещены, то есть ты по умолчанию получаешь ровно ту же
> самую защиту, котороую тебе даёт NAT, но уже не как побочный
> эффект, а целенаправлено и правильно. При этом, с IPv6, у тебя
> не будет массы проблем, которые нередко бывают из-за NAT.теоретик не умеет настраивать фаирвол. Лол. Но зато нам расскажет, как плох НАТ и что все роутеры с фаирволом. Я просто ору с таких спецов в интернете.
И да, я не собираюсь делать лекцию по настройке фаирвола) Не то место, не за бесплатно)>> Более того, большинство гуру айтишников, тоже не умеют его настраивать. Я очень
>> удивлюсь, если ты его умеешь настраивать.
> Начинай удивляться, потому что я не только умею, но и на самом
> деле настраивал фаерволы в прошлом и на домашних раутерах и на
> серверах.Сделаю вид что поверил.
>[оверквотинг удален]
> не даёт. Подключение к вебморде снаружи всё равно запрещено. К тому
> же сейчас пароли по умолчанию уже сплош и рядом рандомные. Но
> мы ведь не пароли обсуждаем, правда? Упоминанием смены этих паролей ты
> просто пытаешь выглядить эдаким крутым профи, на самом деле им не
> являясь.
>> И вот скажи мне гений умный просветленный, какой так фаирвор ты собрался
>> ставить пользователю? Сам лично гений умный просветленный будешь всем настраивать?
>> Естественно нет, ты же только болтать языком умеешь, а к реальной ситуации
>> даже 11 метровой палкой не подойдешь. Обычный теоретик на Опеннете.
> Детский сад какой-то. Выпей воды что ли.Сказать нечего гуру? Так не пиши в ответ, не позорься
>Не нужен потому что все сидят за NAT. Вот это логика.Скажите это клиентам сотовых операторов,особенно проживающим в "частном секторе" вне больших городов. Где другого интернета или нет вообще или за конский прайс. И сотовые операторы не спрашивают где им сидеть - NAT принудительный.
>При IPV6 они больше не будут сидеть за нат
Тут тоже не всё так однозначно. Если провайдер выпустит всех голой попой в интернет то безусловно сразу начнутся жалобы на атаки и взломы. Значит провайдер вместо NAT настроит какой-то файрвол.
И вот тут возникает вопрос - если техники "пробивания" NAT известны и неплохо работают, то насколько сложно будет пробить провайдерский файрвол чтобы подключиться к своему компу снаружи?
Не окажется ли принудительный провайдерский файрвол большим злом чем принудительный провайдерский NAT?
Объективно IPv6 нужен для p2p connectivity.
То что вы считаете интернетом - им не является, потому что вы можете только сами подключатся а к вам не могут.Без p2p приходится держать кучу всяких костылей в виде TURN/STUN проксей и всяких пробивателей NAT.
>Без p2p приходится держать кучу всяких костылейНу и они работают, в чем проблема? Всё разрушать и строить ipv6 никому не уперлось. Работает - не трогай.
>Ну и они работаютОтнюдь не всегда, как повезёт... Да и то для UDP, для TCP ещё хуже
Пробивание всюду работает, серьёзно? В большей части адресов за NAT, этот NAT не полный конус.
Так не работает же. И место в таблицах заканчивается, и приходится специальное оборудование ставить для этого, и даже оно плозо помогает. За натом UDP поломан, TCP слегка поломан, IPsec может поломаться, дополнительные задержки при передаче пакетов. Всё плохо в общем, как и следовало ожидать от костыля.
>а к вам не могут.Это хорошо!
>>а к вам не могут.
> Это хорошо!Как бы это сказать? Файрвол можно и с IPv6 настроить. В том числе и stateful если уж так охота гробить ресурсы роутера на conntrack (а если при запуске торента у роутера рама кончится и он упадет, сами виноваты!).
А в случае NAT, особенно провайдерского - это нормально вообще не настраивается. И в результате это получается что вам от двери ключ не дали - но если очень надо, вы можете по канату на третий этаж в окно залазить! С аргументом что жулик незаметно тоже не влезет. Это круто и удобно, но с ключом от двери как-то сподручнее...
Хороша идея, но на практике всё не так радужно. Даже на этапе принятия решения "устанавливать соединение через IPv4 или IPv6" сколько затупов. "Костыли": вы помните эти драмы с UPnP? Как оно компромитирует безопасность и прочее. Ну так вот с IPv6 у вас всегда будет примерно такой же уровень безопасности с кучей "умных" устройств, для которых IPv6 пренепременно нужен и продвигается, но которые НИКОГДА не получат никаких обновлений безопасности. На практике часто уровень услуг провайдера ещё вносит свои неприятные сюрпризы, когда кач-во сервиса через IPv6 уступает таковому через IPv4.
Фаерволл проще и эффективнее NAT. NAT никогда не был и быть не может системой обеспечения безопасности, и фаерволл нужен всё равно. Дальше разговаривать просто не о чем. Лишние костыли не нужны.
> Фаерволл проще и эффективнее NAT. NAT никогда не был и быть не
> может системой обеспечения безопасности, и фаерволл нужен всё равно. Дальше разговаривать
> просто не о чем. Лишние костыли не нужны.Вон тот "эксперт"-сетевик видимо удумал NAT вместо firewall использовать. Странно что для такого эксперта настроить файрвол неподъемная задача. Даже stateful можно, если уж охота высадить раму роутера на трек кучи соединений. Да что там - в openwrt для самых маленьких файер по дефолту настроен и там DROP на все входящее, что V4, что V6. Вот как раз для сетевых экспертов проносящих ложку мимо рта и неспособных обеспечивать безопасность своей инфраструктуры.
>> Фаерволл проще и эффективнее NAT. NAT никогда не был и быть не
>> может системой обеспечения безопасности, и фаерволл нужен всё равно. Дальше разговаривать
>> просто не о чем. Лишние костыли не нужны.
> Вон тот "эксперт"-сетевик видимо удумал NAT вместо firewall использовать. Странно что для
> такого эксперта настроить файрвол неподъемная задача. Даже stateful можно, если уж
> охота высадить раму роутера на трек кучи соединений. Да что там
> - в openwrt для самых маленьких файер по дефолту настроен и
> там DROP на все входящее, что V4, что V6. Вот как
> раз для сетевых экспертов проносящих ложку мимо рта и неспособных обеспечивать
> безопасность своей инфраструктуры.Експерт теоретик, сколько людей используют твою openwrt ? Два калеки, три инвалида?
А сколько пользователей сидят на ТпЛинке где нет вообще Фаирвола? Но есть НАТ!
А сколько из обычных пользователей знают что такое Фаирвол? А сколько из этих знающих, знают как Фаирвол настроить?
А НАТ есть везде.
Отсюда НАТ хороший костыль для простых задач. Вот и всё.
Ну и конечно drop all не панацея, как и НАТ. Надеюсь понимаешь?
> Експерт теоретик, сколько людей используют твою openwrt ? Два калеки, три инвалида?А вот видный эксперт по ложкам мимо рта вылез, хорошее дополнение к давлетшину.
> А сколько пользователей сидят на ТпЛинке где нет вообще Фаирвола? Но есть НАТ!Это вообще не аргумент. С таким же успехом раньше можно было сказать "сколько пользователей сидят на диалапных модемах, зачем ваш Ethernet и оптика?!". На мой вкус, если производитель v6 поддерживает то и разумные дефолты должен выставить. Если он не может - это косяк и надо прожимать производителя. А не превращать сеть в костыли ломающие протокольную логику, где в результате видеозвонки надо проксировать через сервак в Зимбабве, даже если юзер в соседнем доме.
> А сколько из обычных пользователей знают что такое Фаирвол? А сколько из
> этих знающих, знают как Фаирвол настроить?
> А НАТ есть везде.По моему это как раз тот случай когда "those who would give up essential liberty to obtain little temporary safety, deserve neither". Вот именно хаксорам, а также желающим фингерпринтить локалку, нат не очень то и мешает в общем случае.
Зато появляется нужда в гипер-централизованых high-traffic серваках, ибо юзеры даже сконектиться и свои гигазы аудио-видео звонков между собой не могут. И должны отдаться на милость владельцев заводов, газет, пароходов - типа ватсапа, которые могут сетапнуть серваки и таки гонять терабайты юзерами через Зимбабве по довольно тупой причине - "потому что абстракция такая". Это делает интернет сильно хуже чем он должен быть.
> Отсюда НАТ хороший костыль для простых задач. Вот и всё.
> Ну и конечно drop all не панацея, как и НАТ. Надеюсь понимаешь?Костыли должны умереть... желательно вместе с теми кто их продвигает и лепит.
>NAT никогда не был и быть не может системой обеспечения безопасности, и фаерволл нужен всё равно.Вот полностью согласен с Вами что фарвол необходим всегда. А NAT - в зависимости от ситуации. Например чтобы скрыть от мира внутреннюю структуру какой-нибудь IoT сети, где с безопасностью всё всегда плохо из-за невозможности поменять прошивки у устройств,в которых обнаружились дыры или же просто нет возможности реализовать хорошую защиту на каком-нибудь микроконтроллере с малыми вычислительными ресурсами.
> Хороша идея, но на практике всё не так радужно. Даже на этапе принятия решения
> "устанавливать соединение через IPv4 или IPv6" сколько затупов.
> "Костыли": вы помните эти драмы с UPnP? Как оно компромитирует безопасность и прочее.Оно навесной уровень - который до кучи позволяет нахаляву использовать девайс с ним как нечто типа редиректора или прокси неожиданным для остальных в LAN образом, перенаправив не то и не туда. Потому и проблема.
> Ну так вот с IPv6 у вас всегда будет примерно такой же уровень безопасности
Как вы, ... , серваки в интернете содержите "с таким уровнем безопасности"?
> с кучей "умных" устройств, для которых IPv6 пренепременно нужен и продвигается,
> но которые НИКОГДА не получат никаких обновлений безопасности.Можно подумать, без IPv6 им хаксоры не укатают. Была чертова куча атак на обход ната через все что можно и нельзя. Уже аж чуть ли не вебморды банков "для фингерпринтинга клиента" сканят локалки. Такой уровень безопасности! В этом смысле IPv6, кстати, прикольнее сканить. Ну вот отсканьте мой /64 на наличие :22 и :80, расскажете как получилось.
Если скажем скан 192.168.1.0/24 на допустим наличие открытого 80 займет умеренно времени, то отсканить так стандартно выдаваемый /64 в IPv6...
Грубо говоря, атакующий может атаковать в IPv6 только если вы айпишник дадите. Иначе он заманается угадывать. Если некая система рассылает свой IP - она, очевидно, готова к этому.
> На практике часто уровень услуг провайдера ещё вносит свои неприятные сюрпризы,
> когда кач-во сервиса через IPv6 уступает таковому через IPv4.В случае торентов каких - наоборот, все намного лучше работает. Потому что входящие соединения проходят, и роутер оно меньше грузит. А если какая-то мусорка не проапгрейдилась, IPv6 сколько лет? Зарыть этих мамонтов в вечную мерзлоту и не вспоминать.
Всё верно. Надо было ещё про Temporary IPv6 Address рассказать. Но ты понимаешь каков уровень знаний всех этих старпёров, топящих за NAT? IPv6 попросту выводит этих крипто ламеров из зоны комфорта и скорее всего из профессии.
> Всё верно. Надо было ещё про Temporary IPv6 Address рассказать. Но ты
> понимаешь каков уровень знаний всех этих старпёров, топящих за NAT?Когда эти м...ки ломающие нам протоколы и превращающие нам сети в централизованое Г имени гугла и ватсапа вымрут - я станцую на их могиле счастливый танец. Вместе с IPv4 так то.
> IPv6 попросту выводит этих крипто ламеров из зоны комфорта и скорее всего
> из профессии.Им уже давно пора убраться оттуда нафиг и прекратить похабить нам сети. Чтобы этим всем можно было просто пользоваться, а не заниматься порнографией. Те кто топит за нат сам поди ни разу не кодил NAT Traversal и прочие непотребства типа UPNP. И глядя на вулны в этом всем большой вопрос стало ли от натов - безопаснее. Ибо через upnp можно попытаться в внеплановую "перекоммутацию" того что и куда в локалке летает, довольно неочевидным и редким способом, а вот такой подставы юзеры в LAN вообще не ожидают и это сразу CVE пачка. В v6 по крайней мере все просто понятно, а в костылях зарыто более 9000 нежданчиков когда неочевидные ожидания с треском обломались. UPNP это вообще почти как open proxy по смыслу, только еще хуже, ибо дает возможность атакующему пытаться редиректить траф на самой удобной для этого точке.
> Грубо говоря, атакующий может атаковать в IPv6 только если вы айпишник дадите.Естественно господин експерт думает, что айпишник можно узнать только через скан диапазона айпишников))
Лол> В случае торентов каких - наоборот, все намного лучше работает. Потому что
> входящие соединения проходят, и роутер оно меньше грузит. А если какая-то
> мусорка не проапгрейдилась, IPv6 сколько лет? Зарыть этих мамонтов в вечную
> мерзлоту и не вспоминать.теоретик кун
У таких всегда, если им не нравится то "забыть/удалить/закопать/ненужно/плохое" и тп.
Есть стойкое ощущение, что они и дня не работали и не понимают, почему так не получится сделать. И вот хз что им говорить.
> Естественно господин експерт думает, что айпишник можно узнать только через скан диапазона
> айпишников))Если вы сконектились к некоей системе, вы, очевидно, имели какой-то план на случай если она не совсем дружелюбная. Хотя-бы потому что эта система могла произвести атаки прямо in-band через протокол по которому вы прицепились, всучив абы какие данные для достижения своих целей.
ЧСХ некоторые банки например это уже довольно плотно абузят, фингерпринтя локалку нелоха при заходе на вебпагу банкинга. А чо, браузер может невозбранно шарахаться по локалке! Он же внутри. А то что это под управлением вон того жыэса... ну... такой вот сканер интранета.
> Лол
По моему толпа заржавелых м...ков ломающих протокольную логику - это не смешно.
> теоретик кун
У лично меня - IPv6 везде есть. Такой вот теоретик.
> У таких всегда, если им не нравится то "забыть/удалить/закопать/ненужно/плохое" и тп.
Да, я имею кое-что против слома протокольной логики которую изначально задумали создатели интернета. А вот всякая шваль понабежавшая в сеть - изгадила идею. Я бы вообще предпочел чтобы вы вымерли, (само)забанились из сети или что вам там удобно, в общем, перестав существовать и гадить Сети.
> Есть стойкое ощущение, что они и дня не работали и не понимают,
> почему так не получится сделать. И вот хз что им говорить.Что именно "не получится сделать"? У меня мои системы через IPv6 работают ежедневно - и это намного удобнее, не надо долбаться с костылями чтобы конектиться к ним. И торенты с IPv6 намного живее - судя по вон небольшой внутренней статистике, около 50% их трафа в v6 уже идет. Но вы можете мне рассказать какие там это "теории". Как по мне - мамонтам место в вечной мерзлоте. Особенно тем которые загаживают своим ретардизмом сети.
>[оверквотинг удален]
> что вам там удобно, в общем, перестав существовать и гадить Сети.
>> Есть стойкое ощущение, что они и дня не работали и не понимают,
>> почему так не получится сделать. И вот хз что им говорить.
> Что именно "не получится сделать"? У меня мои системы через IPv6 работают
> ежедневно - и это намного удобнее, не надо долбаться с костылями
> чтобы конектиться к ним. И торенты с IPv6 намного живее -
> судя по вон небольшой внутренней статистике, около 50% их трафа в
> v6 уже идет. Но вы можете мне рассказать какие там это
> "теории". Как по мне - мамонтам место в вечной мерзлоте. Особенно
> тем которые загаживают своим ретардизмом сети.)
len > 2048 -> result -> skip-to next weeg
>У меня мои системы через IPv6 работают
> ежедневно - и это намного удобнее, не надо долбаться с костылями
> чтобы конектиться к ним.Я тоже использую IPv6 для того же. Но таких как вы и я - объективно мало.
Коннектиться к своему компу снаружи нужно очень небольшой
части пользователей. Особенно учитывая что нынче у большинства пользователей "комп" - это смартфон или планшет.> И торенты с IPv6 намного живее
С появлением онлайн-кинотеатров надобность настройки торрентов для рядовых пользователей сильно упала потому что они оттуда обычно кино и качали. Да, безусловно, есть истинные ценители киноискусства, которым нужно то,чего на официальных площадках нет и они вынуждены пользоваться торрентами. Но и их тоже очень мало относительно общего числа пользователей.
Вот из-за крайне малого спроса провайдеры и не спешат внедрять IPv6, приобретая себе дополнительную головную боль при почти полном отсутствии полезного денежного выхлопа.
Кому как нам с вами оно надо - тот и так себе настроит через туннель например. Или всё же найдя
провайдера у которого оно есть. А остальные, смотрящие видосики из ютуба и сидящие в Вконтакте -
очевидно что в особо продвинутых сетевых технологиях не нуждаются и платить за них не хотят.
> Как по мне - мамонтам место в вечной мерзлоте. Особенно
> тем которые загаживают своим ретардизмом сети.Вы же успешно подключились к IPv6 и его используете. Чем вам мешают те кому он не нужен?
То, что IPv6 нуждается в доработках - факт. Так ведь и IPv4 тоже далеко не сразу стал таким,каким мы его знаем сейчас.
Вот когда (и если) IPv6 доделают до такого состояния что станет возможен прямой коннект между двумя смартфонами без использования промежуточного сервера где-то "там", а также появится софт,например месенджеры, которые эту возможность будут использовать - тогда пользователи может быть заинтересуются.
А оно со временем появится. Потому что число пользователей растет и гонять весь их трафик через какие-то "центральные" серверы со временем станет слишком накладно. Отправлять фото своего кота соседу через сервер в америке - как-то достаточно странно. Да, пока пропускной способности хватает для таких извращений,но это пока. По уму такой трафик вообще не должен выходить за пределы местного сегмента сети сотового оператора.Мне вот кстати интересно - если есть два компа,подключенные к одному сотовому оператору через gsm-модемы,оба естественно за NAT,на обоих запущено teredo и получены IPv6 адреса - как трафик ходит? То,что не через сервер,к которому само teredo подключается - я почти уверен после попыток изучить вопрос. Насколько я понял, сервер там используется только на этапе "пробивания" NAT.
Может кто-то подробности знает?И еще вопрос - видел ли кто-нибудь работающую реализацию teredo для андроида?
> Я тоже использую IPv6 для того же. Но таких как вы и я - объективно мало.ИМХО, у нас разные бэкграунды. Чтобы уметь защищаться - надо уметь атаковать. Не ощущаю это у вас.
> Коннектиться к своему компу снаружи нужно очень небольшой части пользователей.
> Особенно учитывая что нынче у большинства пользователей "комп" - это смартфон или планшет.Зато у них часто есть роутеры с нат, зачастую самое слабое звено. Прикольно считать кус глюкало защитой. А плацдармом не хотели?
> сильно упала потому что они оттуда обычно кино и качали.
А таки у меня примерно 50% трафа в торенте v6.
> себе дополнительную головную боль при почти полном отсутствии полезного денежного выхлопа.
Да вообще-то норм провы давно уже. У россиян видимо необучаемые дуболомы уровня пох вместо админов в телекоме, РФский телеком в слив для необучашек превратился.
> настроит через туннель например. Или всё же найдя провайдера у которого оно есть.
Мне и искать ничего уже не приходится особо уже. Просто сразу есть.
> очевидно что в особо продвинутых сетевых технологиях не нуждаются и платить за
> них не хотят.С меня за v6 никто никогда ничего не брал. Ни провы ни хостеры. Оборудование его умеет более 10 лет точно. У меня он примерно столько уже и.
> Вы же успешно подключились к IPv6 и его используете. Чем вам мешают
> те кому он не нужен?Мне мешают м...ки портящие протокольную логику и сдающие юзерей в рабство гугли, ватсапа и тому подобных убер-серверов. Они должны умереть, с меня счастливый танец на их могиле.
> То, что IPv6 нуждается в доработках - факт. Так ведь и IPv4
> тоже далеко не сразу стал таким,каким мы его знаем сейчас.IPv4 гораздо более костыльный протокол. Достаточно ARP/RARP посмотреть например. Да и нат с контреком == DoS готовый, на роутер с ним.
> Вот когда (и если) IPv6 доделают до такого состояния что станет возможен
> прямой коннект между двумя смартфонами без использования промежуточного сервераОно уже сейчас возможно. Я проверял.
> где-то "там", а также появится софт,например месенджеры, которые эту
> возможность будут использоватьПочти все A/V звонки это _пытаются_ - проксить терабайты аудио и особенно видео за легионом хомяков - накладное занятие.
> - тогда пользователи может быть заинтересуются.
Они и сейчас на самом деле хотели бы - просто не знают. И бесятся с квакания аудио и затыков видео. Сервер-прокси для пробития ната у черта на рогах и перегружен давно, как и каналы.
> А оно со временем появится.
Оно давно появилось, россияне просто профукали прогресс, "мытакпривыкли, стабилизец". Застой.
> весь их трафик через какие-то "центральные" серверы со временем станет слишком накладно.
Это УЖЕ много лет донимает ВСЕ что минимально могет A/V звонки. Но какие-то чудилы до сих пор лечат как это не надо. За что их стоило бы уйти. С пендалем для ускорения. Звонить ватсапами и чем там еще даже клюки уже хотят.
> это пока. По уму такой трафик вообще не должен выходить за
> пределы местного сегмента сети сотового оператора.Ну вот юзеры не могут конект друг к другу и аудио-видео звонки вынуждены пытаться пробить нат (сложная негарантированная операция, с риском абуза атакующими) а если не вышло, полный релей всего потока через серв. Это позор. Ибо выпадение пакетов и лаги вплоть до секунд.
По уму тот траф должен был отроутиться кратчайшим маршрутом, с v6 это реально. В v4 нет столько айпи чтобы каждому смарту дать, нат все портит. Ну и вот.
> Мне вот кстати интересно - если есть два компа,подключенные к одному сотовому
> оператору через gsm-модемы,оба естественно за NAT,на обоих запущено teredo и получены
> IPv6 адреса - как трафик ходит?С teredo хз как маршрутизация в деталях. Как минимум не "срежет угол" на ближайших роутерах, будет менее оптимально чем могло, запулив траф дальше. Если юзеры в соседнем доме - могло бы буквально через 1-2 роутера роутить в идеале, или что-то близкое. Так их видеопоток с часом трепа всем пофиг.
> Насколько я понял, сервер там используется только на этапе "пробивания" NAT.
Там IIRC какая-то хитрая схема, деталей не помню, основной трафик идет не так же как начальное согласование. Нативный v6 имеет шансы оптимальнее роутить. А траф опять же летает дальше чем стоило бы, с ущербом для лага, надежности.
Насчет ведроида ничего не скажу, у меня нетворкинг очень кастомный а ведроид я не жалую.
>> Я тоже использую IPv6 для того же. Но таких как вы и я - объективно мало.
> ИМХО, у нас разные бэкграунды. Чтобы уметь защищаться - надо уметь атаковать.
> Не ощущаю это у вас.Не удивительно. Я уже полтора десятка лет как ушел с работы в IT и ныне просто живу в деревне.
А компы у меня - это что-то типа радиолюбительства раньше.>> Коннектиться к своему компу снаружи нужно очень небольшой части пользователей.
>> Особенно учитывая что нынче у большинства пользователей "комп" - это смартфон или планшет.
> Зато у них часто есть роутеры с нат, зачастую самое слабое звено.
> Прикольно считать кус глюкало защитой. А плацдармом не хотели?Я и не говорил что домашний чаще всего не настроенный роутер это какая-то защита.
Там легко может быть и вход admin:admin
Некоторую защиту дает разве что провайдерский NAT. Домашние-то роутеры за ним сидят.
Так что по факту у пользовательского компа аж двойной NAT. Но это мало кому мешает.
Также замечу,что в случае смартфона интернет от сотового оператора,без роутера,хотя и тоже за NAT.
И таких пользователей у кого нет дома настольного компа (и соответственно роутера для него)
сейчас очень много,во всяком случае в России.>> сильно упала потому что они оттуда обычно кино и качали.
> А таки у меня примерно 50% трафа в торенте v6.Если это не коммерческая тайна - что вы там качаете в таких количествах?
Из тех "качальщиков" кого знал я - чаще всего качали кино.
А теперь перешли в онлайн-кинотеатры. Говорят что им так удобнее чем с скачиванием торрентов возиться. Особенно если уже сменили настольный комп на планшет(таких тоже много).>> себе дополнительную головную боль при почти полном отсутствии полезного денежного выхлопа.
> Да вообще-то норм провы давно уже. У россиян видимо необучаемые дуболомы уровня
> пох вместо админов в телекомеЯ так думаю что просто деньги считают. Если нет желающих платить за IPv6 то и внедрять его незачем.
> Мне мешают м...ки портящие протокольную логику и сдающие юзерей в рабство гугли,
> ватсапа и тому подобных убер-серверов.Юзеры-чайники лезут в вотсап и прочие _разрекламированные_ вещи потому что там им думать не надо.
Оно как-то работает,а как - им не интересно. Можно чатиться,фото котиков пересылать,а если повезет то даже по межгороду халявно позвонить. Я бы против вотсапа не возражал если бы у него был выбор десктопных клиентов как он когда-то был для icq. Я,как и вы, тоже не любитель андроидных пальцетыкательных интерфейсов, мне подавай полноразмерную клавиатуру на которой можно вслепую стучать и нормальных размеров экран.
Мне уже попадались юзеры, у которых на смартфоне не настроена не только электронная почта,а даже
смску принять не могут(не представляю как это но факт). И если им надо послать текстовую информацию то доступен только вотсап. Приходилось голосом по буквам диктовать так как у меня его нет.>> То, что IPv6 нуждается в доработках - факт. Так ведь и IPv4
>> тоже далеко не сразу стал таким,каким мы его знаем сейчас.
> IPv4 гораздо более костыльный протокол.Я этого вовсе не отрицал. Я лишь сказал что IPv6 нуждается в доработках.
>> Вот когда (и если) IPv6 доделают до такого состояния что станет возможен
>> прямой коннект между двумя смартфонами без использования промежуточного сервера
> Оно уже сейчас возможно. Я проверял.Судя по вашим словам - вы не из России. По всей видимости у вас там сотовые операторы
используют какую-то другую конфигурацию своих сетей. У нас прямой коннект между двумя смартфонами
даже одного оператора или невозможен или я не знаю способа как это сделать. Казалось бы пускай даже IPv4 адреса "серые",за NAT сотового оператора, должны бы быть в одной подсети. Однако между ними коннекта нет. Кстати, у кабельных провайдеров с этим лучше - там есть коннект внутри их локальной сети(тоже за NAT).> Почти все A/V звонки это _пытаются_
>> - тогда пользователи может быть заинтересуются.
> Они и сейчас на самом деле хотели бы - просто не знают.Вот когда узнают, и будут готовы за улучшение качества связи _платить_ - тогда ситуация с внедрением IPv6 в России и сдвинется с места.
> И бесятся с квакания аудио и затыков видео.
Однако предпочитают пусть такую но халяву, а не обычный платный голосовой звонок,который
квакает существенно реже чем звонок через вотсап. То есть платить - не готовы. А бесплатно
напрягаться провайдеры не хотят. И их вполне можно понять. Особенно - сотовых операторов,для
которых звонки через интернет это вообще прямая потеря денег.>> А оно со временем появится.
> Оно давно появилось, россияне просто профукали прогрессПрогресс ради самого прогресса - мало кому интересен. Также не интересен прогресс
если придется доплачивать за то,что раньше было бесплатным. Работают месенджеры без
дополнительной оплаты за IPv6 адрес - значит пока они работают платить никто не захочет.
Также как очень мало кто согласен платить за "белые" IPv4 адреса.>> весь их трафик через какие-то "центральные" серверы со временем станет слишком накладно.
> Это УЖЕ много лет донимает ВСЕ что минимально могет A/V звонки.Пока что не донимает настолько чтобы появилось желание заплатить за какие-то улучшения.
Вот когда аудиозвонки совсем перестанут проходить - тогда может быть.> Звонить ватсапами и чем там еще даже клюки уже хотят.
Они хотят только и исключительно потому что это _дешевле_ обычного голосового звонка,особенно
если по межгороду. Хотя в РФ сотовая связь и так заметно дешевле чем в "цивилизованных странах".> По уму тот траф должен был отроутиться кратчайшим маршрутом
Так то - по уму. А кто будет бесплатно "по уму" делать если и так [пока] работает?
Однако мне кажется,что стимулом к внедрению IPv6 если что и будет,то не "окончание адресов",которое никак не случится уже лет двадцать,а именно что маршрутизация трафика
месенджеров если этот трафик вырастет так что существующие схемы уже не будут справляться.
>Грубо говоря, атакующий может атаковать в IPv6 только если вы айпишник дадите.Да, это так. Но айпишник вы "дадите" как только пойдете со своей сети куда-нибудь.
Проследив тем или иным образом за активностью из вашей сети - атакующий может составить представление где и что в ней есть. А вот если сеть за NAT то разобраться в её структуре и
определеить где там более-менее хорошо защищенный линуксовый комп,а где какой-нибудь IoT-предмет
с кривой дырявой прошивкой - намного сложнее.
Так что я всё-таки буду утверждать, что NAT это удобное средство сокрытия структуры своей сети. Нет, это не заменитель файрвола, это именно отдельный инструмент для своих целей.
> Да, это так. Но айпишник вы "дадите" как только пойдете со своей сети куда-нибудь.1) Да, но если сервак нас слил - он и атаковать мог сразу.
2) Айпи можно менять и они бывают temporary. При 2^64 айпи не проблема менять их.> Проследив тем или иным образом за активностью из вашей сети - атакующий
> может составить представление где и что в ней есть.Если оно будет например иногда менять айпи - moving target, пока отслеживаешь, изменится 10 раз, в сети 2^64 будет весело. И если атакующий настолько плотно мониторит, он много чего еще мог.
> А вот если сеть за NAT то разобраться в её структуре и
В сети за нат достаточно запустить скрипт на браузере нелоха, перебрать /16@v4 не проблема.
> с кривой дырявой прошивкой - намного сложнее.Это чего бы? Они как раз стабильно висят на айпи, менять не будут. И у роутера прошивка не сильно лучше. Первым и получит! А с него вон те бонусом. И кстати безопаснсть у вафель полное дно, и оно уже в интранете. В общем, принглс и яга - выбор любителей кал-и-линукса.
А потом как раз можно просто пассивно посмотреть что там водится. DHCP для лохов.
> Так что я всё-таки буду утверждать, что NAT это удобное средство сокрытия
> структуры своей сети. Нет, это не заменитель файрвола, это именно отдельный
> инструмент для своих целей.А я скажу что вы ни... не смыслите в информационной безопасности. Не, метод страуса вас не спасет. Совсем.
> Айпи можно менять и они бывают temporary. При 2^64 айпи не
> проблема менять их.Чтобы такое настроить - в сети должен быть грамотный админ.
Обычный пользователь менять ip не будет так как не знает как такое настроить.> В сети за нат достаточно запустить скрипт на браузере нелоха, перебрать /16@v4
> не проблема.Для защиты от запуска потенциально вредоносных скриптов в браузере существуют соответствующие
инструменты.
А то так можно и паролем поставить год канонизации святого Доминика папой Григорием IX,а
потом удивляться как это хакеры догадались и файрвол не помог.>> Так что я всё-таки буду утверждать, что NAT это удобное средство сокрытия
>> структуры своей сети. Нет, это не заменитель файрвола, это именно отдельный
>> инструмент для своих целей.
> А я скажу что вы ни... не смыслите в информационной безопасности.По-моему вы делаете слишком категоричные выводы.
> метод страуса вас не спасет. Совсем.
Я,в отличие от многих, нигде не утверждал что NAT это полностью самодостаточное средство для защиты сети. Безопасность - это всегда комплекс мероприятий и использование многих различных инструментов. И nat - лишь один из них,имеющий своё место и применение.
А еще nat упрощает переход от одного провадера к другому. Например переключение с кабельного интернета на резервный канал через gsm-модем сотового оператора. Поменяется только внешний адрес на роутере. Если же все устройства домашней сети торчали прямо в интернет то адреса поменяются все. Да и то надо молиться чтобы автоконфигурация сработала и ничего не поломалось. К тому же в России у сотового оператора IPv6 скорее всего просто не будет,либо включать его придется посредством бодания с техподдержкой и скорее всего за дополнительные деньги.
Вань, не городи чуши.
ПиТуПи работает и за натом.
Вопрос в том нужна ли она людям. Выставлять в интернет голой жопой устройства которые никогда не получат должной поддержки типа бытовой техники и датчиков от завода "Братец Ли и сыновья" то еще удовольствие.Jтмазки "да кто просканирует все 100500 мильонов мильярдов адресов твоей подсети" не катят, не просканируют так от провайдера утечка будет, он-то всегда знает от кого и куда пакеты бегут.
Отмазки "файрвол на шлюзе с запретом левых входящих поможет" тоже не катят, фактически это сознательное отключение преимуществ v6 над v4.
Я домашнюю инфраструктуру так же за nat спрятал в ipv6.
И даже более того, ipv4 статический доступен любому прям в сычевальне и стоит 1,5$. Оплачивай и выставляй в интернет свой подкроватный сервачок, никакого дефицита. Но надо это единицам.Ipv6 нужен по сути только гуглу, ползать без разрешения по твоему "умному дому".
> Ipv6 нужен по сути только гуглу, ползать без разрешения по твоему "умному
> дому".Кстати да - одно дело если сеть закрыта и ее надо ломать чтобы влезть за NAT,что является юридически наказуемым деянием,и другое - когда хозяин сети добровольно выставил всё своё
хозяйство в свободный доступ. Слишком много адресов для сканирования? Так это всего лишь
эффект "неуловимого Джо",которого никто не ловит пока он никому не нужен. У Гугла стимул
для сбора данных есть, и способ сканирования он найдет, с его-то возможностями.
Я блокирую IPv6 на всех своих девайсах, утечки и уязвимости не нужны. Провайдер даёт белый IPv4, хоть и не просил.
Раз за 20 лет так и не взлетел, думаю еще лет 20 сможем ходить по инету с IPv4. Нет важных ресурсов, на которые можно
попасть только с IPv6, так что можно хоть не закапывать, но проходить мимо.
Что за провайдер?
Похвалите.
Практически любой провайдер не на территории бывшего совка, кстати. Даже самые отвратительные местячковые провайдеры в США по умолчанию предоставляют клиентам публичные адреса. Тема с торговлей публичными айпишниками — тяжёлое наследие 90х помноженное на гражданскую импотенцию потребителей. Всегда за натом сидели и ещё посидим. А интернет нам этот ваш не нужон. Провайдерская локалочка — каеф!
Спс.
Много букв..
Так ты обьясни сирым зачем тот белый айпи?
Аналогично, зачем каждой американской бабке белый айпи?
Просто во многих развитых странах этих IPv4 - хоть каждому пылесосу.
А вопрос "зачем каждой бабке" не уместен, раз оно есть "от природы". Так сложилось.
Ааааа
- А если не будут брать?
- Отключим газ!
> Аналогично, зачем каждой американской бабке белый айпи?Чтоб нормально в voip и видеозвонках трындеть, например. Прямым конектом - качать ваши гигазы трепа через свои сервера желающих немного, тем более с нормальным qos - а извраты типа STUN срабатывают не всегда.
Легко раздавать, когда на заре интернетов адреса хапали блоками /8
А кто хапал за пределами США и почему даже за пределами США (но не в бывшем Совке) публичные IPv4 - это норма, а провайдеры не могут заниматься откровенным жлобством ибо обязаны подчиняться регуляции минсвязи? Например мой израильский провайдер предоставляет мне IPv6 бесплатно не потому, что им так хочется, а потому что израильское минсвязи и его и остальных провайдеров обязал. Как-то у меня возникли проблемы с этим IPv6, которые провайдер не хотел решать. После обращения в минсвязи провайдер очень быстро починил всё то, что до этого объявлялось им как "мы это не поддерживаем". Причём не только для меня, а для всех. То же самое и с публичным IPv4.
Всё верно сказано.
Ну еще когда в России когда пользователей просил от провайдера белый IP то сразу получал метку "пират". Мол только торрентщикам это нужно.
> Ну еще когда в России когда пользователей просил от провайдера белый IP
> то сразу получал метку "пират". Мол только торрентщикам это нужно.Ну что за пещерный бред?! "Торрентщикам" это не нужно, а вот хотельщикам держать свои подкроватные сервачки - очень даже!..
>> Ну еще когда в России когда пользователей просил от провайдера белый IP
>> то сразу получал метку "пират". Мол только торрентщикам это нужно.
> Ну что за пещерный бред?! "Торрентщикам" это не нужно, а вот хотельщикам
> держать свои подкроватные сервачки - очень даже!..Ты думаешь что все провайдеры давали временный, но "белый" IP по DHCP? Ничего подобного, например условный Интерзет выдавал либо статический полностью серый IP либо покупай статический белый (называлось "внешний"). Без этого "внешнего" не только p2p работало лишь в режиме исходящих соединений, но и даже SMTP протокол блокировался.
Какой бред) Ты походу дальше Омска нигде не был)
> бывшего совка, кстатиСтавшего совком, кстати
> Практически любой провайдер не на территории бывшего совка, кстати. Даже самые отвратительные
> местячковые провайдеры в США по умолчанию предоставляют клиентам публичные адреса. Тема
> с торговлей публичными айпишниками — тяжёлое наследие 90х помноженное на гражданскую
> импотенцию потребителей. Всегда за натом сидели и ещё посидим. А интернет
> нам этот ваш не нужон. Провайдерская локалочка — каеф!На территории совка по разному. Есть провайдеры дающие динамический белый, есть который без доплаты держат под жестким NAT.
Находятся и такие кто видят плюсы в тои или ином подходе, вроде передернул кабель и вот тебе новый IP или "а я под защитой"
> Всегда за натом сидели и ещё посидим. А интернет
> нам этот ваш не нужон. Провайдерская локалочка — каеф!Когда есть провайдерская локалка - это действительно кайф.
Можно трафик в соседний подъезд не гонять через Москву(в худшем случае - через Америку).
Ну если умеешь конечно. Но хотябы можно.
Хуже у сотовых операторов - у них локалки нет и напрямую между двумя смартфонами ничего не передать. Почему так - не знаю.А насчет "интернет не нужен" - это отчасти правда. Большинству нужен не интернет как распределенная сеть,а централизованный интерактивный аналог телевизора. Поэтому и появляются монстрообразные сайты типа буржуйского фейсбука или нашего вконтакта.
miranda media давала к примеру
Например, Ростелеком. Только у них белый адрес не фиксированный. Передёрнул линию - получил на ван-ифейс новый адрес. За фиксированный уже деньги хотят. А так, если динднс обходишься - можно и с плавающим адресом сидеть.
> Я блокирую IPv6 на всех своих девайсах, утечки и уязвимости не нужны.Это всё, что нужно знать об уровне знаний современных комментаторов опеннет.
> белый IPv4
Как узнать цвет IP? Какие ещё цвета бывают у адресов в интернете?
> Как узнать цвет IP? Какие ещё цвета бывают у адресов в интернете?Это всё, что нужно знать об уровне знаний современных комментаторов опеннет.
Серые:
192.168/16
10/8
172.16/12Мультикастовый цвет:
224/8Безцветный:
127/8Все остальные белые
Ещё 100.64.0.0/10 - он тоже серый, CGNAT.
Есть и ещё несколько разных цветов, но о них не все знают.
> Мультикастовый цветВот задумался, с такой терминологией надо отправлять к окулисту, логопеду или к какому-то другому специалисту?
Надо было так и написать - радужный.
К филологу, прослушать лекцию о метафорах.
К психиатру, прослушать лекцию об уместности и неуместности метафор.
Что делать с TESTNET, 0/8 и емнип 169(что-то там, для автоопределения)? Или это нетрадиционые, которые теперь запрещены?
Это коричневый.
| Address Block | 0.0.0.0/8 |
| Name | "This host on this network"|
| RFC | [RFC1122], Section 3.2.1.3 |Вот такой у них особый цвет у 0.0.0.0/8
Адреса бывают двух цветов"Серые" - те, что не маршрутизируются глобально, но используются в локальных сетях, при этом не имеют иной специальной принадлежности.
"Белые" - те, что маршрутизируются глобально и не имеют специальной принадлежности.Всё остальное не окрашено.
Это какой-то местечковый российский новояз. В остальном мире IP адреса не имеют никаких цветов и делятся лишь по типам. В частности те, которые такие как вы называете серыми, на самом деле называются приватными, потому что могут использоваться исключительно в приватных сетях.
Обычный профессиональный сленг, и да плевать что там в остальном мире.
То, что вы чего-то не знаете, не значит, что все не знают.
https://www.whatsontech.com/difference-between-white-and-gra.../
Почему вы решили, что я чего-то не знаю? Я-то как раз знаю и встречаюсь с этим невежественный сленгом постоянно. Просто меня раздражает нынешний новояз и неумение некоторых индивидуумов говорить грамотно.
то есть значит не местечковый, не российский и не новояз
Именно местечковый и российский, потому что кроме как от россиян и прочих наследников Совка я про серо-белые адреса не слышу. Ну а то, что нечто подобное получило небольшое распространение и в англоязычной среде картину сильно не меняет.
э, ну в таком случаЕ нужно показать что термин зародился в России и пошел гулять, хоть и не сильно, по вашим словам, в мире, а так это голословные утверждения.
> прочих наследников Совкапрочих наследников-Совков
https://www.cloud4u.com/blog/public-vs-private-ip-address/И т.п.
В мире да, больше распространены термины "public" и "private", но white и gray/grey тоже используются.
> white и gray/grey тоже используютсяЗа 20 лет слышал такое на английском только от одного иммигранта откуда-то из российской глубинки. Все остальные почему-то пользуются public/private/etc.
Ну то есть публично доступные линки не линки, я всё понял.
Продолжайте жить в уютном маня-мирке.
> Провайдер даёт белый IPv4, хоть и не просил.В нормальных странах любой провайдер обязан давать то, что вы называете белым IPv4 адресом. Именно так IPv4 адреса и заканчиваются. Согласие таких как вы на провайдерский NAT тормозит прогресс и обыдляет провайдеров.
Какой ты сказочник. Что то в штатах не выдают всем публичный IP :)
обыдляет провайдеровНичто не обыдляет контингент, как выбранный в самом начале путь развития )
Представляю какой фееричный начнется ботнет, если каждый провайдер послушает этого господина и нескольким тысячам своих абонентов врубит прямо с утра IPv6 или даже белый IPv4. Любой, немного занимавшийся сетевым делом не на локалхосте, уволиться еще загодя, узнав такие новости. Зато прогресс в рванет так, что и не снилось.
> Представляю какой фееричный начнется ботнет, если каждый провайдер послушает этого господина
> и нескольким тысячам своих абонентов врубит прямо с утра IPv6 или
> даже белый IPv4. Любой, немного занимавшийся сетевым делом не на локалхосте,
> уволиться еще загодя, узнав такие новости. Зато прогресс в рванет так,
> что и не снилось.Как максимум пара производителей подтвикает дефолты фирмварей. А ботнеты и без этого есть. V6 не особо удобен для ботнетов - temporary v6 протухают, а сканить v6 диапазоны - удачи. Это ж не v4 который zmap'ом за сутки на гигабите перебирается от и до. Вы только одну /64 будете брутить до погасания Солнца...
С такими критериями "нормальности" вам нужно в специальный дом, где провайдер вам будет выдавать белые таблетки.
У меня скорее наоборот :)
Думаю как бы избавится от IPv4 и оставить только IPv6.
Девайсы которые не могут IPv6 не покупаю, а те что есть - ищу замену.
IPv6 дома уже лет 15 сделал.
Пора изобретать ipv8. Старые адреса скоро кончатся.Успейте купить пятизнак!
Есть IPv6. Впрочем суверенная адресация сети это интересно.
Вместо него неплохо бы IPvASN, когда к адресу вида IPv4 пририсовывается спереди ASN сети, и на этом всё.
Маршрутизацию бы упростило только в путь.
Где в заголовке IPv4 можно указать этот ваш ASN? Нигде, вот поэтому этот костыль и не взлетел.
Нужен обновлённый стандарт IPv4.1 :)
> Нужен обновлённый стандарт IPv4.1 :)Я вообще сомневаюсь что глобально используемый протокол возможно поменять. Слишком уж много на него уже всего завязано. IPv6 вон начали внедрять больше двадцати лет назад,когда интернет не был таким большим и сложным и шансы что-то изменить еще были. И то не взлетело.
В качестве аналогии - внедрение метрической системы. Уж сколько десятков лет ее внедряют,а в цивилизованных странах по сей день милями,фунтами и дюймами активно пользуются.
Естественно модификации всё равно потребуются.
Но с IPv6 всё ещё хуже. Мальчику уже больше 20 лет, а он всё ещё ходит только под себя.
> Естественно модификации всё равно потребуются.
> Но с IPv6 всё ещё хуже. Мальчику уже больше 20 лет, а
> он всё ещё ходит только под себя.У меня он почему-то по всей планете ходит - так что я могу конектиться с своими системами отовсюду. А ваш ASN - а что такое "ASN" в вон том VPN-е например? Вам не приходило в голову что хосты могут быть сгруппированы не по "ASN"? И куда мне там ваш ASN приткнуть? А вот IPv6 там можно раздать... да как угодно. Хоть глобально роутабельный, если кто-то это роутить где-то будет, хоть "глобальный уникальный адрес".
Ну как, не совсем удобно когда заходя на 192.168.0.1 - можно получить все что угодно. В том числе и вообще совсем не то что ожидалось. Или ничего. Так даже шорткат "морда моего роутера" сделать нельзя - в другой локалке он будет на что-то совсем другое без предупреждения пулять. Специальный бонус господам с автологином в браузере, так можно и кому-то левому кренделя отослать.
Начнешь писать не 192.168.0.1, а 1234.192.168.0.1, и всё.И это таки тоже будет глобальный адрес твоего роутера. Большинству ISP собственного пространства в 32 бита без фига адресов вполне хватит. Где не хватит - хватит двух-трёх ASN из 32-битных номеров.
Или тебе вот прям щас лично надо именно /64, чтобы каждому волоску на заднице адрес выдать? Кто к ним так по имени обращается-то? А не задумывался, что ни одно железо такую таблицу нейборов просто не уместит?
> Начнешь писать не 192.168.0.1, а 1234.192.168.0.1, и всё.Вот я соединяю мой сервак с моим компом через VPN. Что мне как "AS" для внутреннего айпи впна брать?! Протокол который к этому не готов - не уперся, сорян. Почему я вообще там должен какие-то AS придумывать?
> И это таки тоже будет глобальный адрес твоего роутера.
Что такое "мой роутер" в случае внутреннего адреса в VPN? И какой префикс при этом?
> Большинству ISP собственного пространства в 32 бита без фига адресов вполне хватит. Где не
> хватит - хватит двух-трёх ASN из 32-битных номеров.По сравнению с v6 это даунгрейд и квадратно-гнездовое мышление. Существующее железо ЭТО все не умеет и оно сразу на старте намного хуже v6.
> Или тебе вот прям щас лично надо именно /64, чтобы каждому волоску
> на заднице адрес выдать?Вообще, я выдал энное количество айпишников своим железкам, вполне удобно когда я могу доступ к железкам без левых извратов.
> Кто к ним так по имени обращается-то?
В случае v6 можно и постоянные айпишники навесить, и шорткаты/алиасы какие сделать. А вот посторонним отдавать temporary всякие.
> А не задумывался, что ни одно железо такую таблицу нейборов просто не уместит?Ваши проблемы - это ваши проблемы. Не надо пытаться их валить на других. Если половина глобуса это уже делает - значит все решаемо а вы либо жлоб либо придуряетесь. В любом случае вас надо заменить на того кто это может. Потому что их есть.
> Вместо него неплохо бы IPvASNУчитывая, что распределение IPv6 предполагает раздачу одну сеть в одни руки LIR, это по сути тоже самое. Получить вторую сеть, не вернув первую будет очень непросто. Я вообще считаю, что не ISP больше одной ноги(с BGP) не нужно, достаточно резервной ноги до ядра основного провайдера и её можно пустить даже через VPN(тупо PPTP без шифрования) через GSM модем. Многоногость всяких левых компаний это одна из причин чрезмерно большого количества маршрутов в интернете. Если в сети компании нет серверов, то даже VPN не нужен, просто анонсировать в сеть несколько /64 и играться с флагом AdvOnLink, выбирая адреса по умолчанию для выхода в интернет. Даже NAT66 для этого не нужен.
Не совсем то же самое.
IPv6 удолбищен в целом, при 128 битах адреса та же обратная выборка для роутинга представляет из себя феерический адешник, который до сих пор нормально в железе не решается.
Плюс совершенно неадекватная автоконфигурация.
И это ещё не всё.
> Не совсем то же самое.
> IPv6 удолбищен в целом, при 128 битах адреса та же обратная выборка
> для роутинга представляет из себя феерический адешник, который до сих пор
> нормально в железе не решается.
> Плюс совершенно неадекватная автоконфигурация.
> И это ещё не всё.Вы забыли предложить решения которые бы это все лучше делали. Ваш IPv4/ASN как вообще с впн допустим действовать должен? Ну и по мере внедрения - производители железа проблемы таки решают. Да и "полусофтварно" в v6 - "flow" маркируется 1 раз и далее может быть целиком железом разрулен и flow id специально для этого и сделан.
А автоконфигруация IPv4 это вообще ацкий костыль. Более того - нормального механизма получить подсетку и раздать ее даунстримам там вообще нет. А, ну да, так в вашем уродце видимо должно быть нельзя. В комитетах стандартизации конечно бывают бакланы - но не настолько чтобы такой мусор как стандарт принять.
Ты просто в силу каких-то факторов не понимаешь, что эту проблему на данный момент в существующем железе решить - невозможно. Поэтому не "решают", а "закостыливают". Кто во что горазд. Просто трафика до сих пор на копейки, и всерьёз ещё ничего особо не вылезло."Полусофтварно" - удачи протащить хотя бы 100-200G линк "полусофтварно".
Ну получишь ты /64 - удачи дальше раздать "даунстримам".
Повторюсь от другого поста: суть в том, что на 100 клиентов в лучшем случае приходится 1, которому вот реально нужно IPv6, не на побаловаться. На побаловаться - 2-3. И это не бывший соцлагерь и не около.
> Ты просто в силу каких-то факторов не понимаешь, что эту проблему на
> данный момент в существующем железе решить - невозможно. Поэтому не "решают",
> а "закостыливают".Я понимаю что если у половины глобуса все работает, кажут такой график, а ... с опеннета лечит - мне втирают очки.
> Кто во что горазд. Просто трафика до сих пор
> на копейки, и всерьёз ещё ничего особо не вылезло.Что-то клаудфларовский график копейками не выглядит. Вы заврались сэр.
> "Полусофтварно" - удачи протащить хотя бы 100-200G линк "полусофтварно".
Половина глобуса - протаскивает. И поболее. Значит решаемо.
> Ну получишь ты /64 - удачи дальше раздать "даунстримам".
Я и раздаю так то. Только от прова /56 таки обычно. As described in RFC. Но вы кажется даже этого не знаете и по моему понятно кто якорь на самом деле.
> Повторюсь от другого поста: суть в том, что на 100 клиентов в
> лучшем случае приходится 1, которому вот реально нужно IPv6,А решать это будет дегр с опеннета. А юзеры пусть звонят вазапом через зимбабве, когда нат пробить не удалось, подумаешь квакает и лаг 2 секунды. Так и надо работать, попутно еше протокольную логику изгадив. С...!
Ты просто не в курсе реалий, судя по всему. Ну да ладно, продолжай жить в выдуманном мире. Впрочем, у тебя даже мегачемпион IPv6 физикам пока не даёт, поэтому и с выдуманным миром проблемы.
Что же до того, как производители решают - особенно в сохе весело.
Приходит один такой клиент недавно, не физик, и вообще на SLA - ну, жЫрный немножко.
Дайте говорит IPv6, не могу, аж руки трясутся.
Ладно - ща дадим, погоди, поддержка галочку щёлкнет. Дали.
Не работает грит. Ну вот вообще никак.
А что у тебя за девайс? Да, вот, файрвольчик модный, <название вендора>.
Так ёшкин ж кошкин - вот, у тебя этот самый вендор английским по белому пишет: IPv6 over PPPoE is not supported.
Железу на минуточку уже лет 6 так, не конкретной железке, а модели, старшая версия фирмвари за десяток ушла.
Такая вот поддержка IPv6 и решающиеся проблемы.
Ушёл, в общем, не буду грит файрволы менять по всей округе, обойдусь без модного протокола.
А в статистику теперь пойдёт как клиент с IPv6, потому что включили, и выключать уже не будем. Вдруг поменяет.
Дело не только в количестве маршрутов.Дело ещё в том, что маршрутизация требует обратной выборки, соответствия "адрес-ID" ("адрес-порт", "адрес-метка", etc.). И вот здесь при попытке это в железе реализовать кроются самые жёсткие грабли.
Плюс безумное выделение /64, народ ныне вовсю использует /120-/131, потому что при шустрых сканах распухают таблицы.
Плюс много чего ещё.
// 120-127, простите, утро, всё ещё сплю
Ладно соглашусь, что если упарываться в максимальную эффективность, то коммутация по меткам вшитым в адрес это лучший выбор. Но учитывая, что мир так и не перешёл на глобальную коммутацию через MPLS, никому настолько высокая эффективность и не нужна. Главное, что адресов много и маршрутизацию можно масштабировать до любых скоростей. Проектировщики IPv6 ставили задачу увеличения числа маршрутизируемых бит с 24 до 48 дабы исключить ISP NAT и увеличения количество адресов за каждым
48-битным "адресом" дабы исключить клиентский NAT. Попутно в требования записалась максимальное stateless домашних роутеров, что дало нам EUI-64 из которых маршрутизатор должен был брать MAC-адрес. Mobile IPv6, который так и не реализован нигде. Multicast как бы намекающий, что IPv6 заменяет не только IPv4, но и все протоколы канального уровня. В общем за десятилетия сильно его жизнь побила. И любой протокол, что попытается стать ему заменой ждёт тоже самое. Вы помните, что изначально у сетей IPv4 были классы? Позволяющие быстро определить сколько бит отвечает за маршрут, насколько проще было маршрутизировать по ним? Это прямой доступ по индексу для сетей A и B и bsearch для C.
> никому настолько высокая эффективность и не нужнаНу да, вы мне это как ISP расскажите.
(я про ненужность эффективности...)А так - да, IPv6 - это, простите за ой французский, мертворождённый у6людок.
> (я про ненужность эффективности...)
> А так - да, IPv6 - это, простите за ой французский, мертворождённый у6людок.С 50% трафика у клаудфлари то? Это вы как ISP - вот это самое, имхо.
О хосспаде, один мегапровайдер упорол себе IPv6.
Кстати по факту IPv6 трафика вот именно на клаудфларь - вообще на копейки, они стараются протокол для серверов на лету не менять, а серверы в основном на IPv4.
> О хосспаде, один мегапровайдер упорол себе IPv6.Клаудспайварь - вообще не провайдер как таковая. Они CDN в основном. Хотя с их 1.1.1.1, впнами и проч они уже несколько больше чем только CDN.
> Кстати по факту IPv6 трафика вот именно на клаудфларь - вообще на копейки
Статистика от представителя прова который с IPv6 "на вы" - это как "опрос показал что 100% опрошенных в интернете пользовались интернетом". Такие вещи надо смотреть от нормальных провайдеров! Выдающих v6 по дефолту, тогда картина будет объективнее. И клаудфлари соответственно доверия намного больше - у них в инфраструктуре ipv6 вроде бы везде, и внутрях многие жирнокорпы давно уже им пользуются.
> они стараются протокол для серверов на лету не менять, а
> серверы в основном на IPv4.Блаблабла, очередные подтасовки от недопрова. Тот неловкий момент когда клаудспайвари больше доверия...
> Клаудспайварь - вообще не провайдер как таковая.Я не имел в виду конкретно ISP.
> Такие вещи надо смотреть от нормальных провайдеров! Выдающих v6 по дефолту
Удачи в поисках :) Мы IPv6 выдаём всем, абсолютно даром, но не "по дефолту". Только тем, кто попросит. А знаешь почему? Потому что либо отдельное клиентское оборудование на нём сломается, либо клиентская сеть вылезет голым задом в паблик. Нам оно надо?
Ну и да, расскажи это вашему мегачемпиону, у которого IPv6 для физиков и по сей день нет.
А у нас есть, хотя нужен он почти никому.
> Ну и да, расскажи это вашему мегачемпиону, у которого IPv6 для физиков
> и по сей день нет.Какому еще "моему мегачемпиону"? Это про что? У меня IPv6 есть - по сути везде.
> А у нас есть, хотя нужен он почти никому.
Нужность имхо определяется путем "раздать по дефолту и посмотреть что будет". Вот клаудфлар как-то так и действовал - померял траф в диком виде. Нормальный подход, сразу и видно что и куда нужно. В отличие от очковтирательств на опеннете от ангажированных личностей.
Выделение ASN позволило бы сократить первичную выборку при маршрутизации до первых 32 бит, что по сути эквивалент уже хорошо обкатанной в желез IPv4 выборки, а дальше - исключительно при необходимости, потому что чаще всего все адреса в пределах ASN идут в один конкретный порт, за исключением отдельных "оптимизирующих маршруты" товарищей - использовать вторичную всё такую же обкатанную выборку для IP внутри ASN.
> Выделение ASN позволило бы сократить первичную выборку при маршрутизации до первых 32
> бит, что по сути эквивалент уже хорошо обкатанной в желез IPv4Вы почему-то охренели и решили что это не вы - для клиентов и интернета, а они все - для вас. Хотя де факто это сложный баланс интересов и вы в нем лишь 1 из аспектов.
А все остальные из ваших проблем свои делать - не собираются от слова вообще. Зачем мне в абстрактном VPN делать мозги какими-то AS например. Или недо-протоколом который с VPN взаимодействовать не может?
> все адреса в пределах ASN идут в один конкретный порт,
У тебя профдеформация. В хучшем виде. Что такое "ASN" в контексте VPN допустим?
Если эту логику применить к забегаловке - "дорогие клиенты, мы вам тут #$%нули овса в немытое корыто, так нашим официантам проще всего было, вы там кушайте, короче!". А нужны ли такие забегалловки? И такие же ISP?
> Вы почему-то охренели и решили что это не вы - для клиентовДа ты не парься, у тебя ближайшие перспективы в том, что и безлимит отменят полностью даже на наземке, потому что охренели вовсе не мы, а любители авосек со всеми пользовательскими данными. Но то у вас в стране.
> Хотя де факто
Де факто оборудование стоит денег. И если ты хочешь интернетика не за 100$/месяц на VDSL, то оборудование придётся удешевлять.
> У тебя профдеформация. В хучшем виде. Что такое "ASN" в контексте VPN допустим?
В контексте VPN у тебя будет бегать ASN 0 например, и ты на него прекрасно сможешь забить.
Поэтому вот этот вот взрыв афедрона лично мне - непонятен.> А нужны ли
Не нужны и не нужны. Вы в этой части уравнения всего лишь 1/многосоттысячная доля от общего числа клиентов.
Я тебе даже больше скажу - удачи тебе с IPv6 в контексте VPN.
> Я тебе даже больше скажу - удачи тебе с IPv6 в контексте VPN.Вайргад изумительно с ним работает. А в чем собссно проблема?
Если у вас везде только вайргад - ну, ок, чо, не наш случай. У нас зоопарк, потому что не исключительно своё железо, а клиенты. Правда когда вайргадовское шифрование сломается - вам всё равно будет чуть веселее, чем нам.
И да, про овса и корыто - вот это как раз IPv6 и есть.
> И да, про овса и корыто - вот это как раз IPv6 и есть.Это ваш IPv4 где входящие соединения порубаны "потому что вам так было проще". Изгадили протокольную логику, навалили костылей, зато, вот, апгрейдить железо и свои знания не надо... с...и, позор айти и подставщики!
Просто да - почитайте про то, как в железе делается выборка для маршрутизации монструозного адреса v6 - вы очешуеете... Это лютый треш, и ни одного приемлемого алгоритма за 20 лет естественно не появилось. С 32-битной выборкой всё обстоит очень просто.
> Пора изобретать ipv8.Вроде бы уже изобрели, но лишь для P2P:
https://py-ipv8.readthedocs.io/en/latest/
А IPv7 пропускаем?
Хотите 256 битный адрес?)
512-битный же, если следовать традиции.2^512=13.4078079299426E+153, ммм... многа, многа...
Максим, а можно поинтересоваться почему Опеннет по IPv6 не доступен?
Как недоступен, а это что?$ host opennet.me
opennet.me has address 104.21.3.46
opennet.me has address 172.67.130.60
opennet.me has IPv6 address 2606:4700:3036::ac43:823c
opennet.me has IPv6 address 2606:4700:3037::6815:32e
> $ host opennet.meПочему не opennet.ru ?
попробуй
И пробовать долго не нужно. -Нет резолва в ipv6 = нет доступа по IPv6
Сам попробуй. opennet.ru доступен и резолвится исключительно в IPv4.
Потиху ценник за использование ipv4 будет расти, это, возможно, ipv6 и популяризирует.
Ну да, острый дефицит адресов в IPv4 неизбежен.
Первый раз я прочитал про неизбежный "крызис" ipv4 лет 20 назад. И с тех пор крызис всё как-то откладывается и откладывается.
да, смешные прогнозы были. Еще доступны вполне, нагугливаются.
> да, смешные прогнозы были. Еще доступны вполне, нагугливаются.Только что-то хостеры стали цены за это дело закручивать, дополнительный айпишник - вообще премиум, на даже проводном интернете белый айпи уже только за отдельные деньги. Это вообще круто - доплачивать за полноценный интернет, вместо импотента без ... некоторых частей тела.
По моему пора уже признать что произведено больше устройств чем доступно адресов для них и упхнуться уже, не? Это чисто технически - EPIC FAIL.
> даже проводном интернете белый айпи уже только за
> отдельные деньги. Это вообще круто - доплачивать за полноценный интернет, вместо
> импотента без ... некоторых частей тела.Немного не так. Это просто на неполноценный интернет дается скидка. Потому что абсолютному
большинству обычных пользователей белый ip не только не нужен,а даже и вреден(по соображениям безопасности их устройств, потому что файрвол они настраивать не умеют).>пора уже признать что произведено больше устройств чем доступно адресов
Можно подумать что каждой умной лампочке нужен отдельный белый адрес. Зачем он ей если они используются исключительно и только локально? Для сравнения можем посмотреть на классическую телефонию - офисная АТС это такой же NAT и файрвол только для голосовой связи. И обычно никто все свои внутренние телефоны в городскую сеть не выставляет,а только те немногие которые действительно надо. И в соседний кабинет через городскую телефонную сеть обычно не звонят.
Откладывается через костыли и затягивание поясов региональными регистраторами. Глобально у IANA адреса IPv4 закончились больше десяти лет назад. У регионального ARIN адреса IPv4 закончились в 2015 году, а у RIPE в 2019. То есть ждать ещё 20 лет не придётся. Полагаю, что массовый переход на IPv6-only ресурсы - это дело нескольких лет. А за IPv6-only ресурсами последует острая необходимость в провайдерах, которые предоставляют подключение по этому протоколу. Мой провайдер уже пару лет как делает это без дополнительной оплаты. А ваш?
А нам не нужна это поделка для интернета дырявых вещей
А чем же IPv6 дырявее IPv4? EUI64 на своих устройствах пользоваться не обязательно.
Причем тут протоколы? Ты читать не умеешь?
Вам - это кому и почему ваше мнение кому-то вообще интересно?
Нам - это как минимум половине, если верить статистике из статьи
Можно подумать, что это люди, имеющие хотя какое-то представление о том, что мы тут обсуждаем. На самом деле нет.
Все так, но до кучи оказалось, что на заре интернета некоторые компании получали огромные (по современным меркам) диапазоны адресов просто "ну а почему бы и нет", причем у некоторых они так и не особенно задействованы остались.
Эти компании собирались раскулачить.
> Эти компании собирались раскулачить.Уже лет 10 собираются, да всё никак не соберутся. Нужно же придумать единые для всех правила отъёма адресов, а не тупо всё отобрать и поделить. Например правило, что каждый владелец адреса должен платить $1 за него своему RIR. Нужно ли объячнять, что это не устроило никого? Потому, что у большинства есть не особо эффективно распределённые адреса.
>> Эти компании собирались раскулачить.
> Уже лет 10 собираются, да всё никак не соберутся. Нужно же придумать
> единые для всех правила отъёма адресов, а не тупо всё отобрать и поделить.Ну вот и придумали IPv6. Судя по 50% трафика - отбирать уже ничего и не придется, просто вынести в легаси и ваши пафосные ipv4 будут там же где и всякие пятизнаки аськи. Кому вот ща оно нужно, хоть с 5 знаками, хоть с 7? :)
>ваши пафосные ipv4 будут там же где и всякие пятизнаки аськи. Кому вот
> ща оно нужно, хоть с 5 знаками, хоть с 7?Если бы хозяева аськи её целенаправленно не убивали, тщательно распугивая пользователей - то
народ там бы по сей день сидел. Напомнить сколько раз у них при очередных "обновлениях" протокол
ломался и половина клиентов отваливалась? Понятно что такое в итоге стало никому не нужно.
> Все так, но до кучи оказалось, что на заре интернета некоторые компании
> получали огромные (по современным меркам) диапазоны адресов просто "ну а почему
> бы и нет", причем у некоторых они так и не особенно
> задействованы остались.
> Эти компании собирались раскулачить.Причём тут компании, больше всего айпишнего выделялось науч. институтам. В конце 90стых для института беркли ip было выделено больше чем для всего китая. На мою лабу, когда я работал в нии в начале нулевых, было выделено в два раза больше ip, чем там было сотрудников. И т.д.
У apnic ещё 2 миллиона есть.Не говоря уже об рециркулированных.
В этой стране у меня два провайдера, оба здоровенные мегателекомы. Ни у того, ни у другого IPv6 нет.
Конкретно же у нас - есть, но мы в этой стране не работаем :)А ваше "полагаю" уже лет 10 как слышно, но IPv6 настолько хорош, что полагать будете ещё долго. Возможно до следующего IPvX, ибо v6 всех задрал.
> В этой стране у меня два провайдера, оба здоровенные мегателекомы. Ни у того, ни у другого IPv6 нет.Потому что в вашей стране минсвязи разрешает провайдерам жлобствовать и всячески экономить на клиентах. Именно поэтому у вас не только IPv6 - редкость, но и нормальный публичный или как вы его тут зовёте белый IPv4 адрес.
> Конкретно же у нас - есть, но мы в этой стране не работаем :)
Западному миру откровенно пофиг где вы не работаете. Западный мир движется в сторону перехода на IPv6, нравится ли вам это или нет.
> А ваше "полагаю" уже лет 10 как слышно, но IPv6 настолько хорош, что полагать будете ещё долго. Возможно до следующего IPvX, ибо v6 всех задрал.
Так я выше уже написал, что реальный дефицит IPv4 постоянно откладывался костылями и затягиванием поясов регистраторами. Какое-то время это помогало, но уже помогать перестало. Адреса в IPv4 откровенно заканчиваются.
> Так я выше уже написал, что реальный дефицит IPv4 постоянно откладывался костылямиЗа CGNAT всё человечество поместится, а вместо продажи белых IP как услуги теоретически можно скатиться до продажи белых портов (почему так не произошло?).
Логичнее будет сказать, что или дефицит уже есть лет 20-25, с момента внедрения CGNAT (NAT и IPv6 ведь примерно ровесники?), или его нет (CGNAT'а и перепродажи IP хватит навсегда).
Если бы отказ от IPv4 шёл по плану, которого не было, CGNAT бы просто не распространился.
> За CGNAT всё человечество поместится, а вместо продажи белых IP как услуги теоретически можно скатиться до продажи белых портов (почему так не произошло?).Какое-то костыльное у тебя мышление. Клиенты могут пооткрывать кучу соединений и у твоего CGNAT просто закончатся порты. Нафиг такое надо, когда есть нормальное решение, в котором адреc - это на самом деле три адреса: prefix (48bit), subnet (16bit), interface(64bit).
> Какое-то костыльное у тебя мышление.Я ж без одобрения - костылей на всех хватит, но это не значит, что каждому надо вручить по штуке. Основной тезис - углубляться в стадии дефицита адресов непродуктивно.
> Клиенты могут пооткрывать кучу соединений и у твоего CGNAT просто закончатся порты.
Ничего не знаю о внутренностях провайдерских NAT'ов. Могут ли они отобразить на один внешний адрес:порт несколько внутренних? В такой ситуации неразрешимая коллизия должна быть, если пользователи будут одновременно подключаться к одному адресу:порту в интернете по одному протоколу (TCP/UDP). А в остальных её, кажется, можно разрешать - тогда костылей хватит без экономии портов.
> Ничего не знаю о внутренностях провайдерских NAT'ов. Могут ли они отобразить на
> один внешний адрес:порт несколько внутренних? В такой ситуации неразрешимая коллизия должна
> быть, если пользователи будут одновременно подключаться к одному адресу:порту в интернете
> по одному протоколу (TCP/UDP). А в остальных её, кажется, можно разрешать
> - тогда костылей хватит без экономии портов.Ну вот смотри на одно из нескольких моих соединений с Опеннетом:
TCP 192.168.1.102:49877 217.65.3.21:443 ESTABLISHED
Я подключился к 443 порту Максима со своего 49877 порта. Но Максим не видит ни этот порт ни мой приватный 192.168.1.102 адрес. Он видит мой публичный IPv4 адрес и совершенно другой порт. То есть NAT транслирует 192.168.1.102:49877 в нечто другое, доступное для внешнего мира, отсюда и его название. Номеров портов 2^16 штук и часть из них вообще зарезервированы. Одно дело, когда своим одним публичным адресом пользуюсь лишь один я с небольшим количеством устройств и совсем другое дело, когда таких как я - 100500 клиентов провайдера. Просто запусти у себя netstat -n посчитай количество соединений и представь, что на одном NATе провайдера сидит весь твой город или регион с 4 - 5 устройств на клиента.
NAT - это не просто костыль, это злобное зло.
Это всё хорошо, но ведь не имело отношения к вопросу. Я про то, могут ли несколько клиентов провайдера иметь соединения через один внешний адрес и один порт (в случае, если они подсоединяются к разным адресам в интернете). Если да, то оно ослабляет вот это ограничение:> Номеров портов 2^16 штук
> Если да, то оно ослабляет вот это ограничениеUpd: ну, то есть, в целом позволяет сильнее уплотнить клиентов за NAT. Захотелось наиболее релевантную часть процитировать, но не особо понятным образом.
> могут ли несколько клиентов провайдера иметь соединения через один внешний
> адрес и один порт (в случае, если они подсоединяются к разным
> адресам в интернете).Не могут. Каждая пара <публичный IP:порт X> транслируется в одну другую пару <приватный IP:порт Y> для каждого из протоколов TCP и UDP в отдельности. То есть я на TCP и ты на UDP можем занять одну и ту же пару <публичный IP:порт X>, но мы оба на TCP или оба на UDP не сможем. NAT просто не будет знать как нас различить, особенно в случае UDP. В TCP ещё есть sequence number, но он генерируется в зависимости от реализации протокола и полагаться на него, чтобы нас различить, нельзя.
> NAT просто не будет знать как нас различитьТо есть извне придёт пакет. И у NAT не будет информации, на какой приватный адрес:порт его направлять. Но гипотетически NAT-таблицу можно расширить и помимо портов заносить в неё ещё "адрес, по которому обращается клиент", чтобы дополнительно различать по нему?
(Я не знаю, что я за недопроксивелосипеды тут изобретаю, это простое любопытство и далёкость от компьютерных сетей)
> и помимо портов* Помимо пары из публичного адреса:порта и приватного адреса:порта.
> (Я не знаю, что я за недопроксивелосипеды тут изобретаю, это простое любопытство
> и далёкость от компьютерных сетей)UPD2: я описал вот эту штуку?
Our proposed algorithm can slightly improve the efficiency of the NAPT time to time so that more than 65536 simultaneous connections can be served at a time whereas the current NAPT can’t serve more than 65536 connections in any circumstances. We are proposing to slightly change the translation table by including not only the Local IP address and Source port number but also the Destination IP address and Destination port number in the translation process.
https://www.researchgate.net/publication/4257423_An_Extended...
Именно.
Что-то боту-модератору не понравилось.Оказалось, что описал штуку из статьи 2007 года: "An Extended Algorithm to Enhance the Performance of the Current NAPT".
"slightly change the translation table by including not only the Local IP address and Source port number but also the Destination IP address and Destination port number in the translation process."
Не знаю, остался ли extended NAPT только на бумаге. Его мимоходом упоминали в RFC 9313.
Почему не сможете? Сможете. Сейчас это ещё не применяется, вернее применяется, но ограниченно, но вообще на одну пару адрес-порт можно спокойно смаппить несколько соединений, если они идут к разным целевым хостам и портам.
Да ни черта он не движется, я как раз в нём и работаю.
Есть установки по IPv6. Если даже клиенты по IPv6.
Но общее число тех, кто IPv6 запрашивает на в домой (sic!) или в офис - меньше процента, и примерно столько же трафика, если вычесть гугл и клаудфлару.
Почти 38% посетителей ФБ используют IPv6
https://www.facebook.com/ipv6/?tab=ipv6_total_adoptionВ США этот процент ещё выше - около 60% или даже больше.
Да, есть страны, где этот процент значительно ниже, но лишь потому, что там ещё есть куда затягивать пояс.> Но общее число тех, кто IPv6 запрашивает на в домой (sic!) или в офис - меньше процента, и примерно столько же трафика, если вычесть гугл и клаудфлару.
В Израиле ничего запрашивать не надо, все провайдеры обязаны предоставлять. Я должен лишь в настройках раутера один чекбокс включить и вот IPv6 уже работает. При этом все раутеры для оптики, в отличии от более старых xDSL, обязательно поддерживают IPv6. Тут IPv6 лишь мобильные операторы не предоставляют, но дойдёт время и до них. Заставят, как с VoLTE.
ФБ отдельным набором линков, там не смотрел %. Смотрел по генерализованному трафику, без однородных монстров.
> ФБ отдельным набором линков, там не смотрел %. Смотрел по генерализованному трафику,
> без однородных монстров.Фишка ФБ в том, что у него подавляющее число трафика от частных пользователей. Многие их них, возможно, даже не догадываются о том, что заходят туда по IPv6. Поддержка этого протокола включена по умолчанию как минимум в винде и в андроиде. Полагаю, что в яблофонах и яблокомпах тоже. Как только раутер настроен и работает с провайдером по IPv6 все домашние клиенты начинают им пользоваться. Причём у IPv6 более высокий приоритет и если сайт доступен по обеим протоколам, соединение будет именно по IPv6.
Фишка ФБ в том, что это один-единственный огромный ресурс.
А значит для общей оценки трафика он нерелевантен.
> Фишка ФБ в том, что это один-единственный огромный ресурс.
> А значит для общей оценки трафика он нерелевантен.Он релевантен для оценки трафика частных клиентов. Более трёх миллиардов активных пользователей:
https://www.statista.com/statistics/264810/number-of-monthly.../
> Западный мир движется в сторону перехода на IPv6, нравится ли вам это или нет.У меня с давних времен почта на aol.com который очень даже "западный".
Российский Мегафон доступ туда по pop3 блокирует. Думал что через teredo по IPv6 зайти
получится - фигвам. Только через vpn.
> А ваше "полагаю" уже лет 10 как слышно, но IPv6 настолько хорош,
> что полагать будете ещё долго. Возможно до следующего IPvX, ибо v6
> всех задрал.Вообще-то задрал он в основном высокотехнологичных индейцев, которые, вот, опять впереди планеты всей по торможению прогресса и саботажу - под пафосные слоганы своих главных о переезде столицы в нью-васюки. ИМХО вы помрете от старости, ожидая свой IP-что-то-там - попутно сидя в кривом подобии недо-интернета.
>А за IPv6-only ресурсами последует острая необходимость в провайдерах, которые предоставляют >подключение по этому протоколу.Или в гейтах IPv4-IPv6 типа этого:
http://www.ipv6proxy.net
На мой домашний (в смысле - физически находящийся у меня дома) v6-only сайт вполне себе ходит.
Сайт кстати получает динамический v6 адрес через teredo и прописывает его в freedns.afraid.org
Уже лет пять у меня это работает.>Мой провайдер уже пару лет как делает это без дополнительной оплаты. А ваш?
А мой (Мегафон) не делает и не собирается. Смею напомнить,что живущие в частных домах в сельской местности - практически все сидят именно на интернете от сотовых операторов.
> Или в гейтах IPv4-IPv6 типа этого:
> http://www.ipv6proxy.netКакой-то совсем кривой гейт - не может wikipedia.org открыть?!
>Какой-то совсем кривой гейт - не может wikipedia.org открыть?!Пишет error:1407742E:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert protocol version
Это не столько гейт виноват,сколько расплодившийся в последнее время зоопарк вариантов шифрования
в TLS. Поддерживать абсолютно все возможные варианты не всегда и не везде получается.
Например недавно приятель(достаточно далекий от программирования,просто юзер) пожаловался
что у него с примерно такой же ошибкой не открывался whitehouse.gov, просто браузером,без
всяких IPv6.
Причем у них в городе(небольшом) ходила конспирологическая теория о том что это Путин Байдена
заблокировал так как происходило это не только у него.
А у меня OpenVPN ругался на попытку подключения к халявному южнокорейскому серверу которым я пользуюсь - пока я в явном виде не прописал в конфиге нужный вариант шифрования для TLS.
Причем что интересно - ДО очередного недавнего обновления Дебиана всё работало, сломалось ПОСЛЕ.
Вот наверно и там также обновились.
Я уже писал: достаточно гуглу сказать что сайты без IPv6 мы понижаем в выдаче как за неделю доля сайтов с IPv6 вырастет на 10%. И следующие 2 месяца ещё на 20%.
Хорошие советы по стрельбе в ноги от Ивана.
> Хорошие советы по стрельбе в ноги от Ивана.Так это ж в ваши ноги - а не его или гугловские. Какие проблемы то? У гугли IPv6 есть и они им активно пользуются :)
>> Хорошие советы по стрельбе в ноги от Ивана.
> Так это ж в ваши ноги - а не его или гугловские.
> Какие проблемы то? У гугли IPv6 есть и они им активно
> пользуются :)Оно еще не знает что такое стрельба в ногу...
Хорошая диверсия.
Вам нужно эту идею продать конкурентам гугла.
Чтобы они попробовали продать её самому гуглу.
Думается для компов и ноутов ipv4 и это навсегда, а вот для смартов и планшетов в конце концов будет повсеместное ipv6.
Для каких ещё компов и ноутов?
Там где вин98 и 2к - так они развалились давно, а в ХР уже был рабочий IPv6, с висты он уже был полноценный.
Андроид до сих пор не умеет dhcp6.
А зачем ему?
Когда это нужно?
Это нужно, когда провайдер выдаёт тебе меньше, чем /64, и на slaac не хватает.
> Это нужно, когда провайдер выдаёт тебе меньше, чем /64, и на slaac
> не хватает.Ты имел в виду мобильного оператора? Но зачем ему заниматься такой откровенной хернёй? Адресов в IPv6 хоть жопой жуй. А так, мой андроид прекрасно работает с IPv6 через WiFi.
> Это нужно, когда провайдер выдаёт тебе меньше, чем /64, и на slaac не хватает.Этот провайдер - noncompliant стандарту. Так просто и банально. А учитывать вообще все глюки и кривизну на планете - сорянчик, но - в спеках вообще сказано - по /56 каждому. Так что имейте сапорты, это их косяк.
А в статику умеет?
IPv6 - это инструмент создания тотального кибер-гулага. Вы только вдумайтесь. Каждому человеку на земле если захочешь можно дать свой личный уникальный айпи адрес. Тотальная слежка и контроль.Я уже не говорю про отсутствие обратной совместимости и прочих проблем изложенных в этой статье.
про слежку - это всё-таки немного шиза, IPv6 вреден по другой причине.местные админы локалхоста так яростно топят за IPv6 только для того, чтобы они могли "из интернета" подключаться к своему компу минуя промежуточные сервера, то есть экономить 100 рублей в месяц на VDS или на аренду IP у своего провайдера.
а так как кроме локалхоста они ничего никогда не админили, они не понимают, чем грозит ситуация, когда у каждого cpаного китайского пылесоса, веб камеры, "умной лампочки", "умной колонки", "умного ёршика" и прочих роутеров с логином:паролем admin:admin будет собственный выделенный IPv6 адрес.
Какие-такие 100 рублей?У нас от 1500 рублей в месяц VPS, с каналом 500кбит/с.
А домашний интернет 100 мегабит.
Не, ну если арендовать vps у самых распиаренных провайдеров, то и больше может. Я же почти год арендовал за 500 руб/мес, а потом нашёл вообще за 140 и уже там сижу довольно долгое время, никаких проблем нет, канал 100 МБ как-раз, а за 270 уже можно с гигабитным взять
Будет коммунизм
Что за привычки давать одному название другого? Ленин и КМ мертвы, успокойтесь, товарищи господ. Никто уже не сможет, даже если захочет, потому что Алчность название планеты, а не Земля. Кстати, почему земля, а не грунт, например?
Бытовые роутеры по умолчанию пропускают вовнутрь трафик, без межсетевых экранов совсем?
К счастью, v6 DDoS всё ещё не в моде. Пока.
>100 рублей в месяц на VDSАлё, ты где это нашёл такой хостинг за 100 р/мес, тем более, сейчас?
174 рубля в месяц FirstVDS
а что мешает подключаться к своему компу
из инета без выделенного адреса?
или просто недостаток знаний компенсируется простой решения?
>а что мешает подключаться к своему компу из инета без выделенного адреса?NAT?
И как он мешает?
Необходимостью настраивать port forwarding. Неумением или костыльностью работы с некоторыми протоколами, например с FTP.
> Необходимостью настраивать port forwarding. Неумением или костыльностью работы с некоторыми
> протоколами, например с FTP.Да что там, звонки через интернет в соседний дом - идут через сервак в Зимбабве. И нещадно квакают. Оно такое надо?!
Прочитал всю статью пару раз, не подскажите, где там про "создание тотального кибер-гулага"? Всё как-раз напротив, IPv6 хуже поддаётся блокировке и анализу DPI, что неплохо улучшает ситуацию. Минусы же только в запутанности и некоторой излишности в реализации, а так-же отсутствии какой-либо защиты без файрволлов
Подскажете. Извините )
Хороший текстик, да. И это только половина маразма в v6.
Уже одно то, что в PPP IPCP6 не добавили делегацию и конфигурацию адреса...
Плюс есть куча "железных" проблем, которые не затронуты. Размер адреса, в частности.
Технические проблемы решаемы, Гулаг надуман. Торчащие в интернеты "умные" устройства решаемы, но большинство и этого не сможет. Разворачиванию мешает неповоротливость крупных провайдеров (зачем что-то делать, инвестировать, если это что-то на качестве предоставляемых услуг почти никак не сказывается?), дубовость пользователей (да и изрядной доли админов) и безответственность производителей "умного" хлама. Последнее особенно проблематично. Да, холодильнику и пылесосу не нужно быть умными, а человеку надо продолжать уметь выполнять минимальные вещи по хозяйству. Я понимаю, что для некоторых это звучит, как голос из окопов Первой мировой, но всё же.
> Торчащие в интернеты "умные" устройства решаемы, но большинство и этого не сможет.Есть такая штука, называется фаерволл, но тсс - никому не говори.
Ты только тоже никому не говори, но абсолютному большинству граждан любой страны априори не знают что такое огнестена. А про настроить, это вообще за гранью добра и зла для них)
Я тебе больше скажу, не каждый админ умеет огнестены настраивать.
Так что послушай меня и не пиши больше такой глупости, что кто то там настроит огнестену. Сейчас не настроили, в будущем не настроят.
Файрвол вида "наружу можно всё, внутрь - только на ответы на запросы изнутри" есть на многих современных роутерах. И хотя я не могу с уверенностью сказать "на большинстве", но на тех, с которыми я работал он есть и я подозреваю, что это теперь везде так.
> абсолютному большинству граждан любой страны априори не знают что такое огнестена. А про настроить, это вообще за гранью добра и зла для них)А не подскажите как они NAT все настраивают у себя? Мне кажется этот же метод настройки годится и для настройки брандмауэра.
>> абсолютному большинству граждан любой страны априори не знают что такое огнестена. А про настроить, это вообще за гранью добра и зла для них)
> А не подскажите как они NAT все настраивают у себя? Мне кажется
> этот же метод настройки годится и для настройки брандмауэра.нат не надо настраивать, в этом и плюс! Причем он даже на дешевых устройствах работает через железо
Технические проблемы IPv6 - не решаемы.
Не сделаете вы оптимально обратную выборку на 128 бит, никак.
И ещё лет много никак, потому что сложность там экспоненциальная.
(в железе)
"Торчащие в интернеты "умные" устройства решаемы"
Они на ipv4 нерешаемы уже десятки лет - с чего бы это они станут решаемы с ipv6?
Который, кстати, ещё более усложнён по сравнению с ipv4 и не имеет на борту каких-то фундаментально более безопасных свойств?
Дело-то не в протоколе связи устройств, а в индустриальном подходе к их конструированию, массовому производству и поддержке.
Это всё равно что говорить, что белые птицы быстрее летают.
Ipv6 was a mistake.Придуман по-идиотски, и им невозможно нормально пользоваться, пока он не будет "у всех", и, главное, не существует transition technology, позволяющей пользоваться ipv6, когда он есть, и ходить в обход когда его нет.
ipv6 IS a mistake
Пока ещё IS, но очень надеюсь, что хотя бы лет через несколько станет WAS.
запретить потому что холодильник!
Для внедрения ipv6 нужны еще какие-то стимулы, например ограничение скорости доступа через ipv4.
Для внедрения IPv6 сперва неплохо бы кое-кому почесаться и слезть с трона.
К примеру, без своего Dual Stack Server'а невозможно сделать git clone НИ ОДНОГО репозитория c github (принадлежит коммпании, которая до этого просрала развитие Интеренета на PC)
Или: Docker не умеет внутри контейнера ipt6tables, даже после чтения всех его обещаний и включения в конфиге опции experimental (!), ip6tables один фиг внутри кидают ошибку и никто не поможет.
И таких примеров просто простыня на десяток экранов в кинотеатре. Но виноваты, конечно, провайдеры последней мили и пользователи. Это всё они должны объяснять и требовать.Для совсем продвинутых экспертов опеннета могу также пояснить что одна из целевых идей IPv6 - это простая связанность каждого устройства в сети. Или нормальными словами: выставить все клиентские машины голой попой в глобальную сетку (это те, кто без Яндекс.Браузер и VK не смогут в сети расписание автобуса найти). На графике не стали рисовать сколько это процентов от всех пользователей, думаю 97%-98%
Для супер-продвинутых экспертов опеннета возьму на себя смелость добавить, что в IPv6 изначально NAT не предполагается (для совсем убогих есть сторонние решения NAT64 и различные шлюзы), часть людей на такие вопросы на форумах до сих пор свысока указывает на глупость вопрошающего.
Ну так отказаться от NAT и была идея у IPv6, хотя я лично также её не разделяю.
> Ну так отказаться от NAT и была идея у IPv6Изначальная задача была решить проблему нехватки IPv4 адресов. Ну а новый протокол позволяет вернуться к изначальной идее интернета - сквозной прозрачности. Эта идея гарантирует, что ваш пакет может быть доставлен между любыми узлами сети без модификации. Может быть, но не обязан ввиду каких-либо административных ограничений (файервол).
Ну, а NAT - это всего лишь костыль, который призван решить проблему ограниченного адресного пространства. А все его "защитные" функции легко заменяются одним правилом файервола, которое требует гораздо меньше вычислительных мощностей для каждого пакета.
Ну вот да, идея выставить все клиентские девайсы голым задом в сеть - типа каждый должен свой файрвол иметь - она конечно похвальна...
Фильтруйте на мосту. Например по MAC устройства.
Если есть подсети за роутерами, тогда нужен другой подход.
Все подсети за роутерами. Все клиентские.
Stateful в концентрацию не втащить, думаю, понимаете, почему.
Если фильтровать на мосту, теряется весь смысл v6 который был в выдаче статичного адреса каждой капле воды в Тихом океане и каждой песчинке в Сахаре.
Так а почему теряется? Будет у твоего пылесоса статический "белый" ip, а что твой роутер будет блочить все обращения к нему снаружи - это уже твоё личное дело. Где в концепции ipv6 было про то, что каждый пылесос будет доступен всем желающим?
Ничего не теряется. При /56 от провайдера у тебя 2^8 внутренних сеток со своими /64 префиксами. Фильтруй на мосту те из них, которые надо и не фильтруй те, которые не надо.
Первая четверть XXI века заканчивается. Предлагают вернуться к фильтрации по MAC каждому владельцу домашнего роутера. Этот как проц Эльбрус начать паяльником собирать на заводе, как раньше телики с кинескопами: рабочих мест создали на весь город, все при деле.
Почитаешь и думаешь, что может и вправду рановато.
Ну вот идея с IPv6 - она такая...
С IPv6 проблема даже в stateful-фильтрации - если в локалочке что-то заведётся и наплодит пакетов от 2^n адресов - никакой stateful не выдержит, придётся дропать новые стейты.
Опять же можно в шлаак адресочков наплодить.
Фаервол и так включён по дефолту на каждом домохозяичном роутере на блок на вход нынче и уже много лет как, кроме, наверное, каких-то сумасбродных чудных девайсов. По дефолту. Что поменяется для обычных домашних пользователей? Нет, правда?
А если вы продвинутый пользователь, то и сами сможете отключить/включить фаер по желанию или необходимости.
Или не так?
Там ещё вторая проблема.
100500 запросов в минуту на разные адреса из /64 на сохошечку - и она таки помрёт.
Собственно зачем? Сейчас сеть забросили в файрвол и сидит провайдер целиком в зазеркалье, а тут сиди разбирайся кому разрешать доступ кому нет.