» »

IPv6 omrežje je že simpl?

IPv6 omrežje je že simpl?

cegu ::

Ima mogoče kdo kakšen vodič za postaviti IPv6 dostop do interneta "tako.kot se za gre".

Nekaj sem slišal da naj bi dobil cel javni subnet (je to postala norma za domače uporabnike v Sloveniji ali je še vedno eksotika?)


Ali off-the-shelf routerji znajo routati IPv6 v domačem omrežju, ali je še vedno imeti kakšen cisco? "Tako kot se za gre" razumem v smislu da dam vsem mojim napravam ki potrebujejo dostop do interneta javni IP in jih postavim za požarni zid, NAT pa lahko celo izklopim.

Zavlačujem že meta s prehodom. S kolegi s tujine postavljamo svoj VPN po svetu, pa ugotavljamo ta je CG-NAT postal nekaj normalnega in je čas da prehondlamo na 6ko.

Lightning5 ::

Zdravo,

IPv6 lahko dobiš pri vseh operaterjih, razen pri Telemachu. Pri vseh dobiš vsaj / 56 (256 subnetov) in povezovalni segment.
Bistvo, ki ga moraš vedeti pri IPv6 je, da je VSAK subnet velik /64 (po standardu). /64 se uporabi tudi za npr. dve napravi, v /64 pa lahko spraviš neomejeno naprav oz. kolega se heca, da gredo lahko v en /64 vse naprave na svetu. Naslednja stvar, ki jo moraš vedeti je, da /56 deluje tako kot privatni naslovi v IPv4.
Povezovalni segment pa je povezava med (ponavadi PPPoE tunel) tabo in ISP. (Tukaj se ponavadi nahaja javni IPv4 IP)

Primer omrežja:
Povezovalni segment: aaaa:bbbb:cccc:ddd1::/64
Alocirano omrežje: 2aaa:bbbb:cccc:dd00::56
Izbran subnet za LAN 1 iz /56 alokacije: 2aaa:bbbb:cccc:dd01::/64

ISP
| aaaa:bbbb:cccc:ddd1::1/64
| Povezalovani segment: aaaa:bbbb:cccc:ddd1::/64
| aaaa:bbbb:cccc:ddd1::2/64 (tukaj se ponavadi nahaja javni IPv4 naslov)
Tvoj router
| 2aaa:bbbb:cccc:dd01::1/64
| LAN 1: 2aaa:bbbb:cccc:dd01::/64
| 2aaa:bbbb:cccc:dd01::2/64
Tvoj računalnik

Daniel ::

Pismo, mi ni nič jasno pri tem IPv6 :) bolj berem razlage manj razumem. Na Telemachu pa niti testirati ne morem.

Zgodovina sprememb…

  • spremenil: Daniel ()

Lonsarg ::

Operaterji so precej zaspali.

Proper IPv6 omrežje je IPv6 only v kombinaciji z NAT64 gateway (na nivoju ISPja). Ampak zaenkrat žal vsi postavljajo dual stack kjer moraš konfigurirat tako IPv4 kot IPv6 na ruterju. Poslovni uporabniki sicer rabijo dual stack (pa še za poslovne je proper way da interni NAT64 gateway postavijo in je glavnino notranjega omrežja IPv6 only).

Ampak ja, brez nekega konkretnega pusha bo tako stanje še desetletja. In dokler se gremo dual-stack bo vedno večini podjetij in uporabnikom "odveč" dodatno še IPv6 konfigurirat.

Rdecitone ::

Lightning5 je izjavil:

Zdravo,
IPv6 lahko dobiš pri vseh operaterjih, razen pri Telemachu. Pri vseh dobiš vsaj / 56 (256 subnetov) in povezovalni segment.


Tudi pri telemachu ti dajo ipv6. Isto ti dajo p2p in ti potem zroutajo nek blok nanj.

thaway348 ::

Na Telemachu ti ne dajo nic od IPv6, ce si na kabelskem - spraseval par tednov nazaj.
Nimajo.

Miha 333 ::

Večina žal razmišlja tako (tudi velika podjetja): Ali lahko z ipv6 delaš oz. dosežeš kaj, kar z ipv4 ne moreš? Zakaj bi si kompliciral življenje z ipv6?

bciciban_ ::

Zakaj za vraga rabimo /56 za doma?
Čez sto let pa jokanje kako je zmanjkalo naslovnega prostora.

Tudi za ipv4 so nekoč talali /8 in /16 kar tako počez.

Lightning5 ::

Po pravilih bi moral dobiti tudi za doma vsa /48

Naslovov je pa dovolj, da ima vsak /48 (in še kaj več).

feryz ::

Če pa folk hoče, da ima vsaka ledica na led traku svoj ip. In to javni, ne zrutan.

bciciban_ ::

Lightning5 je izjavil:

Po pravilih bi moral dobiti tudi za doma vsa /48

Naslovov je pa dovolj, da ima vsak /48 (in še kaj več).


To so tudi za ipv4 rekli :))

Osebno mi je glupo imet 128bitov za naslovni prostor.
Potem pa jih praktično 72 ali 80 vržeš stran,ko delaš gigantske subnete za vsakega Janeza in Micko.

Že leta 2000 sem poslušal kako bo ipv6 zdaj zdaj povsod.
24 let kasneje je še vedno domena nekaj zanesenjakov.
Ko sm bil na faksu sem imel tak trenutek tudi sam in sem nekaj časa doma gonil ipv6 ko ga je isp ponujal še bolj kot ne ekspirementalno.
Zdaj pa že kakih 10 let živim spet na ipv4.

Zgodovina sprememb…

Lightning5 ::

Potem pa na žalost ne razumeš IPv6
128bitov se uporablja, ker je tehnologija, ki to omogoča poceni. 48 bitov bi bilo dovolj, ampak smo si privoščili več.

bciciban_ ::

Lightning5 je izjavil:

Potem pa na žalost ne razumeš IPv6
128bitov se uporablja, ker je tehnologija, ki to omogoča poceni. 48 bitov bi bilo dovolj, ampak smo si privoščili več.


Jaz že razumem ipv6.
Pa to ne pomeni da je bil v osnovi najboljše zamišljen. Samo tehnična superiornost očitno ni dovolj.

Lonsarg ::

Čisto lepo so si zamislili. Namreč v prihodnosti nas čaka gromozansko povečanje števila naprav in NE toliko povečanje števila subnetov oziroma internetnih priključkov.

Skratka dizajnirali so zadevo da je 2^48 "internetnih priključkov", 2^16 subnetov per priključek ter 2^64 naprav per subnet. V praksi še dodatno šparajo pa talajo 2^8 subnetov domačim uporabnikom (/54).

Še dodatno varovalko so dali, da so na ta način razdelili le 1/8 naslovnega prostora, 7/8 pa se dejansko špara in po potrebi se v prihodnosti določi drugačne razmerje internetni priključek vs subnet vs naprava za ostalih 7/8 če bo potreba.

Skratka 2^64 naprav per subnet je tista varovalka da lahko število naprav dobesedno zraste v neskončnost. Pravzaprav je ta rezerva mišljena tudi zato, da lahko posamezna naprava dobi tudi po več naslovov.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

bciciban_ ::

Ja vse to vem.
Praksa pa kaže kar kaže.

Uporaba je ipv6 je danes ravno tako teoretična kot je bila pred dvema desetletjema.

Lonsarg ::

Ja seveda je šansa da so narobe razmerje predvideli, zato pa kot prvo velika rezerva, kar tudi je. Kot drugo pa še dodatna rezerva da je 7/8 IPjev dejansko na rezervo da jih drugače v prihodnosti dizajnirajo kot so prvo osmino.

Ampak če bi šli po tvoje, da bi per internetni priključek dodelevali manj, bi bila večja šansa da falijo, skratka čisto lep teoretični optimum so izbrali. Pač prvo osmino so razdelili na teoretični optimum ker kot rečeno več šans je da se povečuje število naprav per priključek kot pa število priključkov.

Lepota velikih subnetov je, da lahko recimo kako omrežje pametnih avtomobilov handlamo z enim subnetom per državo in podobne fore. Ker če jih bo handlal en centralni strežnik je pravilno da je to en subnet ne več.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

bciciban_ ::

Jaz tudi nisem pristaš da ima vsak kurac od naprave javni ip.
NAT ni varnostni mehanizem, vseeno pa je bolje to kot pa imeti tisoče javnih ip-je in se zanašati da bo blokirano na fw.

Za povprečnega uporabnika mislim, ki bo montiral pametne žarnice in podobno šaro.

Lonsarg ::

Zanašati na NAT pomeni MANJŠO varnost kot zanašati na FW, ne večje. Namreč NAT je huda komplikacija in osnove internetne varnosti so da vsaka komplikacija pomeni več možnosti za varnostne luknje, ne manj.

Default nastavitev "NAT ki ne sposti nobenaga inbound" oziroma "FW ki ne spusti nobenega inbound" je pa itak osnova in ni tle razlike.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

bciciban_ ::

Se ne strinjam.
Rezultat bo na koncu polno random šare pri potrošniških, ki bo vse dosegljivo od zunaj, ker ne bo blokirano na fw.

Lonsarg ::

Samo kot en primer izmed mnogih, zaradi NAT komplikacije so šli razvijat UPnP protokol da naprave same odpirajo inbound porte. In glej ga zlomka po default je UPnP vklopljen na domačih napravah, medtem ko je IPv6 FW na domačih naprava po default block all inbound. Drugi primer, ko vidiš odprti IP moraš v logih to korelirat še z NAT port konfiguracijo da sploh veš kam je šel promet.

Skratka niti slučajno NAT nič ne doda varnosti, je zgolj in izključno vzame. Več šans z misconfiguration (vsaka komplikacija drastično poveča možnosti za misconfiguration), UPnP, več šans da slab log audit, če za nazaj ne moreš konstruirat per port logov, itd itd.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

bciciban_ ::

Jaz nimam prav velik zaupanja v pravilno konfiguracijo firewalla za domače uporabnike.

Ti pa kar :))

l0g1t3ch ::

Prva stvar k jo folk dela na PC-jih je da ugasne FW, če imajo kakršno koli težavo.
Polovica jih potem pusti FW ugasnjen. Isto bo domačimi routerji in posldica bo stotine 'pametnih' žarnic in ostale šare na javno dostnopnih IP-jih.

UPnP mislim da je že precej pogosto privzeto izključen. Sem skoraj ziher da je bil izključen na asus in ubiquiti.

Zgodovina sprememb…

  • spremenilo: l0g1t3ch ()

Lonsarg ::

bciciban_ je izjavil:

Jaz nimam prav velik zaupanja v pravilno konfiguracijo firewalla za domače uporabnike.

Ti pa kar :))
Še vedno ne dojameš.

Če nimaš zaupanje v pravilno konfiguracijo FW (in seveda je čisto prav da ni pretiranega zaupanja) moraš imeti ŠE MANJ v pravilno konfiguracijo NAT.

Zaščita "by dizaj", v NAT ne obstaja, to je mit ki ga laiki širijo. Če ni UPnP je pa DMZ zone, ali pa uporabnik ročno klika porte, skratka pokvarit se da marsikaj in še več šans imaš kaj miskonfigurirat kot pri običnem FW.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

c3p0 ::

IPv6 se bo razširil, ko bo dovolj velik pritisk, beri: ko bodo največji rekli, od tega dne bo pa ta in ta servis dosegljiv le še preko IPv6 in bo pritisk na ISPjih, zakaj storitev več ne deluje.

Brez tega gre le za zanesenjake, ki imajo že 20+ let konference, premakne se pa nič prav ne, ker se ne rabi.

nokken ::

bciciban_ je izjavil:

Jaz nimam prav velik zaupanja v pravilno konfiguracijo firewalla za domače uporabnike.

Ti pa kar :))

Tocno to. Ja absolutno NAT nima veze z varnostjo ampak jebiga hoces noces jo v praksi ima. Ne govorim tu o pravilno skonfiguriranih omrezjih, firewallih itd. ampak o 99% uporabnikov, ki kupijo "router" za 30eur, ga priklopijo in zacno uporabljati. Ce je komu vsec ali ne, za taksne userje je NAT vsaj nekaj varnosti, ker bi v nasprotnem primeru imeli povsem odprto masino na javnem ip-ju dostopno cisto vsem na svetu. Z NATom vsaj tega nimajo. Ni lih bas nekaj od securitya, je pa definitivno boljse kot imeti isto masino na javnem ip-ju.
IPv6? Saj je preprost ze od zacetka, ampak dokler ne bo nobenega profita od tega, se nihce ne bo pretirano ukvarjal s tem. Pred 15+ leti je na eni konferenci nekdo rekel, da bo IPv6 prevladoval cez 70let. Takrat sem se malo nasmehnil in rekel, da toliko pa res ne bo treba... no po slabih 20 letih in pri tem koliko v6 prometa vidim pri nasih Nx100Gbps linkih, mu dam kar prav... pa verjetno tudi cez 50 let (takratnih 70let) se vedno ne bo prevladoval.

Zgodovina sprememb…

  • spremenilo: nokken ()

bciciban_ ::

Lonsarg je izjavil:

bciciban_ je izjavil:

Jaz nimam prav velik zaupanja v pravilno konfiguracijo firewalla za domače uporabnike.

Ti pa kar :))
Še vedno ne dojameš.

Če nimaš zaupanje v pravilno konfiguracijo FW (in seveda je čisto prav da ni pretiranega zaupanja) moraš imeti ŠE MANJ v pravilno konfiguracijo NAT.

Zaščita "by dizaj", v NAT ne obstaja, to je mit ki ga laiki širijo. Če ni UPnP je pa DMZ zone, ali pa uporabnik ročno klika porte, skratka pokvarit se da marsikaj in še več šans imaš kaj miskonfigurirat kot pri običnem FW.


So ti že drugi povedali.
Folk ugaša FW kar tako na počez. Isto ga bodo na ruterjih.
UPnP je na novih napravah privzeto ugasnjen.
Tisti ki zajebe DMZ zone ali port forwarding bo zjebal tudi konfiguriranje FW-ja.

Skratka na koncu bo rezultat to, da bo uporabnik imel doma kup iot šare, ki bo imela javni IP in bo dosegljiva z vsega sveta.

nokken je izjavil:

bciciban_ je izjavil:

Jaz nimam prav velik zaupanja v pravilno konfiguracijo firewalla za domače uporabnike.

Ti pa kar :))

Tocno to. Ja absolutno NAT nima veze z varnostjo ampak jebiga hoces noces jo v praksi ima. Ne govorim tu o pravilno skonfiguriranih omrezjih, firewallih itd. ampak o 99% uporabnikov, ki kupijo "router" za 30eur, ga priklopijo in zacno uporabljati. Ce je komu vsec ali ne, za taksne userje je NAT vsaj nekaj varnosti, ker bi v nasprotnem primeru imeli povsem odprto masino na javnem ip-ju dostopno cisto vsem na svetu. Z NATom vsaj tega nimajo. Ni lih bas nekaj od securitya, je pa definitivno boljse kot imeti isto masino na javnem ip-ju.
IPv6? Saj je preprost ze od zacetka, ampak dokler ne bo nobenega profita od tega, se nihce ne bo pretirano ukvarjal s tem. Pred 15+ leti je na eni konferenci nekdo rekel, da bo IPv6 prevladoval cez 70let. Takrat sem se malo nasmehnil in rekel, da toliko pa res ne bo treba... no po slabih 20 letih in pri tem koliko v6 prometa vidim pri nasih Nx100Gbps linkih, mu dam kar prav... pa verjetno tudi cez 50 let (takratnih 70let) se vedno ne bo prevladoval.


Točno to.
Leta 2000 je bil IPv6 tik za vogalom in še danes je točno tam, tik za vogalom.
Še nekaj let nazaj ko sem delal v bolj klasičnem enterprise segmentu je obstajalo kar nekaj kosov SW-ja, ki ni podpiral IPv6 ali pa je bila podpora z celim kupom drobnega tiska.

Zgodovina sprememb…

starfotr ::

IPv6 lahko dobiš pri vseh operaterjih, razen pri Telemachu.


Na njihovi optiki gre.

Promet skoz IPv6 vztrajno raste.
https://www.google.com/intl/en/ipv6/sta...

Mi smo iz pionirjev v6 šli skoraj na zadnje mesto med evropskimi državami (ne EU). Kar je sramotno. Arnes na primer že desetletja podpira IPv6, prav tako je bil Amis eden prvih pri nas.

Se pa vsaj dogajajo koraki v pravo smer. To je, da se na primer pri Telekomu vsem novim/pri spremembah dodeli IPv6. Na mobilnem je v resnici velika tema. Spet od pionirskih časov, do teme, ki je sedaj.

Invictus ::

IPv6 ni tako pomemben, da brez njega ne bi šlo...

Dokler gre vse z IPv4, folk in firme pač ne bodo preklapljale...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Lonsarg ::

bciciban_ je izjavil:

So ti že drugi povedali.
Folk ugaša FW kar tako na počez. Isto ga bodo na ruterjih.
UPnP je na novih napravah privzeto ugasnjen.
Tisti ki zajebe DMZ zone ali port forwarding bo zjebal tudi konfiguriranje FW-ja.

Skratka na koncu bo rezultat to, da bo uporabnik imel doma kup iot šare, ki bo imela javni IP in bo dosegljiva z vsega sveta.
Ugašanje FW ali nastavljanje DMZ ali vklapljanje UPnP ali nastavljanje port forwardinga, isti k... V vseh primerih gre za wannable advanced uporabnike, ki bodo zaj.. karkoli v roke dobijo.

In še vedno trdim da bodo taki neumni uporabniki lažje zaj. NAT kot FW. Ker bolj ko je kompleksna stvar (kar NAT je) več je šans da pri klikanju kaj zaj.. in NE manj.

bciciban_ ::

RFC 1925 z Janom Žoržem in Ivanom Pepelnjakom

nokken ::

Pipi je (bil) strokovnjak (danes se mu pac pozna da ze lep cas zivi zgolj v teoreticnem svetu) ampak poslusljiv pa ni bil nikoli in po prvih 3min tega vidim da se v 20+ letih kar ga poznam to se ni spremenilo. Zorz pa... no ja not going into that.

l0g1t3ch ::

Haha, kaj oba žuli kubernetes in openstack :))

MrStein ::

bciciban_ je izjavil:


Točno to.
Leta 2000 je bil Linux tik za vogalom in še danes je točno tam, tik za vogalom.

Ja, ampak zakaj spreminjaš temo?
Ups, narobe prebral. ;)

Da ne bom nove teme opdpiral: kje (razen kot omenjeno Telekom) je IPv6 po defaultu vklopljen?

Pri naslednjih ni (lastne izkušnje):
- A1 (FTTH by Telekom)
- Telekom mobilno
- Telemach koaksialni kabel

A ni bila neka tabela na https://go6.si/ ?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

IPv6 (strani: 1 2 3 4 5 6 7 8 )

Oddelek: Omrežja in internet
36392840 (10855) Klemen86
»

Tomato (Shibby) router firmware - vprašanja

Oddelek: Omrežja in internet
132372 (1700) AC_DC
»

Jutri svetovni dan IPv6 (strani: 1 2 )

Oddelek: Novice / Omrežja / internet
9917564 (14560) Spock83
»

T-2jev IPv6 na optiki- nekaj težav

Oddelek: Omrežja in internet
386714 (6252) BlueRunner
»

Svetovni dan IPv6 bo 8. junija (strani: 1 2 )

Oddelek: Novice / Omrežja / internet
5518437 (16288) MrStein

Več podobnih tem