Názory k článku
Den IPv6: dnes proběhne velký zapínací „cvak“

Ahojte,

plasi s IPv6 nekdo jiny nez geekove ? Zajima to vubec nekoho ? IPv4 adresy porad jsou , aspon u provideru napric republikou jsem nezaznamenal nejake potize s jejich ziskavanim .

Co routery na strane klientu ? Da se vubec sehnat nejake routery ktere maji IPv6 podporu a stoji to same co IPv4 ?

Nebo aspon ty zarizeni, ktere dejme tomu podporuji OpenWRT se daji priohnout na IPv6 ?

Nejak mi totiz unika prakticky dopad pro normalniho koncoveho uzivatele ...

Prakticky dopad? Torrenty pobezi mnohem lip ;-)

A také VOIP a Skype.

U nás k žádnému cvak tedy nedojde, IPv6 budeme ignorovat úspěšně dál, přechod je plánovaný někam po roce 2016. Do té doby klesne cena IPv6 zařízení, doslouží stávající IPv4 zařízení a ti, kteří se do toho hrnou po hlavě, vychytají chyby.

každý kontinent měl dostat jeden prefix a tento prefix se měl přidat před běžnou IPv4 adresu. ... A rozšíření adresového prostoru 254 krát by bylo dostačující na dlouhou dobu.

OMG. A můžu se zeptat, jak se to principiálně liší od IPv6? Mierda! :-)

Aha. Od toho myslím bylo vynalezeno DNS. :-)))

Celej na levo. Vudu kvuli nekolika masinm rozchazet DNS server a jeste kvuli nemu mit porad zapnuty stroj. Nektere z nich mam napsane v hosts na nekterych z nich, neco si pamatuji. Mezi zapamatovanim nejakeho 192.168.1.XXX a zapamatovanim ipv6 adresy je dost velky rozdil. Kdyby to aspon nebylo hexadecimalne.

A jaký je problém v tom, mít ipv4 i 6 adresy? V lokální síti se budete orientovat podle ipv4 a do internetu pouštět ipv6...

Jednou z Internetu vymizi ipv4 uplne. Proc ho tam udrzovat, kdyz vsichni stejne budou muset umet ipv6. Budete stale udrzovat i ipv4? I kdyz jednou si treba budete muset udrzovat vlastni ipv4 stack, protoze z duvodu zastaralosti se s tim v jadru nebude nikdo namahat udrzovat?

„jednou si treba budete muset udrzovat vlastni ipv4 stack“

Není tahle úvaha teďka trochu mimo realitu?

To je rada jako kdyby: V Linuxu není žádné pořádné účetnictví! A Vaše rada by byla: Tak si na druhou partici nainstalujte Windows a restartujte počítač.
:-)

Aha, tak to bude opravdu závažný důvod proti IPv6, mít síť, kde nestojí ani za to rozcházet DNS. :-))))))))))

Nestoji to za to s ipv4. Mam neblahe tuseni, ze ipv6 si vynuti minimalne duslednou udrzbu hosts souboru.

nj, kdyz nekdo pouziva pre IPv4 technologie ... (tedy 30+let stare postupy) ... ono totiz uz IPv4 umi (kupodivu) dynamicky modifikovat DNS, takze staci nastavit jmeno kazdemu dalsimu stroji (coz kupodivu kazdy stejne dela) a on pak jen sve ctene jmeno sdeli DNSku (pomoci DHCP trebas).

=> pokud si (napr) nastavim, ze se muj pristroj jmenuje "debilni-telefon", tak mi (kupodivu) pujde se na nej pripojit jako na debilni-telefon.moje-domena.cz. A (velke prekvapeni) v pripade IPv6 tohle bude fungovat i v pripade, ze bude v uplne cizi siti s uplne jinou adresou.

Ano, to je hezke. Jeste byste o tom mohl vypravet vyrobcum routeru. Treba by zacali vyrabet routery, kde to funguje i casteji, nez nekdy.

Fanatikům to člověk nevysvětlí.
Asi takhle: Strávili 100 hodin blbnutím s něčím, co je vlastně horší, než předchozí technologie, utratili za to peníze a teď už prostě nemohou přiznat, že naletěli a dovolili, aby z nich někdo udělal totálního vola :-D

Jinak: Nejméně příští 4 roky bude mít každý důležitý server IPv4 adresu.

Nj, treba by si nekdo moh koupit krabku o 2 kilca drazsi a funkcni ...

To by mohl. A kterou? Mam nejaky D-Link. Mam koupit jinou a pak narazet na jine veci, ktere nefunguji zase tam? Protoze, priznejme si to otevrene, vetsina vyrobcu routeru jsou docela bastliri a zaslouzili by nakopat do zakonceni zazivaciho traktu.

Jestli koupim novou krabku, tak az casem, az bude za rozumnou cenu neco, co umi ipv6 a je odladene lepe, nez nejaka beta, kterou vyrobce na uzivatelich testuje a SW chyby opravi mozna v novem firmware, mozna v dalsi verzi routeru, HW chyby si pak nechate az do konce pouzivani.

Tak to ze SOHO krabky stoji obecne za kulovy je samo fakt, ale totez plati o Cisco a jinych "krabkach". Na tom se nic nezmeni ani za 10 ani za 15 let.

Obecne za slusny routrik povazuju to, na cem lze rozchodit dd-wrt nebo openwrt, coz je prakticky plnohodnotny tucnak => funcionalita je omezena ciste vykonem a pameti.

On trebas takovy mikrotik po SW strance stoji taky za pekny kulovy (napr sem 1/2 roku cekal na opravu SW, aby chodilo OpenVPN). A podle infa od cloveka co mikrotiky pouziva ve vetsim mnoztvi, tak po HW strance to jde s novinkama prej taky pekne do p... prej se pekne prehrejvaj.

=> vzdycky je to loterie, ale vazne nema smysl kupovat cokoli pod 500Kc, tam je to naprosta tragedie ve vsech ohledech.

Pokud tam někdo bude používat privacy extensions, tak můžete hosts přepisovat každou hodinu :-)

Doporučuji se podívat po Avahi, rozchází se to samo (= snad všechny současné operační systémy to již obsahují) a použití je velmi jednoduché.

„Vudu kvuli nekolika masinm rozchazet DNS server a jeste kvuli nemu mit porad zapnuty stroj.“

Od toho bylo vynalezeno multicast DNS.

„Kdyby to aspon nebylo hexadecimalne.“

Ještě aby jsme tu chybu s dekadickou soustavou zopakovali i tady.

>Ještě aby jsme tu chybu s dekadickou soustavou zopakovali i tady.

Proc chybu? Tu adresy jsou stejne ulozeny binarne a decimalni reprezentace je jen pro uzivatele, protoze vetsine lidi jsou decimalni cisla jaksi blizsi, nez hexadecimalni. Vsimnete si, ze cisla v ipv4 adrese jdou od 0 do 999 jenom ve filmech. V realnem zivote jdou pouze do 255.

To ne, bližší jsou jen nám, co máme na rukou dohromady 10 prstů, jestli pán má 16, tak se mu samozřejmě líp počítá v 16kové soustavě :-)
Nicméně si myslím, že současná politiky "většina se musí přizpůsobit menšině" je pěkně hloupá.

Dokud jsem nespravoval žádnou síť, nepamatoval jsem si ani IPv4. Jakmile jsem se o jednu staral, pamatoval jsem si IPv6 úplně stejně jako IPv4.

Ja bych rekl, ze IPv6 adresy se (ve vetsi sit) pamatuji lepe, protoze sit je lepe strukturovana. Mam jeden prefix P, ktery si holt pamatuju, a pak uz to je jen P:1::1, P:1::2, P:2::1 ... Samozrejme, koncove uzivatelske pocitace maji nezapamatovatelne adresy ziskane ze SLAAC, ale u nich neni ani treba je moc znat. Oproti tomu u routeru a serveru jsou adresy jednoduche.

IPv6 se nenuti jako usporky. Na IPv6 se nekteri snazi prejit driv, nez uz bude pozde. Na rozdil od normalnich zarovek (politicky korektne: tepelnych zaricu instalovanych do objimky E27) bude IPv4 v prodeji jeste pekne dlouho (Microsoft tuhle pry koupil 1 adresu za $11; kdo z vas to da?) a nikomu to na dual stacku nebude vadit. Nechcete-li zavest IPv6 uz ted, staci, kdyz za par let nebudete brecet, ze bylo malo casu, ze to nikdo nevyzkousel, ze se to nestihnete naucit, __doplnte si svoji vymluvu__.

(sorry, nestaci; pokud na vasem genialnim rozhodnuti ipv6 nezavest zavisi nejaka firma nebo vetsi spolecnost, budou vas mit casem uzivatele jiste radi)

Stejne tak vas museji mit radi lide napr. v Cine a v Indii (ja to rikam porad, sebereme cine vsechny jejich IPv4 ranky a dame jim class E; civilizovany svet s komunisty nemluvi a na ten jejich intranet jim to musi stacit ;-))

Ja na to seru, nemam ipv6 router a riskovat koupi nejake beta verze nehodlam. Brecite dobre, ale na spatnem hrobe. Jdete zjebat vyrobce, at si prestanou valet koule a daji do placu neco pouzitelneho.

Cetl jste dnesni clanek? "V nabídce e-shopu CZC, který routery zapůjčil, je v současné době 147 routerů. Z toho ale jen 13 deklarovalo podporu IPv6. Celkem 11 se jich podařilo nakonec získat a v 9 případech IPv6 skutečně fungoval. Jeden router vyžadoval aktualizaci firmware a jeden testovaný router se choval velmi špatně."

Co s tim ja nadelam?

On CZC nabizi nejaky router? Mozna nekolik malo kusu, 147 ani nahodou, to sou tak mozna nejaky ty natovaci krabky, veskutecnosti je uvnitr jedno sitovy rozhrani a vsechny vystupy jsou jen virtualni ...

Mimochodem, CZC (ale v tom neni nijak vyjimecny) rad na shopu zvani (uvadeni nepravnivych informaci) nebo prozmenu v informacich chybi podstatne veci. A specielne s posledni upravou shopu je to naprosta tragedie tam neco najit.

Naprosto chapu. Doma/v male firme pochopitelne. Pokud poskytujete nejake sluzby na nejakem realnem neshitoznim hardware a vetsimu mnozstvi lidi, mate nejvyssi cas.

„Co s tim ja nadelam?“

Vždyť zo toho vyplývá, že i v úplně obyčejném spotřebním shopu s počítačema seženeš čtyři krabky s IPv6 (včetně firewallu). Ty krabky teď ještě někdo bude určitě znovu testovat, stačí jenom chvíli počkat.

To znamená, že někdo udělá (a už z části udělal) celou práci za tebe. Dobré, že?

Na OpenWRT bezi IPv6 uplne bez problemov a uz aj tych beznych routerov pribuda. Tam by som problem nevidel. Problem bude v tom, ze mame nieco, co je konecne aspon trochu odladene, bezi to skvele a vsade to funguje a miesto toho, aby sa na tom stavalo, tak prisli inzinieri od stola a navrhli nieco uplne inak fungujuce, co bolo treba vsade implementovat prakticky od zaciatku a co sa nakoniec rozrastlo na obrovsky kolos. Ked si clovek cita tie RFC k IPv6, tak ho musi hned napadnut pribeh o tom, ako psicek a macicka varili tortu.

Kym pri IPv4 bolo mnoho veci navrhovanych z dovodu nejakeho praktickeho nedostatku, tak pri IPv6 ide vacsinou o onanisticke snahy roznych skupiniek o realizaciu ich dokonalej vizie, ktora je casto ina ako onanisticka vizia skupinky druhej. A co je najhorsie, vacsina toho bola navrhnuta este predtym, ako sa vobec prve zariadenia dostali do prevadzky a nemohlo sa teda ukazat, co za mega blbost to spolu "navarili".

Hezky napsano :) , jen pri cteni portalu zamereno na tuto tematiku se tech clanku objevuje docela dost.

Co jsem pochopil bude hlavne sranda potom se zabezpecenim az zacne byt vsechno videt v internetu . Sice plati , ze NAT neni firewall apod. ale myslim , ze je to takovy psychicky blok aspon :) S ipv6 se bude muset ten firewall videt aby cloveku nehackovali lednicku nebo kalkulacku :D

NAT není internet, nutná nikoliv postačující podmínka internetu je veřejná IP a dále "zabezpečení" NATu je triviální, to zvládne každý včetně Windowsího integrovaného firewalu.

Koukám, že nám ta popularizace IPv6 = hafo adres nějak zkomolila ten zbytek. Takže, IPv6 např. rozeznává tzv local adresy (přirovnal bych to k 10.x.x.x aj., btw jsou buď link local nebo site local) takže to, že má každé zařízení IP neznamená, že je routovaná v internetu. A když už bude potřeba se z ledničky na ten Inet dostat - ok dostane global adresu, nebo to zaproxujete, dáte tunnel atd. - a teď jsme u toho NATu - co je to za zabezpečení :). Ano chapu ten psychicky blok - jenže ten je mylný navíc i v IPv6 ten blok můžete mít :) A FW bych doporučoval už dnes - pokud vám vyhákují PC tak vlastně mají vaši vnitřní síť jako na talíři ať už v IPv4 nebo v6.

A ještě k přechodu z v4 na v6 - ano najdou se lidi co milují Firefox 3 protože přece nebudou upgradovat na F13, ale pak tam nebudou nové funkce a změny. A když se chce najdete v IPv6 plno kouzelných featurek, které se dělají ve 4 dost "dirty"

„Takže, IPv6 např. rozeznává tzv local adresy (přirovnal bych to k 10.x.x.x“

Pozor na to, link-local adresy jsou nesrovnatelné, to už mají blíž k IPv4 link-local, tedy 169.254.x.y.

„nebo site local“

Site local, nebo dneska spíše ULA nejsou odpovídají 10.x.y.z ze starých dob, tedy před IPv4 maškarádou. Nepoužívají se pro přístup k internetovým službám,
snad s výjimkou přístupu k místnímu proxy serveru.

Hele, budte rad, ze ipv6 nenavrhovala Evropska komise. Ti by do toho s klidem zakomponovali evropskou ustavu.

+1!!

U IPv6 jde predevsim o to, ze za dobu provozu IPv4 se narazilo na hromady nedostatku, ktere se resily bud nejakym tim drbanim se nohou za uchem (NAT ...) nebo se je realne nepovedlo vyresit vubec (napr multicast). Proto se v okamziku, kdy doslo ke shode, ze novy protokol jednoduse nemuze byt zpetne kompatibilni doslo i k tomu, ze by bylo lepsi to pojmout velkoryse, aby se za dalsich 10 nebo 20 let nemusel navrhovat dalsi nekompatibilni protokol.

Ze 90% z toho co IPv6 umoznuje nebudete pouzivat prece nicemu nevadi. Podstatny je, ze to (narozdil od IPv4) jde.

No IPv4 je zatim dost (nikomu asi nechybi) a nejakej ten patek jeste bude, ale az zacne chybet bude pozde nebo si snad dokazete predstavit, ze by jste mel jen IPv6? :) Do tohoto bodu by mel byt kazdy nebo aspon drtiva vetsina pristupny pres IPv6. V praxi to spis vidim tak ze IPv4 zacne byt tak draha, ze kazdej s radosti prejde na IPv6 a ciste IPv4 budou jen ti lenosi co maji takovy odpor k inovaci a hledaji problemy vsude mozne ;)

IPv4 adresy naopak uz davno dosly, zdani ze jeste ne je navozeno jen miliony NATu. Ale OK, pokud nemate problem, mel bych zajem o libovolne mnoztvi IPv4 adres, dejte, beru obratem.

OK, pokud predlozite potvrzeni od RIPE, ze byl pridelen tento rozsah beru.

Muzu vam predlozit vlastnorucne podepsane potvrzeni, ze jsem si ten rozsah sam pridelil na vyuziti za NATem, abych nemusel prenastavovat default na routeru. Nepsal jste, ze chcete verejne adresy, tak vam ze sveho rozsahu s klidem 2 prodam nebo pronajmu.

Taky bych prosil pár těch céček naroutovat na mého providera, já už se s ním nějak domluvím :).

To co sem chtel napsat z toho asi nevyznelo jak jsem chtel :). Ciste s existenci IPv4 se da jeste nakej ten rok na celem svete prezit aniz by se neco vyrazne zmenilo, tim nerikam ze momentalni a budouci stav internetu pres IPv4 je v poradku (/wave NAT) Chtel sem tim rict, ze zatim je cas, nicmene jakmile opravdu nekdo nekde nedostane IPv4, protoze nebude tak uz je pozde, protoze uz nekteri prichazeji o prilezitosti :) Ale Ok, ja problem nemam, mam ctverek i sestek ke svemu domacimu uziti dostatek :)

Rekneme, ze ste prave ted zjistil, ze vam prebejva par miliard dolaru, a rozhod ste se, ze budete ISP ... sem zvedav, kde vemete IPcka (pominme ze nekoho koupite) ... aha, on uz vam nikdo zadne neda, protoze nejsou ...

=> chudaci africani, jihoamericani ... a vubec obyvatele oblasti, ktere si nestacili zhamtat dost Ipv4 adres.

Ale muzete to zkusit i jinak, schvalne, zkuste po (libovolnem) providerovi chtit !jedno! Cecko. Kolik se najde takovych, kteri vam ho daj.

A pokud budete chtit pouzivat IPsec, tak to tak nejak bez tech adres jaksi nejde.

Afričani mají zatím celkem rezervu :).

„A pokud budete chtit pouzivat IPsec, tak to tak nejak bez tech adres jaksi nejde.“

Bez nějakých těch adres nejde nic, že. Mimochodem IPsec pro provoz nepotřebuje mít na koncových bodech veřejné adresy, stačí buď veřejku na jednom konci, nebo mít venku mediation server, který by měl zprostředkovat UDP NAT Traversal.

Nj, jenze to uz zase vyrabime doprdele diru/nosime drivi do lesa/... proc delat veci jednoduse, kdyz to jde slozite.

BTW: Pokud vim, IPsec existuje ve vice variantach a minimalne jedna zahrnuje to, ze soucasti kontroly je prave IP adresa protistrany => pokud je v ceste NAT, tak to nesedi => spojeni se nenavaze.
Ipsec sem teda nikdy moc do detailu nezkoumal, ale mam celkem v zive pameti jak po nas obchodni parner pozadoval IPcko kvuli tunelu a paac sme uz volny nemeli, tak sme si museli nechat pridelit.

IPsec je rozšíření TCP/IP o zabezpečení. Představuj si to jako framework, na kterém se dá postavit široká škála řešení. Často není možnost, aby jeden člověk nakonfiguroval obě strany, ale musí někomu předat instrukce jak ten IPsec nastavit. Tudíž zvolí konkrétní konfiguraci, která má konkrétní požadavky.

Taky proto existují různé brandované implementace IPsec, které se podle této sady protokolů nejmenují. Implementují třeba jenom konkrétní setup nebo několik setupů, které IKE(v2) umožňuje.

o neco mene vagne: IPsec si muzete predstavit jako bezpecny komunikacni protokol nad IP (napr. misto Ethernet-IP-TCP mate Ethernet-IP-(ipsec: AH nebo ESP)-(sifrovane TCP), resp. Ethernet-IP-ipsec-(sifrovane IP) v tunnel modu)

Odkud kam se kdy bude co zabezpecovat (a jak) se domlouva bokem zvlastni cestou, typicky protokolem IKEv2, drive IKE/ISAKMP/Oakley. IKEv2 klient ve Windows 7 je na par kliknuti funkcni.

IP adresy obou stran je samozrejme dulezite kontrolovat uz kvuli utokum man-in-the middle. Ale prekonani NATu IKE vyresene na strane klienta ma; na serveru staci z verejne adresy presmerovat 2 porty.

Do zadne prdele nikdo drivi nevozi. Proste se v IKE paketu posle sekce (tusim Notify) rikajici "bacha, tenhle clovek je za natem". Mate-li funkcni SW, nic sloziteho.

juj... super, já myslel, že si šifrovaně data mezi mým domácím PC a mobilem připojeným přes 3G napřímo nepřenesu... můžu Vás poprosit o radu jak to nastavit? PC má linux a mobil taky (android).

PS: mám jenom jeden požadavek, nechci aby tam byl nějaký mužík uprostřed. I když připouštím, že z obou stan má ten MITM jakž takž kompatibilní rozhraní, jsem konzervatista a v určitých věcech se mi líbí, když mezi mnou a tou druhou stranou není nikdo uprostřed ;)

No, na mém Androidu se IPSec nastavuje v Nastavení - Bezdrátové připojení a sítě - Nastavení sítě VPN - Přidat síť VPN a teď si vyberete mezi PPTP, L2TP, IPSec PSK, IPSec s certifikátem anebo OpenVPN. Drobný problém může být v tom, že já tam mám CM 7.2, jak to vypadá s podporou VPN sítí u vašeho telefonu a vaší verze Androidu/jádra opravdu netuším. Certifikáty se tam cpou přes Nastavení polohy a zabezpečení - v části Úložiště pověření - Instalace z karty SD. Uživatelský certifikát musí být zabalen včetně klíče a certifikátu ve formáty PKCS12, zhruba takto:

$ openssl pkcs12 -export -in usercert.pem -inkey userkey.pem -certfile cacert.pem -out certs.pfx

„PS: mám jenom jeden požadavek, nechci aby tam byl nějaký mužík uprostřed. I když připouštím, že z obou stan má ten MITM jakž takž kompatibilní rozhraní, jsem konzervatista a v určitých věcech se mi líbí, když mezi mnou a tou druhou stranou není nikdo uprostřed ;)“

Tuším, že dneska se při použití PSK vždy doporučuje IKEv2 (ne IKEv1). Při použití certifikátů by to mělo být jedno, navíc máš na výběr i OpenVPN.

Pokud jsem to správně pochopil (kryptografii prd rozumím), tak ve fázi domlouvání klíčů (IKE) při použití PSK (za předpokladu kvalitního PSK) je sice možné udělat MITM, ale PSK se použije k zašifrování domlouvaného klíče a k autentizaci celé zprávy.

Takže pokud pan MITM neprolomí samotnou autentizaci, mají obě strany bezpečně domluvené zaklíčování své další komunikace a on má docela pešek.

Ale jak říkám, prd tomu rozumím, někdy se v tom zkusím pohrabat, ale není čas.

Jaky je rozdil v prenaseni PSK mezi ike2 a ike1 nevim, podle me je to jedno a hlavne PSK se nedoporucuje pouzivat vubec, protoze hesla si typicky lide vybiraji "monkey" a jestli copy-pastuju bezpecny PSK nebo kopiruju RSA klic nebo X.509 certifikat uz je jedno.

Na ISAKMP+IKE MITM neudelate, neni-li pouzite Aggressive mode (srsly, who built this crap?), protoze prvni ctyri zpravy vymeni proposals + klice a domluvi tak bezpecnou (i kdyz treba v OpenSwanu schvalne s malym exponentem kvuli rychlosti) ISAKMP SA, ktera je obousmerna a slouzi _vyhradne_ k domlouvani tech "skutecnych" SA (tomu domlouvani se rika Phase 2 nebo Quick Mode). Ve Phase 1 je uz jedno, jestli mate PSK, RSA klice v souboru, v LDAPu, z DNSSEC nebo v X.509 certifikatu. Vezmou se jen ta data pro crypto podstatna a vlozi do KE payloadu.

MITM by tedy musel prolomit tu uvodni vymenu klicu (DH, Oakley). Preju mu hodne stesti. Nicmene, pokud ma MITM na vasem pocitaci virus, ktery rozesle do sveho botnetu ten klic, ktery jste prave domluvil (a az za hodinu vyprsi, tak posle ten novy), nemate-li zafixovane IP adresy, muze MITM vasim SPI a platnym klicem teoreticky komunikovat odjinud. Nezkousel jsem, asi je to zavisle na tom jak moc ktera implementace ty IP kontroluje.

Jen pro zajimavost, RFC 2409, 5.5: The identities of the SAs negotiated in Quick Mode are implicitly assumed to be the IP addresses of the ISAKMP peers, [...]

V IKEv2 se tyhle veci zjednodusily, protoze jste-li na Bali pripojeni pres GPRS s odezvami do evropy v radu sekund, tak domlouvatni tunelu pres ISAKMP (6 zprav) nebo IKEv2 (4 zpravy) znamena nekolik sekund mene, coz uz poznate. Nicmene na MITM mysleli, takze je tam na to takovy sikovny tricek :-)

„podle me je to jedno a hlavne PSK se nedoporucuje pouzivat vubec“

Nesmysl.

„protoze hesla si typicky lide vybiraji "monkey"“

To asi nebude úplně dobrý důvod pro zákaz kvalitních PSK, že?

„a jestli copy-pastuju bezpecny PSK nebo kopiruju RSA klic nebo X.509 certifikat uz je jedno.“

Nevím jak u tebe, ale jiným to jedno není. Proto se PSK jako jedna z možností používá. Proti RSA nic nemám, ale nebudu přece argumentovat nesmysly.

„Na ISAKMP+IKE MITM neudelate, neni-li pouzite Aggressive mode (srsly, who built this crap?)“

Odpověď je velice jednoduchá. Road warrior + PSK + main mode pokud vím vůbec nefunguje. Detaily si nepamatuju, tak jsem našel alespoň:

“The IP address is not known and cannot be specified in the racoon configuration file or in the /etc/psk.txt file. A different way to determine the identity of the client must be found. When using pre-shared keys this requires the aggressive mode! The best solution is the usage of X.509 certificates though.”

(http://www.ipsec-howto.org/x304.html)

„Jen pro zajimavost, RFC 2409, 5.5: The identities of the SAs negotiated in Quick Mode are implicitly assumed to be the IP addresses of the ISAKMP peers, [...]“

IMO na té větě je nejzajímavější právě „[...]“

„V IKEv2 se tyhle veci zjednodusily, protoze jste-li na Bali pripojeni pres GPRS s odezvami do evropy v radu sekund, tak domlouvatni tunelu pres ISAKMP (6 zprav) nebo IKEv2 (4 zpravy) znamena nekolik sekund mene, coz uz poznate. Nicmene na MITM mysleli, takze je tam na to takovy sikovny tricek :-)“

Zjednodušení je určitě velmi příjemná věc. Ale jestli je to hlavní důvod, to se mi nezdá. Zvláště IKEv2 právě překlenuje bezpečnostní problémy s IKEv1.

Nesmysl? Proc je to nesmysl? Nikdo Vase kvalitni PSK nezakazuje, ale obecne neni _doporucene_ PSK pouzivat prave proto, ze muzete utocit slovnikem.
http://www.openbsd.org/cgi-bin/cvsweb/src/etc/iked.conf?rev=1.2 posledni radek

"Argumentovat nesmysly" opet nechapu - ja si pod "kvalitni PSK" predstavim neco, co nechci opisovat znak po znaku. Tudiz to nejak bezpecne zkopiruju. A jestli kopiruju tricetiznakove heslo z pwgenu nebo petiradkovy klic v PEM je mi opravdu uplne jedno; do meho clipboardu se to vejde. Ale at si PSK kdo chce pouziva, od toho to tam je...

To, ze road-warrior s main-mode neumi Racoon jeste neznamena, ze to nejde. Ja napisu do ipsec.conf(5) "ike esp passive from em0 to any psk heslo" a mam na adresach interfejsu "em0" road-warrior-like setup. Mozna ten pravy duvod, proc to autori racoonu nenapsali, je, ze nechteji PSK moc rozsirovat ;-)
Dokonce jsem tohle nastaveni pouzival k vyuce Administrace UNIXu na MFF - studenti meli za ukol sve stroje k VPN pripojit a nastavit tunelovani ze sve site do me site. (tzn. SAcka host-host i net-net) A protoze PKI jsme si uzili pri konfiguraci SMTP+TLS, rozhodl jsem se pouzit PSK. Realne ten ukol nekolik studentu zvladlo.

[...] znamena "without any implied constraints on the protocol or port numbers allowed, unless client identifiers are specified in Quick Mode."
-- Opravdu nevidim nic zajimaveho. Kdyz klient nastavi svuj identifier v quick mode (srcid/dstid, leftid/rightid), nema to na IP adresu tunelu vliv. Identifier si muzu vybrat jaky chci (pouziva se maximalne ke kontrole subjectAltName pri X.509). Lepe receno, je to zavisle na konkretni implementaci, nebo nevim, kde je specifikovano jinak.

Jake _bezpecnostni_ problemy IKEv1 ma? Nevim, co je "hlavni" duvod vyvoje IKEv2, podle me je to zjednoduseni protokolu z duvodu blbych adminu, kterym radsi vyhovuje za 5min vygooglit "openvpn linux howto" nez se naucit pouzivat realna reseni ;-) (nekteri vyrobci maji IPsec na 10GE switchich/rou­terech, o OpenVPN nevim) a take nekompatibilita nekterych implementaci kvuli nejasnym definicim. A jako feature navrch zrychlili SA establishment, pridali EAP, ...

„Vase kvalitni PSK nezakazuje, ale obecne neni _doporucene_ PSK pouzivat prave proto, ze muzete utocit slovnikem.“

Přičemž bych chtěl vidět, jak někdo slovníkem útočí na dostatečně dlouhé generované PSK. Generované PSK a uživatelem zadávané PSK jsou dva zcela odlišné postupy a měly by se každý z hlediska bezpečnosti posuzovat zvlášť.

„ja si pod "kvalitni PSK" predstavim neco, co nechci opisovat znak po znaku. Tudiz to nejak bezpecne zkopiruju.“

V tom se shodujeme.

„To, ze road-warrior s main-mode neumi Racoon jeste neznamena, ze to nejde.“

Já nechci věnovat svůj čas přehrabáváním vykopávek. Ale šlo o to, že nebyla v době ověřování PSK v main mode ještě k dispozici identifikace, zatímco v aggressive mode je k dispozici obojí.

http://tools.ietf.org/html/rfc2409#section-5.4

„Opravdu nevidim nic zajimaveho.“

Moje chyba.

„Jake _bezpecnostni_ problemy IKEv1 ma?“

Právě ten, který popíráš :). Tzn nebezpečný PSK road warrior, který implikuje aggresive mode.

„podle me je to zjednoduseni protokolu z duvodu blbych adminu“

Adminům to může být úplně jedno. Když si otevřu konfiguraci Strongswanu, tak je úplně stejně přímočará pro IKEv1 i IKEv2 a dokonce to se stejnou konfigurací umí i používat IKEv1 jako fallback.

„A jako feature navrch zrychlili SA establishment, pridali EAP, ...“

Konsolidaci, zjednodušení a rozšíření protokolu samozřejmě vítám.

Ten problem nastane az v pripade, kdy na jedne adrese budu chtit mit road-warrior s vice PSKs - rozlisovat mezi nimi na zaklade srcid potom evidentne nebude mozne.

Predpoklad je, ze MITM nezna PSK, takze tu cast "HDR*, IDii, HASH_I -->" uz neprecte. Nejak mi unika dopad na bezpecnost, proste v main mode jsou jine identifikatory.

„Ten problem nastane az v pripade, kdy na jedne adrese budu chtit mit road-warrior s vice PSKs“

Možnost připojit více různých klientů s různými klíči považuju za samozřejmost, když už něco takového řeším.

„Nejak mi unika dopad na bezpecnost“

Nemám sílu se opakovat.

„IP adresy obou stran je samozrejme dulezite kontrolovat uz kvuli utokum man-in-the middle.“

Se vším kromě tohoto souhlasím. Stavět bezpečnost na IP adresách se při vzdáleném přístupu nedá. Maximálně to může být doplněk pro odlehčení logů
a odražení necílených útoků na hesla.

Pro road warriors samozrejme, tam musi stacit SPI. Ale na tunely mezi dvema statickymi body (napr. pobocky jedne firmy) vam pribyde dalsi bezpecnostni prvek (i kdyz je IP spoofing jednoduchy jen jednim smerem). Ano, stavet bezpecnost se neda, ano, na vyssich vrstvach bychom IP adresu pouzivat k identifikaci nemeli, ale te bezpecnosti to rozhodne neubere, coz si evidentne myslela i tazatelova protistrana :-)

Nevim, nejsem isp, ale co nedavno zadal muj isp, tak pokud vim zadnej velkej problem nemel, ale chtel jen jedno cecko a jestli neco platil tak nakou v ramci isp trapnou castku :)

Ja osobne cecko nepotrebuju, ne ze bych se mu branil, ale staci me /29 +1 co mam.. zas tak moc zarizeni co potrebuji hodnotny internet doma nemam :) Ono totiz ikdyz bylo ipv4 adres habadej, treba v roce 2003, tak stejne kde jaky isp chtelo zaplatit za jednu blbou IPv4 adresu, sem tam nekdo daval zadarmo jednu verejnou a pak se nasel nekdo kdo da vic na pozadani (viz muj isp), takze ono jestli vam isp da ipv4 adresy nebo ne je celkem jedno, problem muze mit tak maximalne nakej nove vzniklej mega isp co potrebuje hafo adres, ale i tak se da prezit s hodne malo verejnyma ip (pisu prezit, protoze jak je znamo dnes vetsina lidi nema hodnotny internet)

Pokud budu chtit pouzit IPsec (jakoze pouzivam) tak ho pouziju, protoze ja doma internet mam :D (vim jak ste to myslel jen si delam srandu)

Nastesti patrim k tem stastnejsim co maji funkcni dualstack s par verejnyma adresama IPv4 a hodne moc adresama IPv6 :D Jen sem chtel rict ze momentalne nikoho zas tak netlaci nedostatek IPv4 ale az se nekdo takovej obevi, tak bude pozde, to znamena ze by mel kazdej dobrovolne zacit aby se pak z niceho nic nedivil ze se nemuze nekam dostat protoze prece ipv6 ho enzajima :))

Sak ja mam taky /29 a staci mi to tak akorat, teda, samo dokazal bych vyuzit /26, to by tak akorat pokrylo to, ze bych moh mit komplet verejny IPcka vsude (dycky /29 na segment).

V principu by mi provider i dalsi IPcka dal, ale ja je proste aktualne nijak zvlast nepotrebuju, protoze pro desktopy je mam, a na ten zbytek se uz nako dostanu, trebas i pres IPv6 (mam v provozu 4 segmenty z meho tunelovaneho /48 rozsahu).

Ale to sme u toho, ze muj ISP si celkem nedavno "nasyslil" tusim 4 nebo 8 Ccek a tech zakazniku zas tak moc nema.

D-Link DIR-600 ma plnou podporu IPv6 a stoji par korun...

Ze ti kazdej ISP s nadsenim prideli IPv4 prefix, ze? A jak konstatovali ostatni, uzivatele torrentu s IQ vetsi nez oranutan si uz IPv6 rozchodili, nebot pak nemusi resit forwardy portu.

myslis, ze nie je problem zohnat adresu IPv4? aktualne nie, ale si pockaj, kedy dojdu IPv4 aj u lokalnych providerov, ktori este nepresli na IPv6, ti budu musiet si zadovazit blok adries od niekoho druheho, kde je ta rezerva velka (napr. Afrika), alebo bude musiet prejst aj ten na IPv6, odbornici odhaduju, ze Europa minie behom tohto roku vsetok prideleny priestor, resp. zaciatkom buduceho

Zrovna včera jsem všude četl jak státní správa není připravena a dle mého názoru není, protože nejsou na tato zařízení peníze. Sám jsem se poohlížel po nějakém řešení, ale a)adsl router jsem nezahlédl b)provider ohledně tohoto tématu zatím mlčí c) každý není na 100megové síti d)moje pračka ještě nemá ipv6 adresu ;)

Přepnete AžDSL router od operátora do bridge módu a za to dáte nějakou rozumnou krabici.

Osobně jsem to doma udělal kvůli tomu, že ten telekominický Huawei každou chvilku rozpojoval spojení. Ten Mikrotik, co je tam teď, je docela držák a kromě jiného umí i slušně IPv6 a popravdě není nijak dražší než všechny ty ostatní čínské krabičky.

To jo, ale jako N-kovy AP je Mikrotik docela k prdu. To byl hlavni (a jediny) duvod proc jsem se vratil zpatky k Asusu RT-N16 s TomatoUSB (vlastne ted Toastman).

adsl router jsem nezahlédl

VDSL routery od Kyslíků (Comtrend a ta druhá čínská sračka) IPv6 podporují, včetně radvd. Nic ti nebrání je použít i na ADSL lince, akorát že ta podpora IPv6 je tam zatím akorát pro parádu.

Jistě nic mi v tom nebrání, jenom investice do zařízení, které vlastně nepotřebuji (protože stávající funguje) a nevyužiji (VDSL není dostupné).
Ad. bridge a další zařízení - opět cena zařízení + náklady za energie dalšího zařízení.
Prosím berte mé úvahy jako od člověka spotřebitele (kdybych byl firma uvažuji zas trochu jinak ;))

Vaše" úvaha jako od člověka spotřebitele" je analogická k: "chtěl bych VDSL, ale chci, aby mi fungovalo s normálním ADSL modemem".

Jenomže on nechce "VDSL" ani nic jiného. Stávající "aby mu fungovalo jako" mu totiž funguje, plně k jeho spokojenosti a ještě (relativně) dlouho fungovat bude.

"Člověk spotřebitelů" se teď jen snaží od dveří odhánět agenty s teplou vodou, věštící konec světa a podstrkující jako spásu něco se spoustu "zajímavostí", které teď nepotřebuje (nyní je spokojen, už má vše vyřešeno i nad stávající sturkturou). A že pokud si nepořídí to suprdupr novinku ...která ale vlastně moc novinkou není a zatím o ní nikdo moc nestojí krom evangelistů..., tak prý pokud do toho teď nevrazí čas a prachy, tak za pár let upadne svět do záhuby. A toto se věští už notnou řádku let.

A člověk aby ty Jehovisty vidlemi vyhazoval. A lupou hledal reálnou použitelnost pro běžného člověka a pro tuto chvíli a tuto situaci.

presne tak. Mna ako spokojneho spotrebitela netrapi nieco ako IPv6 a vlastne ani neviem, co to je. Internet mi funguje, tak co tu riesite.

Prechod na IPv6 bude zaujimavy. Cele to stoji na ISP, on musi ponukat IPv6 konektivitu, IPv6 zariadenia a zariadit aby som sa sucasne dostal na IPv6 a IPv4 obsah.
Je to nieco podobne ako s prechodom na DVB-T. S tym rozdielom, ze tu si nikto nemoze dovolit vypnut IPv4. IPv4 tu bude s nami este poriadne dlho.

Suhlasim aj so Samuelom.
Vyhoda IPv4 je v jeho relativnej jedoduchosti a rovnosti "pristupu ku kazdemu".
Kdezto IPv6 bol vyvyjany s ohladom na QoS a ine podobne vlastnosti, ktore mozu pomahat ale su aj "zneuzitelne".

„presne tak. Mna ako spokojneho spotrebitela netrapi nieco ako IPv6 a vlastne ani neviem, co to je. Internet mi funguje, tak co tu riesite.“

Nic, o co by ses musel zajímat :).

Pokud nevis, ze zadny internet nemas, tak opravdu nemusis nic resit. Az zaznamenas potrebu se z hospody pripojit domu, abys moh spoluchlastacum ukazat uzasnou fotku, tak zjistis, ze bez internetu to jaksi moc nejde a presne v tem okamzik ti mozna dojde, ze kdybys mel Ipv6, tak bys nemel problem.

Zajimave. Ja napriklad od hospody chodim pokecat a dat par piv... pak mam potrebu zcela neslucitelnou s pripojovanim se domu a ukazovanim jakychsi fotek. je to krasne, ze jsou na svete lide s uplne odlisnymi potrebami ...

No tak, když nechce IPv6 (nebo VDSL), tak ho vlastně nic netrápí, ne? A až skončí morální i skutečná životnost jeho krabičky, tak ji vymění za nějakou, která bude pravděpodobně IPv6 už umět. Stejně tak ve chvíli, kdy bude pro operátor nová krabička s IPv6 levnější než udržovat Carrier Grade NAT, tak ji pravděpodobně koncový uživatel dostane za pár kaček v rámci "zrychlování". Stejně tak jako jsme vyměnili modemy za DSL.

Naštěstí tou dobou už podpora IPv6 bude u content providerů dostupná.

Jak bych tem plkalistum (specielne tem od telecumu a upc) moc neveril ... viz zavadeni uzasne moderni tehcnologie ISDN (nebo skoupeni vyrazovanyho zeleza v cizine). Takze bych si nedelal iluze s HW podporujicim IPv6.

Já bych jim taky nevěřil, stejně jako Ondřej, proto si informace zjišťujeme jinak, že :).

nj, ja sem se osobne celkem bavil nekdy pred 3? lety kdyz UPC zaclo prechazet na "moderni" technologii a zlikvidovali kvuli tomu funcni DHCP ... a pak to 1/2 roku spravovali (managorsky rozhodnuti). Hlavne ta prezentace verejnosti ... lol, misto aby lezli kanalama a stydeli se.

Takze pocitam ze s IPv6 to bude hodne podobny :D, nebot jim pokud vim jeste stale nefunguje ve vnitrni siti ani jako experiment (mozna tak nekde v laborce).

Naposledy jsem od UPC (neoficiálně) slyšel, že IPv6 spustí letos začátkem března. Později to bylo upraveno, že to bude brzy. Je červen a pořád nic. Asi to mají rozbitý :-)

Btw. náš poskytovatel připojení IPv6 i přes velkou neznalost problematiky („a ty IPv6 chcete veřejné nebo stačí soukromé?“) dokázal spustit za necelý měsíc.

Tak což o to, spousta malých to zvládla.

Mali provideri jsou v nasazovani novinek daleko flexibilnejsi, mozna i proto, ze vetsinou nepouzivaji cisco ... ;D. On takovej PC router ma neco do sebe a krabka na ARM taky lecos zvladne (casto v obem pripade vic a levnejs, nez "profi" reseni).

Ostatne, u zakaznika mam 1Ucko misto ciska, ktere tam bylo puvodne od nejakeho subdodavatele. Vecne to delalo neco jineho, nez se od toho chtelo, a ani "certifikovani" odbornici nevedeli co stim. Kdyz tam nedavno delali nejakou udrzbu na alektrice, tak mi bylo skoro lito to vypnout, uptime skorem 2 roky ...

Nj, du si rejpnout do svyho providera, precijen 30ms navrch kvuli tunelu ... ;D

To bude tunel někam na dálný východ, ne? :)

Kolega ma u UCP svuj servrik (neoficielne, neb tam dela) a IPv6 neee (ma tunylek, samo). Takze nejakeho zavratneho zavadeni bych se nebal. Na sidlisti kde bydlim jim trvalo tusim 5 let pridat k TV net. A samo "za 1-3 mesice to bude" platilo celych tech 5 let.

Jenže státní správa to dostala befelem nařízením vlády (což jste se v té zprávičce taky mohl dočíst), tak by se měla trochu snažit.

(A nechápu jak 100Mbps síť souvisí s IPv6.)

bylo to pouhe usneseni nikoli narizeni vlady (coz je z pravniho hlediska dost velky rozdil)

V 99% pripadu neni problem v zarizeni. Co myslite, jak moc nakladne je poridit si jedno 1Ucko a udelat z nej router? 20k - 40k vcetne rozchozeni (v zavislosti na znacce)? Takovyma castkama si na uradech vytiraji zadnici uklizecky.

Zda se to jenom mne nebo http://www.nebezi.cz/ opravdu nebezi:o)
Nejde pingnout, nic ......

Aha. No, vzhledem k tomu, že jediným smyslem toho serveru je to, že má pouze IPv6 konektivitu, tak se podívej na IP u svého komentáře a zkus se nad tím zamyslet. :-) :-D

Jak souvisi to, ze firefox defaultne preferuje ipv4, s ipv6???

Příště nám ještě pošli křišťálovou kouli, abychom zjistili, že si neumíš opravit nastavení defaultně rozbitého prohlížeče.

Hm a uz to bezi, uz to i pinga:)

Příchod IPV6 právě oznámily sirény.

Ano, u nás dokonce dvojjazyčně :-)))

jakou kazdou jinou prvni stredu v mesici

ok, prave jsem upgradoval firmware routeru, aby podporoval lepe IPv6, ale zadrhl jsem se na firemni siti - proste mame ted lokalni sit s podporou IPv6 po kancelari a to je tak vsechno - mame nedostatek IPv4 adres, tak minimalizujeme abychom meli jedno IP na kancelar a ostatni si jedou na necem z 192.168/16.

Jak pan Sury stale opakuje, dokud neni obsah, nejsou konzumenti, kdyz nejsou konzumenti, nikdo negeneruje zadny obsah. Aspon je ale videt aktivita, ze se cas od casu nektere spolecnosti rozhoupou a aspon pridaji podporu... to bych chtel pochvalit. V nasem konzervativnim svete, kde nikdo nedela nic navic, protoze neni zaruceno, ze to hned nekdo zaplati, je to docela uspech. Jen tak dal...
za par let uz se k tomu IPv6 dostaneme skoro vsichni, firewally budou i na lednickach, takze se nebudem muset bat a bude se to dat konecne masove pouzivat.

Jen me desi, ze v IPv6 se od zacatku rozdavaji bloky /16 nebo /24, cimz dojde k uplnemu rozdani behem par mesicu a bude se muset vymyslet neco jako IPv8 s pulkilobitovyma adresama.

U IPv6 se predpoklada, ze koncovy uzivatel dostane /48. To je 65k siti (pro vetsinu dost navzdy). /64 je prefix konkretni site - technicky se sice da dal delit, ale pak nefunguje automaticka konfigurace a dalsi funkce.

Presto zbyva nasobne vice siti (na vyssich urovnich) nez je vsech IPv4 adres. Pokud tedy providet (napr) dostane /24, tak ma nejakych 16M (milionu!!!) /48 prefixu pro sve uzivatele.

Velke prefixy se prideluji prave kvuli stavajicimu stavu IPv4 - tedy neuveritelne rozdrobeny adresni prostor = ohromne routovaci tabulky (a jeste nejakou dobu se to bude vyrazne zhorsovat, prave kvuli tomu, ze IPv4 uz nejsou). Pokud totiz dam nekomu dostatecne velky prefix, dost pravdepodobne mu nebudu muset davat zadny dalsi => jediny zaznam ve smerovaci.

Jinak celkem vychazi cca bilion IPv6 adres na cm ctverecny Zeme. Jinak jeden /16 rozsah +- staci pro vsechny obyvatele planety.

„U IPv6 se predpoklada, ze koncovy uzivatel dostane /48.“

Většina „předpokládajících“ časem vystřízliví. Zvlášť až dostanou /64 a nedej bože jim na to nějaké UPC u některého tarifu ještě dá limit na počet adres, které smějí skutečně využít :).

Se zbytkem celkem souhlasím.

Coz ukazuje, ze i na IPv6 asi bude potreba mit NAT.

„Coz ukazuje“

Ale vůbec neukazuje :).

„ze i na IPv6 asi bude potreba mit NAT.“

Potřeba sice ne, ale přepis adres je technika, která se používá na mnoho různých účelů než jen na poskytování internetových služeb neoadresovaným částem sítě. Proto se taky překlad adres implementuje jak na IPv4, tak na IPv6.

Tohle pánové vymysleli už v minulém tisíciletí (ono IPv6 je už plnoleté). Řešení je vpravdě vypečené - oni rozdávají jen část adresního prostoru (čtvrtinu?) a až bude docházet, tak začnout rozdávat další část, ale s jinými pravidly. Takže nový protokol netřeba, jen se změní pravidla.

„Jen me desi, ze v IPv6 se od zacatku rozdavaji bloky /16 nebo /24“

LIRové dostávají /32. Takže i pro ty větší, kteří mají na to platit si členství u některého z pěti RIR, je připravených řádově tolik celých velkých rozsahů, kolik bylo v IPv4 pro koncáky. A kdyby se to neosvědčilo, tak zůstává plán B, o kterém tu už někdo psal.

Kompletný prechod nastane až Facebook a Google na svojich serveroch vypnú IPv4. Potom sa budú musieť ISP skutočne rozhýbať.

Můžu se zeptat, proč by to dělali?

třeba jen tak z legrace na den IPv6 6.6.2066

Tak z legrace jo, ale z legrace se dá vypnout i elektrárna, že, na den životního prostředí :).

yegon ma podporu ipv6 uz niekolko rokov default :-)

Zdar borci, jsem začátečník co se učí víc pracovat s počítačem potažmo s Linuxem a články o IPv6 čtu, jenom z toho nejsem moc chytrý. Co můžu udělat já jako jednotlivec uživatel, abych se na IPv6 připravil? Koupit nový router, síťovou kartu nebo něco někde nastavit? Nebo je to spíš úkol pro providera (v mým případě UPC)? Chápu že můj dotaz se sem asi moc nehodí, ale kdyby jste měl někdo radu, tak sem s tím.

>Co můžu udělat já jako jednotlivec uživatel, abych se na IPv6 připravil?

Stahnout si z knihovny Rootu knihu o ipv6 od Satrapy a precist si ji: http://www.root.cz/knihy/internetovy-protokol-ipv6-treti-vydani/ nebo rovnou koupit v kamenaci.

rada: vydrzet :-)

mene uzitecna rada: napsat UPC mail a ignorovat jejich vymluvy "na podpore ipv6 pracujeme"

uzitecnejsi rada: necist diskuse o ipv6 na ceskych zpravodajskych serverech ;-)

jeste uzitecnejsi rada: nebat se cist/hledat odpovedi primo v rfc/zdrojacich: casem se naucis rychle se orientovat v obsahu ciste technickeho razu (tzn. preskakovat omacku a soustredit se na podstatu sdeleni)

Ve dnesni dobe virtualnich stroju a levnych krabicek s podporou systemu jako napr. openwrt neni az takovy problem si veci vyzkouset; daleko tezsi je nejdriv se s tim naucit pracovat. Nutno dodat, ze nechces-li byt technicky zamereny/nezajima te to, je lepsi to neresit a nechat to na svem poskytovateli - je to jeho problem.
Pokud te to zajima, doporucuji si nastudovat ARP, potom odpovidajici cast ICMPv6 a hledat (a oduvodnovat) rozdily :-)

Uplne jednoduse - chces IPv6? je to easy.

V pripade ze mas win vista/7, IPv6 dost pravdepodobne mas, aniz to tusis, protoze na nich by default bezi teredo.

Na tucnaku si to muzes rozjet taky.

Pripadne si najdi poskytovatele tunelu - trebas http://tunnelbroker.net/, mas to vcetne navodu pro ruzny systemy.

Samo pocitej s tim, ze nenativni (= neda ti tvuj provider) = horsi parametry (rychlost, latence), ale funkcni (na roota se pres IPv6 dostanes). Bonus - na torrentu budes dycky jako aktiv.

Kaslu vam na teredo a jine tunely - to je pro geeky co nemaji co delat. Nebudu ztracet cas s problematickou imitaci IPv6.
Az budu mit plnohodnotne IPv6 pripojeni od providera, tak to budu resit. Lepereceno, vyresi se to vse samo, kompy to davno umi.

OK, díky za rady. Mrknu se na tu knížku a nastuduju si to.

Otázka je, o jakého jednotlivce jde. Správce sítě nebo administrátor? Asi by měl začít tou Satrapovou knížkou. Programátor? Ten by se měl hned po té knížce vrhnout na dokumentaci API svého systému. A uživatel? Ten nemusí dělat nic, jak to pro něj bude dostupné, tak mu to pojede samo od sebe :-)

Programátor tu knížku v podstatě číst ani nepotřebuje. A pokud to není programátor platformy, tak dneska víceméně nepotřebuje ani o IPv6 vědět. Maximálně pro nějaké limitování podle IP rozsahů.

Jak bylo receno, programator o IPv6 nic vedet nemusi, pokud neprogramuje low level (= system). Na aplikacni urovni jednoduse zavola otevreni pripojeni (a jen prase tam pouzije IPcko) a je mu v principu uprdele jestli system otevre IPv4 nebo IPv6.

Programator by mel umet pouzivat sockety i getaddrinfo(3), o tom zadna. Jesteze je na vsech rozumnych systemech jednotne API. Sysadmini by meli znat detaily prislusnych protokolu perfektne, aby byli schopni delat v pripade problemu se siti "educated guesses" (studovane odhady? jak se to rekne cesky?) a nezkouseli jen nahodne mackat cudliky podle howtocek na netu.

Pokud jde ale o programatora realtime/mission critical/high available software, mel by detaily znat take, jinak bude akorat bastlit... Vyvojari her, synchronizace dat, failoveru schopnych aplikaci nebo nekterych "firewallu" by to obcas opravdu potrebovali :-(

Souhlas, uzivatel musi mit jen zajem; pokud ho nema, at to necha na poskytovateli. Nebo se napriklad uklikne pri upgradu neoriginalniho firmware a unbricknout si router uz nebude umet, cimz se akorat nastve.

Rika se tomu "kvalifikovany odhad" - tedy odhad zalozeny na znalostech, pripadne vypoctech.

Jenze ono i kdyz clovek vi jak to funguje, tak vetsinou ma problem v tom, ze nema cas zkoumat proc se to chova tak jak se to chova. Takze 90% problemu skonci tim, ze to "vytrhnete ze zdi" a pak uz to funguje. Tudiz vite prd co a proc se delo.

Router odnese na reklamaci, ne? ;D Bez prdele, smula prodejce pokud se to necha uzivatelsky flashnout a zmrvit. Totez by platilo trebas i v aute, pokud vam dam do menu "flash vstrikovaci jednotky" je to uzivatelska funkce = predpoklada se, ze ji budete pouzivat = vztahuje se na to zaruka.
Lepsejsi krabky maji aspon nejakej bootloader, kterej uzivatelsky preflashovat nelze, a pokud se nezadari, tak to nastartuje aspon do stavu, kdy se to da flashnout znova.

diky za opraveni

K vecem, ktere podle manualu i weboveho klikatka "might void your warranty", vetsinou patri jak flash neoriginalniho firmware, tak rozsroubovani deklu, pripajeni JTAG/RS232 a reflash firmware tudy. Nevim, jestli ty krabicky za 300 Kc umeji nejaky nouzovy TFTP RRQ z pevne dane adresy, jako umela treba AirCA8 (lec se zdrojovym UDP portem 0) nebo nektere stare telefony od Cisca. Ale i ta AirCA8 se musela otevrit. Potom muzete potrebovat nejaky kabel ke svemu rs232 konektoru, ktery taky neco stoji (minimalne sehnat schema + skill).

Kazdopadne, tohle evidentne nejsou veci, ktere by tazatel dotazu chtel nasledujici tyden resit.

Chcete rict, ze jste nekdy videl cloveka, kteremu vyreklamovali brickly router?

Na WiFi routeru, tuším, že to byl Asus, to měli tak, že když se nepodařil update, naběhla tam na pevně dané adrese webovka se stránkou, kterou se to dalo znovu flashnout. Takže ten se mi bricknout nepodařilo, i když se mi podařilo při flashování vytrhnout kabel.

Chci rict, ze sem nekolikrat uspesne reklamoval blbe flashly MB a ano, obcas se se mnou chteli dohadovat, tak sem jim vysvetlil (a kupodivu to celkem zabiralo) ze soucasti CD je SW na flash => ze jakozto uzivatel sem si onen mi dodany SW nainstaloval a jelikoz mi ten SW sam nabidl flashnuti MB (primo z widli) tak sem to odsouhlasil (neb se radne staram o bezpecnost sveho SW a tudiz je treba udrzovat i aktualizovane firmwary, coz predchazi jak bezpecnostnim tak jinym problemum). Mno a nekolikrat to jednoduse chciplo.

Samo pajeni konektoru na desku uz je trochu neco jinyho. Ale podle legistlativy (napisy na cemkoli vam muzou byt ukradene), nemuzete o zaruku prijit (v zadnem pripade). Existuje pouze a vyhradne moznost, neuznat reklamaci vady (jedne konkretni), kterou si zpusobil spotrebitel ... (a tady sme u navodu v cestine, u toho, ze cokoli uzivatel muze delat, musi byt radne zdokumentovano ...)

=> pokud (napriklad) jdete reklamovat cojavim nefungujici vetrak na grafarne, nelze vam reklamaci neuznat s tim, ze mate vytrzeny VGA konektor, nebot s tim reklamovana zavada nesouvisi.

Co myslite, co se prodejci vyplati vic, vykodit 3k za MB/krabku/... nebo 30k za pravniky? Vyhrat totiz nema sanci.

Jako správce diskusního serveru se nemůžu IPv6 dočkat. Důvod? Pokud někdo dělá v diskusích binec, bude stačit bloknout IP adresu. Když se připojí z jiné podobné, tak ustřihnout jeho podsíť a fertyk.

Teď kdybych hodil do htconfig blokování jedné IP podle toho, co vidím u komentáře, odstřihnu si dvě města...

Mimochodem, doma routování/AP pro WiFI dělá hacknutý stroj s DD-WRT a osvědčil se líp, než s originál firmware...