Názory k článku Android po letech nabídne podporu pro DHCPv6, bude ale vyžadovat úpravu sítě

To všechno přece můžete udělat, pokud vám to takhle vyhovuje. Nebo se vám nově nabízí možnost použít DHCPv6 PD, pokud o to máte zájem a dost adres. Dělejte si ve své síti, co chcete, nikdo vám v ničem z toho nebrání.

Já tomu tak rozumím, ale stejně... Mám takový pocit, že představené řešení je tak trochu ve stylu... „My to DHCPv6 prostě nechceme, ale podlehli jsme vašemu tlaku. Tak jsme to udělali takhle, abychom mohli říct, že to umíme, ale zároveň, aby to vlastně nebylo pro nikoho atraktivní řešení.“

No vidite, 20 rokov sirenia IPv6 a niektori stale trvaju na DHCP, namiesto toho, aby vyuzivali SLAAC.

Tak mate treba podnikovou sferu, kde resi bezpecnost, logovani provozu apod. Ti potrebuji dohledatelnost IP=zarizeni (nebo osoba). A na to je snazsi toto nez SLAAC. Se SLAAC pak muzete nasazovat captive portaly apod.

Zero trust networking
Radius

V podnikove sfere resit dohledatelnos­t/bezpecnost tim ze budete spolehat na DHCPv4 - to neee :)

"resit dohledatelnos­t/bezpecnost tim ze budete spolehat na DHCPv4"

A vis kolik takovych firem existuje? Miliony ...

Tam kde do toho muzu aspon trochu zvanit, jede sit na ipsecu (ano, interni), a je mi burt jaky ma zrovna kdo IPcko. Ono stejne minimalne 50% aplikaci kdyz neco logujou, tak ipv6 neumej. Soudruzi tvurci si jeste nestihli za 30 let vsimnout.

Ale houbeles. Ono pokud jde o Srandoidy, tak jsou vlastně jenom tři možnosti:
1) Jde o soukromý zařízení zaměstnanců - hodím je do VLANy pro hosty, extra prefix a na firewallu nastavím, že nemůžou do vnitřní sítě. Zaudituju pravidlo na firewallu a je to na stejné úrovni, jako kdyby se připojovali z kavárny v přízemí. Tam ať si klidně jedou na SLAAC, tam to nebolí. A nemusím to řešit. Zvlášť, když nemají přístup do interní sítě.
2) Jde o zařízení,co používají zaměstnanci, ale běží na tom firemní aplikace. Tam z té sítě pustím specifický port do DMZ a aplikace použije autentikátor s UserID a SessionID, navázaný na uživatele a ne na zařízení. Nema problema.
3) Čistě pracovní stroj - ve vlastní /64 síti, identifikace pomocí UserID/SessionID, neleze se s ním ven. Takže se přidělí /64 z ULA prefixu a mám 64b identifikátor, který zahrnuje třeba i VR brýle připojený zařízení, prostě celou sadu. A můžu těch sad za routerem mít 64k.

IP adresa je identifikátor zařízení podle úplně stejné logiky, jak NAT bezpečnostní opatření. Asi nemusím připomínat, jak super bylo, když ISPíci identifikovali klienty MAC adresou a jak snadný bylo tu autentikaci obcházet. Tohle je to samý.

Tak pokud je (IMHO kromě nejmenších Ho segmentů zcela legitimní) požadavek na jednoznačné propojení ip <--> užovka_or_device, tak je SLAAC dost nepoužitelný, nemyslíte?

Jako ono to jde řešit, ale né každý potřebuje takový kanón na vrabce, jakým je 802.1x napojený na nějaký Radius, pro filtrování jednotlivých zařízení doma opravdu obvykle taky nechcete řešit odolnost před L2 útoky, ale jen aby mladší dítě nemohlo na internet po půlnoci, zatímco televize nikdy, a nechcete mít deset VLAN/ESSID jen kvůli tomu.

Čistě OT, potomka do 14 je efektivnější řešit sběrným boxem do 22:00, statší je spíš otázky, zda není lepší efektivněji jej zapojit do povinností v rámci jeho volného času a se zbytkem času ať si hospodaří, jak uzná za vhodné :-D
Ale nijak to nesnižuje vaši snahu řešit to i systémově, ale potomci dospívají většinou rychleji než se nějaké řešení technického ražení usadí...

Čistě teoreticky:
1) Mám hotel, v něm WiFi pro hosty. Někdo se dole v restauraci připojí s mobilem a spáchá nějakou neplechu. Znám jeho IP adresu a vím, že to bylo v době, kdy bylo v restauraci 60 lidí a ubytovaných 20 hostů. Jak z té IP adresy poznám, jestli to byl pán z pokoje 12, jeho žena, nebo někdo, kdo došel na meníčko a vím o něm jenom to, že si dal dršťkovou, svíčkovou, pivo a platil cash?

2) Mám firmu, v zasedačce WiFi pro hosty. Chodí tam zákazníci a znají heslo, někdo ho nasdílí skrz widle. Jak identifikuju, jestli zařízení na síti patří obchodníkovi dodavatele, zaměstnavateli, nebo někomu cizímu v autě v parkovacím domě přes ulici?

Jedna věc je vědět o zařízení v síti. Druhá je vědět typ zařízení. A třetí věc je vědět majitele. Vědět o zařízení v síti bez dalších informací má smysl jenom ohledně statistiky, kolik zařízení se v síti vyskytuje. A to je poznat i podle dotazů na použití adres ve SLAAC.

Ciste prakticky - mate data o tom, kde clovek pripojen je, urcite vzorce chovani klienta, data o kvalite jeho pripojeni. Z toho neco poskladat jde. To, ze o klientovi realne vite prd, protoze vsudypritomne privacy rozsireni vam meni i L2 adresu - takze i IP adresa je vlastne nezajimava a typ zarizeni taky primo nepoznate. Ale porad podle nekterych informaci se muzete dobrat k tomu, co za uzivatele to nejspis je - i kdyz se hraje tahle hra na kocku a mys. Jen se bavime o tom, ze je potreba zkorelovat podstatne vic dat (mj. treba i netflow, nsel data, obsah neighbor cache v case, konkretni ap a sila signalu atd). Pokud jste skutecny paranoik, tak stejne skoncite u toho 802.1x a kazdemu vytisknete listecek s jeho klidne casove omezenymi credentials nejlepe proti podpisu... ale jinak skoncite u toho, ze jinak 100% jistota u tech "tradicnich" (jednoduchych) metod proste beztak neni.

I myčce přiděluji doma /64 . S čím máte přesně problém, pokud dostáváte od operátora /48?

Že jsem z operátora vyrazil jen /60 - a ještě kolem toho bylo dost zařizování a vysvětlování.

Zverejnete. Rad ho zaradim do sveho seznamu osklivych ISP.

Velmi ošklivý ISP je Tlapnet.

IPv6 neumí vůbec.
Vyjádření technika na dotaz o IPv6:
"Běžní zákazníci to nechtějí"

To čemu říkají IPv4 je přesměrování pěti portů za příplatek 50Kč.
Měsíčně!
Plná IPv4 je za 200Kč/měsíc.
Což vypadá výhodně, když jednu IPv4 rozprodají za 655 350,-Kč

Od kterého ISP že to v ČR dostáváte domů /48?

Vodafone (exUPC) dává /56, ale Vodafone Station neumí PD ani statické IPv6 cesty, takže je vám to na nic. Když si připlatíte za Fritz!Box, tak je to lepší.

Ano toto je pravda, nicmene aspon pres relay to jde poslat dal do svych podsiti.

S potesenim zjistuji, ze existuje nejaka alternativa k Vodafone Station. Staci tedy pozadat pres jejich portal? Rikate, ze je to lepsi, chapu to tak, ze to zvlada PD i statiku bez problemu?

23. 9. 2025, 17:26 editováno autorem komentáře

Nevím, jestli přes portál, já jsem současně měnil tarif a šel jsem na pobočku - zdálo se mi, že se face to face líp domluvíme, co vlastně chci.
Asi za 2 dny přivezl maník Fritz!Box a odvezl si Vodafone Station, nájem je 120 místo 100.
Statická routa tam je, PD jsem (zatím) nezkoušel.
Můj problém s Vodafone Station byl, že nastavení firewallu (povolený port 443 a 22 na NAS) do měsíce přestal fungovat a rozjelo se to po nějaké kombinaci vypnout/zapnout, restartovat, ... Fritz!Box se zatím chová příčetně.
Výměna modemu má jako vedlejší efekt i změnu IPv6 prefixu.

24. 9. 2025, 17:28 editováno autorem komentáře

Plytvanie v akom zmysle? Jediny dovod preco sa vobec bavime o nejakom setreni je nedostatok adries v IPv4 rozsahu. Na katastri ti tiez nepovedia ze maju malo popisnych cisel ked postavis nove domy na ulici..

Mne osobne nepride plytvanie pozadovat /52 od providera. Zvlast v pripade kde to pripojenie ma sluzit pre siet s 9 oddelenymi segmentmi. /56 by mal byt minimalny standard pre domaceho zakaznika.

Cele je to nenazranost poskytovatelov, ktori si nevahaju rozumne rozsahy schovovat do firemnych pausalov alebo dokonca pozaduju platbu za staticku IPv6. (ano, aj to som videl) Ale IPv6 adresy ako take nie su ziadna vzacna komodita. Je to len cislo a ten "nedostatok" je umelo vyvolany.

23. 9. 2025, 14:46 editováno autorem komentáře

Poměrně přesně jste vystihl, jak to probíhalo: poptával jsem připojení s IPv6 rozsahem alespoň /56, ale na lince pro koncáky se mi vysmáli, že musím na linku pro firmy. Tam mi nejdřív vynadali, co tam lezu, když nemám IČO, a pak mi vysvětlili, že garantované připojení za minimálně 6000 Kč + DPH nechci. Následoval ping-pong mezi oběma obchodními odděleními, s výsledkem, že když slevím na /60, tak mi za jen o půlku zvýšenou cenu mohou vyhovět.
A protože jsem potřeboval cca 9 podsítí, tak jsem k tomu svolil.
Až teď si to vyčítám.
Kdybych předpokládal, že každé zařízení potřebuje (může potřebovat) svou síť, pak bych potřeboval rozsah /52.

Nedá se někde, mimo běžného ISP, získat vlastní rozsah, třeba /40, který by člověk prostě používal?

Je to absolutna frustracia.

Ja mam stastie na rozumneho providera. Zijem v Irsku a tu vybudovali masivnu opticku siet, ktora funguje podobne ako telefonna siet - cize prevadzkovatel siete poskytuje pristup operatorom a ty ako koncovy zakaznik si vyberies toho konkretneho operatora. Takze mas na vyber vela operatorov a nastastie par je celkom rozumnych. (takze mam out of the box staticku IPv4 a staticky IPv6 /56 rozsah bez toho ze by si cokolvek z toho musel pozadovat extra)

Ked sa na to pozrie clovek z tejto pozicie, tak to dotahovanie s rozsahmi je absolutne sialene plytvanie casom a pracou. A mam pochybnosti ze sa vobec financne oplati providerom. Napriklad som uz pri objednavke sluzby dostal info aku *budem* mat pridelenu IP aby som si vedel veci nastavit na svojej strane v pripade ze budem chciet pouzit vlastny router. Take jednoduche. Ziadne extra pausaly a blbosti. Ziadne telefonaty s agentom co nema potuchy co je rozsah, ziadne komplikovane ucty a kazdorocne predlzovanie viazanosti kde tomu agentovi na druhej strane musim cele moje nastavenie vysvetlit nanovo a potom riesit ked nieco nevyhnutne nastavi zle...

Neverim ze existuje dostatok "koncakov" ktori by platili za vacsi rozsah aby to vyvazilo vsetky tie problemy okolo toho.

To si tu můžeme říkat do nekonečna, jak by to mohlo být.. akorát mám obavu, že se reálně vůbec nic nezmění. Pořád víceméně platí, že pokud nemáte násobně dražší firemní připojení, nebo osvíceného ISP, kterých je bohužel mimimum a platí to spíš pro ty malé, tak dostanete /64 prefix, hotovo. Kratší nechtějí dát, neumí (ať už proto, že na to není kolonka v nějakém systému, nebo je to třeba technické omezení při používání modemu přes LTE/5G sítě implementované bez PD).
Takže ve výsledku pro spoustu lidí tohle je konečná, i kdyby se stavěli na hlavu a odstrkovali ušima.

Což pak také znamená výrazně omezené možnosti z hlediska segmentace sítě a preciznějšího řešení přístupů mezi nimi. Ano určitě existuje pár způsobů (Zero trust a veškerá komunikace v LAN přes nějaký centrální firewall, NAT66 atd.), ale je to pro geeky se spoustou ruční konfigurace a experimentováním.
Tady pořád existovala trochu naděje, že jakmile povolí na Androidech DHCPv6, tak to umožní líp dělit ten /64 prefix a flexibině pracovat s L3/L4 ACLky. Bohužel udělali akorát A) a už ne B) se zmíněným zdůvodněním (tethering, kontejnery).. oboje mi subjektivně přijde, že je daleko menší problém než špatně řešitelná segmentace.

Někteří jedinci prostě nepochopili, že IPv6 adresa je vlastně cesta k cíli.

Nejvyšších 29b je cesta k ISPíkovi (skrz LIR, ...) a je to na top level routování. Víc bitů na tomhle levelu nikoho nezajímá.

Pak je tady pár bitů pro ISPíka. 27 v případě, že koncákovi dá /56.To má na interní routování ve vlastní síti (něco jako CGNAT). Na těch dolních 72 bitů ISPík nesahá, ty nejsou jeho. Tak, jak pracuje s jednou IP adresou v CGNATu, tak pracuje s horníma 56 bitama adresy a zbytek si vymaskuje.

Dalších 8b mezi prefixem /56 a /64 identifikují síť. To už je v režii zákazníka. Do těch mu nemá kdo co kecat. Já to využívám na rozdělení mezi testovací síť, normální LAN, síť mez přístupu ven, LAN pro hosty, ... Prostě si na routeru naklikám síť a tohle je hodnota "hint". Na firewallu nastavím, s kým se ta podsíť může bavit.

No a nejnižších 64b, to už je jak za domácím NATem. Rozkradou si to zařízení v rámci té sítě. Beru je jako skupinu zařízení, co mají stejný pravidla na firewallu. Který si vezme jakou adresu, to neřeším. Je problém aplikace, aby kontaktovala ostatní.

Naopak, zbytecny zvasty je presne to, co si napsal ty. To ze to jinak nejde jsou ve 100% pripadu naprosty kecy.

Realita je maximalne to, ze ses linej to resit. Na kazdym jednom miste i v medvedim brlohu uprostred lesu umim najit 10+ ruznych zpusobu jak se pripojit na sit.

Jo... holt nektery nebudou za 1/2 piva.

Na youtubu nejdes lidi, ktery vysilaji streamy z prostredka pacifiku. Asi to posilaj holubama.

Jasně, Starlink funguje skoro všude.
Jen to tak nějak není to, co by si člověk představoval uprostřed civilizace, třebas v novostavbě na velkém pražském sídlišti. Reálně tam bude mít přípojku CETIN a možná pár menších hráčů. Ve výsledku si moc vybírat nemůžete - nebo skončíte s tím Starlinkem na balkóně.

Jen na te pripojce CETINu si vyberete z 18 provideru. To vam prijde jakoze malo?

Zkusil jste to někdy? (Jako koncový zákazník?)
Ve výsledku dostanete na výběr mezi O₂ a T-Mobilem, ostatní budou ještě horší. Parametry se moc neliší, všichni soutěží na cenu a jen přihazují balíčky.
S tím, že pokud je některý s těch alternativních ISP moc úspěšný, jeden z velkých ho prostě koupí. (Takže vlastně máte na vybranou, jestli si zvolíte krátkou nebo dlouhou cestu...)

Zajiste, posledni uspesna realizace ma asi 14 dni. Nabidka O2 byla... cenou doslova tragikomicka, T-Mobile tam prozmenu uplne neumi IPv6 - vyzkouseno, mame "kopii" te nabizene sluzby do kanclu SVJ na dva roky v temze dome zdarma (pak se zrusi, kdo by platil za nekompletni internet). Ten alternativni ISP vysel nejlevneji v pomeru cena/vykon, naplnil i predstavy kolem IPv6 adresace - a jako bonus mame i backup pres LTE (ktera se CETINu vyhne), samozrejme je to priplatkova sluzba... ale funguji mi pres to stejne adresy jako po primarni trase...

Na koupi musi byt dva.... nejen ten co kupuje, ale taky ten co prodava, zeano. Trosku mi unika, proc v Cesku maji vsichni potrebu krecovite resit ty kupujici... ale uz se nezabyvaji tim, co treba stoji za tim prodejem. Je zrovna pred volbama... a treba "vyzblept" Piratu o posilovani pravomoci NUKIBu... no nevim, ISPcka jsou zrovna skupina, kam ta jejich regulace v nejake mire dopadne. A kdyz je ty regulace moc... no tak radsi ten byznys prodate, nez se s tim "papirovanim" porad dokola sr*t, zeano :-)

Držím palce, ať Vám ten ISP vydrží a někdo ho nezkonsoliduje. ;o)

Na konsolidaci musi byt dva, ten kdo kupuje sam nic nezmuze, kdyz ten druhy nechce prodat.

A máte jistotu, že ten jeden opravdu nechce? Že nedostane nabídku, kterou nelze odmítnout? ;-)

A terazky mi povedzte, Kefalin, co vy si predstavujete takym "nelze odmitnout" :-) A uprimne - to, ze nekdo proda je podle me spis dusledek toho, ze legislativni pozadavky ze strany statu jsou proste takove, ze se na toho jednoho krasneho dne vys*r*te a takova akvizice je pro vas spise vysvobozenim.

Nejen to.
Obvyklá transformační cesta je od rodinného podniku, který dobře živí zakladatele a jeho zaměstnance, to pře es-er-óčko, projde do akciovky - a akcionáři najednou zjistí, že víc se z toho ždímat nedá, a dají přednost jednorázovému příjmu.

....coz je ale stale dobrovolne rozhodnuti toho prodavajiciho.... nebo snad ne?

Ano, dalo by se zjednodušeně říct, že IPv6 adresa, resp. adresní prostor je reálně třeba 74b (když budu počítat /64 pro podsíť a v ní nějakých ~1000 zařízení). Ale i tak je to pořád obrovský rozsah a opravdu není žádný rozumný důvod zákazníkům otravovat život s nepoužitelným rozsahem /64.

"opravdu není žádný rozumný důvod zákazníkům otravovat život s nepoužitelným rozsahem /64"

Podle autorů je ten rozumný důvod, že "IP adresy jsou od toho, aby je měly k dispozici koncový zařízení pro komunikaci, ne aby si je syslili nenažraní ISPíci" Myslím, že 2^64 adres v každé podsíti je pro zákazníka 2^128x menší otrava, než dávat na každý zařízení žádost na pětistránkovým formulářem se zdůvodněním účelnosti, s manipulačním poplatkem 200€ a měsíčním paušálem 5€

To je hezká teorie, ale reálně zákazník nedostane prostor 2^64, ale prostor pro rozumné využití jedné podsítě (řekněme stovky zařízení, ale i to by pro domácnosti docela v pohodě mohlo stačit), ovšem zároveň se jedná o jednu jedinou podsíť bez reálné možnosti si ji dál rozdělit podle svých potřeb. Protože zrovna ty androidí smrtfouny do toho hodí vidle (buď SLAAC -> potřeba /64, nebo jejich zmrzačená implementace DHCPv6 s potřebou téhož).

Ano a presne preto sa odporuca koncovym nefirmenym zakaznikom davat minimalne /56

Ale jistě, kdyby ISP nebyli ignoranti, nemusel bychom vůbec tenhle problém řešit.

V IPv6 je počet adres irelevantní číslo. To nejde spotřebovat. V IPv6 se hraje primárně na počet subnetů.

Přesně. Je to trochu jiný styl myšlení. U koncáků není jednotka jedna IP adresa nebo jedno zařízení, ale jeden subnet. Kulatý 64b číslo, kterým se identifikuje. To si namapuju pěkně na VLANu, nastavím tomu na routeru, kam smí a mám skupiny zařízení pěkně podle prefixu - k těmhle se smí zvenku, tyhle nesmí ven, tyhle smí jenom ven a k těmhle se nesmí zvenčí, ale můžou se uvnitř bavit s kýmkoliv. A mám zařízení obhospodařovaný po skupinách. Pak věc připojím k příslušné WiFi nebo portu switche a tomu pomocí RA řeknu, jaký má prefix.

A jaký má identifikátor uvnitř skupiny, o tom mám stejný přehled, jako když ty věci jsou za NATem a já před ním. To by se natistické partaji v její snaze snaze ovládnout svět mohlo líbit :D

No a vývojáři Srandoidu řekli, že buďto to bude skupina "Pepův mobil" a zahrne to i jeho sluchátka, hodinky, anální sondu,... , nebo to hodíš do existující skupiny a každý zařízení pojede na vlastní pěst.

Jen ten identifikator uvnitr skupiny se prubezne muze snadno menit, takze shaha natisticke partaje o ovladnuti sveta prichazi vnivec - kdyz si koncove zarizeni co par minut tento identifikator obmeni :-) Privacy extensions ma ve vychozim nastaveni zapnute kdeco.

mDNS v domaci siti neni zadny rovnak na ohejbak. To jen vy zas nerozumite nejakemu protokolu :-) Ono jen tak mimochodem mDNS je definovane bez ohledu na address-family.

Ano, nerozumím. Protože mi naprosto stačí ta fixní adresa, kterou znám :-D To je furt dokola

To je reseni, ktere ma znacne problemy, co se skalovani tyce. Fungovat muze mozna na vasi zaprdene domaci LANce. Ale u cehokoliv vetsiho... badum ts... koncite. Z hlavy ty adresy proste nedate. Ostatne to se vedelo take uz pred vic jak padesati lety, kdy se prislo s RFC 608.

Je to prostě standardní dotaz v lokální síti. "Je tady někdo, kdo ...?" Místo těch tří teček může být jméno zařízení, podporovaná služba,...

Pro začátek bych doporučil přednášku od Petra Krčmáře na LinuxDays https://www.youtube.com/watch?v=NDu5sWf8iyI

A musím říct, že petr-desktop.internal se pamatuje líp, než fd43:....

Tiez si vyberas odchodzi port v prehliadaci ked browsujes internet?

Myslím, že to je něco jiného. Ten port je pouze odchozí a nikdo jiný než protistrana tam nic nedostane.

Ne. Za to si vybírám, jakou chci IP adresu pro konkrétní zařízení ve vlastní síti. A to zcela běžně.

23. 9. 2025, 23:23 editováno autorem komentáře

Ten TCP port bola nadsadzka z mojej strany. Ale chcel som tym poukazat na to ze tie adresy v IPv6 su tak trochu ako odchodzie TCP porty. Vo vacsine pripadov ta nezaujima aku adresu ake zariadenie ma - okrem ineho aj preto ze zariadenia maju bezne niekolko IPv6 adries.

Samozrejme mozes vo vacsine pripadov proste nastavit IPv6 rucne v ramci prideleneho rozsahu namiesto toho aby si pouzil SLAAC. Vela ludi pouziva staticke adresy pretoze sa lahsie pamataju. Na to sa skor hodi DNS - kludne aj v kombinacii so SLAAC kde DNS namieris na tu mac-based IPv6 adresu.

Tiez mas k dispozicii ULA rozsah fc00::/7, ktory je asi najblizsie privatnym adresam z IPv4 sveta. Takze mozes si nahodne vybrat nejaky /64 blok v tom rozsahu a ten pouzit pre lokalne adresy a lokalne sluzby (s rucne pridelenymi IP ak na tom trvas) zatial co providerom prideleny rozsah nastavujes cez SLAAC a ten sa pouziva len na pristup do internetu.

Mě to u části mých zařízení zajímá dost. A nastavit na nich ta IP adresa staticky nejde protože žádné rozhraní pro její nastavení jednoduše nemají. DNS je sice hezké, ale IPv6 má problémy řešit, ne vytvářet. Fakt nepotřebuju řešit ve své minisíti ještě DNS, rovnák na vohejbák mDNS nebo cokoliv jiného obdobného. No a pak najednou to DHCPv6 začne tak nějak dávat smysl.

Tyhle "argumenty" mi připomínají podobně nesmyslný způsob "argumentace" kolem Waylandu.

Ale IPv6 problemy riesi. Moderne mobilne zariadenia uz maju by default zapnutu MAC randomization. Ked take zariadenie pripojis do IPv4 siete, bude ti postupne alokovat cely /24 IPv4 rozsah az zrazu zistis ze nie je volna adresa pre nove zariadenia. Plus samozrejme musi DHCP server niekde ukladat pridelene lease, inak bude pridelovat uz obsadene IP adresy.

Naproti tomu SLAAC ma /64 rozsah, kde si klienti proste vyberu adresu nahodne a kludne mozu pouzivat nieco ako privacy extensions (alebo aj tu nahodnu MAC) a nie je to problem. Router si nemusi nic pamatat, jedine co robi je router advertisements. Podla mna omnoho jednoduchsie riesenie.

Prinajhorsom vymenis DHCP za DNS server ak sa nechces spoliehat na mDNS. Pre vacsinu pouzivatelov ktori ani netusia co je IP adresa je SLAAC omnoho jednoduchsi mechanizmus.

Ak by to tak bolo ako pises o MAC randomziation, tak IPv4 siete by kolabovali. Co nieje pravda.
DHCP odjkaziva uchovaval pridelene leases a zeby to bol problem som si nevsimol.

To omnoho jendoduchsie riesenie ma svoje uskalia. Odporucam si precitat serial Bezpečné IPv6 tu na root.cz. Rovnako je to uhol pohladu, ktory zalezi o co ti v danej sieti ide.
Inac Router si ani v IPv4 nemusi nic pametat. Router nemusi plnit aj rolu DHCP servera :)

Pre pouzivatelov, co netusia, co je IP adresa je jedno, co je v pozadi. Ci DHPC alebo SLAAC.

Snazis sa naznacit, ze MAC randomization neexistuje alebo co? Ja som nedavno riesil problem kedy znamemu nesla IPv4 v sieti. Stacilo na to chvilu pracovat s telefonom vo vrecku na zahrade kde uz obcas nedotiahne wifi signal. Mobil sa pripojil na siet par desiatok krat a ten rozsah ~50 adries co mal vyhradene pre DHCP mu dosiel.. (nutno dodat ze 50 adries by inak bolo niekolkonasobne viac ako pouziva zariadeni)

Tie uskalia su mi zname a v podstate vsetky maju nejaku alternativu vo svete IPv4. Plus povacsinou predpokladaju nejakeho zaskodnika priamo v sieti. Co je myslim trochu mimo kontext diskusie.

Inac Router si ani v IPv4 nemusi nic pametat. Router nemusi plnit aj rolu DHCP servera :)

To samozrejme viem, ale opat bavime sa v kontexte beznej domacnosti. Plus prave ten router vacsinou ma obmedzene prostriedky a bezne najdes router co si po restarte leases nepamata.

Nie to nenaznacujem.
Skor to, ze MAC randomization implementovana v tvojom mobile asi nebude s tych najdokonalejsich.
Aky je dovod takto randomizovat/tak sa spravat a leasnut vsetky adresy?
V reale ale potreba pre tu randomizaciu taka nieje a prinasa dalsie problemy.

Bavime sa o tom, ze ty si pisal ze DHPC je zlozite a SLAAC easy, co nieje pravda.
Beznemu cloveku je to jedno a na urovni protokolu vymienas nieco za nieco.

Router robi len RA ale pri SLAAC sa cast logiky/manazmentu presuva na hosta kvoli absencii DHCP.
Tazke DHCP vs SLAAC nieje v zlozitosti/na­rocnosti nejaky principialny rozdiel. Su to len odlisne pristupy.
Duplom ak sa bavime v kontexte beznej domacnosi. Bezna domacnost pozna len dva stavy, ide internet alebo nejde internet a netusi, co je za tym, lebo to nepotrebuje.

Este som nezazil aby router limitovali jeho prostriedky, aby nezvladal DHCP. Co je zle na tom, ze si po restarte nepameta leases?

SLAAC je jednodusi nez DHCP. Zatimco u DHCP to mame v client-server modelu, tedy rezim dotaz klienta - server se zamysli a nejak odpovi - kazdemu klientovi jinak, u SLAAC se jen periodicky oznamuje jedna stale stejna informace a protistrana se podle toho sama rovnou zaridi.

Nieje nijak jednoduchsia.
Pri SLAAC mu IP adresu nepovie DHCP ale klient si vyberie nejaku sam a nasledne si musi u susedov overit, ci uz si nahodou niekto taku uz nevybral aby sa vyhol kolizii.
Pri DHCP tie adresy menezuje DHCP server ale klienti medzi sebou.
Opakujem nevidim tam principialne jednoduchsi sposob. Je len iny.

Treba Windows vam tu detekci konfliktu bezne delaji i u adres pridelenych z DHCP. Delaji to treba i nektere Linuxy, pojednava vam o tom treba i RFC 5227. Takze neni pravdive vase tvrzeni, ze klient slepe funguje s tim co dostane, zeano ;-)

Pisal som niekde, ze klient s tym slepo funguje? Bavime s ao principoch.
SLAAC nieje o nic jednoduchsie a na druhej strane DHCP zlozitejsie.
Su to dva odlisne pristupy, ktore niesu nijak zlozite.

Ale ano, DHCP je zlozitejsi, aj ked na prvy pohlad nevyzera.

Napriklad vyzaduje broadcast. Co moze byt sakra problem, pokial potrebujem uzamknut port na konkretnu mac adresu.

To je jeden z tych dopadov, ktore pri povrchnom porovnani nevidno.

U obojího je broadcast od klienta. U DHCP žádost o příděl, u SLAAC kontrola, že adresa je volná. Takže na klientovu zhruba stejná složittost.

Ale implementace na routeru se liší - u DHCP musím po obdržení žádosti zkontrolovat, jestli je ve static leases, pak jestli už nějakou adresu má a obnovit ji, pak najít volnou v poolu, poslat mu ji, po odpovědi zaevidovat... A u SLAAC jenom router pošle broadcastem parametry pro autokonfiguraci a nic neřeší.

No u DHCP klienta jsou realne ty broadcasty prave dva - prvni je ta zadost o pridel a druhy overeni, ze ta pridelena adresa cirou nahodou uz neni nekde pouzita.

Skor to, ze MAC randomization implementovana v tvojom mobile asi nebude s tych najdokonalejsich.

Nejedna sa o _moj_ mobil. Apple zariadenia to maju standardne zapnute uz cca 10 rokov. Android to ma k dispozicii od verzie 10, niektore distribucie (ako Graphene) to maju standardne zapnute.

Co je zle na tom, ze si po restarte nepameta leases?

Klient musi taku adresu odmietnut s DHCPDECLINE a potom absolvovat nove kolo DHCP. Celu dobu je server (ktory si nepamata, ze prvych 50 adries z rozsahu uz pridelil) ten ktory urcuje dalsiu adresu ktora sa prideli, takze cerstvo po reboote takych kol mozes absolvovat niekolko v zavislosti na situacii. Ciastocne moze pomoct ak zariadenie uz bolo predtym v sieti a v ramci DHCP discovery spravy posle aj pozadovanu IP ktoru malo predtym, ale to sa uz ruca tvoja idea ze DHCP je nejak jednoduchsie pre klienta, lebo pri SLAAC si nemusi klient pamatat ziadne adresy.

Vseobecne mi pride cudne argumentovat ze SLAAC je nejak zlozitejsi protokol. Na rozdiel od DHCPv4 vyzaduje len dva packety medzi routrom a klientom (RS a RA) a oba su nestavove. (DHCP ma discovery -> offer -> accept -> acknowledge) A nasledne si klient sam vymysli adresu a jedine co riesi je (extremne nepravdepodobny) adresny konflikt, ktory musi riesit aj DHCPv4..

Duplom ak sa bavime v kontexte beznej domacnosi. Bezna domacnost pozna len dva stavy, ide internet alebo nejde internet a netusi, co je za tym, lebo to nepotrebuje.

Presne tak a narozdiel od DHCP jej so SLAAC vela moznych problemov odpada.

Zalezi, jak je ta randomizace MAC udelana. Pokud se adresa zmeni s kazdym connect eventem (a nedrzi se nahodne-pevna pro konkretni SSID), pak se ten pool muze vystrilet pomerne rychle. Muzete to obchazet leda tim, ze zkratite lease-time, ale to zas nutite klienta obnovovat tu adresu pomerne casto - aneb rovnak na ohejbak, zeano :-)

Niektore zariadenia, zvlast vsimnutelne to bolo na androide, si sice pamatali aku mac adresu pouzili s danym ssid, ale uz si nepamatali, ze dhcp adresu mali pridelenu, este neexpirovala a namiesto renew si vyziadali novu.

No a niektore dhcp servery, ako napriklad mikrotik, im novu adresu radi poskytli.

Jo, to je dalsi.... vtipne je, kdyz na tohle narazite treba na nejakem vetsim eventu, kde ten lokalni IT smudla neni schopnej ani zvetsit subnet, i kdyz mu vysvetlite proc...v lete jsem narazil na smudlu, co to vylepsoval jeste tim, ze v te siti "pro hosty" bezel soucasne treba i mistni kamerovy system :D A pritom tam byly prvky, co L2 segmentaci umely... ale asi to bylo "moc prace" :D

"DHCP odjkaziva uchovaval pridelene leases a zeby to bol problem som si nevsimol"

Videls nekdy aspon jednu sit? Kdyz ti device slusne rekne, ze konci, tak dhcp lease zrusi. Ale zdaleka ne vzdy device dostane tu sanci, a zceleka ne vzdy se chova slusne.

Takze se to "resi" tak, ze se nastavi velice kratky lease, coz pak prozmenu vede k tomu, ze dhcp dosne samo sebe.

A prokracovat muzes treba tim, jak uzasne funguje dhcp v clusteru... zatimco RA zadny takovy problem nema.

K čemu je to dobrý? IP adresa není na hraní. Ta je od toho, aby se dal zařízení doručit paket. Nic víc, nic míň. Asi se moc nudíš, když řešíš, co nemusíš.

Jinak argument "já chci" je fakt super. Teď zrovna v práci kontroluju shodu našeho výrobku s ETSI EN 18031:2024. Nesplníme -> nedostaneme CE -> nemůžeme prodávat. Easy. A když je v normě, že nesmí být defaultní heslo pro všechny výrobky stejný, je úplně jedno, že se to tak dělalo vždycky a že jsem na to zvyklý a že to tak chci. Můžu brečet, můžu nadávat, můžu autory normy proklít, aby jim zčernaly a upadly některý části těla, ale to je tak všechno co se svým "chci" zmůžu.

K tomu, abych nemusel řešit navíc ještě DNS.

To je ale reseni, ktere je vesmes prekonane. A vase starecke nadavani na tom nic nezmeni :)

Co jste překonal vy je celkem irelevantní. Nic jako "překonané" neexistuje. A nikdy neexistovalo.

Mně se určitě líbí víc, když jsou zařízení v síti rozříděna, lze dlouhodobě sledovat statistiku provozu, nastavovat vyvažování zátěže...to vše se s náhodnou adresou dělá dost špatně. Když pak vyměním webkameru za jinou, stačí jí dát původní adresu a vše funguje automaticky dál.

Vsak to trideni jde provadet ruznymi zpusoby. Jen kdyz vezmu moznosti z doby kamenne, tak mame v DHCP option 82, kdy konkretni zarizneni ztotoznime uz na zaklade toho, kde je pripojene. Samozrejme to nechce mit switch, ktery jste poridil "vyhodne za kilco" :-)

Roztřídí se podle skupiny s 64bitovým identifikátorem - prefixem /64. můžu zakázat skupinám "počítače na dílně"a "počítače v účtárně" přístup ke skupině "bezpečnostní kamery". A vidím, jak často se z které skupiny leze do skupiny "tiskárny". Úplně stejně, jako kdybych kamerám dal 192.168.20.x, komplům na dílně 192.168.30.x a účtárně 192.168.31.x...

Ale chápu, že kdo nemá dost rozumu na používání VLAN a podobně, bude mít s tímto poněkud problémy.

Tohle je vcelku v pohodě.
A pak, když to máte hotové, přijde nějaký výrobce OS do mobilů s tím, že chce celý 255.255.255.0 rozsah pro jeden každý přístroj, přičemž se dá předpokládat, že těch mobilů/tabletů máte po baráku něco přes tisíc...
Rázem můžete s těmi rozsahy pro PC, kamery, účtárnu... jít do Paďous.

Kdyz to narubete do 10.0.0.0/8 a furt tam mate 65536 siti s maskou /24 :) A zadarmo, fnukale. Samozrejme to neni jediny prostor pro privatni uziti, k dispozici jsou i dalsi. Nicmene tohle vase porovnani nesedi - u IPv6 je snaha NATy (tedy kurvitko v ceste navic) odbourat, v IPv4 si to s temy NATy klidne doklepejte.

Jasně, že s 10.0.0.0/8 není problém. Jen to jaksi musíte vědět dopředu - a o to (mi) šlo.
Prostě postavíte síť na nějakém fungujícím a v podstatě good practise modlu, a následně to musíte celé předělávat kvůli věci, která nemá z pohledu vašeho využití nijak vysokou prioritu. (Taky můžete říct: Fajn, žádné tablety a mobily v síti nebudou, stejně to není v pro práci potřeba a jen to snižuje výkonnost zaměstnanců!)
A nejde mi o to, že s tím je práce - ale že je to práce zbytečná.

Uprava konfigurace site s ohledem na zmenene pozadavky opravdu neni nic neobvykleho. Meni se v case technologie, meni se koncova zarizeni, ba i obecne potreby - a je zadouci se cas od casu logicky prizpusobit. A pokud se skutecne drzite nejakych bestpractise modelu, pak zcela urcite nemate zapraskanou celou /8 a urcite tam nejaky ten blok na tu tisicovku ci dve tabletu najdete, zeano :-) Debata je to beztak vicemene akademicka, neb standardni reseni v IPv4 svete je tam proste naprasit NAT (a neosivat se nad jejich retezenim) :D

Víte, ono se to sice v čase mění, ale některé věci, si prostě na začátku definujete, a pak už jen držíte krok s dobou.
Takže na IPv4 si nastavíte VLANy, rozdělíte rozsahy, nadefinujete pravidla - a pak už to jen udržujete. Přijít takovýhle zásek do konfigurace, musíte to opravdu začít budovat od začátku, a to za provozu nebude nikterak jednoduché.
Vrátím se k IPv6.
Uděláte přesně to samé: nastavíte si VLANy, rozdělíte od ISP dodaný rozsah, nadefinujete pravidla pro síť, a - kromě těch Androidů, které si to dělají trochu po svém a je radno je nějak isolovat - všechno funguje.
Pak konečně (!) začnou i ty Androidy umět DHCPv6, takže v první chvíli zajásáte, že se konečně nechají integrovat do prostředí - a zjistíte, že je to udělané způsobem, který by znamenal zbořit a od začátku přenastavit celou síťovou infrastrukturu.
Takže se budete držet dosavadního řešení: prostě je ignorovat a udržovat bezpečně mimo základní síť. Protože za provozu tohle měnit fakt nechcete.
Jenom si povzdechnete, že kdyby tam byla možnost udělat to rozumně, bylo by to tak krásně jednoduché a funkční...!

No, pokud to opravdu musite zborit a zacit znovu, pak ten design nebude zas az tak povedeny :-)

Předpokládám, že málo kdo počítal s tím, že koncová zařízení budou jednou potřebovat celý síťový rozsah.

Jako ze ma adresni plan tak zpraseny, ze tam fakt nic nevyskrabne? :-)

Vraťme se k IPv6.
Pokud máte /56 rozsah, a můžete si definovat nějakých 250 subnetů, případně méně, ale s nějakou další hierarchií. Potud žádný problém. A v každé podsíti může být poměrně hodně koncových zařízení různých typů.
Ale pokud si jeden z typů zařízení usmyslí, že každé zařízení potřebuje svůj subnet, a navíc jsou těch zařízení stovky, bez totálního překopání adresního plánu, VLAN, pravidel, a podobně, se neobejdete (a /56 rozsah vám nebude stačit).
Což znamená, že - nechcete-li to řešit příliš složitě - potřebujete alespoň /48 rozsah, rozdělení na podsítě posunete o osm bitů nahoru, a doufáte, že v každé síti nebude příliš mnoho mobilů. (A stejně budete muset vyměnit adresu těch sítí...)

Tady nejde o vyškrábnutí několika adres, ale o podstatný zásah do počtu podsítí. (Teda pokud nemáte v síti třebas jen tři ty mobilní zařízení: svoje, šéfovo, a jeho sekretářky).

28. 9. 2025, 21:46 editováno autorem komentáře

Diskutovane tisice zarizeni budou korporatni sit, ktera by nemela problem mit v pohode si sahnout na /48. Sem fakt nepatri srovnani toho, co ISP davaji na sluzbach pro domacnosti. A jestli nekdo na pripojeni tak velke firmy pouziva sluzby cilici na jiny segment, tak je... ehm... mongol :-)

No, já mám tenhle postřeh z jedné menší (střední?) firmy: něco přes 300 lidí v jedné budově (plus několik detašovaných pracovišť), převážně kancelářská práce... Není to zrovna korporát.

V tomhle scale tech /48 ukecate klidne i nekolik - protoze kazda pobocka (end-user site) muze mit klidne svou /48 a zadne politice se to protivit nebude, staci mit pricetneho providera (coz ale u business-oriented sluzeb zas takovy problem neni). A nerealisticke neni to ani mit v ramci jedine /48. Nevim co mel ten vas postreh presne demonstrovat, ale porad mi nejak do tech vasich poctu nevychazi, proc by se to nemelo vlezt... spis mi prijde, ze hledate problem tam, kde ani teoreticky neni - natoz prakticky. V jedne /48 mate k dispozici 65536 siti s maskou /64... i kdyz prihlednu k nejake vnitrni rezii a preciznejsi segmentaci, tak jeden uzivatel vam tam se stovkou zarizeni po kapsach asi neprijde, zeano :-) Ze pocitam s opravdu velkou rezii okolo si muzete spocitat z podilu cisla vyjadrujici pocet sit a cisla vyjadrujici pocet uzivatelu.

Předně: když to připojení do budovy dělali, když zařizovali IPv6, bylo to ještě v době, kdy zmlsaný Číňan ani nedostal chuť na netopýra. Naplánovali segmentaci sítě, a vyšlo jim, že 256 podsítí je o dost víc, než potřebují, a tak nějak to odpovídalo nabízenému /56 rozsahu.
Oněch 256 podsítí nemají, ale tak velký rozsah využili na logičtější vrstvení zón (systém matrjoška).
A takhle to spokojeně běží odhadem 10 let.
Teď, pokud by chtěli použít DHCPv6 pro Androidy, by bylo nejjednodušší vyžádat si /48 rozsah, posunout celý ten síťový model o osm bitů doleva, a doufat, že v každé koncové síti (nyní /64, nově /56) se těch Androidů neobjeví více, než cca 200 - což se jeví jako splnitelné.
Málem bych zapomněl: zahrnuje to rekonfiguraci těch několika routerů a firewallů, které tam jsou. Hlavě neudělat chybu a neohrozit provoz.

Nabizi se zajimava otazka... a ptal se nekdo vubec, jestli to z te /56 na /48 nejde proste posunout/zvednout? :-) Ano, ono se cele hodiny da filosofovat o netopyrech... ale neni jednodussi poslat email svemu providerovi? A nebo at vam proste soupne dalsi bloky - nikde neni psano, ze tu alokaci musite mit kontinualni - kdyz uz se tedy bojite a nechcete precislovavat to, co uz mate. Jeden problem, co ma vzdy vicero reseni...

Jenže tady nejde o to, že by to nešlo (to taky nikdo netvrdil), ale že s tím bude - tak či onak - spousta práce.
Spousta zbytečné práce (pokud se rozhodnou ty Androidy do sítě pustit!), kterou by nemuseli dělat, kdyby existovala ona možnost je to koncové zařízení.

A protože práce není zadarmo, troufnu si odhadnout, že to (tam) nikdo dělat nebude. Tedy ve výsledku je tento typ podpory DHCPv6 poněkud nedokonalý.

Definujte spoustu :-) Ja bych rekl, ze vic casu jste uspesne prokrastinoval. Mozna namisto psani slohovek "jak to nejde" byste se mel soustredit jak to udelat.

Předně: není to moje starost, já pracuji úplně jinde.
Každopádně jsem ale nikde nepsal, že by to nešlo, dokonce jsem opakovaně uvedl, jak to řešit lze. Jen tvrdím, že to je zbytečná práce, která by při příčetnějším návrhu vůbec nebyla potřeba.
Ostatně: předpokládám, že v té síti budou chtít mít pod kontrolou (DHCPv6) všechna koncová zařízení, takže situace, že by za Androidem byla připojená další zařízení, nejspíš nikdy nenastane. I z tohoto pohledu jde tedy o práci zhola zbytečnou.

Ja chci jezdit rolsem, kazdy den chci dostavat kafe na zlatym podnose v diamatama vykladanym kafaci ... a chci to vsechno za cenu jednoho piva.

Pokud si kupujes devices ktery nesplnujou tvy pozadavky, asi bys mel navstivit lekare.

Mimochodem, podporu ipv6 (a slaac) mam jako must have u vseho co kupuju ja. Kdyz to neumi, tak dodavatele vyhodim. Je to ... 1/2 roku kdy se mi nekdo snazil natlacit krabku, ktera neumi ani na v4 dhcp ... a ipcko se na to nastavuje dipama ... a to jen posledni 2 bajty, ty prvni jsou tam fixne ... neuveritelny.

Jiste, "funguje". Tak ja vas necham parkrat precislovat nejakou vetsi sit citajici tisice zarizeni a pak nam muzete popovidat o tom, jake to bylo :-) Ve velkych infrastrukturach se tenhle pristup nepouziva. Dokonce i parovani IP na MAC je vicemene obsolentni - s tim, jak si zarizeni kvuli ochrane soukromi meni i L2 adresu.

Je mi úplně jedno co se používá nebo nepoužívá ve velkých infrastrukturách. Žádné velké infrastruktury v tomhle vlákně neřeším tak proč je sem taháte?

24. 9. 2025, 20:47 editováno autorem komentáře