Vlákno názorů k článku Android po letech nabídne podporu pro DHCPv6, bude ale vyžadovat úpravu sítě od mad - Kristepane. Ten OS je pro end-user dotykova zarizeni,...

To všechno přece můžete udělat, pokud vám to takhle vyhovuje. Nebo se vám nově nabízí možnost použít DHCPv6 PD, pokud o to máte zájem a dost adres. Dělejte si ve své síti, co chcete, nikdo vám v ničem z toho nebrání.

Já tomu tak rozumím, ale stejně... Mám takový pocit, že představené řešení je tak trochu ve stylu... „My to DHCPv6 prostě nechceme, ale podlehli jsme vašemu tlaku. Tak jsme to udělali takhle, abychom mohli říct, že to umíme, ale zároveň, aby to vlastně nebylo pro nikoho atraktivní řešení.“

No vidite, 20 rokov sirenia IPv6 a niektori stale trvaju na DHCP, namiesto toho, aby vyuzivali SLAAC.

Tak mate treba podnikovou sferu, kde resi bezpecnost, logovani provozu apod. Ti potrebuji dohledatelnost IP=zarizeni (nebo osoba). A na to je snazsi toto nez SLAAC. Se SLAAC pak muzete nasazovat captive portaly apod.

Zero trust networking
Radius

V podnikove sfere resit dohledatelnos­t/bezpecnost tim ze budete spolehat na DHCPv4 - to neee :)

"resit dohledatelnos­t/bezpecnost tim ze budete spolehat na DHCPv4"

A vis kolik takovych firem existuje? Miliony ...

Tam kde do toho muzu aspon trochu zvanit, jede sit na ipsecu (ano, interni), a je mi burt jaky ma zrovna kdo IPcko. Ono stejne minimalne 50% aplikaci kdyz neco logujou, tak ipv6 neumej. Soudruzi tvurci si jeste nestihli za 30 let vsimnout.

Ale houbeles. Ono pokud jde o Srandoidy, tak jsou vlastně jenom tři možnosti:
1) Jde o soukromý zařízení zaměstnanců - hodím je do VLANy pro hosty, extra prefix a na firewallu nastavím, že nemůžou do vnitřní sítě. Zaudituju pravidlo na firewallu a je to na stejné úrovni, jako kdyby se připojovali z kavárny v přízemí. Tam ať si klidně jedou na SLAAC, tam to nebolí. A nemusím to řešit. Zvlášť, když nemají přístup do interní sítě.
2) Jde o zařízení,co používají zaměstnanci, ale běží na tom firemní aplikace. Tam z té sítě pustím specifický port do DMZ a aplikace použije autentikátor s UserID a SessionID, navázaný na uživatele a ne na zařízení. Nema problema.
3) Čistě pracovní stroj - ve vlastní /64 síti, identifikace pomocí UserID/SessionID, neleze se s ním ven. Takže se přidělí /64 z ULA prefixu a mám 64b identifikátor, který zahrnuje třeba i VR brýle připojený zařízení, prostě celou sadu. A můžu těch sad za routerem mít 64k.

IP adresa je identifikátor zařízení podle úplně stejné logiky, jak NAT bezpečnostní opatření. Asi nemusím připomínat, jak super bylo, když ISPíci identifikovali klienty MAC adresou a jak snadný bylo tu autentikaci obcházet. Tohle je to samý.

Tak pokud je (IMHO kromě nejmenších Ho segmentů zcela legitimní) požadavek na jednoznačné propojení ip <--> užovka_or_device, tak je SLAAC dost nepoužitelný, nemyslíte?

Jako ono to jde řešit, ale né každý potřebuje takový kanón na vrabce, jakým je 802.1x napojený na nějaký Radius, pro filtrování jednotlivých zařízení doma opravdu obvykle taky nechcete řešit odolnost před L2 útoky, ale jen aby mladší dítě nemohlo na internet po půlnoci, zatímco televize nikdy, a nechcete mít deset VLAN/ESSID jen kvůli tomu.

Čistě OT, potomka do 14 je efektivnější řešit sběrným boxem do 22:00, statší je spíš otázky, zda není lepší efektivněji jej zapojit do povinností v rámci jeho volného času a se zbytkem času ať si hospodaří, jak uzná za vhodné :-D
Ale nijak to nesnižuje vaši snahu řešit to i systémově, ale potomci dospívají většinou rychleji než se nějaké řešení technického ražení usadí...

Čistě teoreticky:
1) Mám hotel, v něm WiFi pro hosty. Někdo se dole v restauraci připojí s mobilem a spáchá nějakou neplechu. Znám jeho IP adresu a vím, že to bylo v době, kdy bylo v restauraci 60 lidí a ubytovaných 20 hostů. Jak z té IP adresy poznám, jestli to byl pán z pokoje 12, jeho žena, nebo někdo, kdo došel na meníčko a vím o něm jenom to, že si dal dršťkovou, svíčkovou, pivo a platil cash?

2) Mám firmu, v zasedačce WiFi pro hosty. Chodí tam zákazníci a znají heslo, někdo ho nasdílí skrz widle. Jak identifikuju, jestli zařízení na síti patří obchodníkovi dodavatele, zaměstnavateli, nebo někomu cizímu v autě v parkovacím domě přes ulici?

Jedna věc je vědět o zařízení v síti. Druhá je vědět typ zařízení. A třetí věc je vědět majitele. Vědět o zařízení v síti bez dalších informací má smysl jenom ohledně statistiky, kolik zařízení se v síti vyskytuje. A to je poznat i podle dotazů na použití adres ve SLAAC.

Ciste prakticky - mate data o tom, kde clovek pripojen je, urcite vzorce chovani klienta, data o kvalite jeho pripojeni. Z toho neco poskladat jde. To, ze o klientovi realne vite prd, protoze vsudypritomne privacy rozsireni vam meni i L2 adresu - takze i IP adresa je vlastne nezajimava a typ zarizeni taky primo nepoznate. Ale porad podle nekterych informaci se muzete dobrat k tomu, co za uzivatele to nejspis je - i kdyz se hraje tahle hra na kocku a mys. Jen se bavime o tom, ze je potreba zkorelovat podstatne vic dat (mj. treba i netflow, nsel data, obsah neighbor cache v case, konkretni ap a sila signalu atd). Pokud jste skutecny paranoik, tak stejne skoncite u toho 802.1x a kazdemu vytisknete listecek s jeho klidne casove omezenymi credentials nejlepe proti podpisu... ale jinak skoncite u toho, ze jinak 100% jistota u tech "tradicnich" (jednoduchych) metod proste beztak neni.

I myčce přiděluji doma /64 . S čím máte přesně problém, pokud dostáváte od operátora /48?

Že jsem z operátora vyrazil jen /60 - a ještě kolem toho bylo dost zařizování a vysvětlování.

Zverejnete. Rad ho zaradim do sveho seznamu osklivych ISP.

Velmi ošklivý ISP je Tlapnet.

IPv6 neumí vůbec.
Vyjádření technika na dotaz o IPv6:
"Běžní zákazníci to nechtějí"

To čemu říkají IPv4 je přesměrování pěti portů za příplatek 50Kč.
Měsíčně!
Plná IPv4 je za 200Kč/měsíc.
Což vypadá výhodně, když jednu IPv4 rozprodají za 655 350,-Kč

Od kterého ISP že to v ČR dostáváte domů /48?

Vodafone (exUPC) dává /56, ale Vodafone Station neumí PD ani statické IPv6 cesty, takže je vám to na nic. Když si připlatíte za Fritz!Box, tak je to lepší.

Ano toto je pravda, nicmene aspon pres relay to jde poslat dal do svych podsiti.

S potesenim zjistuji, ze existuje nejaka alternativa k Vodafone Station. Staci tedy pozadat pres jejich portal? Rikate, ze je to lepsi, chapu to tak, ze to zvlada PD i statiku bez problemu?

23. 9. 2025, 17:26 editováno autorem komentáře

Nevím, jestli přes portál, já jsem současně měnil tarif a šel jsem na pobočku - zdálo se mi, že se face to face líp domluvíme, co vlastně chci.
Asi za 2 dny přivezl maník Fritz!Box a odvezl si Vodafone Station, nájem je 120 místo 100.
Statická routa tam je, PD jsem (zatím) nezkoušel.
Můj problém s Vodafone Station byl, že nastavení firewallu (povolený port 443 a 22 na NAS) do měsíce přestal fungovat a rozjelo se to po nějaké kombinaci vypnout/zapnout, restartovat, ... Fritz!Box se zatím chová příčetně.
Výměna modemu má jako vedlejší efekt i změnu IPv6 prefixu.

24. 9. 2025, 17:28 editováno autorem komentáře

Plytvanie v akom zmysle? Jediny dovod preco sa vobec bavime o nejakom setreni je nedostatok adries v IPv4 rozsahu. Na katastri ti tiez nepovedia ze maju malo popisnych cisel ked postavis nove domy na ulici..

Mne osobne nepride plytvanie pozadovat /52 od providera. Zvlast v pripade kde to pripojenie ma sluzit pre siet s 9 oddelenymi segmentmi. /56 by mal byt minimalny standard pre domaceho zakaznika.

Cele je to nenazranost poskytovatelov, ktori si nevahaju rozumne rozsahy schovovat do firemnych pausalov alebo dokonca pozaduju platbu za staticku IPv6. (ano, aj to som videl) Ale IPv6 adresy ako take nie su ziadna vzacna komodita. Je to len cislo a ten "nedostatok" je umelo vyvolany.

23. 9. 2025, 14:46 editováno autorem komentáře

Poměrně přesně jste vystihl, jak to probíhalo: poptával jsem připojení s IPv6 rozsahem alespoň /56, ale na lince pro koncáky se mi vysmáli, že musím na linku pro firmy. Tam mi nejdřív vynadali, co tam lezu, když nemám IČO, a pak mi vysvětlili, že garantované připojení za minimálně 6000 Kč + DPH nechci. Následoval ping-pong mezi oběma obchodními odděleními, s výsledkem, že když slevím na /60, tak mi za jen o půlku zvýšenou cenu mohou vyhovět.
A protože jsem potřeboval cca 9 podsítí, tak jsem k tomu svolil.
Až teď si to vyčítám.
Kdybych předpokládal, že každé zařízení potřebuje (může potřebovat) svou síť, pak bych potřeboval rozsah /52.

Nedá se někde, mimo běžného ISP, získat vlastní rozsah, třeba /40, který by člověk prostě používal?

Je to absolutna frustracia.

Ja mam stastie na rozumneho providera. Zijem v Irsku a tu vybudovali masivnu opticku siet, ktora funguje podobne ako telefonna siet - cize prevadzkovatel siete poskytuje pristup operatorom a ty ako koncovy zakaznik si vyberies toho konkretneho operatora. Takze mas na vyber vela operatorov a nastastie par je celkom rozumnych. (takze mam out of the box staticku IPv4 a staticky IPv6 /56 rozsah bez toho ze by si cokolvek z toho musel pozadovat extra)

Ked sa na to pozrie clovek z tejto pozicie, tak to dotahovanie s rozsahmi je absolutne sialene plytvanie casom a pracou. A mam pochybnosti ze sa vobec financne oplati providerom. Napriklad som uz pri objednavke sluzby dostal info aku *budem* mat pridelenu IP aby som si vedel veci nastavit na svojej strane v pripade ze budem chciet pouzit vlastny router. Take jednoduche. Ziadne extra pausaly a blbosti. Ziadne telefonaty s agentom co nema potuchy co je rozsah, ziadne komplikovane ucty a kazdorocne predlzovanie viazanosti kde tomu agentovi na druhej strane musim cele moje nastavenie vysvetlit nanovo a potom riesit ked nieco nevyhnutne nastavi zle...

Neverim ze existuje dostatok "koncakov" ktori by platili za vacsi rozsah aby to vyvazilo vsetky tie problemy okolo toho.

To si tu můžeme říkat do nekonečna, jak by to mohlo být.. akorát mám obavu, že se reálně vůbec nic nezmění. Pořád víceméně platí, že pokud nemáte násobně dražší firemní připojení, nebo osvíceného ISP, kterých je bohužel mimimum a platí to spíš pro ty malé, tak dostanete /64 prefix, hotovo. Kratší nechtějí dát, neumí (ať už proto, že na to není kolonka v nějakém systému, nebo je to třeba technické omezení při používání modemu přes LTE/5G sítě implementované bez PD).
Takže ve výsledku pro spoustu lidí tohle je konečná, i kdyby se stavěli na hlavu a odstrkovali ušima.

Což pak také znamená výrazně omezené možnosti z hlediska segmentace sítě a preciznějšího řešení přístupů mezi nimi. Ano určitě existuje pár způsobů (Zero trust a veškerá komunikace v LAN přes nějaký centrální firewall, NAT66 atd.), ale je to pro geeky se spoustou ruční konfigurace a experimentováním.
Tady pořád existovala trochu naděje, že jakmile povolí na Androidech DHCPv6, tak to umožní líp dělit ten /64 prefix a flexibině pracovat s L3/L4 ACLky. Bohužel udělali akorát A) a už ne B) se zmíněným zdůvodněním (tethering, kontejnery).. oboje mi subjektivně přijde, že je daleko menší problém než špatně řešitelná segmentace.

Někteří jedinci prostě nepochopili, že IPv6 adresa je vlastně cesta k cíli.

Nejvyšších 29b je cesta k ISPíkovi (skrz LIR, ...) a je to na top level routování. Víc bitů na tomhle levelu nikoho nezajímá.

Pak je tady pár bitů pro ISPíka. 27 v případě, že koncákovi dá /56.To má na interní routování ve vlastní síti (něco jako CGNAT). Na těch dolních 72 bitů ISPík nesahá, ty nejsou jeho. Tak, jak pracuje s jednou IP adresou v CGNATu, tak pracuje s horníma 56 bitama adresy a zbytek si vymaskuje.

Dalších 8b mezi prefixem /56 a /64 identifikují síť. To už je v režii zákazníka. Do těch mu nemá kdo co kecat. Já to využívám na rozdělení mezi testovací síť, normální LAN, síť mez přístupu ven, LAN pro hosty, ... Prostě si na routeru naklikám síť a tohle je hodnota "hint". Na firewallu nastavím, s kým se ta podsíť může bavit.

No a nejnižších 64b, to už je jak za domácím NATem. Rozkradou si to zařízení v rámci té sítě. Beru je jako skupinu zařízení, co mají stejný pravidla na firewallu. Který si vezme jakou adresu, to neřeším. Je problém aplikace, aby kontaktovala ostatní.

Naopak, zbytecny zvasty je presne to, co si napsal ty. To ze to jinak nejde jsou ve 100% pripadu naprosty kecy.

Realita je maximalne to, ze ses linej to resit. Na kazdym jednom miste i v medvedim brlohu uprostred lesu umim najit 10+ ruznych zpusobu jak se pripojit na sit.

Jo... holt nektery nebudou za 1/2 piva.

Na youtubu nejdes lidi, ktery vysilaji streamy z prostredka pacifiku. Asi to posilaj holubama.

Jasně, Starlink funguje skoro všude.
Jen to tak nějak není to, co by si člověk představoval uprostřed civilizace, třebas v novostavbě na velkém pražském sídlišti. Reálně tam bude mít přípojku CETIN a možná pár menších hráčů. Ve výsledku si moc vybírat nemůžete - nebo skončíte s tím Starlinkem na balkóně.

Jen na te pripojce CETINu si vyberete z 18 provideru. To vam prijde jakoze malo?

Zkusil jste to někdy? (Jako koncový zákazník?)
Ve výsledku dostanete na výběr mezi O₂ a T-Mobilem, ostatní budou ještě horší. Parametry se moc neliší, všichni soutěží na cenu a jen přihazují balíčky.
S tím, že pokud je některý s těch alternativních ISP moc úspěšný, jeden z velkých ho prostě koupí. (Takže vlastně máte na vybranou, jestli si zvolíte krátkou nebo dlouhou cestu...)

Zajiste, posledni uspesna realizace ma asi 14 dni. Nabidka O2 byla... cenou doslova tragikomicka, T-Mobile tam prozmenu uplne neumi IPv6 - vyzkouseno, mame "kopii" te nabizene sluzby do kanclu SVJ na dva roky v temze dome zdarma (pak se zrusi, kdo by platil za nekompletni internet). Ten alternativni ISP vysel nejlevneji v pomeru cena/vykon, naplnil i predstavy kolem IPv6 adresace - a jako bonus mame i backup pres LTE (ktera se CETINu vyhne), samozrejme je to priplatkova sluzba... ale funguji mi pres to stejne adresy jako po primarni trase...

Na koupi musi byt dva.... nejen ten co kupuje, ale taky ten co prodava, zeano. Trosku mi unika, proc v Cesku maji vsichni potrebu krecovite resit ty kupujici... ale uz se nezabyvaji tim, co treba stoji za tim prodejem. Je zrovna pred volbama... a treba "vyzblept" Piratu o posilovani pravomoci NUKIBu... no nevim, ISPcka jsou zrovna skupina, kam ta jejich regulace v nejake mire dopadne. A kdyz je ty regulace moc... no tak radsi ten byznys prodate, nez se s tim "papirovanim" porad dokola sr*t, zeano :-)

Držím palce, ať Vám ten ISP vydrží a někdo ho nezkonsoliduje. ;o)

Na konsolidaci musi byt dva, ten kdo kupuje sam nic nezmuze, kdyz ten druhy nechce prodat.

A máte jistotu, že ten jeden opravdu nechce? Že nedostane nabídku, kterou nelze odmítnout? ;-)

A terazky mi povedzte, Kefalin, co vy si predstavujete takym "nelze odmitnout" :-) A uprimne - to, ze nekdo proda je podle me spis dusledek toho, ze legislativni pozadavky ze strany statu jsou proste takove, ze se na toho jednoho krasneho dne vys*r*te a takova akvizice je pro vas spise vysvobozenim.

Nejen to.
Obvyklá transformační cesta je od rodinného podniku, který dobře živí zakladatele a jeho zaměstnance, to pře es-er-óčko, projde do akciovky - a akcionáři najednou zjistí, že víc se z toho ždímat nedá, a dají přednost jednorázovému příjmu.

....coz je ale stale dobrovolne rozhodnuti toho prodavajiciho.... nebo snad ne?