Vlákno názorů k článku Bezpečné IPv6: trable s hlavičkami od xurfa - Nejlepší by bylo, celé slavné IPv6 a navrhnout...
-
j (neregistrovaný)
Ze bys to trebas navrhnul ty? Mozna se za 100let dockame prvni pouzitelne verze.
jj, uzasny IPv4, sice toho neumi ani 1/100, a spousta veci se na 4ce resi daleko horsima postupama (trebas ipsec po 4ce je posusnani, s N ruznejma implementacema). A pro pripadnej router po ceste kterej s tim chce nejak nakladat to znamena nejen projit nejake hlavicky (ktere u 4ky vubec nejsou), ale zkoumat celej paket a znat konkretni implementaci.
-
ondro (neregistrovaný)
Ja som rovnakeho nazoru ako xurfa aje velka skoda, ze sa to aj neurobilo.
Takto nas o par rokov caka novy protokol. Podla mna ma IPv6 zasadne chyby/nedostatky, ktore maju rozne dovody(doba jeho vzniku, meniace sa poziadavky,...). To, ze neujednotili strukturu rozsirenej hlavicky povazujem za poriadny "pruser". Tipujem, ze drviva vecsina HW podporujuca IPv6 nema ich podporu plne implementovanu a nikdy ani nebude mat. O SOHO krabickach ani nehovorim.
Vyborny serial, ktory podla mna velmi zrozumitelne popisuje IPv6.
-
BobTheBuilderStříbrný podporovatelIPv6 v těch 80% zařízení nejspíš už je - všechny počítače se systémy věkově odpovídajícími Windows Vista, to máme tak asi 7 let. Mezi tím prošly aktualizacemi a IPv6 tam skutečně funguje.
IPv6 už je i na poslední míli - od srpna na ADSL u T-mobile, O2 zapnulo podporu už dřív. A skutečně to funguje - stačí v modemu zaškrtnout IPv6 a je to.
Takže tudy cesta nevede. -
Petr M (neregistrovaný)
Jenomže to ještě není u lokálních WiFi ISP. Dají zákazníkovi tu nejlevnější dostupnou krabičku na střechu, děravý firmware z roku 123, správu povolí jenom z WAN portu, 5x NAT jako obrana sítě a hotovo... Když krabička chcípne, dá se nová, za podporu IPv6 na koncovým zařízení neutrácí, protože jejich síť to nepodporuje. A proč zapínat podporu v síti, když to koncový zařízení nepropustí?
IPv6 je po ně out. Místo toho řeší, jak logovat pro stát, kdo kdy lezl z jaké IP adresy a kde ty data dlouhodobě skladovat... Přitom by stačilo přidělit fixní podrozsah IPv6 a pustit ho ven transparentně.
IPv7 by při výměně toho zastaralýho bince mohlo být aplikováno rovnou...
-
M. (neregistrovaný)
Data retention nemá s privacy extension problém. Pokud ISPík to bere rozumně, že dá koncáku jeho příděl aspoň /64 na jednu přípojku, tak ho akorát zajímá ten prefix /64, aby identifikoval koncovou připojku, když přijde požadavek na identifikaci. Co si nageneruje koncový zákazník do těch poslendích 64-bitů je mu jedno.
Privacy extension má jiný učel, než zabránit identifikaci z jaké přípojky to přichází.Něco jiného je v případě, že ISPík v paneláku dá switch pro X zákazníků, do něj jsou přímo připojeni koncové komply zákazníků jako jeden L2segment, je použita jen izolace portů, aby se zákazníci mezi sebou neviděli a na celý barák dá jednu /64 síť. Pak ano, pak má problém poznat, který z koncových zákazníků to byl, pokud bude mít aktivní PE. Pak dokáže jen ukázat na ten panelák, že někdo tam...
-
M. (neregistrovaný)
Tenhle problém WiFi ISP segmentu je dosti individuální. Jsou sítě, kde dostanete IPv6 automaticky, kde Vám to dají na požádání a i sítě, kde o tom nechtějí slyšet.
Tohle není primárně problém IPv6 a pokud by se teď udělal nový, lepší, .... IPv7, tak bude opět stejná situace, než se to dostane do thoto wifi ISP mainstreamu.
A ty wifi ISP sítě vyrobené na technologii od Mikrotiku, tak obvykle s IPv6 problémy nemívají. Jiná věc je, zda "ISPík" so domluví i iPv6 od uplinku nebo ne a až na konci je ten koncový domácí router, kde u řady se ani nedává. -
Uplink není velký problém. Větší problém je představa, že běžný malý ISP jen tak bude tratit peníze a čas na službu, o kterou zákazníci nemají zájem. Většina zákazníků nedostane ani veřejnou IPv4. V tomto případě problém skutečně není v IPv6, ale ale v absenci motivace dodávat víc než jen standardní službu, přičemž názor na to, co je standardní službou, se značně různí.
-
M. (neregistrovaný)
To, že nedávají IPv4 zákazníkům je spíše od toho, že většina menších wifi ISP skoro žádné IPv4 adresy nemají. Pokud od svého uplinku obdrží /24 veřejek, tak jsou rádi a dávají jen za peníz typu stovka/měsíc a výše. Řada "ISP" má max blok /28 a je ráda, že je ráda.
Co se IPv6 adres týče, tak ano, u části je to z toho, že to zákazníci nechtějí, tak se nesnaží, část to řeší jako radost, tak to jde. U části ISPíku, kteří by se moc nebránili, je to pak dáno hlavně tím, že pro své Mikrotik sítě používají řadu hotových nástrojů na správu a konfiguraci celé sítě a dokud tyto nástroje nebudou obsahovat i podporu pro management IPv6, tak to dělat nebudou, protože je to ruční práce navíc.
Těch důvodů je řada.
Co je standardní služba se snaží vyjevit ČTU ve svém doporučení. A bude se nám to snažit vnutit i EU. -
j (neregistrovaný)
Oblibene pindy. Zakaznik nema zadny zajem o IPv4 ani o http ani o dalsi kraviny. Zakaznik chce fungujici internet. A prakticky vsichni uzivatele 150x natovanych pripojek trvale a neustale narazeji na to, ze jim neco nefunguje, proste proto, ze zadny internet nemaji.
Xkrat sem narazil treba na to, ze nekdo chtel videt nejaky fotky, tak sem se lognul domu a fotky mu ukazal. Cumel na to jako pero a chtel to taky. Smolik ... nema internet, nefunguje. Nekteri si kvuli tomu i zmenili ISP. Protoze jim doslo, ze tohle neni jedina vec ktera jim kvuli tomu nefunguje.
-
xuxuk (neregistrovaný)
Všechny svoje sítě mám za NATem a kvůli bezpečnosti blokuji IPv6, ale nemám naprosto problém se do těch sítí zvenčí připojit. Dokonce si můžu vybrat, jestli to chci přes ssh nebo OpenVPN. A sítě jsou mezi sebou propojeny přes OpenVPN na úrovni L2. Tak přestan kdákat nesmysly...
-
Karel (neregistrovaný)
Ale vždyť přesně to se stalo. Takhle vznikl IPv6. Byl navržen čistým způsobem, relativně malým týmem.
Bohužel s některými rozhodnutími je problém se ztotožnit (viz předpoklad, že se po cestě nemá nic filtrovat) a na řadu problémů si prostě pánové nevzpomněli včas. V zásadě tedy IPv6 byl čistě navržený nový protokol. V čem si myslíte, že by to tentokrát dopadlo jinak?
-
Petr M (neregistrovaný)
Těžko říct, záleží, jak se ti lidi poučí z chyb.
Struktura adresy OK, hlavní hlavička OK, je potřeba sjednotit hlavičky a zapracovat na tom, co podělali. Jít RFC za RFC, standardizovat formáty, předělat číslování (třeba horní dva bity v typu hlavičky hodi na rozlišení, jestli se hlavička týká routonání, šifrování,... to by těm síťovým prvkům hodně pomohlo v orientaci) atd.
