Vlákno názorů k článku Česko samo přechod na IPv6 nezvládne, trh to nevyřeší, říká Ondřej Filip od Ratbatcat - Az bude 1 IPv4 adresa stat $1000 mesicne...

Az bude 1 IPv4 adresa stat $1000 mesicne tak to trh samozrejme vyresi. Pokud je ale konfigurace ipv6 drazsi nez platit za ipv4 tak to nikdo nebude resit. A ne, opravdu se nejedna o jeden checkbox nekde na jednom zarizeni, obvykle korporaty maji x zavislosti a zmeny stoji klidne statisice nebo i miliony.

Jenže tohle ve skutečnosti vůbec problém není, protože ti největší internetoví hráči mají dávno šestku nasazenou. Ať jsou to poskytovatelé připojení, peeringové uzly, velké obsahové služby nebo cloudy.

Zdržují naopak ti malí, protože na to dlabou a je jim to jedno.

Vodafone CZ je malý?

DOCSIS firemní linka - IPv6 režim lze jen bez veřejné IPv4, modem nemůže jet jako bridge, pro firemní nasazení problematické.

Optika na CETIN infrastruktuře, firemní linka - IPv6 zdá se vůbec nepodporuje, nikde se o tom explicitně nepíše.

Nasadené ako nasadené. Keď ohliadneme od ISP ktorí nevedia iný subnet ako /64, tak ďalší veľký problém je používanie DS-Lite a nie plnohodnotného dual stack.

Prečo je to problém: napríklad mám 5 pripojení, všetky vedia IPv4. Mám medzi nimi site-to-site VPN. Niektorí s ISP nám s veľkou slávou oznámia podporu IPv6 (a DS-lite). Môžem postupne migrovať jednotlivé pripojenia na IPv6, podľa toho ako príslušný provider zavedie podporu IPv6? No jasné že nemôžem. Pokiaľ by tam bol plnohodnotný dual stack, tak by som mohol. Výsledkom je, že ostávam na čistom IPv4 a všetky múdra, ako ISP dávno podporujú IPv6, idú jedným uchom dnu a druhým von.

DS-lite je jednim z legitimnich prechodovych mechanismu. A pokud narazite na L2L IPSEC, tak on se i s NAT-T popasovat v pohode umi. Holt vam tu VPN navazuje jen strana, co je schovana za predkladem (i tim, co je v ramci DS-lite). VPNky fakt problem nejsou, to jde uchodit i v tomhle scenari.

DS-lite je ekvivalent CGNAT; za neho môžete dať len tých zákazníkov, ktorí v IPv4 svete nemali problém s CGNAT, ale nie tých, ktorí mali verejné adresy.

Voči existencii DS-lite nemám žiadne námietky. Problémom je, že ISP nemajú riešenie, pokiaľ DS-lite je nedostačujúce. Nech sa potom nikto nečuduje, že koncový zákazník to nerieši, keď mu čisté IPv4 funguje a DS-lite by mu nefungovalo.

VPN spojení je niekoľko, nie jedno. Nie je to hub-and-spoke, ale point-to-point. DS-lite s uvedeným obmedzením by bolo použiteľné presne pre jediného z nich. Už keby boli dvaja, tak títo dvaja sa nikdy nespoja.

Ale správně si napsal "prechodovy mechanismus". Není to konečné řešení.

Těm malým je to jedno proto, že převážně jedno je to jejich zákazníkům, cena je také netlačí a financí obvykle stejně nemají nazbyt.

>>> Jenže tohle ve skutečnosti vůbec problém není, protože ti největší internetoví hráči mají dávno šestku nasazenou

No ne tak uplne.
O2 na slovensku mobilni pripojeni pres IPv6 nema!
Mel jsem jeden projekt pouze na IPv6 AAAA.
Pak sem se nestacil divit, kdyz jednemu zakaznikovi to nejelo. A ostatnim vpohode.
Po dlohem patrani sem prisel na to ze O2 na sloevnsku nema jeste implementovanu IPv6 pro mob. pripojeni.
Pak jsem chte-nechte musel pridat take DNS A zaznam s IPv4 a pak mu to uz jelo.

Praveze je to naopak. Ked som naposledy ziadal od Orange verejnu IPv6 adresu, dostal som odpoved, ze mi verejnu IPv6 adresu daju len vtedy, ak si zaplatim za fixnu IPv4 adresu. Darmo som im vysvetloval, ze nepotrebujem IPv4 a ani nemusi byt fixna. Bernak nepusti.
Naco by som teda prechadzal na IPv6, ked mi neumozni to hlavne: pristup domov z netu?
Ak vie niekto ako je to u Orangu v SR teraz, potesi kazde info. Vdaka

JSem v tomhle laik, tak jen prosím o info, proč IPV6 se dělí na veřejné a neveřejné? Já totiž myslel, že IPV6 má odbourat překlady a tak z principu IPV6 jsou prostě veřejné?

Vždycky se hodí mít nějaký rozsah adres pro interní testy a experimenty. Veřejné adresy musím nějak získat. S privátníma si můžu rovnou začít hrát a nic neřešit.

Reálný svět není binární. Adresy se dělí na veřejné, neveřejné (CGNAT) a privátní (10.0.0.0/8 a 192.168.0.0/16)

To jste ale jen narazil na někoho, kdo nevěděl, o čem je řeč (nebo věděl, ale chtěl vás stáhnout o prachy). Určitě byste nedostal žádnou privátní IPv6 adresu – ISP by si tím jen komplikoval síť.

Nebo se jedná o řešení které jsem už viděl. Namapují IPv4 adresu do IPv6 adresy a dopředu "přilípnou" IPv6 network prefix. Jenže taková IPv6 adresa má pak masku /64. Ale spekuluji pochopitelně, přesně to ví jen technici SK O2.

Tem malym poskytovatelum je to jedno, protoze maji na vyber, budto implementuji IPv6, stravi x desitek hodin konfiguraci a dalsich x stovek hodin troubleshootingem nebo za par korun poridi lepsi zarizeni ktere zvladne vyssi rychlost. Co myslite, Petre, co takovy zakaznik maleho poskytovatele pripojeni oceni vice - vyssi rychlost nebo IPv6? Realita.

Moje setkání s realitou dopadlo zatím tak, že u malých ISP nebyl problém získat IPv6 blok /56 nebo větší, zatímco ti velcí bojují (bojovali) s tím, aby zprovoznili /64 (pokud vůbec něco).

No tak ti malí zase na tom nemají žádný zisk, ať už finanční nebo jiný. Tak proč dělat charitu

Vyřeší to tak že při platbě na rok dopředu dostaneš slevu. Korporáty uvnitř můžou fungovat na čtyřce dokud bude podporovaná. Velcí hráči mají něco co se dá prodávat a ti ostatní zase něco co si musí koupit z hlediska trhu ideální.

Jenže spoustu těch problémů s IPv6 si ty korporáty způsobili sami. Např. já jsem řešil, proč korporátní notebook nedostává IPv6 adresu a celé IT mi nebylo schopné říct, proč to tak je. Takže jsem je navedl jak to ve Windows registrech zapnout. Ale nikdo už netuší proč to někdo v minulosti takhle nastavil.

Navíc na to měli spoustu času a mohli to řešit postupně už minimálně 10-20 let měli mít u všeho požadavek na podporu IPv6 až HW tak SW.

jenze na ipv6 v korporatnim prostredi se nemuzete divat jako na isp problem. Ipv6 ma ve windows default prioritu, takze pokud vsechny prvky s ipv6 nepocitaji (acl na switch/router/fw, routing, proxy, ips/ids, detekce nechtene ipv6, detekce solicitated router, ...), je opravdu bezpecnejsi ipv6 zakazat.

Neni problem se po ipv4 overit pres 802.1x a soucasne nahodit i ipv6, vystupovat jako solicitated router a pres transparent ipv6 proxy a fake dns ohnout ipv6 provoz cele lokalni vlan pres vlastni zarizeni.

Udrzovat celou sit s acl, fw, ids/ips, qos etc. jako dual stack nedava zadny smysl, vede to nutne k problemum a chybam.

Takze uvnitr privatni ipv4, ven http/https proxy s podporou ipv6 na ext, do dmz reverz proxy s ipv6+ipv4 na ext a jen ipv4 dovnitr je sakra lepsi reseni - ale zadne ipv4 adresy to neuvolni.

U home useru bez verejne IP je prechod snazsi, pokud nemaj vlastni router nebo jsou ochotni kupovat a ucit se konfigurovat novy.

Ipv6 ma ve windows default prioritu, takze pokud vsechny prvky s ipv6 nepocitaji (acl na switch/router/fw, routing, proxy, ips/ids, detekce nechtene ipv6, detekce solicitated router, ...), je opravdu bezpecnejsi ipv6 zakazat.
Ta priorita se dá nastavit. Určitě je tam něco jako Happy Eyeballs. Takže opravdu není bezpečnější IPv6 zakazovat. To udělá jenom totální ignorant, který nechce nic řešit a jenom si usnadnit práci. Navíc prohlášení Microsoftu:
Internet Protocol version 6 (IPv6) is a mandatory part of Windows Vista and Windows Server 2008 and newer versions. We do not recommend that you disable IPv6 or its components. If you do, some Windows components may not function. We recommend using Prefer IPv4 over IPv6 in prefix policies instead of disabling IPV6.

Udrzovat celou sit s acl, fw, ids/ips, qos etc. jako dual stack nedava zadny smysl, vede to nutne k problemum a chybam.
Smysl to má minimálně v tom, že pak ta síť a lidi jsou na IPv6 připraveni. Když si to takhle řekne každý, tak jsme v pytli. Přesně to samé se říkalo i o HTTPS ve firmách.

Ještě jsem nenapsal, že se jednalo o německý (kde IPv6 dává smysl, protože je tam již kolem 65%) technologický korporát a řešil jsem to právě kvůli požadavku na IPv6.

Civilizovany firewall & spol do korporatu pracuje v pravidlech objekty. A v jednom objektu zvladne mit soubezne obe address family - a pak v tom udrzet ordung zas takovy problem neni.

Tak to Fortigate tedy neni civilizovany firewall. Na to, jak velkou cast trhu obsazuje...

Tak ono se to jeden cas doporucovalo jako "reseni" a jak to jednou nekdo treba do GPO nastavil, uz se na to nesahlo. U Windows tomu navic moc nepomahaly automaticky navazany tunely, co zajistovaly IPv6 konektivitu v IPv4-only siti a mohla to byt defacto i nechtena dira, nastesti tahle hloupost uz vysla v mezicase zaplatpanbu z mody.

A nyní doporučují to nevypínat. Navíc to všechno bylo tak 10 let zpátky. Takže tenhle argument opravdu neberu.

To rikejte tem "adminum", co jsou otroky minulosti :-) Oni sve letite navyky nemeni.