Vlákno názorů k článku Den IPv6 proběhne za měsíc. Jste v6 ready? od Zd.Valek - Dobrý nápad, nakoplo mě to k instalaci mireda...
-
Zd.Valek (neregistrovaný)
Dobrý nápad, nakoplo mě to k instalaci mireda na všechny kompy, ani jsem nečekal, že to bude tak snadné ;)
A k čemu je to dobré, když současné IPv4 funguje a "IPv6 je šmejd" ?? To je přece jasné, veřejná IP pro všechny!! Možnost dostat se odkudkoliv na svůj počítač doma, telefonovat přímo, bez serverů (např. skype se tím hodně zjednoduší a zefektivní). A vůbec, jakákoliv komunikace mezi dvěma počítači se brutálně zjednoduší: ftp http smb nfs ssh ... internet bude zase Internetem. Akorát že se ta změna strašně vleče, protože lidi nechápou, jak je důležitá. Anebo jsou tak omezení, že si vystačí s webem. -
Palo (neregistrovaný)
Kolko ludi tak percentualne odhadujes ze potrebuju mat connect na svoj pocitac. V dnesnej dobe ked sa v podstate pocita ze si za nejakym NATom ako prirodzenou sucastou internetu?
Kolko ludi si myslis ze si vedia realne zabezpecit pocitac tak aby mohol byt bezpecne verejne pristupny.
Ked sme s internetom zacinali tak kazdy stroj mal svoju IPv4 adresu a bolo to super. Finger, mail, ... milion dier sa dalo zneuzit. Ako admini sme iba sledovali aka "novinka" pride a zakazovali jednotlive sluzby, .... . Az prislo NATko.
Osobne nemam zaujem na nasadenie IPv6. Nemam zaujem na tom aby nasi zamestnanci mali svoje pocitace vystavene do internetu. Nemam zaujem mat svoj sukromny pocitac doma vystaveny na internete. NACO? Aby som si v MythTV spustil nahravanie filmu? Aby som si monitoroval svoj dom? To su blbosti. -
Zd.Valek (neregistrovaný)
Se zkušeným adminem se moc hádat nechci, ale dle mého názoru všechny bonusy NATu nahradí firewall. A když nebudou mít uživatelé pozapínané služby, které nepotřebují (stačí aby byly ve výchozím nastavení vyplé, to můžou dodavatelé zařídit i úplným BFU), tak se žádná pohroma nekoná. Samozřejmě se tím zjednoduší práce hackerům, ale samotný protokol je do počítače stejně nepustí, dostali/nedostali by se tam tak jako tak.
Zdaleka to nepotřebují všichni, to je jasné, tipuju 5% a to jen občas. Ale můžou z toho těžit nepřímo. Například: známý to s PC moc neumí, řeknu si o IP adresu, login, heslo a už jsem u něj v PC a opravuju problémy. Nebo ten skype, který je v současnosti závislý na hromadě serverů, které se spouští často bez vědomí majitele PC a zvyšují mu provoz komunikací ostatních uživatelů. Implementace spousty věcí bude jednodušší -> méně chyb.... Spojení budou přímá a nezávislá -> potenciálně rychlejší.
A co se zkušeností týče: mám 1 PC několik let permanentně na veřejné IP (v4 i v6, včetně domény 2. řádu), systém jsem aktualizoval už ani nevím kdy (debian oldoldstable) a neměl jsem jediný problém, běží na něm httpd, ftpd a sshd.
Na stejné síti dlouhodobě přežívá i řada počítačů s Ψidlema, většinou XP SP2. Vystačí si se systémovým firewallem. Takže co bylo, už není. -
VS (neregistrovaný)
Ten firewall bude typicky součástí nějakého domácího routeru/CPE, stejně jako je tam dnes NAT. Existuje ohledně toho i RFC. Takže tihle lidé, kterých je 95 %, si tam stejně nic nenastaví, i když by to šlo. Existuje sice UPNP a podobné varianty, jak dynamicky otevírat firewall dovnitř, ale nevěřím, že se to zásadně prosadí.
I na IPv6 sítích budeme rádi za techniky vyvinuté pro obcházení NATu. Jen budeme obcházet firewally. Absolutně nevěřím, že se tahle situace změní.
-
Michal Kára (neregistrovaný)
Přesně tak. Možná se o něco zjednoduší situace, když bude správce sítě (IT odborník) chtít vystavit nějaké zařízení "ven". I když to je otázka, protože zpřístupňovat zařízení, které není v DMZ je poněkud "o ústa", takže celý ten proces není jednoduchý a nutnost nějakého (eventuálního) mapování portů nehraje až tak vekou roli.
Rozhodně představa, že zavedením IPv6 se vyřeší problémy s end-to-end konektivitou jsou nesmyslné.
A co se týče správců, tak těm se spousta věcí zesložití (viz články v seriálu na Lupě) a to nemluvím o samotné pracnosti přechodu.
-
Michal Kára (neregistrovaný)
Ani u SOHO se toho moc nevyřeší. I tam musí být nějaká "bezpečnostní politika" (lidsky řečeno - firewall). Pokud bude jen ve Windows, tak to ještě půjde. Ale pokud má SOHO router ("krabičku") a firewall bude tam, tak smolík.
Když už jsme u toho - IPv6 tohle silně zkomplikuje. Teď si prostě dáte na připojení krabučku s NATem a "vnitřek" si vyřešíte podle svých potřeb. Kdybyste to měli dělat na IPv6, musíte řešit s providerem, abyste dostali IPv6 síť a ne jen jednu adresu...
-
VS (neregistrovaný)
Kdybyste to měli dělat na IPv6, musíte řešit s providerem, abyste dostali IPv6 síť a ne jen jednu adresu...
Tohle řeší teoreticky prefix-delegation u DHCPv6. Dneska si těch SOHO routerů můžu za sebe zapojit i několik, a ISP nemusím nic říkat. S prefix delagation bych teoreticky pro každý za sebe zapojený router měl dostat další prefix.
Jednak mi to ale zavání možností DoS, takže tam bude nějaký limit. A je otázka jak se k tomu postaví ISP. Jestli se tohle vůbec stane de-facto standardem jako je dnes DHCPv4. A i pokud ano, jestli ten limit nebude nastaven na 1 delegovanou síť pro domácí LAN, a pokud budu chtít další router - třeba v rámci virtualizace na desktopu, tak smolík nebo peníze navíc.
Bude-li možnost u IPv6 účtovat peníze za "prémiové" služby, operátoři si to rozhodně nenechají ujít. Že bude na ADSL za 400 Kč by-defaut povolené něco, co BFU nepotřebuje, ale potřebují to tak 2 % lidí, tomu nevěřím.
-
Sten (neregistrovaný)
Podle RFC vám ISP naopak musí přidělit nejméně /64 síť, pokud možno by měl ale přidělovat /48 sítě. Když budete mít trochu schopnější modem/router, bude umět prefix delegation (měl by to umět každý modem/router, ale nevím, jestli se to testuje pro IPv6 ready), takže pro veškeré nastavení vaší sítě bude úplně stačit pospojovat jednotlivá zařízení kabely (samozřejmě to spoléhá na to, že výrobci dokážou nakonfigurovat nějak rozumně firewally na jednotlivých zařízeních, třeba aby tiskárna obsluhovala ve výchozím nastavení jenom lokální síť a router měl RP filtr).
-
VS (neregistrovaný)
Podle RFC ISP nic nemusí, jsou to pouhá doporučení. Bavíme se o segmentu, kde rozhoduje trh. Předpokladem je, že ISP bude prefix delagation podporovat. A já očekávám, že to zdaleka nebude samozřejmé, nebo to bude nějak omezené. Myslíte, že přes GPRS PPP session mi pustí prefix delegation? A přesto tu konektivitu můžu chtít dostat na jiné stroje...
-
Sten (neregistrovaný)
Ano, ISP může na RFC kašlat a RIR může kašlat na ISP a žádnou IPv6 adresu mu nepřidělit :-)
Prefix delegation je u ISP v současnosti podporujících IPv6 celkem běžné a ti, kteří jej nepodporují, tak stejně přidělují nejméně /64 síť. Samozřejmě s výjimkou případů, kdy se nepředpokládá, že bude potřeba připojovat něco víc než jedno zařízení, což je třeba GPRS s tarifem pro mobily. Pokud si pořídíte GPRS připojení na doma, síť byste dostat měl.
-
Michal Kára (neregistrovaný)
No /48 mi přidělí asi těžko, protože minimální reálná velikost IPv6 podsítě je 56bit (bylo to rozebíráno v tom seriálu na Lupě, je to nějaký vedlejší efekt čehosi...).
A vzhledem k tomu, v jakém stavu je IPv6, tak ještě hooooooodně dlouho budeme rádi, když to bude fungovat po delším laborování, natož po "pospojování kabely" :-)
-
Sten (neregistrovaný)
Jak brání přidělení /48 tomu, aby místní síť byla /64 (větší rozsah je pro jednu síť nesmyslný) s tím, že bude umožňovat další — automatické — delegování?
Když jsem rozbíhal IPv6 doma, tak až na nefungující prefix delegation a tedy nutnost zadat IPv6 rozsah pro místní síť ručně, to všechno fungovalo jenom pospojováním kabelů.
-
Zarizeni, vystavenych ven a ktera nejsou v DMZ mate uz ted hafo. Staci si do site strcit Widle Vista nebo 7, pripoji se vam na Teredo a mate v siti patou kolonu. Pokud mate Linuxovy nebo podobny firewall, muzete to zakazat v iptables a pak eventuelne resit, proc se vam Widle furt chteji pripojit pres zakazane ipv6 a nikam se tak nedostanou, kdyz maji k dispozici ipv4, ktere zakazane neni. Nebo, pokud mate nejakou tu krabicku z obchodu, tak resit, jak na kazdych Widlich zakazat ipv6/Teredo a doufat, ze po zakazu je opravdu zakazane a ze tomu tak bude i po pristim automatic update.
-
Ad „internet bude zase Internetem“
+1
Ad „Akorát že se ta změna strašně vleče, protože lidi nechápou, jak je důležitá.“
To je pravda, na druhou stranu, to že lidi nechápou, je jejich problém a jejich škoda – ne moje – já mám IPv6 všude tam, kde ho potřebuji, můžu si jeho výhody užívat bez ohledu na ostatní. Jestli si někdo vystačí s IPv4, tak ať.
