Názory k článku IPv6 je budoucnost, ne všichni ale implementují správně

Prechod na IPv6 musí byť povinný.
Je treba stanoviť deadline, od keby bude vo Verejnom Internete routovaný iba protokol IPv6. Bez IPv4.

Inak sa to nedá.

No ved ten deadline mozes stanovit sam, nic ti nebrani.
A potom ten deadline len oznam panovi Verejnemu Internetovi a je to...

Pockejme na IPv7 ktera nepochybne jednou prijde......

Jsi zaspal, Vogo!

Vzdyt uz je draft na IPv10: https://tools.ietf.org/html/draft-omar-ipv10-03

A pro uplnost jeste IPv9 (z roku 1994!): https://tools.ietf.org/html/rfc1606

celé IPv6 je zbytečně komplikovaný sračkol, který přitom neřeší mraky problémů ze světa IPv4

Například?

napriklad neresi debilni prispevky do diskusi :)

Řeší. zablokováním /64 (nebo /56) zastavíš jednoho trola. Zablokováním /32 v IPv4 odstřelíš diskutující z půlky okresu.

SLAAC vs DHCP už je, alespoň pro uživatelské sítě, prakticky rozhodnuté. MS přidal do Windows 10 podporu RDNSS, a když DHCP stejně nefunguje bez RA, nač si přidělávat práci s více protokoly?

Dobry prekvapko. Ted uz staci jen deset let pockat, nez vyhynou starsi verze Windows.

Naozaj? M$ chce Windows 8 odstrihnut uz budici rok...

Sedmicky maji podporu do roku 2020 a Osmicky az do 2023. A v tomhle pripade nejde ani tak o to, co podporuje MS, ale co uzivatele pouzivaji. A tam je jasny, ze tyhle starsi verze jeste chvili vydrzi, takze kdybych chtel rozjet hypotetickou IPv6-only sit, na DNS v RA zatim spolihat nemuzu.

A XPcka do 2k19 ... ;D, pricemz i kdyz z tech XPcek mozna "na web" uz moc neleze (ale malo taky ne) tak se vesele ve velkym pouzivaji v internich sitich. A jeste par desitek let budou, protoze masinu za 100M nikdo nezahodi proto, ze nema dost khull system na kterym bezi nejaky ovladani.

BTW: Pro widle existuje https://sourceforge.net/projects/rdnssd-win32/

Co se tyka tunelovani, 6to4 je velka skoda, protoze to je nejbliz, jak jsme se dostali ke vzajemny kompatibilite IPv4 a IPv6. Mam verejnou IPv4 adresu = nemam problem s IPv6-only sluzbama, protoze mam automaticky verejnej IPv6 prefix /48. Teda teoreticky nemam problem. Technologie samotna by byla v pohode, je jednoducha, nestavova (= nenarocna), proste parada. Problem je v tom, ze to vsichni zazdili, nejsou 6to4 brany. Dejte si ze site beznyho ISP traceroute na 192.88.99.1 a skonci v lepsim pripade u CZ.NIC, v horsim nekde v ***. To samy v opacnym smeru, ze stroje s nativnim IPv6 na neco v 2002::/16, poleze to kdo vi kam. Pak to nema byt nespolehlivy. Kdyby si prumernej ISP rozjel 6to4 branu vlastni, mohlo by to valit skvele.

Proč by si měl ve světle následujících argumentů nějaký ISP rozjíždět nějakou bránu nebo nějaký překlad?
1. Ve vlastní síti je výhoda mít jeden protokol kvůli tomu, aby nedělal věci 2x.
2. Je výhodou mít traffic na protokolu, který používá veřejný IP adresy, protože
- nepotřebuje drahý CGNAT.
- nepotřebuje logovat traffic, prostě má tabulku prefixů.
3. Na jakoukoliv bránu nebo NAT potřebuje nějakou mašinu, která stojí prachy a žere prachy.
4. Využití brány potřebuje konfiguraci mašiny na konci - routeru nebo finálního zařízení.
5. Pokud se balení do jinýho protokolu dělá v routerech u zákazníka, musí router podporovat oba protokoly minimálně na straně LAN (+ samozřejmě tunelovací mechanismus).
6. Pokud je potřeba konfigurovat bránu na koncovým zařízení a "internet" pojede i bez toho, tak se na to 99% lidí vykašle, takže drahá tunelovací mašina skoro nic nedělá.

Podle těchto argumentů vychází nejlíp síť IPv6 only:
- Jeden protokol, bez NATů, bez překladů, bez tunelování (body 1 a 2).
- Je jedno, jestli za CGNATem bude IPv4 nebo IPv6. Stejně budou klienti schovaní za jednou IPv4.
- IPv6 traffic takový (nebo veřejná IPv4) CGNAT rovnou obteče a je klid - úspora úměrná tomu, jaká část provozu přejde na IPv6 (nebylo by špatný to vynutit přidáním jednoho hopu na CGNATu místo přikoupení HW při nedostačující kapacitě) (bod 2, 3)
- Koncový zařízení podporují IPv6 (Win, Apple, Linux, Srandoid, LWIP,...) (body 4, 5 - nastavení jenom XLAT464 na routeru pro koncový zařízení bez podpory IPv6).

A v takové síti je, jak jistě uznáš, tunelování typu 6to4 poněkud mimo.

Tunelovani pomoci 6to4 je prechodova technologie, docasna vec a hlavne pro prvni fazi. Je mi jasny, ze muj dnesni povzdech nad jejim osudem je s krizkem po funuse, hlavni smysl to melo pred patnacti lety.

Typickej ISP byl IPv4-only a rychly prekopani site nebylo realny. Pro efektivni 6to4 bylo potreba natahnout IPv6 jen ke hranici svy site, coz je urcite snadnejsi. Pak stacilo, aby to zacaly automaticky podporovat koncovy zarizeni, at uz OS (MS to udelal) nebo domaci routriky (tam se na to svorne vykaslali asi vsichni). A kdyby to byvalo vyslo, po par letech, az by se ty veci prirozene obmenily, bysme nezacinali z niceho, ale IPv6 by mel automaticky kazdej s verejnou IPv4 adresou.

Nekteri sli jeste dal, napr. DJB (autor qmailu a rejpal do IPv6) navrhoval, aby se to "prodratovalo natvrdo" primo v OS, kdy sluzba poslouchajici na 1.2.3.4 by transparentne byla dostupna i na 2002:102:304::1, aby IPv6 zacalo fungovat kouzelne samo, bez potreby toho moc konfigurovat, protoze lidi jsou jak znamo lini. To uz by mozna bylo za hranou, ale nelze poprit, ze kdyby se takova vec zapnula sama v ramci aktualizaci, pozitivni efekt na rozsireni IPV6 by to melo.

Celkove nemohlo byt 6to4 univerzalni spasa, protoze neresi NATisty, kterych uz tenkrat bylo hodne. Ale stale vyrazne min nez dneska, takze to byl mensi problem. Proste z myho pohledu je 6to4 promarnena prilezitost. Dneska uz se vyvoj vydal jinam a tunelovani ma smysl spis naopak, IPv6 nativne a v nem IPv4.

Zajímavý článek. Po cestě jsem se ale zhruba v půlce ztratil. Myslím, že ipv4 celkem rozumím. Pojmy jako DNS, DHCP, arp,... znám.
Věděl by někdo o o trochu detailnějším zdroji informací o ipv6?

Takze jinymi slovy, verze IPv6 na ruznych zarizenich je tak nahodna, ze to pridava dost vahy na to, proc na to neprechazet. Neco funguje tam, neco tam, neco ne. A jeste si to kazdy vyrobce implementuje v SW jinak.

vlastně ne, v ipv6 vede několik cest k cíli. Obecně DHCPv6 je problémový, stejně tak DUID, viz článek nebo konference samotná.

Kdybys tam byl, viděl bys, že jejich IPv6 only wi-fi fungovala snad všem bez problémů.

Ano, ich siet, na ich infrastrukture a ich vlastnej konfiguracii. Jasne, ze si dali zalezat zeby to vsetko fungovalo.V beznom zivote to take ruzove nieje.
IPv6 sa este burlivo vyvija. Osobne som necakal, ze pri tak dlhom case na vyvoj sa bude IPv6 borit s takymito problemami.

ale vždyť to jsou stejné podmínky jako má ISP - vlastní sítě, vlastní konfigurace, vlastní infrastruktura. Tady je důležité, že to lidem fungovalo na jejich zařízeních, to pod kontrolou neměli.

Vždyť i u ipv4 se poměrně dlouho řada věcí ladila a dodělávala, tyhle technologie jsou živé, proto jsou živé i specifikace. Nic v současné době nebrání nasazování ipv6, to že funguje lze vidět na mnoha místech.

"Koncákům" to valilo. Počítám, že si nekupovali foun/noťas jenom na tuhle akci, a stejný stroj povalí i doma.
Turris je na úrovni domácíího routeru/AP. Tam to taky valilo (ok, nepojede to na potvoře za tři stovky z druhé ruky a nejspíš bude potřeba OpenWRT nebo něco podobnýho)
No a kabel do Turrise, to je to samý, co vyleze z bridge od ISP. Takže pokud tohle řešení nefunguje doma a router to podporuje, problém IPv6 je čistě na straně ISP.

TL DR

To je přesně ten důvod, proč je tolik problémů s nasazováním IPv6

tak tak, nicmene ja mam na serverech 6tku vsude :)

Já dodnes nepochopil proč ipv6 s podporou ipv4 prostě nepočítalo, měla být vyhrazena adresa nebo adresy s patřičným prefixem ve které by byl skován ipv4 prostor a tím by byl jasně definováno co s ipv4, na světe mohlo vzniknout několik bran 6to4 a bylo vystaráno. DNS by automaticky poskytovaly AAAA zaznam i pokud by meli jen A zaznam.

Nj, i tohle je mozny ...

https://www.ultratools.com/tools/ipv4toipv6

...

Nieco take existuje, je tam prefix ::ffff:0:0/96
Problem je ze by ten preklad musel urobit niekto cestou. V internete si to viem predstavit, horsie by to asi bolo v lokalnej sieti ale admin pri implementacii IPv6 by to mohol pripravit a postupne migrovat jednak klientov jednak servre. Je tu niekto kto to skusal? Je s tym nejaky problem?

::ffff:0:0/96 není routovatelné, slouží k tomu, aby to mapování dělal lokální network stack. Použijte NAT64+DNS64 a adresy 64:ff9b::/96. Funguje to dobře, pokud ve vnitřní síti neověřujete DNSSEC.

Takže NAT64+DNS64 a adresy 64:ff9b::/96?

Ano, ale NAT64 a DNS64 by mely být služby buď ISP nebo klidně ještě dál, ne abych kvuli tomu potřeboval ještě ipv4. Většina lidí potřebuje z ipv6 světa do ipv4 protože jejich oblíbený web s koťátky jede jen na ipv4.

Já jen říkám, že se na toto mělo myslet na začátku a také k tomu měli vzniknou patřičné nástroje včetně knihoven a návody, ne že si to každý pytli-kuje po svém.

Ještě potřebujete řešit aplikace, které nic kromě IPv4 neumí. Ale i na to se myslelo: 464XLAT.

Samozřejmě návody a nástroje na to jsou, americkým mobilním operátorům to také funguje. Problém je spíš s TL;DR přístupem mnoha ISP.

V akych produktoch je SAVI implementovane?

Adresy prostě jsou. To si lidé v 80. letech u IPv4 mysleli taky. Jak to dopadlo všichni vidíme. Proč by se měl každému joudovi přidělovat rozsah /48, který stejně nikdy nevyužije? Proč se v defaultu nedává (nemá dávat) jedna /64 síť, a další až na požádání?

Celej /48 je asi overkill pro vetsinu uzivatelu. Ale /64 znamena pouze jeden segment site a clovek si pak neudela ani obycejnou oddelenou sit pro hosty. A to je zrovna vec, ktera musi fungovat automaticky jednim kliknutim v administraci routeru (bavime se o necem domacim blbubzdornym), nebo rovnou uplne sama. A tam zase vyrobci routeru potrebujou mit jistotu, ze vetsi prefix je standard. Neco nastavovat rucne a zadat o vetsi prefixy bude 0,00<neco malo>% obycejnych uzivatelu, takze pokud by se zlozvyk s pridelovanim /64 vic rozsiril, bude to akorat brzdit vyvoj. Takovi poskytovatele by se meli hodne stydet.

Takovym by RIPE melo automaticky pouzivany rozsahy vyhodit z BGP.

A kdo takové věci doma provozuje? Neznám nikoho. A i kdyby, tak /60 (tj. 16 podsítí) bude stačit každé dokácnosti i s rezervou.

To jiste... dalsi co IPcka pestuje v podobe stromu na zahrade ...

stačí, když bude vícegenerační domácnost, pár technických hraček a už máš nedostatek. Přidělovat adresy s myšlenkou, že za rok je budu měnit nechce snad nikdo rozumný.

Proč posuzuješ vše jen podle sebe a svého okolí? Nepřipadá ti, že žiješ ve svém bublině a nezohledňuješ, že někdo jiný má jiné potřeby a možnosti? Očividně se v sítích nepohybuješ, nenavrhuješ je, ale naprosto přesně víš, co každému stačí.

Tady jde o budoucnost. Pokud bude respektovanej standard, ze kazdej ma doma minimalne /56, muzou se potom vymyslet novy veci, ktery to nejak rozumne vyuzijou. Podstatna je u toho jistota, ze to drtivy vetsine uzivatelu pujde, aby to melo smysl delat. Pokud se ale ve vetsim meritku uchyti pridelovani /64, tak "prostor k rozletu" proste nebude. Ani /60 neni zadnej zazrak, na prvni pohled to muze vypadat dostatecne, ale zadna velka rezerva v tom neni. A pritom je to uplne zbytecny omezeni, IPv6 adres je opravdu dost pro vsechny.

No snad je rozumný základ WiFi pro hosty (jedna podsíť) a jedna síť pro obyvatele (s tiskárnou, NASem,...) , síť pro interní věci (třeba streamování ze sat stb, který routuješ do vnitřní sítě a ne ven kvůli bezpečnosti), u paranoiků síť pro kamery a DVR, u bastlířů experimentální síť,... VLANů můžu mít 4096. Čemu pak vadí prefix /56, kde je 16x míň prefixů, než můžu mít na jednom portu VLANů? Proč to redukovat jenom na jednu /64 síť?

Rozumný minimum je /56 na domácnost. A třeba když se známí rozvedli a rozdělili si barák na přízemí (ona) a na patro (on), najednou je z jednoho kabelu potřeba dvojnásobek podsítí... A jak zaznělo od Starapy, rozumný ISP nechá rezervu na rozšiřování, takže by stejně alokoval /48 na linku, ale povolil používat jenom /56 a zbytek řešil byrokraticky. Není to jednodušší udělat rovnou a dát /48?

Kolikrát jste popsaných několik VLAN v jedné domácnosti už viděl ? V jedné z CZFree sítí mám na starosti cca 200 členů od bytů kde bojím opřít abych něco nechytil po nové vily s několika AP, kamerami atd jen jednou jsem viděl použitý HW, který by VLAN mohl umět ale stejně tam všechno jelo v jedné síti.

Doma mám momentálně tři sítě. Všichni známí se diví, že vidí dvě WiFiny, po vysvětlení pro a proti by to brali taky, ale jejich maketa routeru nepodporuj ani oddělenou WiFinu pro návštěvy. Ale pár lidí jsem už přesvědčil, aby si WiFi zaheslovali. Jeden pán si pak chválil, že má 3x rychlejší net, akorát za tři dny zazvonil soused a ptal se na heslo k WiFině...

Ale tady jde o stanovení standardu - pokud třeba vznikne rozumný RFC (nebo jiný požadavek) pro SOHO routery s požadavkem oddělené guest WiFi, tak z /64 není kde brát.

A viděno zpětně - proč vůbec dávat domácnosti nějakou, byť jen natovanou, IPv4 adresu, když stejně má domácnost jenom jeden počítač, modem přímo na COMu a v datacentru ho vidí jako tty[x]?

Protože těch adres je tolik, že každý jouda na Zemi může dostat 35 000 /48 bloků.

A kdyby náhodou nebylo … v současnosti se přiděluje maximálně jedna třetina IPv6 adres. Zbylé dvě třetiny jsou vyhrazené, pokud by hrozilo, že se adresní prostor vyčerpá dřív než za několik století.

Tyvole a ty ty adresy nekde tezis krumpacem nebo co jako? Fakt demnti tohle ... kdyby ipv6 melo kbit ... tak budou resit, ze prece 10 adres musi stacit kazdymu ... Vis ty mamlase cemu se rika navrh site? Mimo jiny i adresplanu .... a abys moh udelat adresplan, tak pro nej potrebujes ... PROSTOR.

/56 == dotycnej ma k dispozici JEDEN byte .. neboli, DVA znaky v ty IP. Na tom se toho moc vymejslet neda aby to bylo prehledny a zdokumentovatelny co?
/48 == ma CTYRI znaky.

Ty vole adresplan to je jak z minuleho století, to se ještě dneska učí nebo dokonce používá ?

ano, používá.

To je zbytecne moc ... vis jakou to da praci dostat jednu adresu? A vis co je to teprv za fachu kazdou jednu napsat do firewallu? No neblbni ... prece nebudu nekam vopisovat miliardy adres ... dyk ten firewall jde dopr.dele uz s milionem ...

Ja bych to udelal takhle ... v souladu s RFC1149 by si kazdej zakos dodal svuj transporter dat (tudiz nemusim resit ze data nekde zabloudej, je to mimo moji sit) a pokud by nahodou chtel i IPcko .. tak leda za priplatek. Dyk ho venkoncem nanic nepotrebuje, kdo by chtel nejaky hausnumero, jeste ktomu hnusny a nezapamatovatelny zejo.

Je nějaký důvod, proč nedat víc? Argumentů, proč neskrblit, tady už zaznělo celkem dost.

A není se třeba bát ani toho, že se zkomplikuje síť tím, že bude víc podsítí na jednu linku.

ISP zpracovává píše to samý, co za CGNATem pro jednotlivý klienty. Jenom místo IPv4 adres jsou IPv6 bloky /56 nebo /48... Ušetří při tom za mašinu pro CGNAT.

Když na požádání přidělá k /64 další /64 a jiným prefixem, najednou má v routovací tabulce dvojnásobek záznamů pro klienta.

Do firewallu u koncáka se přece napíše /56 nebo /48 jako DROP.
A pak se píšou prefixy podsítí, který si přidělí a můžou ven (třeba HTTP klienti s PX), jedno privilegium/při­dělenou síť. A za to vypíšu jednotlivý stroje, který poslouchají na některým portu a chci, aby slyšely, co se děje venku. A tím je síť nakonfigurovaná. S minimálním rozdílem.

Důvod nedat víc je často ekonomický, zkrátka tak oddělují SOHO segment za 250 Kč/měsíc od firmy za spoň litr/měsíc.
A když bude koncák chtít víc, tak si připlatí nějaký jendoráový poplatek. ISP potřebuje vydělávar, takže se bude snažit chatit každé možnot, pokud to situce dovolí...

A prosím, ta diskuse o CGNAT, že nasazením IPv6 ušetří, že nemuí mít železo na CGNAT. Realita většiny alterntivních ISP v Česku je, že jestli NATuje neo ne, tak to na výkon potřebného železa nemá parkticky vliv. Stejně obvkyle někde na hlavní bráně, co dělá CGNAT, tak jedou i shaping datových toků (pro IPv4 i IPv6), které mají mnohem větší dopady na výkon železa, ten CGNATing se už v tom ztratí. Rozhodně jich to většina nacpe raději do jedné výkonejší mašiny, než několik za sebou, protože to vyjde levněji na nákup, místo i spotřebu elektriky, tak i administraci, protože řada těch debilních systémů pro administraci ISP sítí nepočítá ani s variantou, že by to bylo jinak. Jen pár uvěomělých má ty mašiny spoň 2, kdyby jedna chcípla, že mají hned zálohu v druhé...

Nu, párkrát jsem hledal, ale v RIPE dokumentech jsem to nenašel...
A pokud se podívám, kdo všechno si zkouší účtovat ať už jednorázově něco nebo pravidelně měsíčně (včetně O2) a nijak se ze strany RIPE nic neděje...

> Realita většiny alterntivních ISP v Česku je, že jestli NATuje neo ne, tak to na výkon potřebného železa nemá parkticky vliv. Stejně obvkyle někde na hlavní bráně, co dělá CGNAT, tak jedou i shaping datových toků (pro IPv4 i IPv6), které mají mnohem větší dopady na výkon železa, ten CGNATing se už v tom ztratí.

Na shaping staci per-user stav, zatimco na NAT je treba per-flow stav. A per-flow stav je obecne problem - zere to spoustu pameti, komplikuje to dynamicky failover, je to nachylne na ruzne nestandardni situace. A treba na linuxovych routerech je vykonovy dopad connection trackingu potrebneho pro NAT nezanedbatelny.

Nu, v reálu ale u těch ISP vidím, že s NATem nemají problém, dokonce kolikrát síť przní tak, že vůbec veřejky dovnitř neroutují a i když má člověk "veřejku", tak mu ji doručují přes NAT1:1 a ne se srát s nroutováním.
V podstatě jim to zvládá kde co. V reálu nejčastěi nějaký Mikrotik s RouterOS,(čili trochu upravený linux) přípdně PC na kterém je RouterOS nainstalován. Problémy s výkoností jim začnou ve chvíli, kdy začnou shapovat. Dokud jen brány NATují, tak v pohodě, le shaping je pro ně zabiják výkonu a je jedno, zd shapují IPv4 nebo IPv6, z tohodle pohledu v reálu problém CGNAT nepociťují.
A něco jako failover při selhání je řadě z nich k smíchu, na to se u SOHO nehraje.

Predstav si na chvili, ze jsi inzenyr u ISP a prijdes s navrhem zavedeni IPv6 za nekym z ekonomickeho. Ten se te jako prvni zepta, co nam to prinese a kolik to bude stat. Po 5ti minutach te vyzene ze dveri, ze jsi idiot a budes rad, ze te nevyhodili. A jeho argumenty budou nasledujici:
1) Takze vy chcete zavest system, kde nam lidi nebudou muset platit za verejne IP adresy ? Maximalne jim muzeme dat platbu za pevnou IP ?
2) Dobre, rikate, ze usetrime na poplatcich RIPE, protoze dostaneme za mensi penize stejne mnozstvi adres. Ale proc pak jimi chcete plytvat a kazdemu pridelit /48, proc jim proste nedame tech /64, ja bych jim dal i min, ale pry je to minimum. Jenze stejne jim platime rocne 2k Euro jenom za to, ze jsme poskytovatel.
3) Rikate, ze usetrime na zelezu, protoze nebudeme provozovat CGNAT. Jenze ten uz tady mame a kompletne prejit na IPv6 nemuzeme, protoze spousta veci je jeste v IPv4, pockame na ostatni a pak se pripojime i my.
4) Takze vy jim date tolik adres, ze se pak z nich budou moci stat poskytovatele internetu? Proc by nam pak cely panelak platil 400kc mesicne za net, kdyz si muzou poridit jeden takovy internet a rozdelit si ho a porad budou mit vsichni verejnou IP ? Ja bych jim nejradsi ten bridge mod zakazal, aby to nemohli udelat ani nyni.

A toho chudaka co tam musel za UPC fakt lituju :D Ten bud musel udelat neco hodne spatneho nebo proste mel smulu pri losovani. Docela se divim, ze po tech vsech prednaskach jak je DHCPV6 na prd, jak se maji pridelovat vetsi bloky. Tam vystoupi s jejich /64 DHCP netem. Se divim, ze ho neukamenovali notebookama.

Ale pragmaticky je to jejich reseni asi nejrychlejsi cesta, pokud fakt chceme prejit na IPv6.
I kdyz nejjednodussi reseni by samozrejme bylo, kdyby RIPE brutalne zvysilo poplatky na IPv4 a snizilo (nebo nechalo tak jak to je) poplatky za IPv6. Do roku bychom na IPv6 bezeli uplne vsichni...

A za 1/2 roku ho majitel povesi za kule do pruvanu, protoze mu pocet zakazniku klesne na 50%, paac se nedostanou na guugl ...

Zcela pratkicky stoji naprosto cokoli od UPC zcela zahovno, a je jedno jestli je to net nebo tv nebo cokoli (poskytujou i - taky nefunkcni - telefony). Nezapomenu jak se mi znamej chlubil, jak ze ma od teho UPC to HD ... a mel krabici, z ni ... analogovej koax ... do svy HD TV ... lol.

Takže problem RA a DHCP stale trva, super. Autoři ve snaze vyřešit jimi vymyšléné problémy s IPv4 vytvořili ještě více problému v IPv6. Někdo měl dostat pořádně přes prsty.

Když ve Windows zapnete sdílení internetu, tak to samé udělají na IPv4 s DHCP

Ja uprednostnujem plynuly prechod, najprv z IPv4 na IPv5 a az potom na IPv6. Len nezodpovedny sietar by preskocil jednu verziu.

Takhle je to s těmi venkovskými ISP:
"Dobrý den, v dohledné době možnost adresace IPv6 zatím neumožňujeme. Na zavedení pracujeme, ale implementace není jednoduchá."

ipv6 je naprosto dementne navrzene naprostejma autistickejma dementama nekde na univerzite. proto ho nikdo nechce. bohuzel ho nakonec za cca 20 let opravdu budeme asi muset mit. ale me to netrapi to uz budu v duchodu.

Ehm ... tak specielne M$ site spis odjakziva bojkotoval, a bojkotuje je dodnes ...

Kam az moje pamet saha, tak se do vsech widli 9x musely instalovat klienti tretich stran aby to vubec nejak fungovalo (o DOSu nemluve), A to, ze s velkou slavou v posledni verzi widli uvedli ... jak jinak nez opet polonefunckni rdnss, staci samo o sobe. Jo, zkousel sem to ... pokud je v siti dhcp (v4) tak to 6tkovy DNSa z RA proste ignoruje, nazdar bazar.

Ohledně toho RDNSS ve Win10 asi musím s j souhlasit. Chová se to divně. Navíc zatáhli nějakou chybu typu, že pokud je v sítí používáno víc prefixů vedle sebe (např globální a ULA), tak po nějaké době Wokna10 zblbnou a přestanou zcela brát zřetel na to, co ohlašuje router. Sice IPv6 adresu dle autokonfiguace si přidělí, ale na RDNSS i bezestvové DHCPv6 (propagovné v RA) s DNS a prefixy začnou kašlat a začnou natvrdo trvat na použití stavového DHCPv6. Když ho dostanou a přidělí si IPv6 adresu dle DHCPv6 (k tomu patříčný počet IPv6 adres dle autokonfigurace), tak vezmou na milost i DNS severy a prefix sítě z DHCPv6. Problém se na pár dní vyřeší rebootem, cca týden šlapou jak mají.

Ještě tam bylo vystoupení pána od UPC - pročpak o něm není ani zmínka? V kostce řekl toto: naprosto kašleme na stávající zákazníky ("termín dostupnosti IPv6 pro ně není stanoven"), noví zákazníci by měli mít IPv6 v době dnů až týdnů (sic!), volba padla na DS Lite, zákazník dostane reálně pouze /64 (!), vše podstatné se rozhoduje ze zahraničí.

A je mozna konfigurace kdy router pomoci RA oznamuje jenom to, ze je default gatewayi, oznamuje treba i M a O flag, ale neoznamuje prefix? A klient musi pouzit jenom dhcpv6 pro konfiguraci IP adresy - Proste se chci vyhnout tomu, aby klienti pouzivali random temporary adresy.

Prefix v RA být nemusí. A i když je, tak pokud RA obsahuje flag M, nastavuje IP adresu DHCPv6 server. Tedy pokud klient DHCPv6 vůbec umí. Otázka je, k čemu je to dobré. Bezpečnost to nepřináší žádnou, k tomu potřebujete 802.1x, a to funguje i s SLAAC a privacy extensions (a na zařízeních, které DHCPv6 neumí). Pokud chcete pevné IP adresy pro příchozí spojení, tak všichni klienti s privacy extensions naslouchají i na IP adrese odvozené z MAC, takže tu máte.

" IP adrese odvozené z MAC"
ee, widloklienti nikolivek. Ty pouzivaj idcko, ktery se po reinstalaci widli zmeni, a s tim samo i to IP.

Ano, dosáhnete toho stejného. Záleží, co tiskárna umí a co použijete pro konfiguraci. Pokud SLAAC, tak si odvodí svoji adresu od ohlášeného prefixu routeru a své MAC adresy a ta bude v dané síti pořád stejná. Při SLAAC si zařízení svoji IPv6 adresu odvozuje zcela deterministicky. U některých zařízení, které mají podporu pro private extension si pak navíc ještě generují další temporary IPv6 adresu používanou pro odchozí spojení (což obvykle platí pro klientské počítače, nevybavuji si, že by nějaké tiskárna, co používáme a IPv6 měla, tak používala i PE nebo jde vypnout).
Jestli-že použijete stavové DHCPv6, tak také můžete zajistit, aby tiskárna měla pořád stejnou adresu také a pak i přesně předepsat její hodnotu (pokud tiskárna bude DHCPv6 podporovat). U DHCPv6 se ale dle původních představ nepáruje MAC a IPv6 adresa, le DUID identifikátor zařízení a k němu IPv6 adresa (pak záleží, jak dané zařízení DUID hodnotu odvozuje nebo má nastaveno,).

Můžete to zkusit (tiskárny DHCPv6 typicky umí, s mobily je to horší), ale je s tím spousta práce a IMO je to zbytečné. Místo toho nechte ta zařízení, ať si nějakou adresu uloví sama. Dokud nezměníte prefix nebo zařízení nepřeinstalujete, bude mít jednu, která je pořád stejná. Tu pak můžete uvést do DNS, nebo se na DNS vykašlat a používat mDNS (či UPnP, pokud máte Windows).

Bude mit stejnou i kdyz se prefix zmeni. /64 je adresa site, zbytek je adresa stroje a ta zustava stejna.

Ano, jde to, a ne rozhodne to nepotrebujes, od toho je DNS. Jestli zarizeni hledas podle IPcka, tak bys mel dat vypoved a jid se zivit k lopate. Nadelas min skody.

Ziskam tim to, ze windowsy si PE adresu nevygeneruje /by default si ji v pripade SLAAC generuji/ a pouziji jenom dhcpv6, cim docilim toho, ze budou mit jenom jedno globalni ipcko. Tim padem muze byt na swichi zapnuty ipv6 source guard a dalsi bezpecnostni funkce.

Ano, je to možné, ale IPv6 bude fungovat jen na zařízeních s podporou stavového DHCPv6 (nebo kde to nakonfigurujete ručně). Co umí jen SLAAC, tak zkrátka IPv6 adresu mít nebude. Takže je třeba si ověřit, zda máte v síti jen věco, které tomu vyhoví (prozatm platí, že všichni klienti musí podporovat SLAAC, ale podpora stavového DHCPv6 je dobrovolná).

Pokud ma android tak ma priklad zarizeni ktery dhcpv6 neumi.

Ok dik. Mam v siti jak jsem psal jenom linux a windows a nemam je pod kontrolou na urovni spravy OS. Jelikoz windows maji defaultne PE zaple, tak timto chci docilit toho, ze kdyz neoznamim prefix, tak PE se na windows nenakonfiguruji a dostanou jenom adresu od dhcpv6 (at uz dynamickou nebo statickou). Ziskam tim to, ze pak muzu v siti pouzit ipv6 source guard na swichich.

Pokud je v RA zapnutý M flag, neměly by nastavovat PE, ani když broadcastujete prefixy.

Ten IPv6 Source Guard chcete používat na Cisco nebo Juniper switchích? Tam funguje i se SLAAC a PE, pokud použijete ND snooping/gleaning.

Prefix může router ohlašovat, ale prefix by neměl být s flagem A (autonomous - použij pro autokonfiguraci). Pokud bude ohlašován prefix s A a k tomu bude v RA i M, tak host si přidělí IPv6 adresu dle DHCPv6 (protože to M) a přidělí i přes SLAAC (protože A). A wokna v tom připadě si přidělí i IPv6 PE adresy (takže mají IPv6 adresu od DHCPV6, od SLAAC dle MAC a i od SLAAC dle PE) a budou pro spojení ven upřednostňovat PE adresy (aspoň W10 se nám tak chovají, vybavui si, že možná starší dal přednost té IPv6 od DHCPv6?).

Kolega M. na to kapnul v komentari niz, nenapadlo mne A flag vypnout :(
Switche jsou ruzne, jak cisco, juniper ... Muzete mne nakopnout jak muze ND snooping fungovat i se SLAAC a PE? Nejak mi to nedava smysl.