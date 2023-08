IPv6 je protokol, který vznikl s nadějí, že díky 128 bitům pro síťové adresy navždy vyřeší vyčerpání adresního prostoru ve starším protokolu IPv4, který nabízí bitů pouze 32. To sice splnil, ale další cíl, tedy aby všichni postupně přešli na sítě „bez IPv4“, je ještě daleko – i když i tady se blýská na lepší časy – díky NAT64 a DNS64 můžete mít IPv4 „jako službu“ a díky speciální volbě v DHCPv4 můžete počítačům v dual-stack síti signalizovat, že si mají IPv4 odkonfigurovat (pro cestu do IPv4 Internetu pak použijí právě NAT64 a DNS64).

Z ČR ke službám společnosti Google přistupuje pomocí protokolu IPv6 přibližně 23 % všech návštěvníků Googlu, zatímco například v Německu je to 67 %, ve Francii 72 % a mnoho dalších západních i východních zemí je nad 40 %. Celosvětový průměr je 45 %.

Vývoj dostupnosti IPv6 v ČR [vyncke.org] Autor: Eric Vyncke

IPv6 u O2

U tří našich největších telekomunikačních operátorů (O2, T-Mobile, Vodafone) není IPv6 úplně v oblibě. O2 sice nasadilo IPv6 na svých DSL/FTTH přípojkách už v červenci 2012, jeho implementace je ovšem vadná: přiděluje právě jeden blok adres /64 pro jednu jedinou domácí síť, a tak třeba na síti pro hosty už IPv6 nezprovozníte.





Ani po třinácti letech toto chování v O2 nezměnili. Na mobilní síti v O2 nasadili IPv6 pro všechny uživatele běžných přenosných datových služeb ve druhé polovině roku 2020, ale některé další služby se IPv6 dosud nedočkaly. Pokud tedy používáte od O2 „LTE/5G internet na doma“ nebo speciální mobilní přístupové body s veřejnou IPv4 adresou (např. internet.open.s ), máte smůlu.

IPv6 u T-Mobilu

T-Mobile má od roku 2014 k dispozici IPv6 na infrastruktuře CETINu (původně DSL, později i FTTH) a přiděluje (celkem statický) IPv6 prefix o velikosti /56 . Pro zákazníky v mobilní siti ale IPv6 zatím nenabízí a nic nenasvědčuje tomu, že by se to v dohledné době mělo změnit. V podobné situaci, tedy bez IPv6, jsou i zákazníci, kteří využívají nově stavěnou optickou síť T-Mobilu, nebo zákazníci služby ViaGia z portfolia někdejšího T-Systems.





Nejnovějším počinem T-Mobilu je prodej služeb na kabelové síti Vodafonu, ovšem s vlastní konektivitou – tady IPv6 nalezneme, ale pouze v režimuDS-Lite, tj. s globálně routovaným blokem IPv6 adres a IPv4 s operátorským CGNATem. Zákazníci si nemohou připlatit za plnohodnotný dual-stack ani zvolit režim pouze IPv4 (který vlastník infrastruktury, tj. Vodafone, svým zákazníkům nabízí).

Zároveň kabelový modem, dodávaný T-Mobilem, nepodporuje subdelegaci prefixu. Z přiděleného bloku o velikosti /56 využijete pouze jen jeden blok /64 pro LAN. Zbytek zůstane nevyužit: pokud za operátorský router připojíte svůj vlastní router, pro něj už IPv6 prefixy nedostanete. V ceníku navíc najdeme komickou (avšak nesprávnou) informaci, že je zákazníkovi přidělena jen jedna privátní IPv6 adresa.

Ceník kabelového internetu T-Mobile na infrastruktuře Vodafonu. Včetně IPv6. Autor: T-Mobile

Plíživé zavádění IPv6 u Vodafone

O historii IPv6 v síti Vodafone se toho veřejně moc neví. Na vlastní oči jsem už před více než pěti lety viděl mobilní dual-stack (tedy globální IPv6 prefix z rozsahu Vodafonu a k tomu privátní IPv4 s NATem) na speciálním přístupovém bodu (APN) u zaměstnanců Vodafonu.

Vodafone zároveň dokáže už dlouho nabídnout režim IPv6-only na privátních přístupových bodech u firemních SIM karet, ale k tomu kromě firemní smlouvy potřebujete ještě propoj se sítí Vodafone, RADIUS server, jeden prefix o velikosti /64 pro každý připojený telefon a vlastní IPv6 konektivitu do Internetu. Každý takový telefon navíc musíte překonfigurovat na přidělený přístupový bod. Tedy nic pro běžné smrtelníky.

Když jsme v roce 2020 vybírali dodavatele konektivity pro firemní kanceláře, ukázalo se, že Vodafone moc nerozumí ani IPv6 pro firemní zákazníky. V poptávce jsme měli blok adres o velikosti /48 , v nabídce i ve smlouvě byl blok o velikosti /48 , ale po podpisu se nás snažili uvrtat do mnohem menšího bloku. Když jsme trvali na /48 podle smlouvy, sešel se kvůli nám dvakrát panel ředitelů, aby nám nakonec /48 nabídli za mírný příplatek cca. 700 Kč/měsíc bez DPH. Vhodnou reakci na takovou nabídku ponechám na ctěném čtenáři.

První větší IPv6 akcí bylo pro Vodafone převzetí klientů bývalého kabelového operátora UPC. Ten nabízel IPv6 od června 2017 a jeho zákazníci si mohli vybrat službu v jedné ze dvou variant: buď pouze IPv4 (s veřejnou adresou) nebo nativní IPv6 a k tomu privátní IPv4 za operátorským CGNATem (v režimu DS-Lite). Pokud si vyberete režim DS-Lite, nemůžete kabelový modem-router přepnout do režimu bridge, což spolu s absencí vlastní veřejné IP adresy často vede k tomu, že náročnější zákazníci místo IPv6 volí raději režim pouze IPv4 + bridge.

Vodafone převzal po UPC nejen zákazníky a síť, ale i bloky IPv6 adres – a ty v rámci rozlučky s UPC začal v březnu roku 2021 do Internetu oznamovat z vlastního autonomního systému. Od toho momentu je na statistikách APNIC u Vodafonu vidět výrazný skok v dostupnosti IPv6.

Do doby převzetí prefixů UPC pod vlastní ASN bylo nasazení IPv6 prakticky neměřitelné. Autor: APNIC Labs

V zahraničí je situace různá – Vodafone v Německu, Rumunsku, Austrálii, Portugalsku, Řecku IPv6 postupně zavádí, zatímco například u poboček ve Španělsku, Irsku, Albánii, Turecku byste o IPv6 téměř nezavadili. V Itálii začala křivka nasazení na začátku roku 2023 stoupat a zatím se nezastavila.

Český Vodafone vcelku nenápadně nedávno na Twitteru (nebo vlastněna X) prozradil, že postupně nasazuje IPv6 v mobilní síti, a později to pro Root.cz i potvrdil. Neprozradil ale, jak nasazení bude vypadat, ani že aktivně pracuje na nasazení IPv6 na dalších službách přístupu k Internetu, které nabízí. Pojďme se tedy podívat na první praktické zkušenosti a na to, co lze vyčíst z veřejných zdrojů.

IPv6 pro „LTE/5G na doma“

V mobilní síti nasazuje Vodafone IPv6 „po přístupových bodech (APN)“. Mezi službami, které má v Vodafone nabídce, jsou klasická mobilní data a pak i tzv. FMS (Fixed-Mobile Substitution) služby, které pro Internet na doma používají síť LTE nebo 5G místo optiky/DSL/kabelovky.

SIM karty jsou v síti obsluhovány různě. Autor: Radek Zajíc

FMS SIM karty jsou sítí obsluhovány jinak než klasické SIM s mobilními službami. V tuto chvíli je IPv6 aktivní na některých FMS službách, takže pokud máte Připojení bez kabelu nebo Pevný internet LTE, možná i vy můžete IPv6 využívat už dnes. Alespoň v mém případě, kdy jsem si pořídil nové Připojení bez kabelu, stačilo v LTE modemu zvolit režim IPv4v6 a IPv6 naběhla automaticky.

V některých variantách je toto připojení v případě IPv4 za operátorským NATem – u IPv6 sice NAT chybí, ale stavový firewall ne. Spojení je tedy možné jen „zevnitř ven“. Ani ping z Internetu na zařízení v LAN neprojde.

Blok přidělených adres je z rozsahu 2a00:11b1::/32 a je bohužel dynamický. Mění se při každém připojení a jeho velikost je /64 dle 3GPP, tj. bez delegace prefixu. Do LAN je obvykle vypropagován pomocí mechanismů podobných těm v RFC 7278.

IPv6 DNS server je od Googlu, zatímco pro IPv4 používá Vodafone vlastní. Autor: Radek Zajíc

Traceroute do Internetu (na FMS). Autor: Radek Zajíc

Na mojí FMS službě byl aktivní stavový firewall a traceroute zvenku neprošel. Autor: Radek Zajíc

Vodafone pro některé FMS služby nabízí i speciální přístupový bod, vfcz.wttx , na kterém dokáže nabídnout veřejnou IPv4 adresu – a zdá se, že minimálně někteří zákazníci na tomto přístupovém bodu mají aktivní i IPv6 a jsou zvenku dostupní. Pokud máte tento typ služby a máte funkční IPv6, podělte se s námi v diskusi, jestli je prefix stabilní (stejný i po restartu služby) a jestli se lze k zařízením v LAN z IPv6 Internetu připojit.

Na některé /64 prefixy ale traceroute zvenku funguje. Autor: Radek Zajíc

IPv6 na mobilech

Dalším krokem bude zavedení IPv6 pro všechny uživatele mobilních dat. Tak daleko zatím Vodafone není, ale spuštění IPv6 pro APN internet pro zákazníky s běžnými SIM kartami má v plánu v následujících týdnech.

Zatím nevíme, kterou ze dvou technických variant nasazení IPv6 pro mobily si Vodafone vybral. Pojďme si je připomenout.

V mobilní síti lze nabídnout nativní dual-stack, pokud to síť i zařízení umožňují. To je režim, který zvolil operátor O2. Mobil má přidělený jeden IPv6 blok ( /64 ) a jednu IPv4 adresu, často privátní. Tu musí operátor v jádru sítě NATem přeložit na veřejnou IPv4 adresu stejně, jako kdybyste měli pouze IPv4 – z toho plyne jasná nevýhoda, nativní dual-stack vám bude stále konzumovat IPv4 adresy. Výhodou tohoto řešení je ale maximální kompatibilita, s takovou konfigurací fungují všechny možné služby na telefonu, včetně těch zastaralých, které vyžadují IPv4. Pokud jste v roamingu, můžete se setkat s problémy, kdy navštívený operátor nepodporuje správně mobilní dual-stack, a tak jste odkázáni pouze na IPv4.

Druhou variantou, u nás zatím neviděnou, je APN internet v režimu „pouze IPv6“ a nasazení DNS64/NAT64, tedy IPv4 jako služby. Častým označením takové konfigurace je 464XLAT: operátor přiděluje telefonu pouze blok IPv6 adres a adresu DNS64 serveru. Mobilní zařízení samo aktivuje CLAT nebo podobný mechanismus pro přístup k IPv4 Internetu. Aplikace, které primárně používají DNS a IPv6, se i ke zdrojům v IPv4 Internetu budou připojovat přes NAT64 u operátora, zatímco aplikace IPv6 neschopné nejprve využijí meziprotokolový překlad z IPv4 do IPv6 na telefonu a následně z IPv6 do IPv4 na straně operátora.

Pokud z telefonu uděláte hotspot, na Wi-Fi máte klasický dual-stack – routovací subsystém v mobilu příchozí IPv4 provoz z LAN přeloží z IPv4 do IPv6, pošle mobilní sítí po IPv6 na NAT64, tam se přeloží zpět do protokolu IPv4 a následně již klasicky odejde do IPv4 Internetu. Zařízení připojená k hotspotu tak s tímto režimem obvykle nemají problém.

Je-li mobilní síť IPv6-only, používá se pro přístup do globálního IPv4 Internetu NAT64 a DNS64. Pro hotspot a starší aplikace pak CLAT, který překládá provoz z IPv4 na IPv6. Autor: Radek Zajíc

Pokud vás víc zajímá režim „pouze IPv6 s NAT64/DNS64“, dovolím si připomenout svou prezentaci na YouTube nebo jako PDF dokument.

Pro zvídavé čtenáře: existuje i režim „pouze IPv6 bez NAT64/DNS64“, který se často používá u VoLTE. Tam totiž operátor nepotřebuje, aby zařízení mělo dostupné oba protokoly, protože pro komunikaci s VoLTE (IMS) stačí protokol jeden. Takto to u nás má zatím jen O2. Pokud chcete vědět, jaké protokoly a adresy používá právě váš mobil, doporučuji aplikaci Network Tools od Hurricane Electric (Google Play, AppStore).

Někteří operátoři v zahraničí (např. T-Mobile ve Spojených státech amerických) zvolili režim „pouze IPv6 s DNS64/NAT64“ rovnou, jiní (Deutsche Telekom v Německu) nejprve zvolili klasický dual-stack, aby později přešli na režim „pouze IPv6 s DNS64/NAT64“. Uvidíme, který režim si český Vodafone zvolí. Je však téměř jisté, že příchozí provoz bude, podobně jako u FMS,v zájmu zákazníkůblokován.

Až bude protokol IPv6 v síti dostupný, bude ještě potřeba překonfigurovat mobilní zařízení. V případě Androidu to můžete udělat ručně, stačí v nastavení APN internet změnit režim na IPv4/IPv6 nebo IPv6 (v závislosti na způsobu nasazení u Vodafonu). Na systému iOS od Applu situace tak jednoduchá není, ale i zde lze v některých případech aktivovat režim IPv4/IPv6 nebo IPv6 pomocí tzv. APN profilu. Před třemi lety jsem podobný profil připravil pro O2.

Aby IPv6 začali využívat všichni zákazníci, musí dojít ke změně nastavení v samotném systému. U iOS jde o výchozí konfigurační profil, který Apple obvykle aktualizuje s vydáním nového systému a pak podle potřeb operátorů až několikrát ročně, u Androidu se změna musí propsat do hlavního repositáře Androidu do souboru apns-full-conf.xml a následně do aktualizací softwaru v telefonech. To se ale zatím nestalo.

<!-- O2 Internet --> <apn carrier="O2 internet" carrier_id = "1449" mcc="230" mnc="02" apn="internet" type="default,ia,supl" authtype="0" protocol="IPV4V6" roaming_protocol="IPV4V6" /> <!-- Vodafone Internet --> <apn carrier="Internet" carrier_id = "2398" mcc="230" mnc="03" apn="internet" type="default,ia,supl,xcap" />

Fixní služby

Při zkoumání otevřených dat z NetTestu od ČTÚ jsem s údivem zjistil, že Vodafone nenasazuje IPv6 jen pro FMS, ale i pro fixní služby. Web společnosti i veřejné kanály jsou zatím na informace skoupé, ale z dat NetTestu jsem sestavil mapu měření a vyčetl způsoby nasazení. Červené čtverečky odpovídají nasazení v síti CETINu, modré jsou FMS. U zelených odvozuji na základě naměřených rychlostí a (celkem přesné) polohy, že jde o služby Vodafonu na FTTH infrastruktuře T-Mobilu, zpřístupněné v rámci dohody o sdílení. První „zelená“ měření se v datech objevila 12. 7., dva dny po spuštění sdílených služeb.

zelená – FTTH T-Mobile, modrá – FMS, červená – DSL/CETIN FTTH Autor: Radek Zajíc

V případě služeb na infrastruktuře CETINu i FTTH T-Mobilu je velikost přiděleného prefixu /56 .

U služeb na infrastruktuře CETINu se zdá, že dochází k aktivaci postupně, po regionech – zatím pravděpodobně v okolí Zlína, Liberce a Karlových Varů. Do CETINu jsou prefixy routované po blocích /40 , zatím mám potvrzené 2a00:11b7:100::/40 , 2a00:11b7:1100::/40 , 2a00:11b7:1300::/40 , 2a00:11b7:2000::/40 , 2a00:11b7:2600::/40 a 2a00:11b7:3200::/40 a další pravděpodobně brzy přibudou.

Přeprodej infrastruktury CETINu – na jednoho zákazníka je routován prefix /56. Autor: Radek Zajíc

Měření ze služeb na síti T-Mobile zatím v NetTestu moc není, takže pokud nějakou využíváte, podělte se s námi o zkušenosti. Zatím se zdá, že Vodafone bude pro tyto služby využívat bloky IPv6 adres z prefixu 2a00:11b7:8000::/33 , konkrétněji zatím 2a00:11b7:8000::/40 až 2a00:11b7:8400::/40 .

Zdá se, že Vodafone v tomto případě T-Mobilu vypálil rybník a IPv6 nasadil dřív než samotný vlastník infrastruktury!

Infrastruktura T-Mobile – i zde je na jednoho zákazníka routován prefix /56. Autor: Radek Zajíc

Pokud máte zájem prostudovat data z NetTestu, měření Vodafone IPv6 jsem umístil na GitHub.

Smutná tečka na závěr

A to je prozatím k IPv6 u Vodafone vše.

Protože O2 i Vodafone už IPv6 na mobilních datech mají nebo brzy budou mít, zůstává otázka, kdy se konečně přidá T-Mobile. Na Twitteru (X) i dalších místech směřují dotazy zavedení IPv6 v mobilní síti k podpoře T-Mobilu často, operátor v tomto směru ale mlčí. Dodnes však v jeho mobilní síti včetně 5G funguje se speciálním APN konfigurace z mobilního IPv6 trialu z roku 2015. Tak snad se v T-Mobilu brzy probudí a zpřístupní IPv6 pro všechny mobilní zákazníky.