Hlavní navigace

IPv6 umožní používat IoT bez závislosti na službě třetí strany

 Autor: Depositphotos
Ve čtvrtek 4. června proběhl tradiční seminář o IPv6, který každoročně pořádá sdružení CESNET. Tentokrát byl zaměřen na přechod od starého protokolu IPv4 k modernímu IPv6, protože právě o to celou dobu jde.
Petr Krčmář 16. 6. 2020
Doba čtení: 5 minut

Sdílet

Článek navazuje na předchozí text IPv6 se dá u poskytovatele nasadit za jediný den, postavte si vlastní laboratoř. Přednášky zazněly během online semináře Svět bez IPv4, který pořádalo sdružení CESNET.

Tomáš Tichý: Jak jsem zprovoznil IPv6

Tomáš Tichý ve své přednášce hovořil o tom, jak funguje IPv6 tunel od Hurricane Electric. Můj poskytovatel mi bohužel odepisuje: ‚Neptejte se, IPv6 nikdo nechce‘, zopakoval na začátku přednášky obvyklou odpověď Tichý.

K instalaci byl využit Turris Mox, který má přímo ve svém webovém průvodci možnost spustit 6to4 tunel. CZ.NIC provozuje už deset let vlastní relay router, takže by mělo všechno fungovat. Vypadá to jednoduše, ale nefungovalo mi to.

Další možností, jak získat IPv6 je použít tunel 6in4 od Hurricane Electric. Stačí se zaregistrovat a získané údaje vyplnit do rozhraní Turrisu. Test je pak možné udělat například na Neběží.eu. Mám moc rád IDN domény a tohle je jediná, kterou znám nazpaměť.

Z dat naměřených za dva měsíce provozu vyplývá, že 58 % provozu ze sítě stále směřuje na IPv4. Čekal jsem ale, že IPv6 bude třeba jen 25 %, takže mě to docela překvapilo. Potíž je často i s velkými službami, třeba od Microsoftu nebo Apple, které stále ještě umí jen IPv4. Žádné problémy způsobené tunelem jsem nezpozoroval.

Ondřej Budín: IPv6 pohledem středoškoláka

Ondřej Budín si na začátku své krátké přednášky položil otázku, proč se vlastně IPv6 zabývá a věnuje mu tolik času. Já se vlastně s IPv6 setkávám odmalička. Když jsem poprvé viděl IP adresu, byla to právě IPv6 adresa. Doma provozuje VDSL a když se poprvé dozvěděl o tom, že vůbec IP adresa existuje, rovnou mu webový nástroj vypsal jeho IPv6 adresu. V tu chvíli mi to přišlo jako samozřejmost a věděl jsem, že se IPv6 adresy používají.

Když pak ještě na základní škole chtěl po rodičích předplatné web hostingu, dostal ho automaticky i s šestkovou adresou. Od té doby považuji IPv6 za standard, jak u hostingu, tak u konektivity.

Tím, že se bude rozšiřovat dostupnost IPv6, stane se mnohem větší samozřejmostí. Považuji za důležité, aby byla IPv6 dostupná na školách a aby se s ní při výuce pracovalo. Nepůjde to bohužel bez změny smýšlení o tomhle protokolu.

Školy velmi často při výuce využívají Cisco Academy, což jsou online materiály pro studium sítí. Před několika lety došlo k přepsání těch materiálů kompletně do IPv6, dodal Ondřej Caletka. Uživatelé jsou z toho ale nešťastní, protože neumí přiřadit informace z nových materiálů k tomu, co už znají.

Adam Kalisz: IPv6 v českém startupu Orgpad.com

Orgpad je služba, která se snaží změnit přístup k organizaci informací a spolupráci. Informace jsou převáděny z lineárního do grafového nebo síťového formátu. Když se ztrácíte ve svém projektu, můžete všechny materiály vložit na jednu hromadu a postupně si je roztřídit. Tím vykrystalizují důležité body.

IPv6 je základním kamenem ke škálovatelnosti celé infrastruktury, vývojáři se tím zabývají už v této fázi, kdy mají možnost si vše ověřit ještě před provozem s velkým množstvím uživatelů.

Celá infrastruktura běží na DigitalOcean a skládá se z několika komponent. Tu hlavní tvoří droplet s webovým serverem Nginx a aplikačním serverem napsaný v jazyce Clojure. Tento server má IPv4 i IPv6 adresu. Dále je v infrastruktuře zapojen klon AWS S3 zvaný Spaces, který ovšem IPv6 vůbec neumí. Je to jen problém této implementace, software za tím by měl IPv6 normálně umět. Poté je ještě k dispozici neveřejná databáze PostgreSQL, bohužel privátní síť v DigitalOcean opět umí jen IPv4.

Praktické zkušenosti z provozu IPv6 ukazují, že se na něj útočníci zatím nezaměřují a zajímá je především MySQL, PHP a busybox. Nejvíce útoků pochází z Číny a Hongkongu. Většina aktivních uživatelů je stále ještě v Česku, vysoké procento spojení je stále ještě od vývojářů samotných. Ukazuje se také, že IPv6 je v sítích poskytovatelů občanem druhé kategorie, a to nejen v Česku.

Google říká, že se na něj z Česka připojuje asi 13 % uživatelů po IPv6. Naše statistiky ukazují, že jsme asi na 17 % spojení po IPv6. Proč je služba s využitím nad průměrem? Ukázalo se, že velcí poskytovatelé připojení převážili ty malé, kteří IPv6 obvykle nabízejí jen na vyžádání nebo vůbec.

Ondřej Caletka: Domácí služby na IPv6-only

V dnešním světě IoT přibývá různých zařízení, která se mají propojovat mezi sebou, ale současný internet to neumožňuje. Máme v garáži internet, v mobilu internet, ale přesto nemůžeme z mobilu ovládat garážová vrata. Místo zařízení si musíme koupit balík zařízení a služby k němu. Jak dlouho ale bude fungovat služba, kterou neplatíme? Může fungovat léta, ale může být vypnuta za pár měsíců.

Známý je případ zařízení Garadget, které umožňuje odkudkoliv ze světa ovládat garážová vrata. Ta jsou třeba ve spojených státech často hlavním vstupem do domu, takže je příjemné mít ovladač vždy po ruce. Jenže jeden z uživatelů si postěžoval v recenzi na Amazonu, že aplikace pro mobilní telefony je mizerné kvality a výrobce na to zareagoval tak, že jeho přístup odřízl a doporučil mu přístup vrátit. Znemožnil mu tak de facto přístup do domu tím, že mu odepřel službu.

Internet chytrých věcí by měl využívat princip end-to-end, který je základem internetové sítě. Můžete se přímo připojit z mobilu k chytré krabičce a ovládat ji přímo. Protože k tomu je internet určený. Obvykle to ale vyžaduje nějakou konfiguraci, takže je to odsouzeno ke komerčnímu neúspěchu. Tradičně se to řeší přesměrováním portů do vnitřní sítě. To ale funguje z celého internetu, kromě vaší domácí sítě. Je to možné řešit také pomocí úprav v DNS, což má ale další problémy.

Další možností je provoz IPv6 v domácí síti, kdy jsou IoT krabičky dostupné pomocí jména v globálním DNS stromu. Není pak problém získat třeba HTTPS certifikát pomocí Let's Encrypt. Výsledkem je bezproblémový přístup z WAN i LAN. Osobní zkušenosti ukazují, že například s Raspberry Pi OS to funguje velmi dobře a IPv6 je ve výchozím stavu zapnutá.

MIF obecny

Ovšem co přístup k IPv6 na cestách? Při přístupu z cest se bavíme o mobilních datech, ale naši mobilní operátoři s tím mají stále ještě problém. Můžeme se neustále dotazovat mobilních operátorů na podporu IPv6 v mobilních sítích nebo si koupit SIM kartu od polského operátora Orange.pl. Funguje to i v roamingu, včetně českých mobilních operátorů. Jen to leze do peněz a neškáluje to.

Další variantou je stavba vlastní VPN, ke které je ale zase potřeba koncentrátor s IPv4 adresou. Poslední možností je využití veřejné VPN, například pomocí služby Cloudflare Warp. Na mobil pak stačí nainstalovat aplikaci a máte možnost dostat se na IPv6 internet. Má to jen jeden přepínač ‚zapnout‘, takže nainstalovat a spustit to zvládne úplně každý.