Názory k článku Severní Amerika bez IPv4 adres: ARIN hlásí „zero“

Spenazena nie je IP adresa, ale praca operatora okolo jej spristupnenia.

Asi takhle:
http://weknowmemes.com/wp-content/uploads/2012/12/its-not-prostitution-family-guy-meme.jpg

Napriklad v pravidlech RIPE je to napsano celkem jasne.

"IP addresses are a shared public resource and are not for sale."

Neplati se za IP, ale za clenstvi. A navic, existuji i varianty zdarma ci temer zdarma.

IP adresy nelze volně prodávat komukoliv, kdo je chce, a RIPE si za ně nic přímo neúčtuje (to je to, co zde RIPE uvádí). Ale členové RIPE mezi sebou mohou IP adresy převádět za úplatu, tedy de facto je prodávat.

„...the server relies on the client to report the hostname as part of the HTTP headers.“ Už chápu. Je to závislé na vyšší vrstvě, tudíž ne obecně využitelné, ale v HTTP fungující. Děkuji.

Ano, taky to tak chápu, že jde o řešení problému nižší komunikační vrstvy vyšší vrstvou.

> Pokud by podporoval, skutečně byste mu musel dát privátní klíč.

Jak funguje SNI? Nemůže proxy přečíst SNI hlavičku a na základě té spojení přesměrovat?

Pokud klient podporuje SNI, tak by to šlo, nevím ale, jestli to nějaká proxy umí. A co by se mělo stát v případě, že to klient neumí.

To by mě zajímalo, jak se vám povedlo koupit ADSL2+ router v roce 1998, když ADSL2+ je o rok mladší. A stačí vám ve firmě ty 100 Mbps switche?

Btw. asi jste nikdy neslyšel o 464XLAT. To je technologie, která umožňuje provozovat IPv4-only aplikace v IPv6-only sítích. Běží na tom třeba mobilní síť T-Mobile US.

IPv6 má mnoho optional features, které většinou musí umět jen end nodes, které je chtějí využívat. Zařízením po cestě mohou být ukradené, a tak je neumí.

No vidíte, a naprosté většině lidí, kteří IPv6 kritizují, naopak vadí, že IPv6 se nedrží toho, jak fungovalo IPv4, ale dělá spoustu věcí jinak.

ADSL2+ bylo vydáno v roce 2009, tedy ~5 let po současném IPv6. Proč si myslíš, že za pár let bude situace jiná?

No, doma mám taky switche a IPv4 projde v pohodě. I co jsem zkoušel L2 s IPv4 managementem od TPLINKu, kde není o IPv6 ani slovo, není sebemenší problém. Možný tak WiFi APčka, nevím, já mám WiFi na routeru s OpenWRT a tam to s IPv6 šlape jak hodinky. I klasický APčka se mění podle standardu a přidávají se pásma, takže tam je životnost postatně menší, než u drátovýho swiště. A kolika BFU měnilo krabky třeba UPC v rámci jejich hotspotové akce a zrychlování provozu? Byl problém jim ta hoit 6ku? (UPC u nás nemá natahaný dráty, nevím, jestli to udělali nebo ne)

Linux bez problémů, Widle XP s doinstalací protokolu ručně, vyšší nativně.

Sr..ky jako Skype se dají protunelovat...

A IPv6 není horší, je jiný... Mám víc IP adres a veřenou IP může mít třeba i vyhřívání prkýnka na WC, takže na jednu stranu jsou na něho větší nároky ohledně bezpečnosti, na druhou stranu odpadne šmíruňkzrcadlo na serveru 3. strany, když s ním chci komunikovat... :D TSL+IPv6, vlastní klíče a trhněte si nohou.

Btw. "kvalitní router" je cedník od ZyXelu?

Ty hotspotové krabky od UPC umí i IPv6, protože jsou DOCSIS 3.0

A zkousel jsi uz jednotlivym pocitacum/zarizenim pridelovat staticke IPv6 adresy?

Zkoušel, na Linuxu nebyl problém

A ten tvuj plne funcni DSL modem vyrobili v roce 1995 nebo driv?

IPv6 je JEDINY protokol. Zadny jiny neexistuje.

Proč byste jej měnil? No až Vám nepůjde web a polovina dalších stránek, tak budete vědět proč.

Nikdo z contentaru nevypne ipv4 dokud pouze na nem pojede vic nez cca 5% useru, nikdo soudny si timto zpusobem dobrovolne neomezi pocet potencialnich zakazniku. Pripadne rozsireni ipv6 je jen na carrierech....

Nikdo soudny nebude v siti udrzovat dva ruzny protokoly. U vsech novych siti pak plati, ze jsou IPv6 only.

IPv6-only síť neznamená, že se tam nedostane IPv4 klient.

Nevim jak je to u ISP, ale v lokalnich sitich je dualstack prkotina a ani se to nijak vzajemne neovlivnuje.

Ovlivnuje, narazis na problemy s tim, ze neco z nejakyho duvodu nefunguje, napriklad proto, ze cilovej srv ma sice v DNS IPv6, ale ta IPv6 neni dostupna - at zije ministerstvo financi (napr).

A jak si na tom ten router ADSL stojí s bezpečností? Kdy měl naposledy měněn firmware z důvodů bezpečnostních chyb? Já bych byl s tou kvalitou a funkčností opatrnější. Mimoto jsem ještě neviděl žádné kvalitní krabičky 9v1.

Čistým switchům (L2) je u otvoru, co přes ně leze, na administraci vám zůstane dualstack.

Může být něco lepšího než IPv6, ale nic takového asi není (ne, IPv4 to fakt není).

Proč IPv6 evangelisté začínají připomínat zelené aktivisty?

Tady nejde o dobro a zlo.

Pokud mám na výběr ze dvou možností, kde ani jedna není ideální, volím tu lepší. Tzn. s lepší perspektivou do budoucna a s míň občůrávkama. Věci by se totiž neměly dělat složitější, než jsou,

No a tady nastupuje jeden detail. Když chci zvolit lepší možnost, tak se najde vždycky banda zabedněnců, která dělá všechno pro to, aby mě natlačili do horšího řešení jenom proto, že "my to nechceme", "my to nepotřebujeme", "do teď to šlo bez toho",...

Raděj, než by prostě ISP zapli IPv6 v síti, se budou drbat s CGNATem, jeich zákazníky nuti bojovat s maškarádováním, DynDNS, budou zápasit s nemožností šifrování hlaviček, logovat přidělení IP adres za NATem pro úřady, ...

A na čem asi roste třeba M$ Azure? Na tom, že se napřímo nedá komunikovat, tak nabídli (pro spotřebitele) jednu zmála možností, jak jim můžou přístroje spolupracovat a (pro korporáty a vlády) prostředí, kde jde analyzovat komunikaci hraček BFU ve velkým a (pro vývojáře) celkem jednoduchý framework... S IPv6 by jim podstatně ubylo zákazníků.

No ona je hlavní výhoda IPv4 v tom, že blokuje trh. Když přijdu s novým výrobkem, který potřebuje být online a nemám kapitál na servery (a brzo i poměrně tučnou pálku na veřenou IP pro ně), tak je to hendikep proti molochovi s vlastí infrastrukturou a serverovou farmou, kde prostě jenom osadí další skříň, vymění kartu v routeru za rychlejší a na ročním rozpočtu to hodí jenom pár promile rozdíl.

Kdo chce, ať si používá IPv4 (na management a starý věci,...), ale nesmí to být jediný protokol dostupný v síti.

Máte recht, čtyřkaři nechť si nechají čtyřku, šestkaři šestku (která má taky chyby).
Opravdu jste zastáncem tohoto??? Root není místem pro rozbor vaší osobnosti, ale musím přiznat, že mě vyděsilo, že existuje ještě něco horšího, než je neoliberalismus.

Nejde o zavření spojení. Problém NATu je v tom, že zvenku se na zařízení nedá dostat. Přijme paket zevnitř, zapamatuje si, od koho byl a pošle ho se svou hlavičkou. Pak si zase najde, od koho byl požadavek a předá mu odpověď a smaže záznam. Pokud pošlu z mobilu nebo z PC v práci povel "vypusť na tchýni pitbula", tak mám smůlu, NATem ten paket neprojde. NAT jednoduše neví, komu ho předat. Jedině zámku od kotce nechat zprávu na domluveným místě a doufat, že se zámek na tu zprávu mrkne dřív, než za sebou tchýně zavře dveře od baráku.

V praxi pak

- 99% komunikace probíhá jenom proto, aby zařízení bylo v obraze
- místo poslouchání ve stand-by a občasné synchronizace s WiFi se komunikuje trvale, u IoT na baterky a s WiFi je to zatím neřešitelný problém (ostatně, pinkání na server z aplikace na mobilu taky výdrži na jedno nabití nepřidá)
- překlenout NAT použitím dedikovanýho portu nejde bez spoluúčasti ISP (konfigurace NAT+Firewall), provozovatele služby (nastavení portu a IP) a klienta (konfigurace routeru).
- U mobilu má podstatný vliv nejenom na baterku, ale i na FUP
- Nutná podpora infrastruktury - servery poskytovatele služby, možnst sledování, SPoF pro celou oblast
- Zatěžuje zbytečně páteřní lajny - pokud si odběhnu do hospody v síti stejnýho ISP, tak stejně jdou požadavky x stovek km do jeho serverovny a zpátky - a nejenom moje požadavky... IPv6 by se odbavilo v rámci ISP.

"V praxi to funguje tak, že mobil (za NATem) naváže spojení se serverem (s veřejnou IP adresou) a toto spojení udržuje. Totéž udělá zámek od kotce. Pokud chce mobil komunikovat se zámkem, pošle zprávu na server a ten jí přepošle tím otevřeným spojením zámku - a naopak"

Takhle to funguje na aplikační vrstvě, naprosto transparentně. Pod tím to chodí tak, že zámek kotce má IP 192.168.1.100, NAT to přeloží na svou adresu, řekněme 50.100.150.200 a pošle požadavek na otevření soketu na server 100.110.120.130.

Server 100.110.120.130 eviduje u spojení adresu 50.100.150.200, se kterým komunikuje. Namá šanci vidět, že je to ve skutečnosti spojení se zámkem. Kdyby server rovnou poslal v rámci spojení data na NAT, nedojde to nikam.

"Jinak, na přímé připojení zvenčí stačí jedna veřejná IP adresa pro celou domácí síť. A ta se u slušných ISP většinou dá zařídit. Svůj domácí router máte v moci, na jeho konfiguraci součinnost ISP nepotřebujete."

Jo, ale IoT má být pro lamy. Pokud bude něco potřeba rozvrtat v routeru, tak to bude v pr... Zkuste vysvětlit, že na ZyXelu se nedá použít návod pro OvisLink, nutit lamu k tomu, aby se hádal s ISPíkem, protože "ta krabička chce nějaký heslo"... A WiFi sítě za CGNATem jsou kapitola sama pro sebe...Už vidím to maškarádování na CGNATu.

„...naváže spojení se serverem (s veřejnou IP adresou) a toto spojení udržuje.“ Zapomněl jste upřesnit, jak klient se serverem udržuje spojení.

„...na přímé připojení zvenčí stačí jedna veřejná IP adresa pro celou domácí síť.“ Zde jste pozapomněl na administraci síťových prvků po cestě, často netriviální.

Obavam se, ze kulovy vis leda ty. To spojeni je treba udrzovat orevreny => ta krabka musi byt neustale aktivni na siti. Pokud neni, neni ani zadny spojeni. Keepalive je pro tebe zjevne sprosty slovo ...

Kdyz krabka jen posloucha, tak staci kdyz je v nejakym sleep rezimu, a probudi se az v reakci na prichozi komunikaci.

A ad jedna IP ... jasne, on si kazdej jeden BFU bude konfigurovat porty, kdyz ani nevi co to je. Nemluve o tom, ze IPcek neni dost ani pro ty domacnosti.

@Atom321
"..a toto spojení udržuje.......Žádné "pinkání" není potřeba...." :o))) mozna by to chtelo nastudovat pojmy jako "keep alive packets" ;o) bude to nekde na strance 2 maximalne 3 "zaklady sit'ariny" ;o)

@Petr M
zas takova konspirace to byt nemusi= IPv6 v puvodnim navrhu napr. mela trafik defaultne sifrovat - to potom ze specifikaci jakymsi zahadnym zpusobem vypadlo (a nikdo neumi vysvetlit proc). Uz samotny koncept ze by jednotliva zarizeni mela vzdy verejnou IP (ci jich dokonce nekolik) a navazovala spojeni P2P stylem (a nedejbuh jeste sifrovane) musi byt nocni murou vsech tajnych sluzeb... :o)
Navic je znamy problem ze 2 bittorrent klienti za NATem (obzvlast tim agresivnim) "se nevidi" cili si toho moc nevymeni, zarizeni za NATem muze "oslovit" pouze klienty kteri jsou "verejne na netu videt"= maji verejnou IP (pripadne se jim povedlo donutit sveho IP k portforwardu coz je spise vzacnost nez pravidlo) Nevim o klientovi ktery by delal tzv.relay server jako to umel v zacatcich Skype ci SIP VoIP.....
IPv6 by tohle spolehlive vyresila, ovsem Hollywood by z toho urcite nadsenej nebyl, tim spis ze uz dnes spousta Bittorrent klientu dokaze jet "trackerless" a spolehaji se (s pomerne dobrymi vysledky na DHT ci PEX. A "honit mravence po lese" je jaxi neefektivni :o)

Proč překládat jednu adresu na jinou adresu? Aby v konfiguráku mohla být jiná adresa než jakou zařízení skutečně má?

Taková typická situace je multi-homing. Máte více ISP s více různými veřejnými IPv6 prefixy. Uvnitř sítě použijete ULA (lokální) adresy a podle toho, přes kterého ISP to zrovna jde ven, to přeložíte do patřičného prefixu. Výhodu to má ve chvíli, kdy jeden ISP vypadne a je potřeba udělat rychlý failover (jde udělat faliover pomocí RA, ale to není tak super rychlé a problém je i s tím, že se celá síť přečísluje).

> IP adresy tedy zařízením zůstanou, pouze začnou preferovat jiný router a tím pádem i jinou odchozí adresu.

Je casty omyl spojovat default router s pouzivanou odchozi adresou. AFAIK ale specifikace takove chovani nepredepisuje. Klient ma proste seznam prefixu a seznam default routeru, kde jak prefixy tak default routery timeoutuji zvlast. Preference jednoho default routeru neznamena pouzivat 'jeho' prefixy. Vytimeoutovani default routeru neznamena prestat pouzivat adresy jim pridelene.

Postupny prechod na druhou linku tim jde zaridit, akorat router (ci routery) musi korektne routovat i podle zdrojove adresy. Stejne tak zmena prefixu pri precislovani. Ale neni to vhodne reseni pro okamzitou zmenu uplinku v pripade vypadku primarni linky. Tam by bylo treba okamzite vytimeoutovani prefixu asociovaneho s primarnim uplinkem, ale to taky moc dobre nejde (Valid lifetime neni obecne akceptovan mensi nez 2 hodiny, maximalne je mozne ty adresy okamzite udelat deprecated). Takze prakticky je ten NAT66 pro tenhle case asi nejlepsi reseni.

Zaprve, v pripade heterogenni site tezko spolehat na to, ze konkretni implementace se chovaji nejak nad miru danou specifikaci.

Zadruhe, z implementacniho hlediska i z hlediska toho, jak je psane RFC 4861, to chovani logicke neni. Ten text je vcelku jasne formulovan tak, ze ruzne zaznamy z RA se zpracovavaji nezavisle (router list, prefix list), takze nema moc smysl si tu informaci (od ktereho routeru je tento prefix) vubec pamatovat. Nehlede na to, ze ty propagovane prefixy nejsou primarne kvuli autokonfiguraci, ale kvuli urceni toho, ktere adresy jsou onlink, takze pri korektni konfiguraci routeru by kazdy router na lince mel propagovat vsechny prefixy, ktere se na te lince vyskytuji, ne jen 'kazdy svuj prefix'.

Zatreti, Linux voli zdrojove adresy podle routovaci tabulky v IPv4. Co se tyce IPv6, tam AFAIK Linux pouziva primocare chovani dle RFC 3484, tedy sekvencni sada pravidel v zasade koncici vyberem podle longest matching prefix, kde 'dostupnost routeru propagujiciho dany prefix' nehraje roli (krom pripadu, kdy host sam ma vic interfacu, ale to neni ten use case, ktery tu resime).

Řeší, je tam bezpečnostní problém. Nejde mít podepsanou hlavičku. Mění se IP odesílatele ze sítě za NATem.

NAT 1:1 sice nějak funguje, ale v IPv4 nic neřeší, protože je málo adres a v IPv6 je to zbytečnost, protože zařízení může mít víc adres...

Když to má samá pozitiva a sociální jisty, proč už to teda neběží všude a IPv4 není několik let v propadlišti dějin?

Proč všude neběží Plan 9 a Windows i Linux nejsou několik let v propadlišti dějin?

Protože migrace stojí spoustu peněz a pro většinu věcí je IPv4 good enough.

Proc telecom zavadel isdn kdyz se vsude jinde rusilo?...