Vlákno názorů k článku Stav IPv4: drancování a všudypřítomný NAT od Muhehehe - IPv6 je hnus, nezavádět! Nat za natem je bezesporu...
-
Konkrétně, prosím. V čem je to takový hnus? Já mám IPv6 v několika sítích, moje servery ho umí a nemám s tím žádnou práci navíc ani žádné strašlivé starosti.
Není to spíš tak, že to admini neznají a nechtějí se nic nového učit? Navíc jim to po té čtyřce funguje, tak proč by se snažili. Je to netrápní, oni mají velký NAT. Ovšem adresy dochází na druhé straně.
Někdy je ten odpor proti IPv6 až absurdně směšný. Dneska ji maji zavedenou prakticky všichni rozumní poskytovatelé VPS a uživatel pro to nemusí udělat nic. Stejně jsou lidi, kteří to chtějí vypnout.
-
To že držet ipv4 only krabičky a software, nejen v koncovém segmentu, se spoustě subjektu vyplatí, to ovšem nevyvrací.
Až bude pro ně nasadit a provozovat ipv6 levnější tak to zajisté udělají. Podnikatelé jsou především motivováni snižováním nákladů. Proto třeba používají v některých případech Linux , protože je to vyjde levněji nikoliv že tím dokazují nějaký aktivizmus. -
Muhehehe (neregistrovaný)
Hlavně nemůžete vyměnit všechny krabičky v koncernu, jedna kamera na rozpoznávání objektu stojí 3000Euro a IPv6 nemuí, šest linek po dvou kamerách a je to 12*3000Euro... životnost kamer je spočítána na 8 let. Možná tam IPv6 přibude, ale spíš jen do nové verze, protože výrobci zásadně do starých zařízení přidávají jen velmi neradi, páč z toho netečou šušně...
-
Muhehehe (neregistrovaný)
To je tak hrozný nesmysl :-D
V korporátní sféře je životnost krabičky počítána na 10+ let.
Bavíme se o docházkových systémech, požárním systému, zabezpečovačce a kamerovém systému no a hromadou nejrůznějších technologických hračiček a strojů, jako jsou třeba vodoměry pořízené v roce 2014, které samozřejmě IPv6 neumí.Ano, je možnost používat zároveň IPv4 i IPv, ale taky je možnost dát pěstí každému, kdo bude IPv6 chválit, mě osobně přijdou zhruba srovnatelné.
Třetí možnost je použít socialistickou metodu, prachy sebrat občanům (proč by měli mít děti) a pořídit nová zařízení za dotace.
-
anonym (neregistrovaný)
Tyhle jednoúčelové krabky většinou nepotřebují přístup na internet, takže můžou běžet na privátních IP adresách, kterých je dost. I kdžy asi taky dost velké množství může vyžadovat ze vzdálené lokality přístup k centrále via intenret. V tom případě ale zase, může být provider grade NAT.
-
ZP (neregistrovaný)
Petre, co tak udelat Root.cz na par dni jako IPv6 only site ve stylu nebezi.cz? Ten tyden mezi Vanoceni a Silvestrem by to asi nemuselo ani znamenat propad vynosu z reklamy (nota bene porad muzete mit nejakou stranku, kde se zobrazi i reklamy a odkaz ve stylu "Mate-li IPv6, tudy muzete pokracovat na Root.cz. Nemate-li, kontaktujte sveho ISP"...
-
Muhehehe (neregistrovaný)
Ano, můžu i jmenovitě.
NAT NENÍ FIREWALL, ale poměrně úspěšně zařízení vnitřní sítě schovává a proti dobré implementaci NAT jsou techniky na prostřelení NAT neúčinné (mluvím o zařízeních, které nekomunikují ven).
No a třeba teď jedu do koncernu, kde je 64 sítí spojených v MPLS, jsou hlavní sítě na site(sajtě) a pak podsítě na každé site (cca 8), většina zařízení je interních a nemají mít bránu natož možnost se pokoušet prostřelit ven, přesto komunikace musí fungovat 100%, pozor, některá zařízení z podsítí spolu musí komunikovat a jiná ne. Zápis adres a vůbec manipulace s IPv6kama na firewallu je jako mytí podlahy mistrem Caletkou, zní to jako dobrý nápad, ve skutečnosti se Caletka brání.
Pro koncernové IT je IPv6 snad největší zlo.Atd, atd, atd...
-
L. (neregistrovaný)
Přesně tak. Jedna věc je rozchodit si IPv6 v testovací síti v labu a úplně jiná je implementovat ho v reálné provozní struktuře, kde si není možné dovolit dlouhodobější výpadek, je potřeba řešit věci jako multihoming, atp. Ne, že by to nebylo vůbec možné, ale je to velmi nákladné a přínosy jsou vesměs minimální => žádný manažer co nechce být na hodinu vyhozený do toho nepůjde.
-
Ondřej CaletkaZlatý podporovatelTěch 50 procent uživatelů v Belgii a 30 procent v USA rozhodně není zavřeno v labu.
-
lr (neregistrovaný)
Tohle jsou dobre kecy :)
Problem u ipv6 implementace v korporatu je v tom, ze to spousta lidi bere jako "nutne" zlo a neco, co neni potreba okamzite resit, takze az pristi rok, jo?
Ted to vypada, ze integrace s cloudem, respective nemoznost plne integrace bude nova motivace proc to zacit resit.
Btw jedna z obrovskych vyhod pro korporat je skutecnost, ze interni aplikacni development nebude moci "hardcodovat" ip adresy do aplikaci a budou muset zacit pouzivat fqdn. -
Jenda (neregistrovaný)
> a proti dobré implementaci NAT jsou techniky na prostřelení NAT neúčinné
Proti dobré implementaci firewallu jsou techniky na prostřelení firewallu neúčinné.
> Zápis adres a vůbec manipulace s IPv6kama na firewallu je jako mytí podlahy mistrem Caletkou, zní to jako dobrý nápad, ve skutečnosti se Caletka brání.
Jak přesně se to liší od pravidel pro maškarádu + pravidel, které zabraňují prostřelení maškarády zvenku?
-
Filip JirsákStříbrný podporovatelNAT NENÍ FIREWALL, ale poměrně úspěšně zařízení vnitřní sítě schovává a proti dobré implementaci NAT jsou techniky na prostřelení NAT neúčinné (mluvím o zařízeních, které nekomunikují ven).
Dejme tomu, že za tím NATem je síť 10.0.0.0/8. Co udělá taková dobrá implementace NATu bez firewallu, když na vnější rozhraní dostane paket s cílovou adresou 10.0.0.1? Pošle ho do vnitřní sítě. K tomu „poměrně úspěšně schovává“ bych doplnil upřesnění – pokud se zrovna nikdo nedívá. -
j (neregistrovaný)
Firemni sit, nekolik stovek zarizeni, nektery 6tku neumi. Ipv6 v provozu uz nejakych 8 let, z toho cca 4 nativne, predtim tunel.
Problemy ...
Mno, problemy sem tam sou, treba s tim, ze ministerstvo financi propaguje v DNS IPv6 adresu svych serveru, ale sit je nedostupna, pripadne nekolik mesicu po upozorneni mailem (a bez jakekoli odpovedi) dostupna, ale porty za firewallem ... mno a nektere browsery proste takovej stav nepoberou a web nezobrazej (ani pres tu 4ku).
Jinak naprosta pohoda. Co se tyce pomeru provozu, zacina atakovat 50%. Interne to je pres 80%.
A konfigurace? Mno ... asi tak 5 minut radvd. A dalsich 10 minut firewall, ktery ma zhruba 1/4 pravidel proti NATu. Tudiz je daleko prehlednejsi.
-
j (neregistrovaný)
Google kupodivu takovy kroky dela zcela bezne, treba proto, ze na 4ce vidi milion IPcek, ale za nima je 100M zarizeni. A ver tomu, ze goole neprijde ani o cent, protoze jakmile neco takovyho jen zmini ze hodla udelat, tak se provideri pretrhnou aby 6tku nasadili.
Ostatne, to vis, ze google umi (trebas) nabodenicka v mailovy adrese? To pred @ ...
-
Jerry12 (neregistrovaný)
Nevim jake mate od T-Mobilu v praci pripojeni, ale vsechny jejich ADSLky maji automaticky dualstack od pulky roku 2014. Predpokladam, ze T-Systems nabizi i optiku a podobne, kde to muze byt uplne jinak. Kazdopadne mi doma uplne bez problemu funguje dualstack uz rok. Je k tomu potreba modem nebo router s podporou DHCPv6-PD a to je vsechno.
-
Praxe si to myslí také. IPv6 je tu přes 20 let, a pořád jaksi ne a ne se pořádně rozšířit.
Kdyby si návrháři IPv6 nechtěli dokazovat svou moc, a záměrně nešli proti IPv4, ale snažili se o co nejhladší koexistenci a rychlý přechod, mohli jsme tu IPv6 mít všude už desetiletí.
Praxe má vždycky pravdu. Realita je nad všechny výkřiky „to že ty to nechápeě, neznamená, že nejde o príma věc“. Hnusná šedá realita zničila už tolik príma věcí, až to hezké není.
-
j (neregistrovaný)
jj, pise hlava dubova ... realita je takova, ze tu porad vykrikujou ti sami uz 10let o tom jako to nejde, a vsem ostatnim to vpohode funguje.
Firemni pripojka ipv6/4 ... 52%/48%
Domaci pripojka ... 28%/72%
... vazne to nefunguje. Teda jak je videt na ty domaci, jedinej problem jsou prave soho ISP, protoze znacnou cast provozu delaji p2p site.
Ale lidi to vazne nechteji pouzivat, oni nevedi co je to IP, a to ze jim spouta veci nefunguje, to jim vazne nevadi. Kcemu taky takovy nesmysly jako SIP, Jabber, ...
-
y (neregistrovaný)
Přesně tak. Děláme službu, která potřebuje přesměrování portu u zákazníka dovnitř jeho sítě a tohle je největší problém, který je schopno vyřešit je pár lidí (10%, max 20%). Dokonce i když je zákazník technik, u Carrier Grade NAT nebo u netu poskytovaného třeba majitelem budovy, kde jsou kanceláře, je to prakticky neřešitelné. Došlo to dokonce tak daleko, že lidi jsou ochotní koupit si za pár tisíc korun krabičku, která jim udělá tunel na náš server než aby vyřešili dostupnost portu z internetu.
