Hmmm....
Asi to bude zajímavé, ale proč ne :-) Jednou za čas se zeptám na něco velice jednoduchého - k čemu mi je IPv6 adresa? Odpovědi jsou velice zajímavé: IP telefonie (no nevim jak vy, ale doma žádný IP telefon nemám a opravdu neplánuji), peer to peer gaming (tak před 20-ti lety asi ano, ale dnes...) a provoz serveru v domací síti. To poslední asi může být relevantní důvod, ale zase - kolik "normálních" uživatelů internetu vůbec ví co to je server...
Pokud text nahoře zobecním - 95% uživatelů internetu je jedno, zda jsou za 1,2 nebo 5-ti NATy, oni ani netuší co to NAT je. Osobně mi to je jedno také a to mě IT platí 30 let. Můj osobní názor je jednoduchý - až tady bude služba, která pojeden jenom na IPv6, kterou nemít bude nepředstavitelné - pak ano, protokol se skokově rozšíří. Do té doby nadávat na kohokoli, kdo se chová zcela racionálně je.... hmmm... "produkt alternativní inteligence" abych použil politicky korektní termín.
Máte pravdu nicméně poměrně často od svých méně IT fundovaných přátel slyším hlášky typu že se jim nejde připojit ke hře protože mají strict NAT (herní konzole a některé PC hry). Což by třeba 6tka mohla řešit, několikrát jsem v diskusích narazil na to že třeba Sony ráda blokuje IPčka (typicky NATy větších ISP) odkud chodí větší množství PS4 provozu. A vysvětlujte to pak klientům proč jim se jim nejde přihlásit. Typicky to může vést k tomu , že uživatel smlouvu zruší a odejde ke konkurenci pokud tu možnost má.
Mě osobně třeba nejvíce na tomhle vadí ta celková neochota a odmítavost s tím někam pohnout či udělat jen to něco málo navíc. Ne nadarmo se říká že Češi jsou mistři ve vymýšlení toho proč něco nejde. Už sem si zvyknul, že v ČR v podstatě neexistují solidní služby a tím nemyslím jen přípojku k internetu.
"a provoz serveru v domací síti" - dneska nejde ani tak o servery, ale specializovaná zařízení (alarm, kamery, regulace topení atd.). Vývoj si vždycky najde cestu nejmenší odporu, takže se to obchází cloudovými službami. Ale kdo se chce cloudu vyhnout, má to složité - já třeba doma nemám vůbec veřejnou IP adresu (ISP provozuje CGNAT), takže ani port-forwarding není řešení. Zrovna tady si myslím, že IPv6 může pomoct.
No, při sledování děravosti IoT obecně (jak přímo zařízení, tak chránění lokální sítě, ...) je IMHO lepší, pokud nebudou mí zařízení v principu v defaultu přímý přístup směrem z netu. Dnes to obvykle řeší router s fw+pnat.
A ten, kdo ví co dělá, si buď IPv4 sežene nebo se, v nouzi, protuneluje.
Neříkám že je to fajn, ale jako argument pro IPv6 pro "běžné koncové uživatele" to obvykle neobstojí. Možná teď zpočátku, dokud je útoků ještě (relativně) málo. Ale až to začne, tak stejně budou isp přidávat mnohem striktnější pravidla na fw na dodávaných routerech či u nich (až po absolutní zahození veškerého příchozího a omezení portů ven) a pro _běžné_ koncové uživatele to zase vyjde nastejno jako teď (protože router si nakonfigurovat nedokáží).
Naprostý souhlas, taky tento argument slyším/čtu často a klepu si na čelo. Umožnit přistupovat z internetu k zařízením ve vnitřní síti se ošemetná věc a rozhodně souhlasím s tím, že veškerý provoz z venku má být by-default blokován. Povolit potom jenom to, co nutně potřebuju, ideálně jen na konkrétní adresy. Někdy z těch ipv6 vizionářů fakt nemůžu, to by byla panečku cryptoapocalypsa, kdyby byla většina MS Windows dostupná pro svět.
Tak jste se pochválil, jak jste geniální, a teď mi ještě vysvětlete, jak to co jste napsal souvisí s IPv4 nebo IPv6.
To, že zablokujete přístup do vnitřní sítě je identické pro IPv4 i IPv6, to že vám naopak pro IPv4 vůbec přístup do vnitřní sítě (pro vybraná zařízení/porty) nedovolí souvisí s nedostatkem IPv4 adres a s ničím jiným.
To, že si někteří hlupáci myslí, že NAT nahrazuje firewall, ukazuje jen jejich omezenost. Takže jste z toho nakonec nevyšel zas tak moc dobře.
V současné době na domácích routerech prakticky není nat, ale rovnou nat+fw, spolu s upnp. To upnp to trochu zachraňuje (pro bfu, co mají jinak veřejnou IPv4 a potřebují přístup zvenku), protože programy jsou na to stavěné a ty které potřebují port ven např. počítají s tím, že port nebude pokaždé stejný. Což trochu zhoršuje pozice útoku, ale umožňuje torrenty a spol.
P.S..: BTW, existuje nějaký všeobecně uznávaný, běžný a domácími koncovými zařízeními používaný způsob otevírání portů na fw? Já vím právě jen o upnp (při natu), který obvykle i nastaví pravidla pro fw. Funguje i jen na fw (při vypnutém nat)? Či existuje něco takového obecně jen pro fw, třeba pro IPv6?
Vedle UPnP existje i o něco novější NAT-PMP, takže některé app zkoušejí oboje, co router bude brát.
Univerzální, který umí NAT, firewall, případně i IPv6 je PCP (port control protocol), ten umí spolupracovat i s CGNAT a otevřít port na něm, pokud je to podporování v home routeru i CGNATu, což dneska moc často není...
Problem je dan tim, ze vetsina NAT obhajujicich useru se pripojovala k internetu uz kdyz byl problem s IPv4 adresami a zacalo se masivne natovat (uz blahe pameti CGNAT fungoval u nekterych ISP na dialupu). Takze jim to prijde naprosto prirozene.
Nase generace jeste pamatuje jak k firemnimu dialupu/pripojeni pres pronajaty okruh clovek dostal vetsinou cely subnet, mezi to se prsknul nejaky firewall nebo se to pripojilo primo(:-O) a kazde pecko vcetne tiskarny dostalo verejnou ip adresu. Takze vime co to znamena pripojeni k internetu.
Bohuzel zdejsi mlika toto uz nepamatuji a netusi ze pred natem existovaly i jine metody... Pak se spatne dostavaji do hlav ty ciste designy ktere vznikly pred nastupem NATaru.
Také jsem zažil. Jenže ty "čisté designy" tu byly, pokud se pamatuji, v době, kdy bylo na netu útoků _na klientské stanice_ tak promile či méně, oproti současnému stavu. Pokud bych je měl používat dnes, musely by vypadat jinak a mít jiné ochrany a dost jiný styl.
Například (zbytečný dlouhý pokec, ale už to tu nechám):
Už i ten současný pitomý minecraft musíme dětem dávat na jiný port než default 25565 (pokud otevírám ven), protože na něj za chvíli začne chodit kvanta útoků, jakmile je jednou IPv4 profláklá, že tam občas 25565 bývá otevřen. Pokud je to jen přátelská hra (ale wan) kdy MC server dělá jeden z klientských počítačů (tedy nijak výkonný), tak java obvykle útoky neustojí ani do desítky hodin v kuse i když nikdo z nás není lognutý (Bokem logách vidíme útoky, když si dáme sledovat. A při zavření portu ven běží MC dny bez problémů). Více jsme nezkoumali. Nevíme, zda padne prostě jen výkonnostně či při nějakém špatném vstupu. Ale to je celkem jedno. Výsledek DOS útoků je pozitivní, tedy dedikovaný MC server nefunkční a obvykle musí restart. Platí pro Win i Lin.
Jo, člověk zapomíná, jak za už pozdějších dob XP bývaly věci děravé (a to nejen windows, u nich to bylo jen nejvíce vidět, protože jich bylo hodně, tak se vyplatilo jít po nich). Bez zakázání spousty věcí ven a záplat a hlavně správného nakonfigurování fw (pro služby co člověk ven chtěl) a dalšího tajtrlíkování kolem (pro bfu skoro neprůchozí) bylo vymalováno do pár minut. "Nejlepší" varianta co si bfu dokázal udělat sám byla, že nebyl zavirovaný, ale měl vše zavřené směrem dovnitř. Takže to skončilo stejně, jako kdyby měl člověk NATovanou IP s fw.
Jezne co do funkcnosti je znacny rozdil mezi siti za cistym fw[*] a za fw+NAT. U cisteho fw funguje PtP komunikace, pokud je pres UDP a inicializace pripadne mediovana pres prostednika. Takze napriklad VoIP, kde signalizace jde pres SIP proxy, ale hovor uz primo. Obdobne hry a herni servery, kde prostrednika pro inicializaci muze delat metaserver. Pokud je na routeru krome fw i NAT, tak uz to nefunguje, nebot je problem s mapovanim cisel portu.
[*] Pro jednoduchost myslim bezny stavovy firewall blokujici prichozi spojeni z WAN, bez specialni konfigurace.
Ty nemas mobil? G4+ jsou uz IP only site. Zadnej hlas to neumi. A dneska uz i klasickej hlasovej kanal prechazi do IP site na nejblizsim moznym miste.
Her ktery vyzadujou aby se k tobe mohlo neco pripojit je vic nez kdy v historii existovalo vubec vsech her dohromady. Prakticky kazda hra ma nejakou formu integrovanyho voice kanalu ... a ten prevazne nefunguje pokud dotycnej nema internet.
Normalni uzivatel nepotrebuje vedet co je to server, normalni uzivatel chce sousedovi ukazat ty fotky z dovoleny co je ma doma na svym pocitaci.
A ve finale, az ty si vzpomenes ze chces provozovat zcela jakoukoli sluzbu, klidne i blbej web, tak najednou zjistis, ze to IPcko ktery potrebujes ... neni. Protoze uz je to par patku co adresy dosly.
A to se nedá vyřešit? Už se rozšiřují chytré routery s uživatelsky příjemnými mobilními aplikacemi, ve kterých se toto dá do budoucna rozumně vyřešit. Ale nedostatek IP adres je principiální problém, který řeší o dost hůř (něco jako Carrier Grade Portforwarding se doufám používat nebude).
Připočítej si:
- Torrenty (stahuješ, ale bez veřejné IP nesdílíš svůj obsah -> kdyby to tak měli všichni, torrent nefunguje),
- možnot přímýho přístupu bez prostředníka k IP kamerám, zvonkovýmu tablu,...
- broadcast, kdy třeba přímý přenos ve fotbale jnebo rádio jde jedou kopií celou sítí až k tobě a duplikuje se na routerech.
- rychlejší odezvy sítě, odpadne totiž zpracování na NATu.
- pokud se adresa, přes kterou leze na net CGNAT, dostane kvůli sousedovi na blacklist, končíš i ty. Na IPv6 končí jenom soused.
A znám plno lidí, co nadávají, že jim plno věcí nefunguje. Torrentem počínaje, sdílením fotek pokračujíce,... A to jsou úplný lamy.
"A znám plno lidí, co nadávají"
Ja znam hromadu lidi, ktery cumej kdyz delam neco naprosto prirozenyho - jako ze se kouknu domu, vytahnu si neco z disku ... a chtej po me, aby jim to slo taky.... ale vubec netusej, ze by pro svym "takyisp" , kterej je na podobne zapornym iteligencnim qocientu jeko vejs nakej Jan ... meli chtit nejaky adresy, natoz aby chapali, ze dokonce maji chtit nejakou ipv6. Jen je neskutecne sere, ze jim to nefunguje. Nejvic nasrany sou vzdycky v okamziku, kdyz jim (jako "ten ITk co se tim zivi") sdelim to sladky tajemstvi, ze bez ohledu na pindy co maj na fakture, zadnej internet nemaj.
Jo, a taky znam hromady takovych, ktery maj ten uzasnej kabel ... (od telecumu nebo upc), s rychlostma az ... nejmin desitky Mbit ... a ve skutecnosti si muzou gratulovat, kdyz jim to jede jako trochu lepsi isdn. A taky netusej, ze tohle rozhodne neni normalni ...
To je dobrá otázka - k čemu je IPv6 adresa? Řekl bych, že je dost složité na ni odpovědět, ale malá nápověda je už v té vaší otázce. Cituji: "doma žádný IP telefon nemám" - já taky ne. Proč taky. Nikdo nemá doma IP telefon, není ho rozumně jak připojit. Dokážu si ale představit, že doma budu mít třeba poplachové zařízení, které bude IP telefonem vybavené a v případě poplachu zavolá mě, manželce a policajtům. Technologie na to je, ale nikdo nemá IP telefon, není ho jak připojit. Tohle řešení IPv4 vymazalo z našich možností. Místo toho platím operátorům a když jsem chtěl napojit poplachové zařízení na telefonní síť, koupil jsem si modem a nejlacinější paušál pro posílání SMS. Kolik jiných takových věcí nepoužíváme, protože to IPv4 neumožňuje?
Chybí nám takové věci? Myslím, že až ty věci přijdou, nebudeme si bez nich umět život představit. Před dvaceti lety jsem chtěl domů telefon. Dneska mám v domácnosti telefonů (mobilů) pět (a to nepočítám ty SIM karty v modemech pro odesílání SMS). Před dvaceti lety bych si ťukal na čelo, který magor by kupoval prvňáčkovi vlastní telefon?! Kvantita telefonů se přetvořila v novou kvalitu komunikace v mé rodině.
Kdysi v době kamenné se běžně psalo na psacím stroji. Četl jsem v té době sice už i cosi o textových editorech a tiskárnách, ale vůbec jsem si nedokázal představit, k čemu by to bylo dobré. Vždyť mám přece psací stroj a dávat do procesu psaní nějaký mezičlánek je holý nesmysl. Náhrada mechanického převodu mezi stištěním klávesy a otiskem typu na papír převodem elektrickým je sice technicky zajímavá věc, ale jinak přece naprosto neužitečná a k ničemu. Ani v nejšílenějším snu jsem si nedokázal představit, co všechno mi dnes umožní obyčejný textový editor.
IPv6 není náhrada staršího protokolu. Je to protokol úplně nový. Používám IPv6 skoro deset let a dnes mi to umožňuje používat síť způsobem, jaký by byl s IPv4 nemyslitelný. Ne, že by to na IPv4 nešlo, ale bylo by to z principu tak složité a nespolehlivé, že bych se do toho nikdy nepustil.
Tohle přesně vystihuje můj názor - až "ty věci" přijdou, bude IPv6 (nebo jiný protokol) silně požadován. Já osobně prozatím na "ty věci" čekám a hledám je a slibuji, že až na něco narazím, tak to nejenom přiznám na zdejších fórech, ale ISP provider o mě uslyší často a hlasitě :-)
Hmmm... Tady jsem nejspíše nebyl zcela přesný - nicméně jsem si jist, že jsem se s ohledem na stav/kvalitu a pod IPv6 nijak a nikdy nerozepsal (!!) - prozatím si stále pamatuji co a jak píši. Navíc se o protokolu nemohu nijak vyjadřovat, jelikož tato oblast IT není mojí specializací.
Zda osobně mám nebo nemám nějaká zařízení je docela jedno - a bylo by to jedno i kdybych byl prezident zeměkoule. Co není jedno je skutečnost, že prozatím neznám žádnou službu/řešení, které by BFU masově donutilo žádat IPv6 - tudíž tento protokol je nasazen tak jak je - viz článek. A to neni IT problém, ale IT k němu může hodně říci.
A pokud tohle bylo stále nejasné, asi to už lepší nebude - připište to mojí naprosté neschopnosti se vyjádřit.
Prostě problém slepice a vejce. IT by se v prvé řadě mělo snažit nový protokol nasadit a umožnit zájemcům jej využívat. Tím vzroste potenciál pro vznik nějaké super duper služby, která přitáhne ostatní. Sama od sebe taková služba těžko vznikne.
Smutné je, že když jsem se ptal v práci na IPv6, protože mně neskutečně štvou naty, kolize IPv4 adres privátních sítí zákazníku na VPN, tak mi ajťák odpověděl, že IPv6 vůbec neřeší, že ani neví proč by měl :-(
A to je právě ten kámen úrazu. To, že chcete 6-ku doma je vaše věc. Ale dost lidí chodí do práce a tam otravují, aby si firma, zaměstnavatel dal taky 6-ku. Proč????? Aby si rozbil něco co funguje? Aby dával něco co nikdo nechce a nepotřebuje, kromě pár nadšenců kteří se hodlají kouknout domů jestli nejsou paroháči zatím co oni dřou v práci jak koni?? Jediná potřeby ipv6 by snad byla, že 4-ky docházejí. Bohužel se tato věc měla řešit jinak.
Fajn mám 6-ku only dostanu se i na 4-ku. Mám 4-ku only dostanu se i na 6-ku. A ne, dělat různě čachry, tunely atd. protože se nedostanu z jednoho protokolu na druhý. Nebo muset mát dva součastně. Moje představa je taková, já budu mít 6-ku a dostanu se stejně na zařízení co má 4 only nebo 6 only a opačně. A tak to i dopadne.
Jenže ony ty IPv4 adresy už došly dávno. Jen se všichni tváří, že to není pravda. Ale tím, ani těmi NATy to nezachrání.
Třeba u nás jeden zákazník interně používal IPv4 rozsahy, které byly roky volné. Předloni ale došlo i na tyto rozsahy, část z nich získal google a najednou se člověk na některé servery nedostal, protože DNS vrátila IP adresu, kterou měl nějaký interní server a všechny požadavky pak končily uvnitř sítě, místo aby šly ven.
A požadavek, aby transparentně fungovala konverze IPv4 na IPv6 a obráceně je sice pěkný, ale jsou tam jistá omezení. Někde jsem na toto téma viděl nějakou přednášku.
To je jako by jsi chtěl, aby ti na 32bit systému fungovaly 64bit aplikace. Tenhle boj 32bit vs. 64bit taky trval roky a ještě stále trvá. Někdy se ale prostě musí jít dál.
Pokud máš ovšem doma veřejnou IPv4 a aspoň nějaký uplink... :/
V případě IPv6 jde i o síťovou neutralitu. A to hned ve dvou ohledech:
1) ISP nesmí svévolně diskriminovat žádnou službu. Proč teda od normálního ISP můžu na službu IPv4 only, ale nemůžu na IPv6 only bez úsilí na obejítí blokace?
2) Proč ISP bezdůvodně diskriminuje moje, doma běžící, služby tím, že neumožní, aby se na ně někdo připojil a na tu samou věc kvůli tomu musím používat čmoud nebo VPS (v případě CGNAT + IPv4 only)?
A do toho už pomalu vrtá EU. Mám 100 chutí přilít trochu vody do ohně a začít popichovat úřady. ISPíci by si to zasloužili.
IPv6 už je standardní, schválený a legitimní protokol na úrovni IPv4. Na jeho ostrý spuštění měli ISP cca 20 let. Není důvod ho neposkytovat, kromě chronické kokotózy na straně ISP. Kdo ho nechce, ať si ho zakáže na routeru, ale na kabelu jdoucím do routeru by být měl vždycky bez pardónu.
Důvodem pro zavádění IPV6 v práci může být kromě nedostatku veřejných IP adres i nařzení vlády č.982 z roku 2013 - https://apps.odok.cz/attachment/-/down/VPRA9EVEBJYC. Veškeré nově pořizované systémy musí mít podporu IPV6 (platí pro vládní organizace). Pokud třeba dodáváte nějaký IT systém do státní správy, tak bez IPV6 by vás měli vyřadit.
Zkusil jsem pár domén a www.vlada.cz nebo www.mzv.cz jede na IPV6, naopak třeba www.etrzby.cz, www.psp.cz.
"IPv6 není náhrada staršího protokolu. Je to protokol úplně nový. Používám IPv6 skoro deset let a dnes mi to umožňuje používat síť způsobem, jaký by byl s IPv4 nemyslitelný. Ne, že by to na IPv4 nešlo, ale bylo by to z principu tak složité a nespolehlivé, že bych se do toho nikdy nepustil."
Co přesně vám na ipv4 nefunguje spolehlivě a nebo vůbec?
Třeba NAT. Když potřebuju udržet spojení, aniž by mi to nějaký NAT někde po cestě shodil, je nejspolehlivější nastavit IPV6 tunel a TCP spojení přežije i restart routeru.
Jsem přes NAT připojený k zařízením, kde nějaký inteligent nastavil v NATu timeout pro shození nečinného spojení třeba na čtvrthodinu. To se pak některé věci dělají fakt blbě.
On jakejkoli NAT v ceste znemoznuje cokoli na tema "zarizeni se probudi, pripoji, nareportuje ..." protoze nenareportuje, pokud neni otevreny spojeni a to nevydrzi overeny, pokud neprobiha setrvala komunikace.
Se podivej jak to "vyresili" soudruzi v M$ ... ty ti ve skajpu zobrazujou kontakty online i kdyz to uz mesic nezapli.
Nebo si predstav, ze mas nekde 1M cidel, a realne ti rekneme 10 z nich chce nareportovat nejakou zmenu, ale protoze se nemaj jak primo spojit, tak musis ty, jak trotl, kontaktovat kazdy jedno z nich, a zeptat se ho, jestli neco nema. A pokud ty informace chces mit v realnym case, abys na ne moh nejak obratem reagovat ... tak mas TB prenasenych dat naprosto zbytecne.
Klidne se pak muzes dostat do stavu, kdy to prakticky nemuze fungovat nebo kdy na to aby to vubec nejak fungovalo, potrebujes farmu serveru, a desitky Gbit konektivity.
Mě třeba volalo UPC jestli nechci přepnout na ipv6. Jsem řekl že je mě to naprosto jedno. Zároveň mi technik řekl že pokud budu chtít nebo něco nepojede vrátí mě na ipv4 bez 6-tky. Jelikož 85% lidí se zpět vrátilo jedni protože od té doby nedají modem do bridge atd. Znovu jsem mu řekl že mě to nevadí jelikož nevidím důvod proč bych měl mít za modemem ještě nějakou další plečku. A pravda kolik routerů podporuje DS-Lite. No nastavil mi 6-tku a vše funguje jak mé a vůbec mě netankuje že jsem na 4 za natem. A to je právě k smíchu lidi chcou 6-tku ale jak je dají za nat u 4 tak honem už zase 6-tku nechcou
U UPC jako dva problémy, a sice:
- Na IPv6 jsou nesmyslný omezení na straně firmware v modemu. Nejdou obejít ani konfigurací, ani přepnutím na bridge.
- Hodně lidí má jenom IPv4 konektivitu. A pokud si máš vybrat mezi tím, co UPC nabízí jako IPv6 a nastavováním tunelu pro nějakou službu u 20 známých, oželíš tu šestku.
Nabízet přímo autokonfiguraci na lince má smysl v případě, že připadá v úvahu, že na linku bude připojen přímo jeden koncový počítač a ne router. Takže DSL modem v bridge a PPPoE spojení ukončeno přímo až na počítači, pak by měla podpora autokonfigurace smysl.
Ale nenabízí to TMO a ani O2, co jsem postřehl.
Proč se musí v každé diskusi o IPv6 objevit nějaký Lojza, kterému je třeba OPAKOVANĚ vysvětlovat, proč je třeba funkční P2P a co všechno to řeší? Pro tento typ Lojzů mám doporučení: Tak jako běžný zákazník netuší, že existuje vůbec nějaký protokol IP (protože to nepotřebuje, protože aplikace nevyvíjí), Lojzové by měli tuto problematiku přenechat těm, kteří tomu rozumějí.