Názory k článku Využití IPv6 pro směrování v IPv4, segment routing s SRv6, Den IPv6

Nezlobte se ale pro běžného člověka to vypadá jako setkání komunistické strany.

30 let plánování, popis jak to výborně postupuje, kritizování podniků a vrcholové finále, jak to funguje v praxi pro běžného uživatele.

Výsledek? Nefunguje skoro nic mimo steamdeck který to nakonec rozběhne ale nic si nezahrajete. Co dodat...

Čekal jsem opravdu nějaké řešení reálných problémů či návrhy jak minimalizovat zátěž pro konzumenty (např.Návrh na RFC zavazující povinné ND proxy pro routery, povinné minimální /60 pro domácnosti u statických přípojek či 3gpp). Toto z mého pohledu bylo jen zasedání, přednáška, jídlo a domů. Fakt zklamání

Je potřeba především nezapomenout na to, že jde o lokální konferenci o IPv6. Samozřejmě jsou pravidelně zváni zástupci velkých sítí, včetně českých mobilních operátorů, ale je to marné a tyhle firmy nemají o podobnou akci zájem.

Podstatné také je, že na podobných akcích se většinou zdůrazňují problémy a vysvětlují se postupy k jejich řešení. Tak je to všude, na všech oborových akcích. Ani lékaři netráví dny tím, že si říkají, jak je vše skvělé a bezproblémové. Přesto se jim spousta věcí daří, jen nemá smysl o tom přednášet. Podobně je to tady, mně třeba IPv6 funguje všude mnoho let (určitě víc než deset), ale přednášku si o tom samozřejmě nepřipravím.

RFC je věc, která se řeší jiným způsobem, ne na české jednodenní konferenci.

Jako vždy platí, že jde o otevřenou akci. Pokud máte nějaký nápad, jak celou věc posunout, přinést nějaké technické zlepšení, nebo třeba vytváříte to RFC, můžete se příští rok přihlásit a udělat tu akci hodnotnější a smysluplnější.

Jde o stejný dokola se opakující problém:
1) IPv6 statická není na 3gpp - statická nelze
2) všude /64 - a ještě většinou dynamická
3) ND proxy na routerech - buď nefunguje nebo neexistuje vůbec protože prostě NE
4) Plug and play - mimo telefony neexistuje

Probírané zde, probírané na fórech jinde, probírané po celém internetu v několika jazycích.

Opravdu není chvíle na to probrat či navrhnout co s tím v odborné sféře když se sejdou největší kapacity v oblasti IPv6? Vždyť jde o tu myšlenku dostat do povědomí.

Metoda navrhni si svoje RFC když máš problém znamená "Jaké je tvoje doporučení k IPv6? Vypnout a máš po problému" - tohle přece nikdo nechce jinak bych tomu nevěnoval tolik úsilí

1) jde o problém implementace, stěžujte si u ISP; očekávat řešení na konferenci, kam zástupci tohoto ISP nedojdou, je bláhové
2) mohl byste rozvést to "všude"?
3) Vidím, že ND proxy zmiňujete už podruhé - proč ji potřebujete? ND proxy je dost ošklivý hack, který bych rozhodně nikomu nedoporučil používat.
4) Plug and play samozřejmě existuje i mimo telefony. Pokud ISP nasadí IPv6 s prefix delegation a router má IPv6 s PD a IPv6 pro LAN zapnuté v defaultu, tak získá prefix a do LAN začne posílat router advertisementy.

No jenže já bych rád viděl PnP ne jako ISP ale jako správce hotelu/školy/firmy kde si chci udělat zvlášť sítě pro hosty, personál, technologe, dohled.. Tohle tu prostě není :(

Doma jsem zkoušel jet čistě na IPv6. Docela sranda – něco jako lepší adblock.
Pak jsem to hodil na dual stack, ale narazil jsem na to, že během Teams callů (které má manželka prakticky celý den) to začalo padat. Takže jsem se pokorně vrátil k IPv4 a dualstack nechal jen ve vlaně na testování.

Tohle je zvláštní. Teams provozuju na dual-stack síti roky a nikdy mi kvůli tomu síť ani cally nepadají.
Co přesně padalo? Přerušovaly se hovory? Nebo hovory běžely, ale náhle nefungoval obraz nebo zvuk? Co to bylo za ISP?

To bych na IPv6 nesváděl. Funguju na dual stack síti doma i v práci +10 let a takový problém s Teamsy jsem fakt nikdy nezaznamenal. Pokud to nebyla shoda náhod, tak problém bude někde u ISP nebo u vás.

Ja ti nevim soudruh ... ale /60 je nanic.

Mimochodem, WOWko po ipv6 uplne vpohode funguje. Ano, D4 nikoli, to je moc moderni ... tam budou soudruzi ipv6 implementovat az tak za 30 let.

BTW: Odkdy je na netu cokoli pro kohokoli povine? Preloz si tu zkratku RFC.

Tak nevím, ale u mě už cca. přes rok WoWko po IPV6 nefunguje. Co to koupil Microsoft....

Ale ono to funguje, pokud je to dobře udělaný. Pokud ne, je to problém s počítačem. A jsou jenom dva způsoby, jak vyřešit problémy s počítačem - vyhodit počítač z okna, nebo vyhodit okna z počítače.

V podstatě u toho, co používám, potřebuju 4ku jenom na management 12 let starýho switche v pracovně, na přístup do práce (protože kluci, co se starají o síť jsou zdechlí), na připojení z mobilu do domácí sítě (protože mozek průměrnýho manažera T-Mobile má jenom 32b RAM) a na věci od mrkvošrotu - teams, github,...

No nevím, neřekl bych, že portály MUNI a VUT jedou na Windows, ale o IPv6 neví nic.

Pár let zpátky jsem na web MUNI předsadil HAproxy, právě kvůli podpoře IPv6. Ale očividně to nikdo neudržoval, přičemž to bylo bezúdržbově udělané...

On ten web na MUNI (www.muni.cz) jel tehdy na win a teď to bude stejné.

Podle hlaviček je www.muni.cz na IIS, ale is.muni.cz na Apache.
VUT používá nginx a IS je na vut.cz/intra - ale všechno je taky IPv4 only.
V obou případech se mi to jeví jako ostuda.

S widlema je to predevsim tak, ze sou rozbity kazdy jinak a kazdych 14 dnu jinak.

Kuprikladu (raceji si otestovat) v dualstack konfiguraci (= v4 pres dhcp, v6 pres RA) u w10like (tyce se samo i serveru) si veme jak dns z dhcp (tzn 4kovy) tak dns z RA (tzn 6tkovy). Jaky pouziva ... to uz vi jen bill, ale typicky primarne vse na 4ce.

U w11+ ... to ovsem ve stejne siti v6 dns nedostane vubec. Ovsem kdyz se tomu vypne v4 (treba na iface), tak to v6 dns dostane ...

Rek bych, ze s tim mnoztvim ram si to tak o rad prehnal.

BTW: Provozuju nekolik VPN, a uvnitr jsou vsechny v6 only. Nemusim pak resit kdo kde pouziva 10/192/... adresy.

"Provozuju nekolik VPN, a uvnitr jsou vsechny v6 only" - a to provozujes pro sebe? Pro rodinu? Pro nejakou malou firmu? Az zkusis provozovat IPv6 only v nejakem korporatu (s ruznou obsolete technologii) nebo az zkusis provozovat IPv6 only pro 10000+ uzivatelu tak zjistis ze to IPv6 only nefunguje protoze spousta sluzeb na IPv6 proste prdi. Mohli bychom zacit u ceskeho governmentu ktery pres 20let stare narizeni na IPv6 prdi...

Provozuju to pro pidifirmycky s nejakejma tema drobnema obratu v GKc.

Nevsim sem si ze by se treba obchodak potreboval pripojovat na v4 switch, kterej stejne nic jinyho nez telnet neumi. Zato sem si vsim, ze se nepripoji vubec nikam, kdyz bude mit (jako ze bude) ve svy domaci siti stejnej privatni v4 rozsah. Chtel bych videt japa to resis. Jezdis osobne jakzdymu domu tu sit prekonfigurovat? A tutez sluzbu delas pro obchodni parnery? Fakt? Dojedes si rekneme treba do germanie, a managorovi trebas OBI zacnes vysvetlovat, ze si maj precislovat svoji sit, protoze jinak se do tvy nepripojej? ...

Nefunguje skoro nic? :-) A k tomu jste dosel prosim presne jak? Ano, v te prechodove fazi, ve ktere se dnes nachazime muze dochazet k dilcim drobnym problemum, ale ze by nefungovalo nic bych fakt netvrdil. Byvaly doby, kdy se v sitich vedle sebe podobne provozovalo IPX a IP... ta koexistence take nebyla vzdy optimalni a resenim bylo se IPX proste postupne zbavit. No a u prechodu na IPv6 je to podobne..

Jenže ten přechod trval cca 2-3 roky.. Co jsem byl na škole tak po IPX/SPX a NOVELLu oak neštěkl ani pes.

IPX nebyl jen Novell, byt ten se nejvic zaslouzil na jeho popularite. Ale on ten protokol se jednoduse konfiguroval a i ovladac zabral min pameti. A o dual-stackove (ci nedejboze vice-stackove) site jsem zakopaval teda mnohem dele. Pointa je, ze historie se jen opakuje. V pripade IPv6 se nekteri jedinci aktivne brani prechodu... no to jsme si s IPX zazili take, kde se ho nekteri nechteli vzdat, i kdyz i v tom Novellu podpora pro IP pak take byla.

Drtivé většině jedinců je to hlavně a především úplně jedno. Což je taky důvod, proč je to ve výsledku dost jedno i mnohým ISP, službám a dalším. Fakt to není stejné jako tehdy. Prostě proto, že penetrace připojení k libovolné síti je mnohořádově vyšší než tehdy o penetraci mezi neodbornou veřejností ani nemluvě. Východiska i komerční tlak je tedy velmi výrazně jiný.

(A jsem zvědavý, kdy tu Hornik začne trollovat/stal­kovat.)

"Jenže ten přechod trval cca 2-3 roky"

lol ...

Doom znas? Zjevne ne. To pouziva prave IPX.

Dlouhy roky byla naprosto bezna konfigurace takova, ze v siti fungovalo oboji, jak IP, tak IPX (ve skutecnosti neni zadnej problem v raci segmentu IPX provozovat i dnes). "Vyhoda" prechodu byla v tom, ze jaksi IPX se pouzival pouze lokalne. A novell ve skutecnosti u tech poslednejsich verzi umel i IP. Zato widle dlouhou dobu neumely sitovat vubec a musela se do nich vzdy hromada veci doinstalovat.

Ostatne soudruzi z MS par let protlacovali (neuspesne) svoje predstavy o sitovani.

Začínal jsem na Novellu 2.x, používal jen IPX. Konfigurace byla primitivní, adresa uzlu se skládala z adresy sítě a MAC adresy síťové karty. Adresa sítě (myslím 8 hexa číslic) se nastavila na síťové kartě serveru/routeru, a to bylo vše. Klient poslal "Get Nearest Server", server odpověděl "Give Nearest Server" a oznámil vše, co klient mohl potřebovat (onu adresu sítě, seznam souborových, tiskových a jiných serverů a routerů). S Novellem 3.xx se objevila podpora IP, ale ne pro přístup k nativním službám. Server se ovšem dal použít jako multiprotokolový router (RIP) a podporoval TCP/IP aplikace (NLM moduly). Asi nejdůležitější byla sada Mercury (klient a server SMTP a server POP3, umožňovala vyměňovat poštu mezi světem IPX (DOSová aplikace Pegasus) a Internetem. Konfigurace IP adresy u klientů se dělala staticky nebo pomocí RARP, teprve později se objevil bootp (pro Novell napsal p. Meloun z ČVUT) a ještě později DHCP.

"V Asii už jsou v takovém stavu, že CG-NAT mají tak přetížené, že provoz po IPv4 je několikanásobně pomalejší než ten po IPv6. Cena velkých řešení pro NAT je vysoká, dolarová cena začíná na šestimístných částkách."

Nebylo by v takovém případě lepší nasadit transparetní PROXY server? To se bude lépe škálovat . Koneckonců mi přijde že dneska je jednodušší mít jednu (jeden /30 rozsah pokud chcete HA řešení) IPv4 na HAPROXY a zatím ty desítky web serverů než mít IPv6 a nad tím nějak řešit LOAD BALANCING.
To samé u klientů.. Postupně přicházím PROXY zase na chuť, jelikož se lépe řeší antivirová kontrola, kontrola přístupů atd.. A popravdě dneska už skoro všechno běží na HTTP(s), kde jsou ty doby kdy co služba to protokol (WinTALK, IRC, Skype, ...). Dokonce už i DNS jede přes HTTP(s).

/30 je zbytecne plytvani :-) Na ten balancer si klidne muzete tu IPv4 poslat pres IPv6 nexthop.

"nasadit transparetní PROXY"

Zkousel si to nekdy? To ti rozbije i web. Natoz cokoli dalsiho. Neni nahodou jednodussi a radove levnejsi provoz proste odroutovat? Jasne, nekteri samozrejme neprestanou propagovat vohejbaky narovnavaku.

Každý rok je to stejné.

IPv6 je připravené k nasazení,
jak to že ho ještě nemáte?

A pak proběhne celá konference o tom, že to zas tak moc nefunguje a jsou potřeba rovnáky na vohejbáky.

A taky, že k provozování IPv6 potřebuji IPv4 :facepalm: .

Já si počkám na IPv7 ;-)

Tak co konkrétně nefunguje?

Telekom napríklad

Co konkrétně nefunguje? To že to nějaký operátor jako nemožný T-Mobile neumí, není problém IPv6, ale problém toho že jsou ty poskytovatelé neschopní a úplně mimo.

Už jsem to tu psal, konference nikdy nebude o té hromadě věcí, která normálně funguje. Vždycky se bude mluvit o tom, kde to dře a co je potřeba ještě vyřešit. Podle toho se nedá poznat pokrok v žádném oboru.

OK, to je relevantní připomínka.

Pokud by na té konferenci byl JEDEN blok, věnovaný tomu co, jak a proč nastavit (tzn. popsány ty rovnáky na vohejbáky), aby spolehlivě fungovala síť dualstack a/nebo IPv6 only se všemy relevantnímy konsumer zařízenímy (Win, Mac, Linux, IPhone, Android 12+, herní console, settopboxy ...) tak mi zavřete ústa.

Protože to opravdu je jen o těch rovnácích a ohejbácích nad blbě standardizovaným protokolem (a ne, že ne ... ne/existence privacy extension, ne/existence DHCPv6 nebo obdoby, ...)

Ale my nejsme ve stavu, ze by dualstack nefungoval. Ten funguje a je to easy-peasy. Ale dualstack neni konecna stanice, je to jen jeden (z nekolika) prechodovych mechanismu. Dnes uz se bavime fakt spise o tom, co se pokazi, pokud eliminujeme dualstack. To jsou ty rovnaky na vohejbaky - a o nich jsou i ty prezentace.

A ano, obcas se od vas chce malinko zmenit mysleni a mj. zbavit se zakorenenho, ze IP adresa musi mit pridelenou vazbu na MAC. Nemusi, tohle si ten "IT staff" muze dynamicky vytahovat ze zarizeni a nespolehat jen na to, co jakoze prideli DHCP server. Aneb chce se posunout se od toho mysleni, ze L2 identifikator je stredobodem vesmiru. Ono v dobe, kdy ty "privacy extensions" vam realne operacni system bezne implementuje uz i na urovni tech MAC (aneb doba, kdy MAC byla pevne zadratovana v zarizeni je uz davno pryc) vam beztak moc alternativ nezbyva.

No právě, že tohle vůbec není problém.

Ale ... už máme jednotný mechanismus jak stroji který má své vygenerované/dy­namické IPv6 adresy, předat domain name, DNS servery a NTP nebo dokonce boot image?

Nebo se to lepí pro Win, Mac, Linux, IPhone, Android 12+, herní console, settopboxy ... zvlášť protože na to při standardizaci nikdo nemyslel, tudíž vznikl bordel který dohromady funguje všude stejně "dobře".

Jak je podporováno NDP (2017)? Už nemusím k němu ještě pouštět DHCPv6? A vlastně je DHCPv6 podporováno všude? ... vohejboáky na rovnánky ...

Ze je potreba k provozovani IPv6 taky IPv4 se dozvidam dnes poprve :-) Kde jste k tomu prosim prisel? Ja ze jsem o tomhle jeste dodnes neslysel.

Vše najdete v článku který komentujete ...

viz Ondřej Caletka: Problémy s provozem interních služeb na IPv6-only
"To je vlastně konec celého příběhu, bylo nutné se vrátit k dual-stacku."

a špeky jsou i zde

Radek Zajíc: Windows, VLAN trunky a IPv6: věční nepřátelé
zde
Tomáš Tichý: Hrajeme si s IPv6
zde
Radim Friedel: Active Directory a SMB bez IPv4

... a než budete argumentovat tím, že je to problém OS (Win, OSX, BSD a letos nezmíněný Linux a Android), tak vám dám za pravdu. Přesto to znamená, že pro koncáka síť "NEFUNGUJE".

Geneze toho proč po 30 letech je IPv6 v tak zoufalém stavu je to, že prostě nepřináší žádnou velkou výhodu (ale spíš starosti), aby stálo za to na ni rychle přejít. Děje se to v zásadě jen ze dvou důvodů - nedostatek adres a při redesignu infrastruktury (když už, tak ať tam je ...).

Pokud by chtěla nějaká firma udělat něco pro rozšíření IPv6 tak ať nasadí zajímavou službu IPv6 only ... ale to se asi nikdo nechystá, protože by to mohlo vést k bankrotu, že?

Windows bez IPv4 fungují.
Jen nejdou aktivovat.
Bez aktivace se vůbec nespustí.

Chodí to výborně. Ale neseje to :-D
https://www.youtube.com/watch?v=qweGQRJ9tKw

Ale ano, oni sa bez aktivacie spustia. Dokonca od w10 ani moc nepindaju, ze su neaktivovane.

To je sice pravda, ale mimo téma.
Je velký rozdíl jestli si během instalace čuchne k IPv4 a až po instalaci ji zakážete.
A nebo od začátku jede IPv6 only.

Když jsem IPv6-only zkoušel naposled tak win vyhodnotili že úmyslně blokuji aktivační servery a začali se chovat jako bych byl pirát. Restrikce jsem měl po prvním restartu.

Ano, ten proces mozna stale neni dokonaly - ale to jsou veci, ktere se v case odladi. Nazory typu "kdyz jsem zkousel naposledy" - aniz by se treba uvedlo, kdy ze to vlastne bylo jsou v tomhle smeru naprosto o nicem. Veci se vyviji... a to dost rychle. A byt v tomhle otrokem minulosti neni uplne... optimalni pristup.

Neodladěné za 30 let existene IPv6 (v moderní době) je asi nejlepší ukázka. První verze IPX/SPX byla nasazena s NetWare 2.x kolem roku 1983–1984, za 15 let jsem ho už nikde nepotkal a to se bavíme o době kdy se věci tak rychle neměnili jako dneska.

Widle bez aktivace uplne normalne fungujou, jen se neda nastavovat "vzhled". A aktivovat je lze i uplne bez site, jak bys vedel kdybys o tom neco vedel.

A i kdyby to neslo, je zcela legalni pouzit libovolny aktivator, protoze ze zakona je kazdy opravnen k jakemukoli zasahu vedoucimu ke zprovozneni SW ktery ma legalne.

Třeba jim jejich PR oddělení vyhodnotilo, že mají nedostatek "živé" komunikace se zákazníky a chystají se zvýšit oblibu aktivace po telefonu.

Nedávno jsem takhle aktivoval XPčka protože to nefungovalo ani po IPv4.
Ten retro zážitek doporučuji všem odvážným ajťákům/čkám.

13. 6. 2025, 14:57 editováno autorem komentáře

NIX.CZ zdá se používá pro SRv6 špatný prefix. fc00::/8 by existovat neměl Pro SRv6 SID byl stanoven prefix 5f00::/16 (RFC 9602). I když možná to vzniklo tím že začali dřív než RFC vyšlo. Každopádně pro nové nasazení SRv6 fc00::/8 nepoužívejte použijte 5f00::/16.

Ano, ten standard je pomerne mlady - a SRv6 tu kolem poletuje uz par let. fc00::/8 aka ULA se pouzivalo naprosto bezne, dokonce to je mj. zminene v RFC8986.

NIX.CZ SRv6 (zatím) nepoužívá. Pokud je to reakce na prezentaci, pak to byl ilustrační příklad pro vysvětlení principu adresování. Na konferennci proběhla i krátká diskuze ohledně rozsahu fc00::/8. RFC 9602 je z října 2024 a má status Informational.
Na konferenci jsem zmínil, že je vhodné vybrat pro první 4 nibbles něco více unikátního než "CA:FE, BE:EF". Pokud se rozhodnete pro 5f00::/16 přijdete také o první 2 nibbles, takže již vybíráte pouze "FE, CA, BE nebo EF".