Názory k článku Získat IPv6 dnes není pro poskytovatele problém, stačí ji dovést k uživatelům

"Příkladem je například komunikace s O2, která byla už mnohokrát upozorněna na to, že by měla dávat více adres než /56."

Klasika. Standardní je připojení do jejich sítě (ne do internetu) a nezbytný minimum služeb. A plať za každý pšouk. Chceš veřejnou IPv4? Zaplať. Chceš doma udělat WiFi pro hosty a nestačí ti /64? Trhni si ploutví... :( Tady je opravdu jenom jediná možnost, zrušení smlouvy s odůvodněním, že služby nedosahují standardu u konkurence.

Bohužel, hodně lidí o tom neví :( Známí často koukají jak bagr na tvrdou hlínu, co všechno se dá po netu dělat. A chtěli by ty vychytávky (jako sdílení souborů na domácím disku) taky. Jenomže většinou z nich vypadne, že mají parodii od O2 (čímž pro ně hodně věcí padá), ze mě pak doporučení pořídit si připojení k internetu (který O2 umí, ale za několikanásobek toho, co oni platí). Následuje jejich údiv nad tím, co by měli mít a nemají.

A u lokálních ISPíků? Tam taky někteří nadávají, že jim online hry píšou, že z jejich IP adresy už hraje deset lidí a nemůžou se připojit, brblají na nefunkční torrenty, ale raděj dají 350Kč WiFinářovi za pět NATů, než 400Kč za VDSL s vlastní IP adresou a IPv6...

@Petr M

"A u lokálních ISPíků?"

Tam jsi kolikrát rád, že si vůbec něco zahraješ ...

Teď už ale ty IPv4 definitivně došly!

Diky, moc zajimave cteni.

Když jsem chtěl od PODY prefix /56, protože musím z vnitřní sítě používat VPN tunel s NDP proxy, tak mi odpověděli, že to nejde a s NDP proxy si musím vystačit.

PODA? To je ta firma, na jejíchž stránkách dám Pokrytí - JM kraj a vyskočí Brno, Karviná, Modřice, Orlová, Ostrava a Znojmo? A co nemají na webu informace o službách, jako dostupnost IP adres a další? No tak vybírat si připojení, tahle banda vypadne v prvním kole už jenom kvůli tomuhle. Copak to jde, poskytovat někde připojení a ani nevědět, kde to místo je?

Asi před 2 roky jsem po nich chtěl IPv6. Prý pouze pro firmy. Tak jsem si nějak složitě dojednal firemní tarif. Nakonec to lehlo na to, že ve smlouvě měli jakýsi zápis do registru dlužníků či co, a to jsem řekl, že jako fakt ne (dnes s GDPR by to už asi neprošlo). Mimochodem prvním znamením, že něco se službou není v pořádku, je, že smlouva je delší než 2 strany. Tahle měla 7 a 3 prde-le háčků. Není to dobré.

Jestli šestkové adresy stojí poskytovatele 1800 euro ročně tak se nedivím, že to malí ISP nedělají... Veřejných čtyčkových adres mají pro exoty, kteří je chtějí (já ji chtěl), stále dost a ostatním (běžný Franta zákazník) jsou ip adresy španělská vesnice. Šestku takhle neprosadíme :-)

Tos ale nepochopil.Těch 1800€ musí platit tak jako tak.

ISP potřebuje IP adresy. K tomu musí být LIR a zaplatit ty poplatky. No a LIR dostane balík /32 pro zákazníky automaticky zdarma (a může jít až na /29). Ostatně, za ten poplatek má i svůj stávající balík veřejných IPv4.

Pokud nějaký ISP zároveň není LIR, nedisponuje oficiálně žádnou IP adresou pro zákazníky a nesmí je přeprodávat. Ale děje se to, ISP si použitím IP adres jeho dodavatele (s NATem 200:1 za třema IPv4 a bez IPv6) snižuje náklady proti konkurenci a může si dovolit nižší ceny.

Tam by naopak pomohlo, kdyby oficiální ISPíci rozmlsali zákazníky IPv6 a službama na nich (VoIP,...), takoví experti bez adres by pěkně odpadli a hádej, kdo by shrábl přípojky po nich?

Ten váš fachidiotismus je fakt neskutečný. V několika threadech vám vysvětlím, že BFU je IPv6 celkem k ničemu a vy stále žijete v přesvědčení, že každý uživatel je buď síťový technik, nebo alespoň má síťového technika za potomka. A ani zjevný rozpor s realitou (IPv6 už minimálně někteří poskytovatelé mají, přesto se žádný úprk nekoná) vás nepřesvědčí, že by na vašem pohledu mohlo být něco špatně.

@Petr Krčmář

Dovolím si nesouhlasit. Většině lidí je to jedno, protože o tom ani neví, nerozumí tomu a tak hezky jako s PSČ jim to nikdo ani nezkusil říct. Takže těžko od nich čekat, že budou sami tlačit na změnu, když ani neví co ipv4 znamená - a nemusí, stejně jako Vy nebo já neznáme běžné normy na číslování zkumavek ... A kde je CZ.NIC s nějakou iniciatinou, osvětou nebo přímo nápadem?

Tenhle příměr trochu kulhá, protože to je jako bychom kvůli chybějicím PSČ na celém světě začali stavět nové pošty a pro jistotu zavedli i nová jména ulic a číslování domů. Jo a ze starých pošt by nebylo možné posílat zásilky na nové adresy a obráceně.

Je to tak. Řešíme tu umělý problém, který měl být dávno vyřešen. A vzhledem k tomu, že ten přechod dřív nebo později nastane (protože jiná jednoduchá varianta není), udržování současného, přechodného stavu je vyhozeními penězi. Ale vzhledem k tomu, že poskytovatelé obsahu se už zařídili, ale poskytovatelé připojení nechtějí, musel by se najít mechanismus, jak mohou poskytovatelé obsahu tlačit na koncové uživatele. U uživatelů obecně na chápání nelze vsadit, takže je třeba využít jejich podstaty - pudy (koneckonců Mohamed to dělal taky a jak je oblíbený!). Dodnes se chechtám, když si vzpomenu, jak nějaký diskutér napsal: „Dejte každému, kdo se do World of Warcraft připojí přes IPv6, bonusový meč, a do týdne budou na 6 všichni.“ Nebo třeba pornokanál zdarma po 6. To by byl cvrkot. Jinou možností je zájem státu, ale ten tu zatím není. Další možností je tlak na ISP - zdarma nebo levně tunel 4 v 6 pro ně, ale to už jsem psal.

@PK: Poněkud se vlamujete do otevřených dveří. Já tohle všechno vím. Z pohledu BFU mluvím, protože spousta lidí ho vůbec nebere v potaz a přitom BFU tvoří drtivou většinu zákazníků. A ten pohled vysvětluje častý údiv techies "Jak to, že tu ještě máme nějaké IPv4, když je IPv6 o tolik lepší?!".

> Celý tenhle problém je hlavně absurdní a umělý,

Náklady ISP jsou umělé? Tohle je přesně ten přístup, který se táhne IPv6 od začátku. Když to trochu zjednoduším, tak IPv6 vymysleli akademici (kteří si do něj promítli svoje teoretické krásnopředstavy) a výrobci síťového HW (kteří si zařídili, aby se dobře implementovalo v jejich výrobcích). Jen nějak nepřizvali žádného zástupce (koncových) ISP s tím, že implementace v sítích "se nějak udělá". Jenže ona "se neudělá", on ji musí někdo udělat a stojí ho to čas a peníze a přitom výsledkem je pouze to že síť funguje jen o malý kousíček lépe, než předtím.

> IPv6 potřebuje především „druhá strana“ – tedy provozovatelé služeb.

A co tedy dělají provozovatelé služeb pro to, aby se IPv6 rozšířilo? Zvýhodňují třeba zákazníky po IPv6? Prakticky ne. Takže ho asi také tolik nepotřebují...

Ale přece síťový technik je potřeba na IPv4. Už jsem několikrát psal, že
- v IPv6 je pro BFU nastavená tak luxusní autokonfigurace, že jenom zapojí dráty
- i BFU dokáže komunikovat se zařízením v domácí síti bez studia nastavení firewallu a maškarádování
- nemusí řešit konflikty, protože ISPík mu dá na přijímač místo bridge NAT1:1 na 192.168.1.1 a jeho domácí router má jako výchozí adresu v LAN 192.168.1.1 a DHCP dává 192.168.1.20-192.168.1.45
- nemusí se rozčilovat, že se nepřipojí VPNkou do práce, protože doma i v práci je za NATem a jede na 192.168.1/24
- spustí torrent klienta a ono to funguje

Ano, místo, co byste se nad mými argumenty zamyslel, tak stále opakujete svoje argumenty, které jsou ale mimo.

Na IPv4 je potřeba technik jen na rozchození. S IPv6 kdykoli chci nějakou z možností co dává začít využívat, tak pokaždé stejně potřebuji zásah někoho znalého, aby to povolil na firewallu.

> - v IPv6 je pro BFU nastavená tak luxusní autokonfigurace, že jenom zapojí dráty

Ano, ale ta autokonfigurace nefunguje sama od sebe, ale ISP musí věnovat práci a čas na nastavení té autokonfigurace ve své síti. A hlavně dnes těžko může jet BFU v6 only, takže stejně se mu musí rozchodit i v4 a tedy že se IP v6 autokonfiguruje vlastně nic neušetří.

> - i BFU dokáže komunikovat se zařízením v domácí síti bez studia nastavení firewallu a maškarádování

A jak překoná ten firewall? To má šestkový firewall nějakou křišťálovou kouli, že pozná, které spojení pustit, aniž by to někdo znalý (tedy ne BFU) předtím nakonfiguroval?

> (konflikty)

To jsou okrajové případy, které nehrají v celku roli.

> spustí torrent klienta a ono to funguje

To mi funguje i na (natované) IPv4.

No, byl jsem u jednoho ISP, který byl podle jejich slov IPv6 ready. Se sítí postavenou na Ubiquity (!!!).

Ovšem jenom do chvíle, než jsem ho vzal za slovo a požádal ho s vidinou zbavení se tunelu mailem o IPv6 /56. Kasika - "ale přece je vám to nanic, všechno funguje", "nikdo to zatím nechtěl", "kvůli jedné přípojce se nám to nevyplatí zapínat", "kupte si extra linku v licencovaným pásmu a tam vám to zapneme", "a nechcete raděj druhou veřejnou IPv4?"

Maily mám ještě schovaný...

Co uděláte, když vás začnou zákazníci bombardovat stížnostmi, že jim nefungují služby, které jim fungovaly hladce 10 let? Začnete je tlačit, aby si stěžovali u poskytovatelů služeb, které z jejich pohledu fungovaly bez problému? Tak to vám pak odejdou k prvnímu, kdo jim nacpe privátní IPv4. Takže se na to zvysoka ... a začnete to dělat podobně. Jen jim možná dáte tajně IPv6 adresu navíc, kdyby náhodou ti zvěstovatelé globálního pádu internetu měli pravdu.

A co uděláte, když si začnou stěžovat, že jim on-line hra (prevence botů) hlásí příliš mnoho hráčů na IP adrese? Vykopnete je dokud si nepořídí IPv6 a ztratíte zákazníky? Ne, zvýšíte limit hráčů na jedu IP a jedete dál.

Ne, že bych IPv6 zavrhoval, ale tak dlouho ten vývoj probíhal, různéskupiny k tomu přibalili spoustu funkcní, které stejně nikdy pořádněfungovat nebudou. Co mne konkrétně na IPv6 vadí:

1. nefunguje DHCPv6 na mobilních zařízeních, konkrétně android Samsung.(možná novější už to podporují, nevím.) Mobily použivají jen nabídnutýprefix od routeru, a k tomu použijí privacy extension.

2. V případě připojení PC dvěma rozhraníma (jedno např. public, druhýv management segmentu), DHCP připojené přes relay nemá, jak přidělitoběma rozhraním různou IP adresu. DHCPv6 je postavené na DUID, jezdnoznačnýi­dentifikátor, který se ovšem posílá na všech net-ifacech stejný.

3. Síťové prvky moc často nepodporují RA guard. Tedy dostáváme se o20 let zpět, kdy fungovali ARP útoky, kdež to ARP inspekce už navíce řazeních existuje.

4. Privacy extension je noční můra pro dohled. Příve stačilo monitorovatARP a MAC tabulku, kde bylo X záznamů. S PE narostou dramaticky nárokyna dohled. Je nutné ukládat všechny vycucané IPv6 adresy klientů a párovatje s použitým portem klienta. U IPv4 je 1 záznam na 1 klienta u IPv6 jichje několik do hodiny. V případě velké sítě a skladování informace několikměsíců databáze pěkně naroste.

5. Nedostatečná podpora ze strany klientských routerů pokud dostanou přesDHCP PD. Ne každé klientské zařízení si s tím poradí.

6. Různorodost DUID typů. Aktuálně jsou 4 typy DUID identifikátorů­.Potíže s přiřazením rezervované IPv6 adresy pro klienta, protožeDUID je spojeno s operačním systémem. Pokud někdo na stejném HW provozuje3 systémy, každý z těch systémů si vygeneruje jiné DUID a tedy na DHCPserver pošle 3 různé požadavky - tedy těžko se pak děla rezervace IPadresy - obvzlášť je potíž, pokud DHCP je za relayem...

7. HW nároky na router/switch. Nároky na držení IPv6 v paměti enorměvzrostly. Sice výrobci IPv6 podporují, ale už vám neřeknou, že jev HW místo jen pro X IPv6 adres a při jeho překročením zařízeníse přepíná do SW zpracování, protože HW má limitované místo. Nemluvímtady o zařízeních za Y mil, ale běžná zařízení. Ty nároky na vše v HWšíleně vzrostly - s privacy extension se problém násobí, protožeswitch/rou­ter musí držet info o mnoha adresách per klient.Je rozdíl mít v paměti routeru 100k IPv4 prefixů vs. 100k IPv6 prefixů.Nebo v případě access switche mít 2000 ARP (6bytových) záznamů vs.2000 * (16bytů) * X, kde X je počet adres vygenerovaných dle privacyextension měněných každou chvíli.

8. Potíže můžou dělat i rozšířené hlavičky. Případně použítí fragmentaces rozšířenýma hlavičkama. Další možný vektory útoku na síťový provoz.Opět, co se v počátku jevilo jako dobrý nápad je v reálu pěkný průšvih.Protože výzkum nepředpokládá, že ten návrh někdo zneužije, a všichni,že tu fci budou používat dle RFC. Realita je však jiná.

9. Osobně nechci, aby byly různa IoT zařízení vystavena do netu.(Mnohem rozumnější mi přijde, když je vystavena nějaká proxy, která tyzařízení zastřešuje).Některá zařízení co mám doma, měli podporu od výrobce cca 3 rokypo koupi. Tím, že jsou zařízení za NATem, a téměř s okolním světemnekomunikují, jsou alespoň +- uchráněna od útoku zvenčí. Protože budouděravá, jak řešeto. S IPv6 je rozhodně nezbytnost mít použitý stavový FW,což ovšem rozbíjí myšlenku volnosti v přístupu k zařízením z vnějšíhosvěta. Toto beru z pohledu "dědečka", který si jisto jistě nebudekonfiguovat FW a nastavovat, na které adresy se může komunikovat zInternetu a na které ne. S IPv6 vidím jako zásadní potíž vzniku megabotnetů s mil. napadených ledniček. Chápu, že někdo preferuje otevřenosta právě tu možnost přístupu z vnějšku, ale majorita společnostitoto není schopna bezpečně provozovat.

Tedy jak pro koho je 6tka dobra. Urcite nekomu se libi ale ... mouchy tam jsou a poradne.

K bodu 4:
Proc bys mel zaznamenavat kazdou, i vycucanou z prstu, adresu? Proste vis, ze zakaznik X ma prefix 2001:db8:85a3­:8d3::/64 a zakaznik Y ma prefix 2001:db8:85a3­:abcd::/64. Tebe zajima jen hornich 64 bitu, co se deje s tema spodnima ti muze byt ukradene. Naopak ti to logovani znacne zjednodusi.

Zákazníci/uživatelé dostávají (mohou si brát) IPv6 ze sítě /64, tedy to /64 není unikátní per uživatel... Tedy v té IPv6 síti (/64) je cca 250 klientů, co má 250 IPv4 adres a cca 400 IPv6 adres, asi ne všichni klienti mají povolené IPv6. Monitoring musí dohlížet všechny, ne jen prefix,protože ten je pro všechny společný. Logování prefixu by fungovalo, pokudby ISP dávalkaždému uživateli jiný prefix, ale to nebývá ještě zvykem. Taky je otázka,jestli klient nemůže použít pak jinou IPv6 (z jiného prefixu)...

Ja ti moc nerozumim. Ty jako ISP dostanes dejme tomu /29 a z toho rozdelujes prefixy na jednotlive pripojky.

Na jednu pripojku das /64 a zbytek neresis. Co si s tim prefixem udela spravce te pripojky je jeho vec, klidne si muze vsech 2^64 adres naaliasovat na jedno rozhrani.

Az za tebou dojdou policajti s tim, at jim identifikujes kdo pouziva adresu 2001:db8:85a3­:abcd:0123:de­ad:beef:cafe, tak jen mrknes do databaze a podle hornich 64 bitu vidis, ze tu adresu mel nekdo z pripojky psane na Frantu Vomacku z Horni Dolni 26.

Pockej, ty chces rict, ze existuji ISP, kteri maji jednu /64 pro vsechny?

A proč musí být koncová síť monitorovaná par uživatel? Ze zákona nic takovýho neplyne. Tohle vymýšlí možná tak ocásci na pražským magistrátu do lamp, aby moli šmírovat lidi.

A i kdyby, jak podle DUID ztotožnit konkrétní osobu/zařízení, pokud je nemám v registru (čímž by se z DUID stal osobní údaj a museli by dávat souhlas)?

PE je navrženo proto, aby házelo klacky pod nohy šmírákům jako ty. A koukám, že se to celkem daří.

Myslim ze jsi nepochopil k cemu PE je navrzeno. PE neanonymizuje adresu pred isp ale pred poskytovatelem sluzby. Isp ma moznosti jak zjistit komu dana ipv6 patri.

Koncova sit musi by monitorovana ze zakona. Kdyz prijdo cajti s papirem od soudu tak je nutne identifikovat majitele ipcka.

Ale ano potřebuje, ale pak už nedává smysl použítí ipv6, protoze se to stejne dostane na funkci ipv4 s NATem.

Tim Ipv4 natemje mysleno to ze si uzivate nemusi konfigurovat vyjmky ze stavoveho fw v pripade ipv6 ale nat pro ipv4 je pro klienta bezpracny. Nic nastavovat nemusi jen povoli nat.

NAT bez firewallu není nijak bezpečný, je dost snadné jej obejít. Většina domácích routerů ale má NAT se stavovým firewallem, s IPv6 tak zahodí NAT a nechá firewall. Uživatel nemusí nastavovat vůbec nic. Zásadní rozdíl oproti IPv4 s NATem je ale v tom, že pokud uživatel chce, může nastavit některé IPv6 adresy do DMZ nebo povolit nějaké porty pro vnější přístup a ono to funguje. S NATem je to dost problém, třeba VoIP je bez proxy sázka do loterie.

"nat pro ipv4 je pro klienta bezpracny."

Tak to ani náhodou. Musí si zvolit IP adresu NATované strany, navíc tak, aby nekolidoval s žádnou používanou VPNkou (v IPv6 mu přijde celosvětově unikátní prefix automaticky), musí nastavit počáteční adresu DHCP poolu a jeho velikost (v IPv6 je to celá síť /64). Musí nastavit pravidla na FW, aby rozsah NATu dropnul z WAN rozhraní, jinak se to dá snadno prostřelit (v IPv6 nemusí privátní adresní rozsah používat, tak ho neřeší). Musí nastavit maškarádu (v IPv6 neexistuje). Atd.

Ne, pak nedává smysl použití IPv4.

FW je tam tak jako tak, ale u čtyřky je navíc NAT, VPN, maškaráda a UPnP, takže víc věcí, co se může podělat a komplikuje život.

Peter:
A co ten zbytek, který je třeba propustit dovnitř a dovolit komunikovat napřímo? A co použití standardních portů bez potřeby přemapování kvůli obsazení?

> Ale ano potřebuje, ale pak už nedává smysl použítí ipv6, protoze se to stejne dostane na funkci ipv4 s NATem.

To je casty omyl, ale neni tomu tak. Skrz firewall bez NATu je mozne navazat ptp spojeni, pokud je navazovano z obou stran zaroven s pomoci verejneho zprostredkovatele (napr. VoIP nebo ptp hry).

Bod 1: to je feature, nie bug, a moze za to Google, urobili to naschval na vsetkych androidoch:

"Implementing stateless DHCPv6 does not provide much in the way of additional functionality above what Android 5.0 supports. ...Implementing stateful DHCPv6 would break planned use cases such as IPv6 tethering (which would require implementing IPv6 NAT in order to work with DHCPv6) and 464xlat on wifi (which requires that the device be able to use more than one IPv6 address). It also has greater privacy implications than stateless autoconfiguration and DHCPv4. Stateful DHCPv6 will provide the ability to connect to IPv6-only networks that don't use RDNSS, but because stateful DHCPv6 will in general not provide the two IPv6 addresses that are required to run native and 464xlat, such a network will not support IPv4-only applications; this will impact users, because they won't be able to use applications such as Skype, Hangouts, and many others."

Asi tak. Nepochopil jsem jedinou věc, proč si na mobilu nebo tabletu komplikovat život s DHCPv6, když tam stejně nepoběží DB nebo web server, na který by se člověk připojoval a na konzumování obsahu je potřeba unikátní IP adresa, ne fixovaná/vnucená IP adresa.

Protože nevíš, jestli v síti ti poběží jen mobilní zařízení. Může se stát, že v jedné síti chceš provozovat stanice i mobilní zařízení. To nebude asi přesně případ ISP a domácího připojení, ale třeba nějakého podnikového řešení. Příkladem třeba síť zaměstatnanců a jejich mobilních zařízení. Tam pak DHCPv6 dává smysl. Řešením, a neříkám, že špatným, je pro mibilní síť udělat separátní siť, kde nebude DHCP a pro zaměstnanecké PC udělat DHCP (s rezervací IPv6 adresy). Jen zmiňuji vlastnost, že DHCP nepodporují všechna zařízení a od některých zařízení bych to chtěl. Z mého pohledu IPv6 není dotažena.

No a co se stane, když v jedné síti jede RA + PE a DHCPv6? Stroje, který používají DHCPv6, dostanou nějaký adresy. Stroje s RA budou mít stejný prefix, ale vygenerují si náhodná 64b číslo. Pak se zeptají, jestli je někdo používá a pokud je obsazeno, zkusí další. Dokud se netrefí na volnou IP adresu. Takže pokud DHCPv6 nevnutíš dvěma strojům stejnou adresu, máš šanci n:2^64, že se připojením stroje s DHCPv6 trefíš na používanou adresu (n je počet zařízení s PE v síti).

Nemusí jít o server, jakékoliv P2P potřebuje znát adresu (neuvažuju multihoming či jak se to jmenuje).

Přesněj, potřebuje tři věci.
První je , že obě zařízení mají IP adresu.
Druhá je, že na sebe zařízení vidí
Třetí, že zařízení, který inicializuje spojení, musí znát IP adresu protistrany

Pokud chceš z mobilu na web, potřebuješ IP adresu web serveru, web server nemusí tušit, že existuješ. A v rámci komunikace mu svou adresu předáš.

Otázka je, co je tak zásadního na mobilu, abys ty zvenčí inicializoval spojení s mobilem. A smysl toho počínání nějak nevidím. Teda vidím, ale to se uživateli nebude líbit - pokusit s vybrakovat maily, SMSky, kontakty a hesla.

Ad vrata. Toto taky osobne preferuji jen mam obavy ze vyrobce proda 100k vrat. Po 3letech bez supportu. A ve firmwaru vrat nejaky bug co otevre vrata. Nebo taky botnet 100k vrat by mohl byt zajimavy. Podle mne by vsechny tyhle hracky mely byt za jednim bezpecnym rohrnim a ne byt otevreny do celeho sveta. Jinak cloudova reseni taky nemam rad pac tam hrozi potize po padu cloudu nebo konci jeho sluzby.

Ten NAT tam je jen kvůli tomu, že ve vnitřní síti je kromě vrat ještě maminka, tatínek a dětičky, kteří chtějí na internet a protože od ISP dostali jednu IPv4 (v štastnějším případě - veřejnou) adresu. Ksakru já dnes nic v práci neudělám. Až mne vykopnou, tak budu to budu za vinnu dávat IPv6 :-)

1. To je věc Samsungu, ne IPv6. V případě nefunkčního DHCPv4 si taky budete stěžovat na IPv4?
2. Ale každé rozhraní je v jiné síti s jiným prefixem, takže kde je problém?
3. Ano, toto je argumentem. Podpora v zařízeních je žádoucí.
4. Při DHCPv6 PE zapnuté nebudou. Každopádně evidence IP uživatele je obecně nesmyslem, dokonce ani MACu, oboje se může měnit. Smysl dává POUZE evidence linky/portu(?) k zákazníkovi, pak je buřt, zda jsou PE zapnuté či vypnuté, či jaký protokol tam jede. Jaké jsou k tomu prostředky, ale netuším.
5. To je ale pořád dokola problém typu „šyna za tšista a bes ipéféšesť, ale hlafně lefná!“.
6. Vizte 4. - když budete evidovat porty, můžete se na nějakou prcatůru s DHCPv6 vykakat.
7. Nejstarší záznamy se z cache vyhazují, každopádně to problémem může být (ale 100 000?, kde to máte?). Proč chcete místo MAC začít používat IPv6?
8. Na rozšířené hlavičky sere pes. Dokud nebudou prřepracovány, nikdo je zapracovávat nebude, a ani pak to nebude povinné.
9. Tohle se už řešilo - stavový firewall zůstává (tj. nic se nemění).

IPv4 se nelze zbavit v domácích sítích protože eth arduino shield a esp.
Samozrejme routr do sveta muze byt pripojen pres ipv6 a hold na nem pobezi nat64 stejne tam nat bezi pro 4 takze je to jedno.
Jen ja jsem pripojen od upc a tem se stale do ipv6 nechce, nebo aspon ne tak aby to davalo zakaznikovy smysl. Proste si jeste nejaky cas nemohu dovolit prijit o verejnou ipv4.

Jinak nechapu v tomto smeru EU mame smernice na vse mozne, ale ze by existoval papir co od nejakeho roku donuti isp aby me pripojili pres ipv6 to tu chyby. V tomto smeru se proste internet sam regulovat neumi a asi bude nutny zasah zvenci.

EU bych do toho raději nepouštěl. Pokud by to někdo vzal jako politický nebo ideologický problém, čehož je EU schopná, možná by ten internet fakt rozbili.

No už to vidím:

"Vážený uživateli kvůli nařízeni ESXXXXXX máte na Vaší přípojce nově funkční protokol IPv6. Současně Vám s totu změnou oznamujeme, že Vaše měsiční platba se navýšuje o 30Kč".

Těžko říct zda by toto opatření "přidalo" více na popularitě IPv6 nebo EU.

Tak jestli bude možno vyměnit sraní s ISP (a opravdový internet) za 30 Kč měsíčně, tak je to suprcena pro všechny, tak to beru okamžitě.

Dobrý nápad. Zkušenost s komunikací s EP už mám, mohl bych napsat Jourové, co si o tom "takyinternetu" bez IP myslí.

Je Jourová ta pravá?

Arduina (a asi i ESP) mají knihovny pro 6.
Špatně jste to pochopil - NAT64 není u vás doma, ale buďto u ISP při jeho vstupu do inetu, nebo právě někde úplně daleko od ISP v nějakém uzlu, třeba CZ.NIC.
Napište nějaké eurokomisařce, přehnaně aktivních jsou tam 3 pr-dele, takže pravděpodobnost úspěchu je vysoká.

Slo by do turris os pridat jednoduche pripojeni do ipv6 sveta pro nas co mame od isp pouze ipv4 ?

Turris aj original OpenWrt podporuju ipv6 tunely, takze ano, uz to tam aj je ;)

Ajo nasel sem i navod https://doc.turris.cz/doc/cs/howto/ipv6tunnel, ale i tak bych zduraznil to klicove slovo jednoduchy.

K isp jestli si mam vybrat jit k nekomu jinemu a mit poradnou ipv6 nebo zustat u upc a mit opravdu rychli internet jen na ipv4 tak zustavam na ivp4 a myslim ze takto smysli vetsina uzivatelu.

Diky
jj koukam na omnii uz to je na modrim musim asi rucne aktualizovat tam to nevidim.

Jel jsem cca 3 roky na Turrisu 1.0 s tunelem od Hurricane. Fungovalo to normálně.

Protože se drží svého technokratického pohledu, který považují za jediný správný a nejsou ochotni připustit, že to někdo jiný může vidět jinak. Už se jim to snažím vysvětlit delší dobu, ale je to marný, je to marný, je to marný...

+1

Velký omyl - běžný uživatel vůbec neví co to IPv4-6 je. Ve firmě přijde IT specialista - zprovozní vám počítač a vy se už ani do nastavení nedostanete. Ne tak aby jste věděli něco o síti. A k čemu by vám to asi tak bylo ? A v domácnosti ? Kdo vyrůstal za posledních 20-25 let doma s počítačem tak o tom něco ví. Hlavně ti co byli v té době mladí ve věku 10 - 20 let. Mám ovšem obavy, že dnešní mládež toho věku už to tak moc nezájímá. Alespoň většinově ne. Tehdy to bylo něco Cool. Vyznat se v tom trochu a nebo to alespoň předstírat, to jste byl mezi vrstevníky pan někdo. Dneska PC už je doma de-mode. Dneska frčí ty posraný smartfouny za 20000,- Kč a'-1ks. Dnes kdo se nimrá v PC uvnitř je exot. Zkrátka už to zevšednělo a není to IN.

Ale vždyť přesně to je argument předřečníků.

Ve firmě jsou IT specialisti v podobě dvou švagrů. Jeden se toulá po firmách, co půl roku jiný zaměstnavatel a ptá se druhýho, jak nasdílet v síti tiskárnu. Ten druhý dělá ve státní správě a když jsem se s ním bavil o IPv6, netušil, která bije. Tak jsem mu poslal knížku od Satrapy v PDFku, ať se vzdělává. A přijde mu to celkem zajímavý, tak třeba ten úřad začne trochu fungovat.

Nejlepsi by bylo, kdyby vznikla EU norma na to, co musi sluzba oznacena jako pripojeni k internetu obsahovat. Pristup z venku, tj. unikatni IP adresa je jasnym parametrem.

Opravdu si myslis, ze lobby telekomu a kdovikohojeste by to nechala takhle projit? Schvaluje se vsude ze internetizace domacnosti kde minimum je xx MB ale nikde nic neni o kvalite, portech, ipckach,... a proc? Protoze lobby.

Prosla. Protoze Ti velci jsou na tom lepe nez garaznici. Naopak by se mohli zbavit neschopen konkurence.

S implementaci ipv6 urcite, ale zeby chteli poskytovat zdarma pristup zvenci nevim.

Roaming v EU za vnitrozemskou cenu taky prošel a jak u toho skřípali zubama...

Jak tady ctu zpravy o tom, kterak IPv6 vlastne funguje vyborne (za urcitych podminek) a pak zase zpravy o tom, co vse je v IPv6 jeste rozbite, tak me napada, ze pokud NIC.CZ prida do routeru Turris podporu pro IP45, tak se treba vyznamne zapise do historie Internetu... ;-) Teda, pokud ten IP45 funguje tak dobre jak autor naznacuje. Oznaceni IP45 neni ale stastne, koliduje s oznacenim kryti (https://elektrika.cz/data/clanky/krip030918). A taky video demo na ip45.org je slabe, chybi tam detaily o konfiguraci. A vubec, pokud IP45 funguje, chtelo by to vice videi a nejake prakticke navody...

Musím přiznat, že panu Podermańskimu (dlouhodobě, mimo snahy o jednoduché řešení) nerozumím (možná jsem prostě jen blbej). Z popisu to vypadá, že prodloužená adresa (ať už označuje cokoli) bude zabalena do klasického paketu s IPv4, pak ale koncové zařízení bude muset nově umět protokol, který ono balení zpracuje, tj. je třeba upravit nejen síťovou vrstvu, ale také alepsoň některé aplikace používající nové adresy. Nebo to budou řešit routery (tj. opět úprava), ale jak potom budou koncová zařízení adresovat jakýkoliv počítač na světě, když o adresní struktuře nemají páru (tohle je neojebatelná záležitost)? K tomu se přidávají omezení pro servery. Pořád mi z toho vychází, že je to pořád výměna všeho jak u 6 (kde je spojení jednoduché, přímočaré a bezpodmínečné), ale s polovičatým výsledkem. A to je asi taky důvodem, proč všechny pokusy o zpětně kompatibilní protokol zapadly - prostě to nestojí za to.
Přínos jeho přednášky vnímám především jako ujasňovač skutečnosti, zda jsme neudělali s 6 chybu.

IP45 neresi vse, ale napad je to zajimavy. IP45 je zabaleny v klasickem UDP paketu v4, takze verejnym IPv4 interentem proplouva snadno. Pro DNS se pouziva AAAA zaznam. A je treba "vylepsit" NAT routery, aby IP45 umeli zpracovat. To je slabina, protoze pokud koncovy uzivatel nema kontrolu nad NAT serverem, IP45 mu nepomuze... Taky bude asi problem s GUI aplikacemi, ktere predpokladaji, ze IP adresa se sklada ze 4 cisel oddelenych teckou...

http://ip45.org/wp-content/uploads/2013/12/paper-emfonts1.pdf

Neřeší vše, zabalený, vylepšit, asi bude problém, ... a tady, a tady, a tady...
Takže co?

IPv6 je totalni bullshit ktery nikdo nepotrebuje. Pokud by tenkrat udelali pouze rozsireni na 8 bytu a zpetnou kompatibilitu, byli bysme dneska jinde.

Tohle rádi navrhují lidé se zcela povrchní znalostí problému. A že jich je!

Funguje to jednoduše. Stačí si najít hodného strýčka, zde konkrétně firmu TeamViewer GmbH, která čistě altruisticky nakoupí servery, naprogramuje a udržuje na nich službu a pak Vás je nechá používat pro přenos dat. Vše zdarma, pro Vaše krásné oči. Na Vaše data která proudí skrz jejich servery, nekoukají, nijak je nemonitorují a už vůbec je nesdílejí. Prostě ráj na zemi. No a když třeba potřebujete volat nebo přenášet soubory či hrát hru, tak si prostě seženete dalšího takového hodného strýčka, který do toho pumpuje peníze čistě z lásky. Taky se můžete stát hodným strýčkem sám a koupit si VPS s IPv4 adresou, nainstalovat a nastavit tunely. Oč jednoduší je to v plně P2P síti, kdy jen povolíte komunikaci a "hodné" strýčky nepotřebujete, ale plno lidí nevidí problém, když jim stojí takový "hodný" stýček za zády.

Tak to vám řeknu docela přesně: Kurevské elektřiny!
Už se to tu řešilo - plno serverů zbytečně pouze vytváří celospojení z polospojení uživatelů, ale nikomu to vůbec nepřijde divné!

Funguje to zrejeme jinak. Ano, server v internetu je potreba, ala data pres nej zrejme netecou. Ten server se jen pouziva k otevreni spojeni, ktere se "propali" skrz NAT.

https://security.stackexchange.com/questions/14280/how-does-team-viewer-establish-a-remote-desktop-connection

Hole puching, ale vždycky to nefunguje, záleží na popičenosti NATu.

Tady je "propalovani NAT" podrobne popsano, pry funguje na 90% NAT...

https://zerotier.com/blog/state-of-nat-traversal.shtml

Jo, oni to vlastně děrujou. Taky šílený rovnák na ohýbák a ne vždy a ve všech případech se to hodí. Další krásný případ že IPv6 nejen není složitější, ale když se k IP 4 přidají všechny nesmysly co vznikly jen kvůli nedostatku adres, jsme se složitostí někde úplně jinde.

No, třeba zrovna linuxová maškaráda se takhle "propálit" nedá.

Chyba. V tom Vasem priklade neco chybi. Takze soucasny stav:
1] uzivatel stahne program
2] spusti
3] posle kod protistrane

1] protistrana stahne program
2] spusti
3] vytuka kod

Hotovo.

S ipv6:
1] uzivatel stahne program
2] spusti
3] oznami sve ipv6 protistrane
4] nakonfiguruje prichozi firewall pro ipv6 adresu protistrany
(5] natuka kod)

1] protistrana stahne program
2] spusti
3] natuka ziskanou ipv6 adresu (zkuste to telefonicky)
4] oznami svou ipv6 adresu
(5] natuka kod)

Hotovo.

Moc se to nezjednodusilo.

On ten firewall na SOHO routeru nemusí být úplně restriktivní, můžeš mít povolený nějaký porty dovnitř. Pak je firewall na tom komplu, který zahodí přístup z dalších portů, který ten kompl nepoužívá. Z IP stacku vypadne klasický socket, otevřený na konkrétní IP adresu a port. A s ním aplikace normálně funguje. Autentizaci "tím kódem" si řeší aplikace lokálně.

Pro předání IP adresy může být použitý "pevný bod" někde mimo, ukážu ti to na příkladu šachů. A je počítač hráče A (bílý figurky), B je počítač hráče B, S je server provozovatele

IPV4

Hráč A Otevře program, vygeneruje partii, zobrazí se mu její číslo
1. A: mrkne do DNS na adresu sachy.gamesy.com
2. A->S: Tady A, generuji partii 3135456
3. S->A: OK
4. A->S: Chce někdo hrát partii 3135456?
5. S-> A: Ne
6. Opakuje 4 a 5, dokud se někdo nepřihlásí (S nemá jak ho kontaktovat skrz NATy)
Hráč B dostane číslo hry, otevře program a zadá její číslo
7. B: mrkne do DNS na adresu sachy.gamesy.com
8. B->S: Tady B, chci hrát partii 3135456
9. S->B: Ok
10. 4. A->S: Chce někdo hrát partii 3135456?
11. S-> A: Ano
Hráč A táhne
12. A->S: Figurka z pole X na pole Y
13. S->A: OK
14: B->S: Jak táhl protihráč?
15: S->B : Figurka z pole X na pole Y
Hráč B přemýšlí:
16: A->S: Jak táhl protihráč?
17: S->A: Zatím nijak
18: Opakuj 16 a 17, dokud B netáhne
Hráč B táhne:
19. B->S: Figurka z pole X na pole Y
20. S->B: Ok
21. A->S: Jak táhl protihráč?
22. B->S: Figurka z pole X na pole Y
23. B->S: Jak táhl protihráč?
....

IPv6

Hráč A Otevře program, vygeneruje partii, zobrazí se mu její číslo
1. A: mrkne do DNS na adresu sachy.gamesy.com
2. A->S: Tady A, generuji partii 3135456
3. S->A: OK
Hráč B dostane číslo hry, otevře program a zadá její číslo
4. B: mrkne do DNS na adresu sachy.gamesy.com
5. B->S: Tady B, chci hrát partii 3135456
6. S->B: Partii má připravenou A
7. B->A: Ahoj, chci hrát partii 3135456
8. A->B: Ok, začínáme
Hráč A táhne
12. A->B: Figurka z pole X na pole Y
13. B->A: OK
Hráč B přemýšlí:
(nic se neděje, až se rozmyslí, následuje krok 14)
Hráč B táhne:
14. B->A: Figurka z pole X na pole Y
15. A->B: Ok
...

Takže rozdíly jsou, že v IPv4 je potřeba tlumočník mezi A a B se vším, co z toho plyne
1) Až o několik řádů vyšší provoz na serveru provozovatele u IPv6 (dotazy na začátek hry, odpovědi a celá hra)
2) Hra je kvantována rychlostí dotazování na server - pokud bude 1s, tak si prostě rapid šachy nedáš.
3) Mimo navázání spojení nepotřebuješ v 6ce kontaktovat server hry
4) U IPv4 je vyšší latence - S musí přijmout požadavek, ověřit, uložit do DB a na dotaz ho znovu najít,
5) U IPv6 během vlastní hry nepotřebuješ server, tzn. pokud je hráč u stejnýho ISP, nejde komunikace na server do Tramtárie a stejnou cestou stejná informace zpátky

No a u jiných her, třeba u závodniček, stříleček atd. se rychlejší odezva a menší traffic (nebo víc dat při stejným trafficu) taky docela hodí.

Jo, a ještě jak nakousla Kate, provozovateli serveru není jedno, jestli při stejné hře má pronajatý nějaký dvoujádro s jednoduchou appkou na ukládání partie a IP adresy do DB, nebo tři racky plný serverů a load balancery na 40Gbps lince. Ani z pohledu ceny železa, ani z pohedu ceny hostingu, ani z pohledu energetické náročnosti (a to ani ekonomicky, ani ekologicky)

Jenze BFU zadny FW resit nebude, cili ten bod 7] B->A probehne jak? upnp? Neceka tu snad nekdo, ze si BFU budou otvirat nahodny porty per aplikace pro pristup do site a jeste navic pro cely internet.

Úplně normálně, po TCP. Nastuduj si, jak se sestavuje TCP spojení a budeš mít jasno.

A kludne aj s UDP (hry pouzivaju UDP, nejaky strateny paket ich netrapi, ale latencia ano).

No a pri UDP firewall otvori odoslany paket, takze ked to urobia na oboch stranach, tak su v pohode.

Vidíte, já mám firewall do sítě udělaný obráceně. Je věcí konkrétních zařízení hlídat si, co mají za otevřené porty a komu umožňují přístup. Teprve když je to podezřelý čínský kepl (různé IP kamery), tak na routeru blacklistuju.

Tak ohledně IPv6, firewall na zařízení a na routeru zabíjím "soukromý" věci jako NFS, Sambu, CUPS apod. Nemám zapotřebí, aby si u mě někdo něco tiskl, nebo se hrabal na diskách.

No a zvenčí je samozřejmě dobrý zabít pakety se zdrojovou adresou, která se shoduje s prefixem routeru. + pár dalších věcí, na který nejsem zvědavý...

Získat pervitin dnes není problém, ale nikdo rozumný se takovou sraččkou nebude ničit...

(NESOUHLASIM se zpracováním osobních údajů pod záminkou přidání názoru do diskuze)

"NESOUHLASIM se zpracováním osobních údajů pod záminkou přidání názoru do diskuze"

Proc se podilite na praxi se kterou nesouhlasite?

"V IPv4 platí, že každé rozhraní má jednu adresu"
Tohle mě dost překvapilo, z Linuxu jsem navyklý, že každé rozhraní může mít IPv4 adres povícero a rád toho využívám.

Největší peklo je pro mě u IPv6 to, že dosud není nasazeno v českých mobilních sítích. Nevím, v čem je problém. Měl jsem za to, že se tam používá PPP stejně jako u xDSL, takže nevidím komplikace.