Názory k článku
Koncept protokolu IPv8 opět zkouší starý přístup rozšíření adresy

Právě že by to bylo kompatibilní s IPv4, ta by byla podmnožinou IPv8. Vyřešilo by se pár detailů a jely by oba současně s tím, že každý s IPv8 by mohl bez problémů přistupovat na IPv4. Prostě zpětně to je kompatibilní. Dopředně ne. Noví uživatelé by dostávali nové adresy a nebyl by problém přemigrovat celý internet.

>Noví uživatelé by dostávali nové adresy a nebyl by problém přemigrovat celý internet.

A ako by tie nové adresy vypadali? Asi by to už neboli 0.0.0.0.IPv4, že áno? A ako by tie nové adresy pristupovali k IPv4-only službám?. Áno, teoreticky by pre prevádzkovateľov IPv4-only služieb mal byt prechod jednoduchší -- automaticky by mali adresu s prefixom 0.0.0.0. Ale to by sa prevádzkovateľ služby musel obťažovať. S vysokou pravdepodobnosťou by na to mnoho služieb kašlalo tak ako kašlú dnes na IPv6. Takže klienti sa novými adresami by sa nedostali k niektorým službám a museli vynájsť niečo ako NAT84. Podobne prevádzkovatelia serverov s novou adresou by boli zvýhodnení pretože klienti čo ešte neprešli na nový protokol by ich nemohli používať. Takže vo finále by sa prevádzkovatelia bili o limitovaný adresný priestor 0.0.0.0.IPv4.

>Vyřešilo by se pár detailů a jely by oba současně s tím, že každý s IPv8 by mohl bez problémů přistupovat na IPv4.

Však to sa dá aj s IPv6. Existujú IPv6-only siete s DNS64/NAT64.

Ja jsem zatim identifikoval pouze jednu vyhodu, nebude potreba DNS84, protoze mapovani IPv4 do IPv8 bude jasne dany. Neco jako NAT84 ale bude muset zustat. Stejne tak nepujde udelat IPv8-only server, dokud vsichni klienti nebudou aspon znat IPv8. Ve chvili kdy ano (adresu mit nemusi, staci jim IPv4), tak se zda, ze pristup na IPv8 autor vtipne vyresil povinnym DNS48/NAT48 asi primo na koncovym zarizeni. I kdyz to je vlastne blbost, on tam pise o aplikacich, ktery nemusi umet IPv8. To by timhle slo resit, ale to je temer neexistujici problem. A zarizeni by muselo mit IPv8 adresu. A nebo by se ten preklad musel presunout nekam dal do site.

Nevim, mozna mi neco unika, ale asi to diru do sveta neudela. :)

18. 4. 2026, 17:33 editováno autorem komentáře

Zrovna to, aby nové adresy mohly přistupovat na staré, by takový problém nebyl, v podsttě by to byl zase NAT.
Zajímavější otázka je, jak by uživatelé na starých adresách přistupovali ke službám na těch nových adresách.

Tohle ale není potřeba řešit protokol od protokolu. To je univerzální princip – když chcete IPv4 nahradit něčím, co zvětší počet adres, vždycky bude platit, že uživatelé IPv4 se ke službám na nových adresách nedostanou, a uživatelé nových adres budou potřebovat nějaký překlad pro přístup ke službám, které jsou jen na IPv4.

Proto jsou všechny ty pokusy přidávat adresy do IPv4 směšné, protože ten princip je univerzální a žádný protokol ho neobejde. Jediné, co ten protokol případně může vyřešit (se značnými náklady na organizaci) je to, že mezilehlá síť mezi sítí klienta a sítí služby může být IPv4-only. Jenže to je shodou okolností přesně to místo, kde žádný problém není – páteřní sítě nemají s IPv6 problém.

>Zrovna to, aby nové adresy mohly přistupovat na staré, by takový problém nebyl, v podsttě by to byl zase NAT.

jj, však tam spomínam, že by museli mať niečo ako NAT84. Ale v čom je to lepšie než dnešné IPv6 s NAT64? Možno by niekto mohol vyčítať autorom IPv6, že tam NAT64 nebol od začiatku. Stále, NAT64 má už tak 15 rokov.

>Zajímavější otázka je, jak by uživatelé na starých adresách přistupovali ke službám na těch nových adresách.

niečo niečo, princíp holubníku, niečo niečo

Skrátka nejaký skutočne kompatibilný protokol nemôže existovať. Nový protokol bude mať inú štruktúru hlavičky a všetky staré zariadenia taký paket zahodia. Takže maximálne ide použiť dual-stack, alebo iné prechodové mechanizmy typu NAT64.

Ale oni sa vždy nájdu ľudia, čo dokážu zostrojiť perpetuum mobile a spraviť kvadratúru kruhu. Ach jo.

Jenže těch „pár detailů“ z toho dělá jiný protokol, nekompatibilní s předchozím. Jakou motivaci by měl ISP podporovat nový protokol?

Řekněte mi, v čem je lepší IPv6, co je tak podstatná vlastnost, bez které se neobejdeme? Za mě je to zbytečně složitý moloch, který si sebou nese hromadu věcí, které nikdo nepotřebuje. A to zbytečně komplikuje celý proces zavádění IPv6, obzvlášť v momentě, kdy není zpětně kompatibilní. Všechny firmy běží vnitřně na IPv4 a ještě minimálně dalších 20 let poběží. Pak se možná prosadí právě IPv8. Prostě nikdo nepotřebuje veřejnou IPv6 na každé ledničce či vysavači.

IPv8 zní jako skvělý plán — hlavně pro všechny, co si myslí, že CGNAT je dlouhodobé řešení a že port exhaustion je jen konspirační teorie.

V tuhle chvili bohate staci ten tricetilety naskok. Predstava, ze ted zahodime IPv6 a stravime dalsich dvacet let ("vsichni" to budou chtit, tak to bude rychlejsi ;) pridavanim podpory IPv8 do vsech zarizeni, je takova... no asi to nedopadne.

Prostě nikdo nepotřebuje veřejnou IPv6 na každé ledničce či vysavači.
Jo, protože je daleko lepší, když se ta lednička nebo vysavač připojí do cloudu.

Kdyby se dávno běžně používalo IPv6, s tím nesmyslem, že se domácí zařízení musí připojit do cloudu, by nikdy nikdo nepřišel, protože by to neprodal. „Prodáme vám zařízení, které bude dražší, protože v jeho cenně musíte platit i za provoz cloudových služeb; bude odesílat data do cloudu, vy nebudete vědět jaká; pokud vám nebude doma fungovat internet, tak s tím zařízením nebudete moci komunikovat, i když bude ve stejné síti, jako váš mobil; a nikdy nebudete vědět, kdy zkrachujeme nebo nás přestane bavit ten cloud platit a z chytrého zařízení vám zbyde hloupé nebo dokonce jen cihla.“ To je vskutku nabídka, která se neodmítá.

To „navržené“ IPv8 se v žádném případě neprosadí. Je ot jen vtip, a otázkou je jen to, zda to jeho autor ví nebo neví.

> Kdyby se dávno běžně používalo IPv6, s tím nesmyslem, že se domácí zařízení musí připojit do cloudu, by nikdy nikdo nepřišel, protože by to neprodal.

Ja povinny cloudy hodne nerad, ale to by se pravdepodobne stalo i s IPv6. Ma to nepopiratelnou vyhodu, ze to zvladne kazdy, uzivatel "jen nainstaluje appku" a vsechno jede. Provozovat to sam doma je asi v pohode pokud pujde o ciste lokalni zarizeni. Ale pokud se na nej bude chtit dostat i odjinud (kamery, ...), uz mu to pravdepodobne bude muset nekdo nastavit. Mohlo by se to s routerem domluvit samo a otevrit si porty, ale to mozna uplne nechceme. Potom pokud nebude mit staticky prefix, potreboval by nejaky DDNS, coz je zase dalsi zavislost.

ONo by to úplně stejně „jen nainstaluje appku“ fungovalo i bez trvalé účasti cloudu. I kdyby se ten cloud měl použít jen pro spárování zařízení a appky. Přičemž by samozřejmě nebylo tak těžké vytvořit protokol, který by zprostředkoval to spárování zařízení s aplikací na routeru.

Nefungovalo. Protože stav, že by jakékoli zařízení v domácí síti bylo bez jakéhokoli FW by default přístupné zvenku je z kvůli bezpečnosti nereálné. Takže by se stejně musely dělat prostupy, BFU nemá naprosto šajna o co jde, odborníka kvůli tomu volat nebude a že by se prosadil nějaký univerzální mechanismus/pro­tokol dost pochybuji. Prostě časy neomezné end-to-end konektivity mezi dvěma libovolnými body internetu jsou dávno pryč, IPv4 za to nemůže a IPv6 ji zpátky nepřinese.

Za tohle právě IPv4 může, protože nedostatek IPv4 adres je tady tak dlouho, že se z NATu stal v podstatě standard (a to ze začátku hlavně pro vnitřní sítě, od nějaké doby už je k naštvání standard, kdy veřejnou IPv4 většina ISP ani nerozdává, takže NAT se používá i pro vnější síť). Kdyby se IPv6 nasadilo v době, kdy byl dostupný (a ne až o 20 let později), tak by tento stav nikdy nastat nemusel.

Když jsem studoval na univerzitě (2001-2006), tak bylo zcela normální, že každé PC v učebně mělo veřejně routovanou IP adresu, takže jsem se bez problémů připojil domů a z domu na univerzitní PC (ne, že by to bylo potřeba, ale šlo to). I po té, v první práci u ISP jsme normálně každému připojenému PC k internetu přidělovali veřejku. Tu mám na svém PC doma ostatně dodnes.

On i ten standard, kdy je v každé síti (nikoliv uzlu) lokální FW a dovnitř se nic nepouští je v podstatě také novotvar vzniklý časem, ještě před těmi 20 lety bylo standardem, že vše je na internetu a správně nastavený box s tím tak nějak automaticky počítal.

Takže kdyby to jelo normálně, tak od roku 1998 (nebo kdy) by všichni automaticky měli IPv6 by tento dnešní standard nejspíš vůbec nenastal (tohle se samozřejmě těžko predikuje, ale myslím si, že kdyby všichni mysleli stylem vše na internetu je dostupné, tak by ty různé "bordel" krabičky byly na trochu jiné úrovni, než dnes. Dnes i výrobce automaticky počítá s tím, že jeho krabička se na internet nikdy nepodívá a podle toho to vypadá).

Nefungovalo. Protože stav, že by jakékoli zařízení v domácí síti bylo bez jakéhokoli FW by default přístupné zvenku je z kvůli bezpečnosti nereálné.
Myslet si, že v domácí síti je nějaké zařízení chráněné, je velký bezpečnostní omyl. Ve větší firmě, která má lidi, kteří řeší bezpečnost sítě, můžete mít různě zabezpečené zóny, bezpečný perimetr atd. V SOHO síti nic takového nemáte. SOHO síť je z hlediska bezpečnosti součástí internetu, není nijak bezpečnostně oddělená. To jediné, čím se SOHO síť odlišuje od zbytku internetu, je to, že je pro oprávněného uživatele hůře dostupná. Tím vzniká nebezpečný dojem, že ta síť je bezpečná – ale není.

Je to asi jako kdybyste si na papírové dveře nainstaloval pět bezpečnostních zámků. Majitel bytu nebude chtít ty papírové dveře zničit, bude vždy poctivě odemykat těch pět zámků. A bude mít pocit, že když se s tou bezpečností tak nadře, musí to být bezpečné. Zloděj ale nepůjde skrz těch pět zámků, ale skrz papír.

Prostě časy neomezné end-to-end konektivity mezi dvěma libovolnými body internetu jsou dávno pryč, IPv4 za to nemůže a IPv6 ji zpátky nepřinese.
Nedostatek IPv4 adres za to může, protože to komplikuje uživatelům přístup do jejich sítě. A pokud je něco komplikovaného pro uživatele, automaticky si myslí, že je to komplikované i pro útočníka.

IPv6 to zpátky přinese, protože to sníží náklady (nebude potřeba platit mezistanice) a zvýší bezpečnost (na těch mezistanicích nebude moci docházet k únikům dat, nebudou přestávat fungovat – a lidi přestanou mít pocit, že je NAT před něčím chrání).

To, že se naučíte pár pojmů a frází z oboru neznamená, že mu rozumíte. Neznalého člověka sice zmást můžete, ale znalý člověk hned pozná, že naprosto netušíte, která bije, například proto, že naprosto nepochopíte argumenty, ale prostě jen sypete pseudoodnorný text, který je ale mimo linii argumentace.

Tedy zkusím vysvětlit na vaší úrovni: Přistup do domácí sítě vám nekomplikuje IPv4, ale firewall, který bývá součástí routeru. To je taková ta krabička se světýlkama, z nichž některá nepravidelně Ten samý router dělá i NAT, ale pozor! Firewall nerovná se NAT!!! I když vám IPv6 (teoreticky) umožní se NATu zbavit, ten firewall tam bude muset být i u IPv6, protože chcete mít SOHO síť chráněnou.

20. 4. 2026, 09:27 editováno autorem komentáře

To, že se naučíte pár pojmů a frází z oboru neznamená, že mu rozumíte. Neznalého člověka sice zmást můžete, ale znalý člověk hned pozná, že naprosto netušíte, která bije, například proto, že naprosto nepochopíte argumenty, ale prostě jen sypete pseudoodnorný text, který je ale mimo linii argumentace.

ten firewall tam bude muset být i u IPv6, protože chcete mít SOHO síť chráněnou.
A tady je právě nepochopení, co znamená obrana sítě firewallem.

Firewall funguje tak, že odděluje dvě sítě. Aby fungoval jako ochrana, musí platit, že útočník je v jedné síti a chráněná je ta druhá síť. Jmenuje se to „firewall“ jako analogie s protipožární zdí, která dokáže oddělit dvě místa – pokud na jedné straně protipožární zdi hoří, ta zeď zabrání tomu, aby se požár přes ni dostal do přes ni do chráněného prostoru. Ale co se stane, když požár vypukne v tom chráněném prostoru? Pomůže nějak protipožární zeď? Nepomůže, ona nemá žádnou schopnost zabránit požáru, pouze zabraňuje šíření požáru mezi těmi dvěma prostory.

A stejně to funguje i se síťovým firewallem. Ten může bránit tomu, aby se útočník dostal z vnější sítě do vnitřní přes firewall. Ale pokud útočník už je ve vnitřní síti, firewall před ním vnitřní síť nijak nechrání.

Nebo.li, aby byla vnitřní síť za firewallem bezpečná, musí být splněny dvě podmínky:

1. Vnitřní síť je bezpečně oddělena firewallem od vnější nebezpečné sítě.
2. Ve vnitřní síti jsou jen samá bezpečná zařízení, útočník nemůže získat kontrolu nad žádným zařízením ve vnitřní síti.

Vy se stále fixujete na první podmínku, a úplně vám uniká, že druhá podmínka není v SOHO sítích splněna. A ne že by tam byla nějaká jedna dirka, ale je děravá jak řešeto. Protože o bezpečnosti zařízení v té síti nevíte nic. Nebo vy snad dáte ruku do ohně za všechna zařízení v SOHO sítích? Za všechny aplikace v mobilech, za všechny kamery, robotické vysavače, ledničky, tiskárny, za všechny počítače a software na nich?

Mimochodem, vy vycházíte z představy, že firewall je nebo není. Jenže tak to není. Firewall se provozuje. Firewall má smysl jedině tehdy, pokud někdo rozumí jeho konfiguraci, rozumí síťovému provozu a dokáže na firewallu nastavit pravidla, který síťový provoz má procházet a který ne. To, že „máte“ firewall ve výchozím nastavení, který povoluje akorát navazovat spojení z vnitřní sítě ven, neznamená, že máte bezpečnou síť. Protože útočník se může do sítě dostat přes jedno z moha spojení, která jsou navazovaná z vnitřní sítě ven.

A ještě jedna věc, abyste se trochu dovzdělal: firewall je už druhá úroveň zabezpečení. Základní úroveň je to, že každé zařízení v síti je samo o sobě odolné. Neodolá samozřejmě nějakému DDoS útoku, ale nemají na něm běžet služby, které nejsou potřeba, a služby, které tam běží, nejsou napadnutelné nějakým útokem na protokol, jednoduchými nebo známými přihlašovacími údaji, obejitím autentizace apod. Zkrátka zařízení musí fungovat tak, že ho můžete normálně vystavit na internetu a nebude napadnutelné (s výjimkou DDoS). Pokud máte zařízení, které toto nesplňuje, a strčíte ho do „bezpečné sítě za firewall“ (aniž byste ten firewall speciálně pro toto zařízení nakonfiguroval), právě jste z bezpečné sítě udělal nezabezpečenou síť.

Ano, dost lidí si dříve myslelo, že síť za SOHO firewallem v defaultním nastavení, nebo dokonce jen za NATem, je bezpečná. Nikdy to nebyla pravda, a nechápu, jak si to někdo může myslet ještě v roce 2026.

Jenomze absolutni vetsina tech vasich "komplikaci" jsou a) metody pro zajisteni kompatibility s IPv4 a b) proste casovy vyvoj chapani a pozadavku via RFC
Pro jakykoliv jiny protokol byste musel resit a) take a b) by se vam taky rozrostlo. Vylistoval jste si nekdy RFC pro IPv4? To co povazujete za "jasne" je ve skutecnosti dlouhy kosaty vyvoj vcetne podivnich odbocek.

IPv6 není jen "lepší IPv4". Řeší limity, na které IPv4 už dávno narazilo:
- Adresy IPv4 došly. NAT to jen maskuje, ale komplikuje věci (P2P, VoIP, VPN, incoming spojení). IPv6 vrací end-to-end konektivitu bez hacků.
- Jednodušší síť, tedy odpadá NAT, méně stavových překladů, méně problémů s debugem a latencí.
- Škálování. IoT není o "ledničkách", ale o milionech zařízení v sítích operátorů, průmyslu, cloudu. IPv6 to řeší nativně.
- Autokonfigurace, kdy se zařízení připojí bez DHCP a bez ruční práce (SLAAC).
- Moderní protokol, který přináší efektivnější routing, multicast místo broadcastu a lepší práci s mobilitou.

A k tomu "nikdo to nepotřebuje"... Operátoři už IPv6 potřebují dnes, bez něj by nové zákazníky řešili jen přes CGNAT (horší výkon i kompatibilita) a velké služby (Google, Netflix…) IPv6 používají běžně.

Co se týče kompatibility: Na to existuje dual-stack - IPv4 i IPv6 paralelně. Přechod je postupný, není třeba žádný "skok". A že "firmy pojedou 20 let na IPv4", tak uvnitř klidně, ale na hraně s internetem se IPv6 prosazuje už teď.

Takže IPv6 není zbytečný moloch, prostě jen nutná evoluce. IPv4 držíme při životě berličkami (NAT) a IPv6 ty berličky odstraňuje.

A k brzdám rozvoje IPv6 tolik, že třeba u nás "na vsi" sice můžete mít IPv6, ale musíte si připlatit.

Všechny firmy fakt ne. U nás máme hodně sítí IPv6 only.

Už jsem pár běžných firem viděl, ale ještě nikdy IPv6. Nevím, co by to musel být za moloch, aby potřebovali nutně IPv6. Snad nějaká Čínská zbrojovka? Děsím se okamžiku, kdy se IPv4 stane deprecated/ter­minated a přejde se kompletně na IPv6. Už se vidím, jak píšu "ping 2001:0db8:85a­3::8a2e:0370:7334" :-D

Volali z roku 1983, vraj majú riešenie presne pre teba.

Nepřestává mne fascinovat, že potřebu diskutovat o sítích mají lidé, kteří nedokážou v síti zprovoznit DNS.

Budete si doma zřizovat vlastní DNS server, jenom pro to, abyste si mohl pingnout tiskárnu?

Tak a teraz volali z roku 2000, že pre vás majú horúcu noviku. Snáď sa niekedy dostanete aj do prítomnosti :-)

ping xerox.local
PING xerox.local (fe80::xxxx:x­xxx:xxx:xxxx%et­h0) 56 data bytes
64 bytes from xerox.local (fe80::xxxx:x­xxx:xxx:xxxx%et­h0): icmp_seq=1 ttl=64 time=8.78 ms

A tiež rozmýšľam čo za shit router používate. Mne na OpenWrt DNS funguje out of the box.

21. 4. 2026, 23:42 editováno autorem komentáře

Na mDNS není ani router potřeba.

Ja viem.

Ale na OpenWrt out of the box funguje aj DNS: pri DHCP požiadavku klient zašle svoj hostname and OpenWrt potom tento hostname použije. Takže nielen mDNS -- meno.local funguje, ale funguje aj "normálne" DNS meno.lan (kde "lan" je konfigurovateľná lokálna doména).

Teda, nie je to dokonalé. Môžu existovať klienti ktorý nevedia pridať hostname do DHCP požiadavku. V prípade IPv6 do toho ešte môžu hodiť vidle zariadenia ktoré používajú len SLAAC. Ale stále je pomerne jednoduché pridať mapovanie cez MAC, alebo DUID.

Ona je to spíš neochota investovat do budoucnosti, do něčeho nového a do budoucna lepšího. Protože CGNAT je pro ISP o dost dražší, než router. Jenže jednorázově je pro ISP levnější pořídit nový CGNAT než investovat do zprovoznění IPv6.

Jako uzivatel mam konfiguraci pevnyho pripojeni pomoci "adresy na papirku" velmi rad. Snizuje to sanci, ze mi ji ISP svevolne zmeni. Udelat to stale muze, ale bude to otrava i pro nej, protoze to se mnou bude muset resit, takze to nebude delat jen tak pro srandu kralikum. Nektery to "D" v DHCP proste svadi.