On Thu, 09 May 2019 19:46:07 +0000, pueblo wrote:
> Na stronie https://www.myip.com/
>
> na dole jeset wykres IPv6 Adoption, który pokazuje poziom poniżej 30%.
> Czyli co? Taki porocent sieci działa też/tylko na ip6?

To jest wykres zerżnięty od Google. Pokazuje, że niecałe 30% użytkowników
łączy się z Google za pomocą IPv6. Należy jednak pamiętać, że istnieją
spore różnicy pomiędzy krajami:

https://www.google.fr/ipv6/statistics.html#tab=per-c
ountry-ipv6-adoption

Do tego taka statystyka mówi tylko o tych użytkownikach, którzy łączą się
z Google (ściślej Google + Youtube), a to - jak wiadomo - nie cały świat.
Na wschodzie np. dużo popularniejsza jest para Yandex + RuTube, a jeszcze
dalej na wschód to już mają w ogóle całkiem swój świat, dla nas
Europejczyków poza zasięgiem z racji bariery językowej i niezerowego
ryzyka dostania oczopląsu. :)

Mateusz

do góry

On 12/05/2019 15:27, Mateusz Viste wrote:
> Wskaż, które protokoły działają przy IPv4+NAT, a przestaną przy
> IPv6+Firewall.

Każde "aktywne" z głupimi regułami firewalla, szczególnie WAN INPUT => DROP.

> FTP w trybie aktywnym nie działa w obu przypadkach*

Działa w NAT w obu przypadkach gdzieś od końca lat 90 jak miałem okazję
to pierwszy raz uzyć w Linuxie. NAT miał i ma wsparcie dla protokołu ftp
od czasów wcześniejszych niż pamiętam.

> *Nie uwzględniam tutaj implementacji NAT które posiadają wewnętrzne hacki
> na wsparcie polecenia PORT - mowa o "czystym" NAT i "czystym"
> firewallingu.

Nie wiem skąd Ci przyszło do głowy że istnieje coś takiego jak czysty
NAT używany gdziekolwiek poza akademickim marudzeniem. 99.99% NATów w
necie ma wsparcie dla protokołów z otwieraniem, czasem aktywnym,
sąsiednich strumieni. Spróbuj wyładować moduły jądra w routerze
odpowiedzialne za to wsparcie, spora część usług w necie umrze.

NAT z helperami do ftp były kiedyś używane co zabawy w skanowanie portów
ofiary za natem. Ot, taka ciekawostka.

Zakładanie że świat nagle zacznie działać na ipv6 jest troche mało
sensowne. Cały internet działa po 4 i raczej nie zmieni się to w
najbliższym czasie a te śladowe ilosci ipv6 na które stać tylko duże
firmy nic nie dały - dalej cały ruch odbywa się po ipv4 ze śladową
ilością ipv6 i oni mają to bardziej dla picu nic z sensownych powodów.

Aby "przechodzenie" na ipv6 miało sens od strony suwerena najpierw nie
tylko wielcy ale i malutcy muszą uruchomić swoje usługi. Nikt tego nie
zrobi dzisiaj bo nie ma zysku ani zalet, szczególnie dla piedołowatch
firm hostujących strony lokalnej kwiaciarni. CO z tego że facebook
działa jak kwiatków nie kupisz?

do góry

On Sun, 12 May 2019 15:42:58 +0200, heby wrote:
> On 12/05/2019 15:27, Mateusz Viste wrote:
>> Wskaż, które protokoły działają przy IPv4+NAT, a przestaną przy
>> IPv6+Firewall.
>
> Każde "aktywne" z głupimi regułami firewalla, szczególnie WAN INPUT =>
> DROP.

Ale ja się pytam które. Tak konkretnie. Bo póki co podałeś tylko FTP, a
to mocno chybiony przykład - by nie powiedzieć mętna dezinformacja.

> Działa w NAT w obu przypadkach gdzieś od końca lat 90 jak miałem okazję
> to pierwszy raz uzyć w Linuxie. NAT miał i ma wsparcie dla protokołu ftp
> od czasów wcześniejszych niż pamiętam.

Brzydkie hacki które masz na myśli istnieją zarówno we wszelkich
implementacjach NAT, jak i w implementacjach firewalli. Co więcej,
wsparcie dla przykładowego polecenia PORT w firewallu jest trywialnie
proste. Wsparcie tego samego w NAT natomiast wymaga nie lada magii:
przepisanie części streamu TCP aby podmienić adres i port przedstawiany
przez klienta, przeliczenie na nowo checksumów TCP, przesunięcie numerów
sekwencyjnych, wykonanie tymczasowego przekierowania danego portu po
stronie WAN, no i śledzenie tego całego bałaganu aż do końca połączenia
kontrolnego.

W przypadku firewalla sprawa ogranicza się do otwarcia jednej klapki na
kilka sekund, bez jakiejkolwiek ingerencji w zawartość streamu TCP.

Przy czym cały czas mówimy o czymś, co powstało 40 lat temu i w praktyce
dziś już nie występuje - wszelkie sensowne implementacje FTP od bardzo
dawna wspierają (i preferują) PASV.

> Spróbuj wyładować moduły jądra w routerze
> odpowiedzialne za to wsparcie, spora część usług w necie umrze.

Ponawiam pytanie - czym jest ta "spora część usług"? Wcześniej pisałeś,
że połowa. Które to protokoły? A w szczególności - na co Marcin, jako
użytkownik końcowy, powinien zwrócić uwagę zastępując u siebie NAT
firewallem?

No i do tej pory nie rozumiem, za czym postulujesz. Czy za tym, aby
zlikwidować wszystkie firewalle świata, bo NAT jest fajny i bezpieczny?

> Zakładanie że świat nagle zacznie działać na ipv6 jest troche mało
> sensowne.

Trend w kierunku IPv6 utrzymuje się od kilku dobrych lat. Nic nie
wskazuje na to, by zainteresowanie tym tematem malało - wręcz przeciwnie.

Ciekawostka: Pokrycie IPv6 w Indiach przez dwa ostatnie lata skoczyło z
1% do 65%. Źródło: statystyki Akamai, https://bit.ly/2VimooM

> Cały internet działa po 4 i raczej nie zmieni się to w
> najbliższym czasie

Legacy IPv4 zostanie z pewnością na długo. Nie zmienia to faktu, że
internet IPv6 cały czas rośnie, a pojawienie się powszechnych usług IPv6-
only jest tylko kwestią czasu.

> a te śladowe ilosci ipv6 na które stać tylko duże firmy nic nie dały -
> dalej cały ruch odbywa się po ipv4 ze śladową ilością ipv6 i oni mają
> to bardziej dla picu nic z sensownych powodów.

To ciekawa teoria, jakoby duże, poważne firmy inwestowały od lat w coś
tylko dla jaj. A twierdzenie, że na IPv6 stać tylko duże firmy to kolejna
rażąca próba dezinformacji. Nie umiem odgadnąć co tobą kieruje - masz
jakieś stare pule IPv4 do sprzedania?

> Aby "przechodzenie" na ipv6 miało sens od strony suwerena najpierw nie
> tylko wielcy ale i malutcy muszą uruchomić swoje usługi. Nikt tego nie
> zrobi dzisiaj bo nie ma zysku ani zalet, szczególnie dla piedołowatch
> firm hostujących strony lokalnej kwiaciarni. CO z tego że facebook
> działa jak kwiatków nie kupisz?

Tacy "malutcy" samowolnie tego nie zrobią, bo im się faktycznie nie chce
i/lub nie mają czasu i/lub wydaje im się, że są mądrzejsi od reszty. Na
szczęście to nie oni wyznaczają kierunek rozwoju i w pewnym momencie będą
zmuszeni przejść na IPv6 aby przeżyć. Może nie dziś, i pewnie jeszcze nie
jutro - ale prędzej czy później to nastąpi.

Mateusz

do góry

On 12/05/2019 17:13, Mateusz Viste wrote:
>> Każde "aktywne" z głupimi regułami firewalla, szczególnie WAN INPUT =>
>> DROP.
> Ale ja się pytam które. Tak konkretnie.

Przecież tego jest na tony w necie. Tu masz przykład:

https://en.wikipedia.org/wiki/Application-level_gate
way

> Bo póki co podałeś tylko FTP, a
> to mocno chybiony przykład - by nie powiedzieć mętna dezinformacja.

Nic nie jest chybione. W latach 90 znalezienie serwera ftp z trybem
pasywnym było mało prawdopodobne. Sytuacja utrzymywała się do co
najmniej 2005 roku. Do dzisiaj widuje serwery ftp, głównie
uniwersyteckie mirrory, które albo nie mają trybu pasywnego albo mają
tylko dla wybrancyh hostów. Nic dziwnego że sporo serwerów ftp ma
równolegle dostęp przez www.

>> Działa w NAT w obu przypadkach gdzieś od końca lat 90 jak miałem okazję
>> to pierwszy raz uzyć w Linuxie. NAT miał i ma wsparcie dla protokołu ftp
>> od czasów wcześniejszych niż pamiętam.
> Brzydkie hacki

Nie, to część integralna NATa, powstała razem z nim. Który sam z siebie
jest lub nie hackiem, podobnie jak firewalle.

> implementacjach NAT, jak i w implementacjach firewalli. Co więcej,
> wsparcie dla przykładowego polecenia PORT w firewallu jest trywialnie
> proste.

O ile nie musisz wspierać protokołów "aktywnych". Wtedy nagle staje się
mniej trywialne.

> Wsparcie tego samego w NAT natomiast wymaga nie lada magii:
> przepisanie części streamu TCP aby podmienić adres i port przedstawiany
> przez klienta, przeliczenie na nowo checksumów TCP, przesunięcie numerów
> sekwencyjnych, wykonanie tymczasowego przekierowania danego portu po
> stronie WAN, no i śledzenie tego całego bałaganu aż do końca połączenia
> kontrolnego.

Całkiem sprawnie sobie z tym radzimy od lat 90 co najmniej. Ogólnie
internet to bałagan jest i jakoś sobie radzimy. Ipv6 tak na marginesie
tylko dorzuca swoje głupoty do całości bałaganu.

> W przypadku firewalla sprawa ogranicza się do otwarcia jednej klapki na
> kilka sekund, bez jakiejkolwiek ingerencji w zawartość streamu TCP.

Czemu na kilka sekund ;) ?

> Przy czym cały czas mówimy o czymś, co powstało 40 lat temu i w praktyce
> dziś już nie występuje - wszelkie sensowne implementacje FTP od bardzo
> dawna wspierają (i preferują) PASV.

Wyłącz i pouzywaj internetu jako superuser a nie suweren. Sprawdzisz w
praktyce. Na ten przykład nie da się łaczyć do niektórych usług VPN.
Suprise.

>> Spróbuj wyładować moduły jądra w routerze
>> odpowiedzialne za to wsparcie, spora część usług w necie umrze.
> Ponawiam pytanie - czym jest ta "spora część usług"?

Link powyżej.

> Wcześniej pisałeś,
> że połowa. Które to protokoły? A w szczególności - na co Marcin, jako
> użytkownik końcowy, powinien zwrócić uwagę zastępując u siebie NAT
> firewallem?

Suweren potrzebuje facebooka, porno i to mniej wiecej tyle. Dla niego
internet może działać na płynny rosół, nikogo nie będą interesować
duperele techniczne.

Niestety mnie interesują.

> No i do tej pory nie rozumiem, za czym postulujesz. Czy za tym, aby
> zlikwidować wszystkie firewalle świata, bo NAT jest fajny i bezpieczny?

Nat ani fajny ani bezpieczny. Ale jak to zwykle bywa w IT już dawno
zdobył świat i nie będzie lepiej. I ja go wcale nie chce, jak chce
statyczny numer IPv[4|6] ale ja nie jestem suweren. Moje zdanie się nie
liczy. Nastepny numer jaki dostane od dostawcy internetu będzie za
NATem. Czas się pogodzić.

>> Zakładanie że świat nagle zacznie działać na ipv6 jest troche mało
>> sensowne.
> Trend w kierunku IPv6 utrzymuje się od kilku dobrych lat.

Owszem trend jest. Np. moje T[h]uje rosą od kilku lat po parenaście cm.
Czyli trend jest.

> Nic nie
> wskazuje na to, by zainteresowanie tym tematem malało - wręcz przeciwnie.

Tak, nic nie wskazuje na to aby moje T[h]uje miały maleć.

To świadczy o tym że za chwile zdobędą świat. Jak zdążą przed śmiercią
termiczną wszechświata oczywiście.

> Ciekawostka: Pokrycie IPv6 w Indiach przez dwa ostatnie lata skoczyło z
> 1% do 65%. Źródło: statystyki Akamai, https://bit.ly/2VimooM

Wow. Czas się wynosić z IPv4 i oglądać te kilka stron na 6 podnosząc
statystyki.

>> Cały internet działa po 4 i raczej nie zmieni się to w
>> najbliższym czasie
> Legacy IPv4 zostanie z pewnością na długo. Nie zmienia to faktu, że
> internet IPv6 cały czas rośnie, a pojawienie się powszechnych usług IPv6-
> only jest tylko kwestią czasu.

Tak, też na to liczyłem. Kilka lat temu zrobiłem sobie w domku
infrastrukturę IPv6 ready. Podpieli internet z IPv6. Ale nie działa.
Zapytałem czemu nie działa skoro w umowie jest że działa. No więc nie
działa bo nikt nie pytał i "chyba się popsuło jakoś kiedyś, nie wiadomo
kiedy". Nie, nie naprawili. Na co to komu, Panie...

>> a te śladowe ilosci ipv6 na które stać tylko duże firmy nic nie dały -
>> dalej cały ruch odbywa się po ipv4 ze śladową ilością ipv6 i oni mają
>> to bardziej dla picu nic z sensownych powodów.
> To ciekawa teoria, jakoby duże, poważne firmy inwestowały od lat w coś
> tylko dla jaj. A twierdzenie, że na IPv6 stać tylko duże firmy to kolejna
> rażąca próba dezinformacji. Nie umiem odgadnąć co tobą kieruje - masz
> jakieś stare pule IPv4 do sprzedania?

A więc SPISEK! To było wiadomo od początku!

Duże firmy inwestowały sobie w IPv6 bo należeli do róznych konsorcjów
zajmujących się tym tematem, bo było to marketingowo istotne aby
błyszczej jako nowoczesne, bo im rozwiązywało jakieś problemy
wewnątrzne, bo było cool itd itp. Na zewnątrz wystawili kilka stron i na
tym koniec. Kurtyna. Czekamy na akt 2, czyli wejście chińczyków a może i
rosjan robiących własne internety.

> Tacy "malutcy" samowolnie tego nie zrobią, bo im się faktycznie nie chce
> i/lub nie mają czasu i/lub wydaje im się, że są mądrzejsi od reszty. Na
> szczęście to nie oni wyznaczają kierunek rozwoju i w pewnym momencie będą
> zmuszeni przejść na IPv6 aby przeżyć. Może nie dziś, i pewnie jeszcze nie
> jutro - ale prędzej czy później to nastąpi.

No to czekamy do pojutrza. Na chwile obecną w mojej okolicy nie ma ani
jednego dostawcy domowego internetu który ma taki ficzer. Poza dużymi
stronami pozostałą część infrastruktury netowej działa po staremu bez
śladu potrzeby zmian. Suweren nie ma potrzeby. Należy liczyć aby
powstała jakaś usługa z okolic darmowego porno, działająca tylko na
ipv6. Wtedy operatorzy internetu na wyścigi dorzucą ten ficzer. A tak,
nie masz szans na użycie sobie.

PS. Kilka lat temu tunelowałem sobie ipv6. Ale tunel zamkneli. To
zmieniłem tunel i też zamkneli. To następny i ... zamkneli. No i dupa.
Deewolucja.

Jak chcesz się bawić to się baw. Przecież ja też tego nie robiłem z
sensownych powodów.

do góry

On Sun, 12 May 2019 18:53:52 +0200, heby wrote:
> On 12/05/2019 17:13, Mateusz Viste wrote:
>> Ale ja się pytam które. Tak konkretnie.
>
> Przecież tego jest na tony w necie. Tu masz przykład:
> https://en.wikipedia.org/wiki/Application-level_gate
way

Czyli nie podasz... No trudno.

>> Bo póki co podałeś tylko FTP, a to mocno chybiony przykład - by nie
>> powiedzieć mętna dezinformacja.
>
> Nic nie jest chybione. W latach 90 znalezienie serwera ftp

Podajesz rzewne wspomnienia z lat 90 jako argument w wątku o rozwoju IPv6?
Naprawdę?

> z trybem pasywnym było mało prawdopodobne. Sytuacja utrzymywała się do
> co najmniej 2005 roku.

Mocno naciągasz, no ale powiedzmy że nie było mnie wtedy na świecie i
naiwnie wierzę w to co opowiadasz. Tylko że 2005 to było 15 lat temu.

>> implementacjach NAT, jak i w implementacjach firewalli. Co więcej,
>> wsparcie dla przykładowego polecenia PORT w firewallu jest trywialnie
>> proste.
>
> O ile nie musisz wspierać protokołów "aktywnych". Wtedy nagle staje się
> mniej trywialne.

Jest i będzie trywialne w porównaniu do jakichkolwiek operacji związanych
z NAT i ingerencją w dialog aplikacyjny.

> Całkiem sprawnie sobie z tym radzimy od lat 90 co najmniej.

Niby takie proste i opanowane, ale na firewalle - które są w obsłudze
takich wyjątków znacząco łatwiejsze do ogarnięcia - jednak psioczysz.

>> W przypadku firewalla sprawa ogranicza się do otwarcia jednej klapki na
>> kilka sekund, bez jakiejkolwiek ingerencji w zawartość streamu TCP.
>
> Czemu na kilka sekund ;) ?

Bo na ustalenie sesji nie potrzeba więcej. A jak już jest ustalona, to
standardowy mechanizm stateful przejmuje pałeczkę.

> Wow. Czas się wynosić z IPv4 i oglądać te kilka stron na 6 podnosząc
> statystyki.

Ale kto mówi o "wynoszeniu się z IPv4"? Nie zmyślaj. Z IPv4 będziemy żyć
przez co najmniej kolejne kilkanaście lat, a wsparcie IPv6 będzie
równolegle intensywnie rosło. Postępu nie zatrzymasz.

> Tak, też na to liczyłem. Kilka lat temu zrobiłem sobie w domku
> infrastrukturę IPv6 ready. Podpieli internet z IPv6. Ale nie działa.
> Zapytałem czemu nie działa skoro w umowie jest że działa. No więc nie
> działa bo nikt nie pytał i "chyba się popsuło jakoś kiedyś, nie wiadomo
> kiedy". Nie, nie naprawili. Na co to komu, Panie...

W latach 2000-2006 też bawiłem się z IPv6. I też było gorzej z niż bez.
Ale od tego czasu wiele się zmieniło.

> No to czekamy do pojutrza. Na chwile obecną w mojej okolicy nie ma ani
> jednego dostawcy domowego internetu który ma taki ficzer.

Neostrada nie dochodzi? No to można tylko współczuć.

> Jak chcesz się bawić to się baw. Przecież ja też tego nie robiłem z
> sensownych powodów.

Etap "zabawy" z IPv6 już dawno minął. Teraz IPv6 po prostu działa. Jak
oglądam statystyki domowego routera to ok. 50% ruchu jest via IPv6
(zapewne w dużej mierze za sprawą małżonki, która lubi czasem oglądać
filmy o gotowaniu na YT). Bez żadnego grzebania czy kombinowania - nawet
nic włączać nie musiałem, bo mój ISP włącza IPv6 domyślnie. Normalny
człowiek - w sensie nie-specjalista - nawet by się nie spostrzegł.

Mateusz

do góry

On 12/05/2019 20:41, Mateusz Viste wrote:
>> Przecież tego jest na tony w necie. Tu masz przykład:
>> https://en.wikipedia.org/wiki/Application-level_gate
way
> Czyli nie podasz... No trudno.

Jak się czytać nie umie to nie poradzę.

>>> Bo póki co podałeś tylko FTP, a to mocno chybiony przykład - by nie
>>> powiedzieć mętna dezinformacja.
>> Nic nie jest chybione. W latach 90 znalezienie serwera ftp
> Podajesz rzewne wspomnienia z lat 90 jako argument w wątku o rozwoju IPv6?
> Naprawdę?

Tak ponieważ znaczna część proto używanych obecnie używana byla również
wtedy.

>> z trybem pasywnym było mało prawdopodobne. Sytuacja utrzymywała się do
>> co najmniej 2005 roku.
> Mocno naciągasz, no ale powiedzmy że nie było mnie wtedy na świecie i
> naiwnie wierzę w to co opowiadasz. Tylko że 2005 to było 15 lat temu.

Niewiele się od tego czasu zmieniło.

>> Całkiem sprawnie sobie z tym radzimy od lat 90 co najmniej.
> Niby takie proste i opanowane, ale na firewalle - które są w obsłudze
> takich wyjątków znacząco łatwiejsze do ogarnięcia - jednak psioczysz.

NIe psiaczę na firewalle. Pokazuje tylko że trywialność już była.
Obecnie mamy potrójne NATy u suwerena.

>>> W przypadku firewalla sprawa ogranicza się do otwarcia jednej klapki na
>>> kilka sekund, bez jakiejkolwiek ingerencji w zawartość streamu TCP.
>> Czemu na kilka sekund ;) ?
> Bo na ustalenie sesji nie potrzeba więcej. A jak już jest ustalona, to
> standardowy mechanizm stateful przejmuje pałeczkę.

Ufff jakie to bezpieczne :D

>> Wow. Czas się wynosić z IPv4 i oglądać te kilka stron na 6 podnosząc
>> statystyki.
> Ale kto mówi o "wynoszeniu się z IPv4"? Nie zmyślaj. Z IPv4 będziemy żyć
> przez co najmniej kolejne kilkanaście lat, a wsparcie IPv6 będzie
> równolegle intensywnie rosło. Postępu nie zatrzymasz.

No to sobie konfiguruj. Przecież nikt nie broni poza tym że to takie hobby.

>> No to czekamy do pojutrza. Na chwile obecną w mojej okolicy nie ma ani
>> jednego dostawcy domowego internetu który ma taki ficzer.
> Neostrada nie dochodzi? No to można tylko współczuć.

Nic nie dochodzi. To takie zadupie Polski, Aglomeracja Śląska się
nazywa. 100m gruntu nie do pokonania dla dostawców.

do góry

On 2019-05-12, Mateusz Viste <m...@n...pamietam> wrote:
> On Sat, 11 May 2019 23:11:07 +0000, Marcin Debowski wrote:
>> To w jaki sposób realizowana jest kontrola dostępu do i z sieci lokalnej
>> (jesli chcemy mieć kontrolę dostępu)?
>
> Firewall stateful. Rozwiązanie istniejące od wczesnych lat '90 i znacząco
> prostsze (a zarazem pewniejsze) od jakiejkolwiek implementacji NAT.

Może to faktycznie kwestia przyzwyczajeń, ale segmentacja sieci na
lokalnych adresach wydaje się mi dużo bardziej przejrzysta. Jak coś jest
bardziej przejrzyste, to trudniej o błędy. W IPv6 jak rozumiem dostanę
pewną pulę adresów od IPSa (też mnie to przeraża, że będę zalezny w
takiej kwestii od IPS). Pewnie da się to też posegmentować, na poziomie
FW i bez NATu. A preferuję segmentacje, bo mam różne warstwy
bezpieczeństwa. Np. nie chcę aby dostep do podsieci gdzie chodzi cctv
był z podsieci, która umozliwia dostęp po wifi.

Generalnie zadaję te pytania bo o IPv6 nie wiem nic a powoli dobrze by
było stan ten zmienić.

>> Tak jakbym to robił na MACach
>> sokor wszystkie adresy miałyby być unikatowe?
>
> Nie rozumiem analogii do MAC - to nie ta warstwa. Firewalling przy IPv4
> wykonuje się dokładnie tak samo, jak przy IPv6. Np. "sieć lokalna ma
> dostęp do zewsząd, a cokolwiek innego odrzucam" - to jedna prosta reguła
> skutecznie zastępująca bezpieczeństwo rzekomo zapewniane przez NAT.

Analogia w unikatowosci adresu. Tylko tyle, bo wiadomo, że kontrolować
dostępu po samym MACu to nie jest dobry pomysł.

>> A dynamiczny przydział
>> adresów w sieci z ograniczonym dostępem jest podobny czy różni się od
>> IPv4?
>
> Implementacja różna (NDP lub DHCPv6 zamiast DHCP, oraz ICMPv6 zamiast
> ARP), ale z punktu widzenia użytkownika nic się nie zmienia - "podpinam
> komputer do sieci i po sekundzie mam adres należący do lokalnej sieci".

No to jasne, ale czytam np., że routery (zgaduję, że te ISP i inne nieco
"większe" mogą dynamicznie "przenumerować" całé pule adresów IPv6. To
jak ja mam w tej sytuacji zrobić np. static DHCP? Po segmencie adresu?
Przenumerowanie dotyczy tylko adresów segmentów sieci (network prefix),
a adres link-local jest zawsze zachowany?

--
Marcin

do góry

On 2019-05-12, Mateusz Viste <m...@n...pamietam> wrote:
> Ciekawostka: Pokrycie IPv6 w Indiach przez dwa ostatnie lata skoczyło z
> 1% do 65%. Źródło: statystyki Akamai, https://bit.ly/2VimooM

Ciekaw jestem, gdzie można znależź wiarygodne statystyki
https://ipv6-test.com/stats/country/IN
https://www.google.com/intl/en/ipv6/statistics.html

Co źródło to inne wielkości.

--
Marcin

do góry

On Sun, 12 May 2019 23:41:02 +0000, Marcin Debowski wrote:
> Generalnie zadaję te pytania bo o IPv6 nie wiem nic a powoli dobrze by
> było stan ten zmienić.

Hurricane Electric ma całkiem fajny (darmowy) program certyfikacyjny. A
przynajmniej był całkiem fajny, kiedy zdawałem go kilkanaście lat temu.
Nawet koszulkę od nich wtedy dostałem za zdanie, z dumnym napisem "IPv6
Certified Sage".

https://ipv6.he.net/certification/

> Może to faktycznie kwestia przyzwyczajeń, ale segmentacja sieci na
> lokalnych adresach wydaje się mi dużo bardziej przejrzysta. Jak coś jest
> bardziej przejrzyste, to trudniej o błędy.

W kwestii routingu nic się nie zmienia. Odchodzi tylko bolesny NAT.

Zamiast mieć takie 3 sieci:
192.168.1.0/24
192.168.2.0/24
192.168.3.0/24

Będziesz mieć np. takie trzy*:

2a01:aaaa:bbbb:1:/64
2a01:aaaa:bbbb:2:/64
2a01:aaaa:bbbb:3:/64

*przy czym powyższe zależy od tego co oferuje ISP, patrz dwa punkty
niżej. Jeśli to normalny ISP dla normalnych ludzi (a nie tranzytowiec lub
łączność "dla firm"), to sprawa może być nieco mniej oczywista.

> W IPv6 jak rozumiem dostanę pewną pulę adresów od IPSa (też mnie to
> przeraża, że będę zalezny w takiej kwestii od IPS).

No ale przecież już jesteś zależny, jeśli chodzi o adres publiczny. Przy
IPv6 twoja sieć staje się faktyczną częścią internetu - dlatego też nie
może mieć tu miejsca żadna dowolność.

> Pewnie da się to też posegmentować, na poziomie FW i bez NATu.

Tak, możesz mieć w domu różne podsieci do różnych potrzeb, ale pod
warunkiem, że ISP przydzieli ci prefiks większy od /64 i zgodzi się
wykonywać routing prefiksów na twoją domową bramę. Sądzę jednak, że
większość ISP raczej będzie przydzielać klientom domowym bloki /64, a to
oznacza tylko jedną sieć logiczną (mającą za to ponad 4 miliardy razy
więcej adresów niż cały obecny internet). Niemniej jeśli się uprzesz to i
w takiej sytuacji możesz dokonać segmentacji w domu - twój domowy router/
firewall musi wtedy działać po części w trybie bridge, tj. zezwolić aby
kilka jego interfejsów należało do tej samej sieci IP. Filtry z reguły
ustawia się wtedy w zależności od interfejsów, a nie adresacji (np. "to
co wchodzi interfejsem CCTV_0 nie ma prawa wyjść w internet").

> No to jasne, ale czytam np., że routery (zgaduję, że te ISP i inne nieco
> "większe" mogą dynamicznie "przenumerować" całé pule adresów IPv6. To
> jak ja mam w tej sytuacji zrobić np. static DHCP?

Możliwość masowej renumeracji prefiksów istnieje, ale czy w praktyce
ktokolwiek będzie jej używał w środowisku ISP? Mam wątpliwości, bo nie za
bardzo jest potrzeba takiego cyrkowania - adresów starczy dla wszystkich.
No ale tak czy siak - wszystko sprowadza się do kwestii umownej z ISP.
Jeśli przydzielił statyczny prefix IPv6, to wiesz że się nie zmieni.

> Przenumerowanie dotyczy tylko adresów segmentów sieci (network prefix),
> a adres link-local jest zawsze zachowany?

Adres link-local jest pochodną adresu MAC, ale tylko w swoich ostatnich 8
bajtach. Router narzuca swój prefiks link-local. Ale dla ciebie to żaden
problem, skoro i tak masz swój własny router/firewall przed CPE ISP.

Mateusz

do góry

On 2019-05-13 at 09:20, Mateusz Viste wrote:
>> Może to faktycznie kwestia przyzwyczajeń, ale segmentacja sieci na
>> lokalnych adresach wydaje się mi dużo bardziej przejrzysta. Jak coś jest
>> bardziej przejrzyste, to trudniej o błędy.
>
> W kwestii routingu nic się nie zmienia. Odchodzi tylko bolesny NAT.
>
> Zamiast mieć takie 3 sieci:
> 192.168.1.0/24
> 192.168.2.0/24
> 192.168.3.0/24
>
> Będziesz mieć np. takie trzy*:
>
> 2a01:aaaa:bbbb:1:/64
> 2a01:aaaa:bbbb:2:/64
> 2a01:aaaa:bbbb:3:/64
>
> *przy czym powyższe zależy od tego co oferuje ISP, patrz dwa punkty
> niżej. Jeśli to normalny ISP dla normalnych ludzi (a nie tranzytowiec lub
> łączność "dla firm"), to sprawa może być nieco mniej oczywista.
>
>> W IPv6 jak rozumiem dostanę pewną pulę adresów od IPSa (też mnie to
>> przeraża, że będę zalezny w takiej kwestii od IPS).
>
> No ale przecież już jesteś zależny, jeśli chodzi o adres publiczny. Przy
> IPv6 twoja sieć staje się faktyczną częścią internetu - dlatego też nie
> może mieć tu miejsca żadna dowolność.
>
>> Pewnie da się to też posegmentować, na poziomie FW i bez NATu.
>
> Tak, możesz mieć w domu różne podsieci do różnych potrzeb, ale pod
> warunkiem, że ISP przydzieli ci prefiks większy od /64 i zgodzi się
> wykonywać routing prefiksów na twoją domową bramę. Sądzę jednak, że
> większość ISP raczej będzie przydzielać klientom domowym bloki /64, a to
> oznacza tylko jedną sieć logiczną (mającą za to ponad 4 miliardy razy
> więcej adresów niż cały obecny internet). Niemniej jeśli się uprzesz to i
> w takiej sytuacji możesz dokonać segmentacji w domu - twój domowy router/
> firewall musi wtedy działać po części w trybie bridge, tj. zezwolić aby
> kilka jego interfejsów należało do tej samej sieci IP. Filtry z reguły
> ustawia się wtedy w zależności od interfejsów, a nie adresacji (np. "to
> co wchodzi interfejsem CCTV_0 nie ma prawa wyjść w internet").

W IPv6 jest zdefiniowana pula adresów lokalnych (tzw. ULA) będąca
odpowiednikiem prywatnych sieci w IPv4, więc nic nie stoi na
przeszkodzie by nadal samemu kontrolować/segmentować swoją sieć
lokalną, bez uzależnienia od przydziału adresu, czy nawet całej
puli, od IPS-a, i z miejscem na pewną dowolność. :-)

Szczegóły: https://tools.ietf.org/html/rfc4193.


--
mrg

do góry