Регистратор APNIC (Asia Pacific Network Information Centre) объявил о достижении 50% охвата IPv6 в Азиатско-Тихоокеанском регионе. Рубеж достигнут спустя 25 лет после начала внедрения IPv6 организацией APNIC. Степень внедрения IPv6 у других регистраторов: ARIN (Северная Америка) - 52%, LACNIC (Латинская Америка) - 39%, RIPE (Европа, Ближний Восток и Центральная Азия) - 28, AFRINIC (Африка) - 4%...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63133
Какие преимущества у 6-ой версии для обычного пользователя? На всех своих устройствах по возможности отключаю его.
Наличие белого адреса, в первую очередь. Полезностей этого достаточно имеется.
Чтобы любому сайту было проще вас отслеживать а также проще было вас взломать? Спасибо, не надо. Динамический IPv4+NAT даёт дополнительную безопасность и приватность.
А за NAT сайт вас не отслеживает?)
У меня вот один белый IPv4 на всю хату - думаете "сайту" меня стало сложно отследить?)
И наконец сходите к тем кто професионально занимается отслеживанием, они там давно уже нашли 100500 методов фингерпринта и на адрес им плевать.
> Ivan_83Знаете, раньше немного уважал ВАС. Но после своих реплик в данной теме вы упали в моих глазах до человека, который не ведает за какую лютую дичь топит.
по ip-адресам уже давно никто не следит, как правило для этого используются уникальные для устройства характеристики (считываются шаманства с canvas, разрешение монитора и доступной для отрисовки области браузера, набор доступных шрифтов, включенные списки адблока, версии софта, и т.д., и т.п.)когда наберется с десятка 3-4 бит информации (а они однозначно наберутся, и чем больше ты будешь скрытничать, тем заметнее ты будешь) - тебя трекать можно будет по всему интернету
Всё это легко обходится простой установкой плагина, который будет делать так, что каждый запрос будет выдавать уникальный не повторяющийся хэш. Но нормальные люди вообще отключают JS.
И получаем фингерпринт - юзерагент рандомизирует канвас, X, Y, Z, но не A, B, C, что выделяет юзера из кучи другихРандомизация не противодействует фингерпринтингу
ты что, из верующих в то что в ipv6 нет NAT?
> в ipv6 нет NATУ провайдера нет. А значит ответственность по защите своей приватности ложится на тебя + необходимость постоянно обновлять роутер, чтобы тебя не хакнули, а значит дополнительные расходы.
Динамический IPv6 с включенным privacy extensions делает это ещё лушче, ip-адрес просто превращается в шум, который из датафрейма выкидывается в первую очередь. IPv4 адресов у провайдерских пулов не так много на самом деле, агрегировать довольно просто, а вот рандомныe 2001:0db8:eb47:dead:beef:b00b:fe71:c94c — совсем нет. Максимум — как и из IPv4 — геодату получить, и можно смело выкидывать. Вот если начать IPv6 подсеть каждому сразу в паспорт записывать, а ещё лушче на лбу татуировать, то совсем другое дело!
> Вот если начать IPv6 подсеть каждому сразу в паспорт записывать, а ещё лушче на лбу татуировать, то совсем другое дело!А между прочим к этому всё и идёт. А ведь я помню как смеялись в нулевых на форумах, когда говорили что сим карты будут по паспортам. Кстати, про QR коды забыли? РФ идёт по пути Китая, не забывайте про социальный рейтинг.
Белый IP - путь сразу попасть под атаку из внешнего мира.
Это сомнительный плюс.
А возможность без костылей заходить на свой локалхост по SSH из тырнета это как: плюс или минус?
> А возможность без костылей заходить на свой локалхост по SSH из тырнета
> это как: плюс или минус?Зависит от: заходите вы или заходят к вам ;)
Это философская проблема наличия двери. Если у вас есть дверь в неё действительно можно зайти. Можно лазить к себе через окно, и да, через окно и через чердак к вам тоже лезут
> А возможность без костылей заходить на свой локалхост по SSH из тырнета это как: плюс или минус?Для 99.9% нормальных людей это не нужно. Мы же говорим про домашний интернет, а не про дичь из датацентров?
Глупости, если только у вас не совсем кривые руки.
Много вы слышали новостей как маки или андройды массово по сети ломали? А ведь они часто подключены с белым адресом к сети.
> Глупости, если только у вас не совсем кривые руки.
> Много вы слышали новостей как маки или андройды массово по сети ломали?
> А ведь они часто подключены с белым адресом к сети.Таки на маке или андроиде ssh сервер нужно отдельно включать, по-умолчанию он не доступен.
Но если на маке пользователь admin сделал себе пароль а-ля 123123 и включил ssh, то остальное лишь вопрос времени при его выходе в сеть с публичным адресом.
зачем вы включаете ssh-сервер на десктопе с паролем 123123 для всего интернета?
> зачем вы включаете ssh-сервер на десктопе с паролем 123123 для всего интернета?А как еще коллекцию троянов и эксплоитов собирать без заморочек с поисками и тп, а чтоб сами принесли ;)
Гринд до добра еще никого не доаел.Долутаетесь ведь.
> А ведь они часто подключены с белым адресом к сети.Они подключены к сети с тем же адресом, который висит на твоём роутере, а роутер в большинстве случаев за NAT провайдера, у которого нет ipv6 (сменил туеву кучу провайдеров и нигде нет ipv6), не говоря что и роутер нужен соответствующий с поддержкой ipv6. Мобильные операторы 3g/4g вообще ipv4 only выдают, по крайней мере у нас. И слава Богу.
Фаервол на томже роутер никто не отменял.Nat всё-таки для другого.
все фаерволы домашние по умолчанию не пускают по ipv6 в дом. надо отдельно открывать порты
В годах 10х был в меня белый айпишник. И в логах роутера постоянно стучались по ссш боты.
Тогда наличие своего белого айпи считалось крутой штукой, но сейчас я лучше впс за 300р куплю, если нужен свой сервер.
У меня был пару лет назад белый ip, так в логе каждую секунду чуть ли не сотни попыток подключиться на разные порты от ботов. Это своего рода спам, который даёт нагрузку на устройство и замедляет работу. Поэтому NAT провайдера это благо. Особенно для тех у кого роутер вечный - купил раз и на всю жизнь.
Со времён ADSL на всех проводных и за последние 6 лет всех беспроводных подключениях пользуюсь только и исключительно публичными адресами. Никто ни разу не атаковал, иногда только боты стучатся, но этот трафик на графике не видно. У принтера публичный IPv6 адрес, и никто даже Войну и Мир на нём не распечатал. Опасность «атак из внешнего мира» сильно преувеличена голливудскими технодрамами. Обычного фаерволла достаточно.
Возможность получить маршрутизируемый адрес для любого устройства.
Полный отказ от броадкастов - используется мультикаст.
Более чистый заголовок: всё флаги и пр вынесено в опции.
Зачем тебе маршрутизируемый адрес для каждого устройства?
Каждому сетевому устройству нужен какой-то адрес, почему бы и не маршрутизируемый? Фаерволлу без разницы какие там адреса что так, что эдак, но настройку это значительно упрощает, избавляя от NAT.
Надо! Не все в пещерах живут.
Лично мне, чисто для личных нужд, адреса десятками нужны.
Таких как ты 0.0001% и слава Богу. А большинству нужна приватность за как можно большим количеством NATов.
Потому что это свобода выбора конфигурации.
Если у каждого девайса маршрутизируемый адрес - значит я одним движением руки могу получить/предоставить к нему доступ из инета.
Без вот эти всех присядок с пробросом портов и прочего.
Да такие как ты и сгружают сканы документов в сеть, а потом удивляются почему за 2 рубля продаётесь в базе даркнета 😆
> Возможность получить маршрутизируемый адрес для любого устройства.Т.е. возможность безусловная идентифицировать ВСЕ твои устройства.
никаких, белый ip любой провайдер выдаёт бесплатно. дефицит ipv4 - это миф, чтобы заставить хомячков однозначно идентифицироваться рекламными сетями
Я тeбя минуcyю обычно, но здесь крепко жму руку.
Преимущества в альтернативных маршрутах трафика для ipv6 соединений.Я на Ростелекоме долго не тестировал, но из небольших тестов выясняется, что (по крайней мере на РТ) по ipv6 маршруты в среднем на 10мс дольше до крупных ДЦ и контент-провайдеров.
Недавно где-то читал статью, что в какой-то отдаленной островной стране юго-восточного региона, у них из-за проблем у провайдеров и их аплинков с большой земли с ipv4, но вот ipv6 маршруты короче в несколько раз (например ipv6 ~30ms, ipv4 ~200ms).
https://version6.ru/isp/rt тут картинка по внедрению у ростелекома, на openwrt работает магически из коробки, нужно только WAN настроить по PPPoE, и ipv6 появится по какому-то Virtual Dynamic Interface.
> Какие преимущества у 6-ой версии для обычного пользователя?Никаких. Только минусы. Особенно с точки зрения приватности и отсутствия дополнительного уровня защиты в виде NAT провайдера + необходимость обновлять роутер, потому что он будет светить голой ж#пой в интернет.
Абсолютно бесполезный протокол.
адреса очень длинные, невозможно запомнить, на каждом интерфейсе по несколько адресов - невозможно управлять доступом, нужно настраивать фаервол, потому что каждый комп или даже лампочка торчит голой жопой в глобальную сеть, из которой так легко взломать всех.RFC1918 позволяет получить аж минимум 3 подсети (в которых можно так же сделать роутеры с NAT и получить в теории еще больше адресов), а проблемы, которые решает ipv6 уже научились решать в ipv4.
Мне не сложно лишний раз капчу нажать или посмотреть как трансляция видео разваливается в квадратик, так же и попросить собеседника повторть, когда CGNAT сбрасывает сессию.К тому же из-за размеров адресов ipv6, ТСПУ и BRAS плохо справляются с траффиком, а платить за их обнволения как клиент буду я!
НЕ НУЖЕН! Посидим на ipv4, сейчас все буржуи перейдут, и будет у нас 4 миллиарда ipv4 адресов, все будет отлично работать. Мы люди простые, нам больше не надо.
> адреса очень длинные, невозможно запомнить, на каждом интерфейсе по несколько
> адресов - невозможно управлять доступом, нужно настраивать фаервол, потому
> что каждый комп или даже лампочка торчит голой жопой в глобальную сеть, из
> которой так легко взломать всех.Вася, все проще: ты элементарно некомпетентен. Но выбрал очень длинный и занудный способ это обосновать.
ты меня не учи, ты не знаешь кто я такой:
я настраиваивал D-Link, Kinetik, Asus, видел OpenWrt, умудрялся подключить по сети 2 компьютера по одному кабелю и все отлично, превосходно работало.
не новичок и в таком профессиональном оборудовании как Mikrotic, сейчас читаю про Cisco: ничего сложного. Я наизусть помню 192.168.0.1 / 255.255.255.0 и уверенно разбираюсь в ipv4. А вот твоих достижений никто не знает, поэтому повежлевее!
Т.е. fd00::10 запомнить и писать сложнее, чем: 192.168.0.10? Что-то мне подсказывает, что твои познания в IPv6 начинаются и заканчиваются на длине адреса.
твои ULA адреса абсолютно бесполезны, а с моими 172.16.0.0 мне доступен весь интернет, умник!
> я настраиваивал D-Link, Kinetik, Asus, видел OpenWrtТо есть домашний сегмент, который еле-еле L2?
> сейчас читаю про Cisco: ничего сложного.
Поди те, которые опять L2?
> Я наизусть помню 192.168.0.1 / 255.255.255.0
То есть опять подсеть на два ПК?
> по сети 2 компьютера по одному кабелю и все отлично
Ну как бы два пк между собой и подключаются по одному кабелю.
Вы былые времена люди по RS-232 собирали сеть из десятков ПК без коммутаторов.
>Ну как бы два пк между собой и подключаются по одному кабелю.Ага, а по какому типу должен быть обжат кабель?
Уже over 20 лет как, без разницы, прямой он или перекрученный.
В нашем деле главное чтобы у кохонес перекрут не случился
>Вы былые времена люди по RS-232 собирали сеть из десятков ПК без коммутаторов.Помню как в 90х гоняли в дюка3д по локалке rs232, хорошие времена были...
Зачотный троленг!Начиная с опыта в SoHo сегменте и заканчивая причислением глюкотика к проф железу :)
Как человек который обитает на самом дне технологической пирамиды и имеет просто никакое представление об экономических и технических реалиях - вам бы лучше воздержатся от высказываний.
Впрочем чтобы вы не говорили - вас никто не слушает.
Однажды IPv4 доступ в инет просто сделают платным для абонентов за отдельный прайс.
А потом и полностью запретят, как запретили лампочки накаливания :)
Ну 4 еще долго будет актуален в интранете. Так что не "запретят". Для многих он тупо проще и привычнее, и для локальных сетей его за глаза.
в ваших москвах все ни как в остальной России.
вот и лампочки накаливания запретили, а везде они только
и используются. ибо очень дешево
> Как человек который обитает на самом дне технологической пирамиды и имеет просто никакое представление об экономических и технических реалияхТак это про тебя - любителя сдавать мазок и однозначно себя идентифицировать рекламным сетям.
>К тому же из-за размеров адресов ipv6, ТСПУ и BRAS плохо справляются с траффикомКандалы ходить мешают? Понимаю...
Вы помните все адреса в распределенной рабочей 10/8?
Вообще-то для больших сетей придуман DNS, а для нескольких хостов можно и hosts прописать, если домашний soho не умеет. У меня, например, в используемых v6 хвосты соответстуют v4, что сильно упрощает.Гораздо более проблематично, что для IPv6 до сих пор (а прошло уже почти 30 лет с появления) не появилось полноценного общераспространенного решения по централизованному назначению адресов. Есть DHCPv6, но он настолько костыльный, да и многие системы и устройства просто не умеют его "из коробки". Полноценно отлажена только работа RA, но это годится только для неуправляемых публичных или домашних сетей. А если потребуется сложная настройка с очередями, привязками и тп: либо адреса вручную прописывать, либо играться с портами/туннелями.
Да мне проще и удобнее трафиком на Yggdrasil управлять и маршрутизировать, чем на "нативном ipv6", чем заморачиваться с vpn, vlan и 802.11x там, где это избыточно.
> Вы помните все адреса в распределенной рабочей 10/8?за 15 лет работы в "******-Сервисе" я прекрасно помню, какой ip адрес у сервера, директора или секретарши. Как я должен запоминать этот бесконечный поток цифр в ipv6?
А если роутер сломается? А если нужно сделать проброс порта, DNS - ненадежная технология смузихлебов.
Да, в этом ipv6 нельзя нормально начать выдавать адреса ПО ПОРЯДКУ, а не как эти компы себе выдумывают. я и говорю, бесполезный протокол, какой смысл блокировать одному адресу сайт vk.com если он с другого адреса туда вылезет?! Выдумали какой-то SLAAC, у них что, нету рабочих задач!? Как блокировать-то?!
В общем я эту фигню на всех компах в офисе отключил и вам советую сделать то же самое.Yggdrasil не знаю что такое, смузи какой-то северный?
Есть у вас сетка 192.168.1.0/24 с серверным 10, директорским 100 и секретаршей на 200. Прописываете свою 2001:... c хвостом ::10 серверу, ::100 директору и ::200 секретарше.Если роутер сломается у вас v4 продолжит работать? А настройки имеет смысл резервировать/документировать, чтоб оперативно поднимать на новом оборудовании.
Адреса задавать можно: есть DHCPv6, есть EUI-64. Другое дело, что почти любое сетевое устройство из коробки можно подключить к сети v4 с автоматически назначаемым заданным адресом, в то время, как с v6 такое не пройдет. И если смартфону/планшету/ноутбуку еще можно включить туннель, то с iot-устройствами это не пройдет: статически прописать адрес проблематично, равно как и реализовать без разделения сетей железно или по vlan камерам, колонкам и телефонам отдельные настройки доступа и пропускной от лампочек и датчиков.
> Есть у вас сетка 192.168.1.0/24 с серверным 10, директорским 100 и секретаршей на 200. Прописываете свою 2001:... c хвостом ::10 серверу, ::100 директору и ::200 секретарше.Как Ганди, который почти потерял веру в собственных соотечественников, которых решительно нельзя было отучить без репрессий не срать под кустами на клумбах у нового парламента, так и айтишников никак нельзя отучить не тащить плохие привычки из IPv4 в IPv6. Всё им хочется то EUI-64, то "красивые" статические адреса для нужных людей. И это ещё ничего, некоторым ICMP надо непременно запретить на роутере. А то вдруг кто-то из интернетов вражеских пинганёт директора :)))
> некоторым ICMP надо непременно запретить на роутере.А для чего его держать на роутере, из внешней сети? У меня же не сайт.
Или он провайдеру нужен?
> А для чего его держать на роутере, из внешней сети? У меня
> же не сайт.
> Или он провайдеру нужен?Он всем нужен - https://en.wikipedia.org/wiki/Internet_Control_Message_Proto...
Если будет желание поспорить, то сходи в пресет firewall из OpenWrt и погугли, что за типы сообщений там разрешаются.
> Он всем нуженДля себя (на домашней системе, конечно) заблокировал полностью icmpv4.
Из icmpv6 оставил только NDP, ведь без него работать не будет.
Буду крайне признателен, если Вы скажете, что я потерял.Пинг мне не нужен. Особенно, чтобы всякие типа касперские потом писали, вах там новое устройство в сети, стоит тебе подключиться у кого-то из друзей.
Редирект также.
https://medium.com/@sherishrat/icmp-redirect-attack-187...Что там еще такого?
> Буду крайне признателен, если Вы скажете, что я потерял.Вы добавили себе затупов в сеть из-за отсутствия сообщений о недоступности узла (будет ждать таймаута), о превышении TTL, убили себе Path MTU discovery и, возможно, что-то ещё, что навскидку мне в голову не пришло.
Все начинающие одмины проходят через стадию: "заприщу ФСЁ! разрешу только необходимое!".
Это проходит по мере роста знаний, правда не у всех знания растут, некоторые так в этом и застревают.Чтобы icmp redirect сработал - ядро ОС должно быть настроено для этого.
Как минимум на фре есть отдельные sysctl которые реагируют на то игнорировать подобные ICMP или принимать и обрабатывать.Скорее всего в остальных ОС так же, это старая и давно известная проблема и поддержку редиректа сохраняют для каких то отдельных редких случаев, которые редко встречаются, потому оно отключено по дефолту.
> Как минимум на фре есть отдельные sysctl которые реагируют на то игнорировать
> подобные ICMP или принимать и обрабатывать.Я с какого-то момента на присылаемые ссылки с Medium вообще не хожу. Такое впечатление, что там только статьи "ща я вам расскажу о секретном ключике, который делает всё, чего вам не хватало (пускай, вы об этом и не подозревали)" )))
> за 15 лет работы в "******-Сервисе" я прекрасно помню, какой ip адрес
> у сервера, директора или секретарши. Как я должен запоминать этот бесконечный
> поток цифр в ipv6?Зачем его запоминать?
> Yggdrasil не знаю что такое, смузи какой-то северный?
К серверам отношения не имеет. Просто оверлейная IPv6-only сеть в приватном диапазоне адресов. Префикс сети генерируется криптографически. Стойким быть не может, т.к. длина ограничена 64 битами (в реальности меньше), но даже в таком варианте вполне пригодна как для игр в публичной и приватной песочнице.
> vpn, vlan и 802.11xНичего из это не имеет отношения к IPv6. Даже поддержку IPsec убрали из обязательных требований.
> Yggdrasil
Что то, что это является подсетью IPv6. Или адрес вроде 21e:e795:8e82:a9e2:ff48:952d:55f2:f0bb запоминается проще, чем 2a02:6b8::2:242?
> DHCPv6, но он настолько костыльный, да и многие системы и устройства просто не умеют его "из коробки".
Гуглопроблемы, да и со SLAAC жить можно.
>> vpn, vlan и 802.11x
> Ничего из это не имеет отношения к IPv6. Даже поддержку IPsec убрали
> из обязательных требований.Ну-ну. Расскажите тогда, как маршрутизатору отличить на одном коммутаторе 10 умных лампочек от 10 ip-камер по ipv6-адресу.
Вы, вообще, читали что комментировали?
Речь идет не про работу ipv6 вообще, а про централизованное управление адресами устройств.>> Yggdrasil
> Что то, что это является подсетью IPv6. Или адрес вроде 21e:e795:8e82:a9e2:ff48:952d:55f2:f0bb
> запоминается проще, чем 2a02:6b8::2:242?Еще раз: перечитайте что комментируете - сетевой интерфейс yggdrasil-туннеля самостоятельно свой ipv6-адрес не меняет.
>> DHCPv6, но он настолько костыльный, да и многие системы и устройства просто не умеют его "из коробки".
> Гуглопроблемы, да и со SLAAC жить можно.Ну да, ну да. В iOS, Android, Windows, MacOS уже встроили DHCPv6 клиент. На серверных и управляемых технарями сложных устройствах - проблем нет. А вот как назначить заранее заданные v6 адреса айфону директора, айпаду дизайнера и ноутбукам гостей?
RA/SLAAK это не умеют, умеет dhcpv6 по duid, но его не умеют многие конечные устройства. разве что ra с eui64, но об этом уже писалось, просто кому то лень читать.
> сетевой интерфейс yggdrasil-туннеля самостоятельно свой ipv6-адрес не меняет.Простите, а как это связано с IPv6? Бла-бла-бла... - никак. Префикс может быть статическим, а может быть и динамическим. Никакой проблемы в его смене нет, т.к. машинная часть остаётся той же. А у Yggdrasil врождённая проблема, т.к. подсеть генерируется криптографически и длина её ну очень уж смешная не только по нынешним временам, но и по меркам 2010 года.
> Ну-ну. Расскажите тогда, как маршрутизатору отличить на одном коммутаторе 10 умных лампочек от 10 ip-камер по ipv6-адресу.А оно ему зачем? Очередной пердолесценарий?
>> Ну-ну. Расскажите тогда, как маршрутизатору отличить на одном коммутаторе 10 умных лампочек от 10 ip-камер по ipv6-адресу.
> А оно ему зачем? Очередной пердолесценарий?Видите ли, не все сетки настраиваются по принципу "всем всё и по-максимуму".
> Видите ли, не все сетки настраиваются по принципу "всем всё и по-максимуму".Реально, а зачем маршрутизатору знать о лампочках и камерах? Он пакетики пересылает? Что за бред вы там придумываете?
Видимо, товарищ под "маршрутизатор" понимает девайс, который совмещает функциональность и маршрутизатора, и межсетевого экрана.
Так это же всем хорошо знакомый девайс на OpenWRT!
> Видимо, товарищ под "маршрутизатор" понимает девайс, который совмещает функциональность
> и маршрутизатора, и межсетевого экрана.
> Так это же всем хорошо знакомый девайс на OpenWRT!А ему не всё равно, от лампочки или телефона пакетики пересылать? Я просто аргумент действительно не понял.
>> Видимо, товарищ под "маршрутизатор" понимает девайс, который совмещает функциональность
>> и маршрутизатора, и межсетевого экрана.Именно. Это уже давно объединено: по крайней мере я не встречал управляемых маршрутизаторов, не умеющих фильтрацию. Даже на управляемых коммутаторах это давно есть.
>> Так это же всем хорошо знакомый девайс на OpenWRT!
Не обязательно.
> А ему не всё равно, от лампочки или телефона пакетики пересылать? Я
> просто аргумент действительно не понял.Вот есть у вас сетка v6 с камерами, лампочками, датчиками и тп в одном коммутаторе (мы же говорим о том, когда отсутствует физическая изоляция или vlan-ы.
И нужно, чтоб на sip телефон ходил udp трафик откуда угодно, на пк/ноутбуки только established-related, а лампочкам, датчикам и камерам связь только в пределах локальной сети.
С NAT это легко решается. Если "белая" маршрутизируемая подсеть с ipv4 и dhcpv4 - аналогично. А с назначаемыми через ra ipv6 уже нет: тупо отсутствует привязка устройства к адресу.
> Вот есть у вас сетка v6 с камерами, лампочками, датчиками и тп
> в одном коммутаторе (мы же говорим о том, когда отсутствует физическая
> изоляция или vlan-ы.
> И нужно, чтоб на sip телефон ходил udp трафик откуда угодно, на
> пк/ноутбуки только established-related, а лампочкам, датчикам и камерам связь только в
> пределах локальной сети.
> С NAT это легко решается. Если "белая" маршрутизируемая подсеть с ipv4 и
> dhcpv4 - аналогично. А с назначаемыми через ra ipv6 уже нет:
> тупо отсутствует привязка устройства к адресу.Религия мешает сделать для отдельного класса устройств отдельную изолированную подсеть? Это же НАМНОГО безопаснее и надёжнее. Ну нельзя в 2025 году тащить пердоли из 90-х и жаловаться на IPv6. Причина в нежелании учиться.
Ну вот кому вы врёте, нет у вас такой сети. :)Если бы была, то вы бы первый её на vlan порезали и не говорили тут ерунды.
Мало того что лампочки и камеры сами по себе дырявые, так камеры относятся к системам безопасности с одной стороны, с другой кетайцы туда пихают бэкдоры чтобы камера сама им в облако всё лила по их первому запросу.
В остальном любая сеть после 50-100 хостов на обычных не управляемых коммутаторах становится не стабильной, в том плане что резко растёт вероятность что один друной хост положит весь сегмент. И поэтому приходится ставить управляемые коммутаторы и по возможности пилить на сегменты.
Всё что у вас с NAT легко решается - так же легко решается и без него в IPv6, только возможностей больше.
Вот только в v4 у меня дома устройства получают адрес по mac и для полученного адреса уже применяются используемый dns, маршруты, ограничения скорости и контента и тд.
Это легко и просто.
Но с v6 это не катит. Единственный простой способ: поднимать для каждого семейства устройств со своей группой правил отдельную сеть ввиду проблематичности назначать статические адреса. О чем изначально речь и шла: проблемах централизованного управления и привязки постоянных v6 адресов к устройствам когда изоляция избыточна.
> Вот только в v4 у меня дома устройства получают адрес по mac
> и для полученного адреса уже применяются используемый dns, маршруты, ограничения скорости
> и контента и тд.
> Это легко и просто.
> Но с v6 это не катит. Единственный простой способ: поднимать для каждого
> семейства устройств со своей группой правил отдельную сеть ввиду проблематичности назначать
> статические адреса. О чем изначально речь и шла: проблемах централизованного управления
> и привязки постоянных v6 адресов к устройствам когда изоляция избыточна.Безграмотный пердолесценарий. Не надо так делать. Загугли "OpenWrt IoT DMZ/VLAN" и скопируй. А дальше хоть пообнастраивайся обмазываясь ограничениями скоростей, маршрутами и DNS.
>> Вот только в v4 у меня дома устройства получают адрес по mac
>> и для полученного адреса уже применяются используемый dns, маршруты, ограничения скорости
>> и контента и тд.
>> Это легко и просто.
>> Но с v6 это не катит. Единственный простой способ: поднимать для каждого
>> семейства устройств со своей группой правил отдельную сеть ввиду проблематичности назначать
>> статические адреса. О чем изначально речь и шла: проблемах централизованного управления
>> и привязки постоянных v6 адресов к устройствам когда изоляция избыточна.
> Безграмотный пердолесценарий.Умеете лучше на одном бюджетном беспроводном маршрутизаторе - продемонстрируйте.
Иначе - это просто пузырьки в луже
> Умеете лучше на одном бюджетном беспроводном маршрутизаторе - продемонстрируйте.
> Иначе - это просто пузырьки в лужеЗагугли слова. Даже на TP-Link A6 v3.20 работает без проблем. В твоём случае для IoT можно вообще только ULA оставить.
> Загугли "OpenWrt IoT DMZ/VLAN" и скопируй.О чем я изначально и говорил - изоляция.
VLAN-ы и отдельная коммутация у меня на работе, дома считаю избыточным.Но даже это не решает проблем.
Например хаб умного дома должен иметь выход в инет, а управляемые им устройства нет. Причем расположены должны быть в одной подсети.
Или, например, как определить адрес мигающей лампочки удаленно. Проблема привязки адреса к устройству.
Не говоря уж о том, что при большом количестве правил создавать под каждое свою подсеть/vlan...
Всё до тебя уже придумано. Не надо городить своих пердолей. Готовые конфиги в документации OpenWrt. Сделай без VLAN, если у тебя религиозные противоречия с ним. Там всё просто.
У вас проблема в том, что софт который "получают адрес по mac и для полученного адреса уже применяются используемый dns" не делает того же самого для IPv6.У меня ровно та же проблема - нет центра манагемента сетевых устройств где было бы всё в куче: DHCPv4, DHCPv6+raa, DNS и может ещё что то.
Вот хоть садись и пиши сам :)))
> У вас проблема в том, что софт который "получают адрес по mac
> и для полученного адреса уже применяются используемый dns" не делает того
> же самого для IPv6.Ключевое: отсутствует рабочее решение «этому устройству назначить именно этот v6 адрес». Остальное лишь следствия.
> Ключевое: отсутствует рабочее решение «этому устройству назначить именно этот v6
> адрес». Остальное лишь следствия.Выдайте ему hint!
>> Ключевое: отсутствует рабочее решение «этому устройству назначить именно этот v6
>> адрес». Остальное лишь следствия.
> Выдайте ему hint!Очевидно же, что ваш вариант: выдавать каждому устройству по собственной /64 подсети и помещать в отдельный vlan - меня не устраивает.
> А вот как назначить заранее заданные v6 адреса айфону директора, айпаду дизайнера и ноутбукам гостей?Чтобы что? Чтобы потом плакать о том, что таргетировать взлом легко в IPv6?
> eui64
Забудьте про него.
> А вот как назначить заранее заданные v6 адреса айфону директора, айпаду
> дизайнераПрописать серверу DHCPv6, каким адресам MAC выдавать какие IPv6.
> Прописать серверу DHCPv6, каким адресам MAC выдавать какие IPv6.Ты вообще не понял, что такое SLAAC.
Я про DHCPv6, а не про SLAAC.
> Я про DHCPv6, а не про SLAAC.Если бы был только DHCPv6 и не было SLAAC, то и предмета для претензий не было бы.
Гуглопроблемам с DHCPv6 скоро будет положен конец.https://datatracker.ietf.org/doc/html/rfc9663
https://datatracker.ietf.org/doc/html/rfc9762Вот такой DHCPv6 в андроиде через годик где-то заработает.
Source: https://issuetracker.google.com/issues/36949085#comment436Вторая ссылка заработает через месяц, если всё будет хорошо.
> Вот такой DHCPv6 в андроиде через годик где-то заработает.100 лет ему в обед - Won't fix (Intended behavior).
Ну вы по ссылке на комментарий-то сходите.> As for centralized network management: we do understand that network administrators are accustomed to using DHCPv6 for centralized address allocation and forensics. Android will soon provide ways to make that easier without using IA_NA. For example:
> * Android will soon support networks that use DHCPv6 PD for IPv6 address allocation, see RFC 9663 and draft-ietf-6man-pio-pflag, which will be an RFC shortly.
> * Work is in progress on an implementation of RFC 9686, which will allows the device to inform the network of the IPv6 addresses that it is using.
>
> We realize that these don't perfectly map to what networks do in IPv4 today, and the documents above do explain this (though RFC 9663 is actually very close). However, it's also true that what people do in IPv4 today relies on NAT44. Moving from "NAT everywhere" to "end-to-end connectivity everywhere" generally does require changes in how addresses are allocated and updated.Просьба от 2012 года wontfix, но предлагается другое решение.
> Ну вы по ссылке на комментарий-то сходите.Эта ссылка у меня в букмаркарах уже много лет. Там за всё это время много интересного писалось, но воз и ныне там - WONTFIX.
> НЕ НУЖЕН! Посидим на ipv4, сейчас все буржуи перейдутщас, разбежался. не настолько уж они и феноменально т...
индусы вон перейдут. И китайцы. Но им, в общем-то, в интернет и не надо. У них wechat вместо.
>Посидим на ipv4, сейчас все буржуи перейдут, и будет у нас 4 миллиарда ipv4 адресовА с чего ты решил, что буржуи тебе их отдадут ? Если бы всё было так просто, то проблемы дефицита адресов не существовало бы.
> невозможно управлять доступом, нужно настраивать фаервол, потому что каждый комп или даже лампочка торчит голой жопой в глобальную сеть
Специалисты по безопасности пришли к выводу, что фаервол нужен всегда. Если Вы запустите телефон директора в сеть, чтобы у него был wi-fi. А у директора на телефоне троян, который выступает в роли proxy, то всё твоё управление доступом идёт на известные три буквы. В IPv6 эту проблему принято решать через IPSec.
>ТСПУ и BRAS плохо справляются с траффиком
Ой да ладно, просто кому-то очень хочется денег. И он их получит независимо от внедрения IPv6. ТСПУ раньше вообще не существовало, но решение несуществующей проблемы успешно было реализовано и оплачено из Вашего кармана. В BRAS за обработку пакетов должен отвечать ASIC, которому плевать сколько там бит в адресе.
>Мне не сложно лишний раз капчу нажать или посмотреть как трансляция видео разваливается в квадратик, так же и попросить собеседника повторть, когда CGNAT сбрасывает сессию.А можно просто жить комфортно без страданий, но видимо не интересно.
>адреса очень длинные, невозможно запомнить
Вы MAC-адреса запоминаете ? Или номера сотовых телефонов ? Кстати о MAC-адресах, можно легко отслеживать привязку любого количества IPv6-адресов к одному MAC, просто отслеживая ND пакеты. Но если на устройствах все входящие соединения будут только через IPSec, то отслеживание имеет смысл только для логирования кто, куда и когда лез, если оно вообще нужно. Логирование десятка адресов это проще, чем сотен соединений.
>А с чего ты решил, что буржуи тебе их отдадутмы сами их заберем!
>Специалисты по безопасности пришли к выводу,
у ваших специалистов по безопасности только сопли пузырями и утечки персональных данных.
всю жизнь с NAT жили и дальше проживем.>ТСПУ раньше вообще не существовало
а теперь еще новый оплачивать для v6?!? дорого!
>Или номера сотовых телефонов
они не меняются у людей десятки лет, можно и запомнить.
> мы сами их заберем!И отправитесь в бан для всего интернета, но Вам и интернет видимо не нужен.
> у ваших специалистов по безопасности только сопли пузырями и утечки персональных данных.
Много Вы слышали про утечки из ЦРУ и АНБ ? Вот их специалисты и пришли к таким выводам, а не кгбшник на пенсии.
> всю жизнь с NAT жили и дальше проживем.Коротка же Ваша жизнь. Я выходя в Интернет по Dial-UP получал полноценные белые адреса. Компании в то время тоже могли себе позволить столько адресов, сколько нужно для каждого принтера. NAT(NATPT) это был способ выпустить в сеть устройства со словами «и так сойдёт», то есть не заморачиваясь с маршрутизацией и распределением.
> а теперь еще новый оплачивать для v6?!? дорого!
Если не для IPv6, то из за роста трафика, а он растёт всегда. Вас не спрашивают дорого или нет, сказали купить, значит купите.
> они не меняются у людей десятки лет, можно и запомнить.
Постоянные адреса для IPv6 точно так же не будут меняться десятки лет, это только временные меняются. А свой префикс от he.net уже наизусть помню, что достаточно для настройки маршрутизации. А хвосты мне проще копипастить, исключая вероятность опечатки.
> Кстати о MAC-адресах,
> можно легко отслеживать привязку любого количества IPv6-адресов к одному MAC, просто
> отслеживая ND пакеты. Но если на устройствах все входящие соединения будут
> только через IPSec, то отслеживание имеет смысл только для логирования кто,
> куда и когда лез, если оно вообще нужно. Логирование десятка адресов
> это проще, чем сотен соединений.Дома похоже реализовал: по mac-адресу идет временное добавление соответствующего ipv6-адреса в список, для которого уже выставлены соответствующие настройки доступов и скорости. Вот только одно дело нагрузка от добавления в список доступа dhcp-сервером при выдаче ipv4 адреса и совершенно другое - добавление в тот же список перехватом-анализом кучи пакетов.
Определённо требуется перенастройка мозгов, но ничего никуда не торчит по-умолчанию. Если тебя пингануть можно, то это ещё ничего не значит.
>нужно настраивать фаерволА для IPv4 файервол настраивать ненужно?
NAT это зло!
Сидите через напрямую или сокс прокси: http://www.eserv.ru/NATBRAS нормально с IPv6 справляется, а ТСПУ вообще не нужен, предлагаю вам потребовать деньги обратно.
Адреса и не нужны вам, как и управление доступом. Кому в инет не надо - можно порезать по MAC адресу.
ipv6 не предназначен вообще для запоминания, нужно использовать сервисы имен.
В домашней сетке тупо включи службу avahi c mdns, на винде достаточно установить бонжур. Все роутеры, принтеры и прочие железки имеют поддержку из коробки по умолчанию. Мануалов сети завались как это сделать
Охват, конечно, хороший в Китае, но роутеры по умолчанию закрывают входящие соединения, поэтому прямые аудиозвонки всё равно не работают.Но в Китае ipv6 вписан в Госплан, поэтому его, конечно, доведут до 100ю
до 100ю
rmb?
>Госплан в Китаеhttps://en.wikipedia.org/wiki/List_of_websites_blocked_in_ma...
Вв Китае за миллиард населения - ещё недавно столько на всей планете было . Сами могут себя контентом обеспечить .
Миллиард населения слишком преувеличенная цифра. Врут они. Посмотри блогеров которые были в Китае, все они показывают в своих видео, что в реальности там пустые города с пустыми домами и пустыми улицами. А вот в Индии или Бангладеш похоже гораздо больше.
С удивлением для себя узнал, что и телега заблокирована.
> в КитаеЭто ключевое. ipv6 это про идентификацию не просто твоего роутера, а всех твоих устройств. А где как не в Китая тотальная слежка и камеры наблюдения даже посреди гор и полей.
а я бы не отказался от аплинка на v6настроить один раз дхцп и файрвол - долго ли.
Почти ничем не отличается от v4: что там, что там раздача адресов и фильтрация. Разница лишь в том, что при v4 фильтруешь nat, а на v6 forwarding.
Выигрыш у v6 лишь при публикации наружу значительного количества привязанных к конкретным портам ресурсов. И если для условного ssh/rdp можно "в ущерб дзену" использовать нестандартные порты, то с sip, https и тп уже сложнее: каждому конечному пользователю не объяснишь, почему его браузер ломится на стандартный порт, а не берет из dns srv. Собственно "лишние" stun, reverse-proxy и тп - дополнительная нагрузка, которую v6 и устраняет.
Можно поискать VDS/VPN который дает ipv6, если брать за рубежом, то 2в1: ipv6 и свой vpn. Не
> Можно поискать VDS/VPN который дает ipv6,Так уже много лет Hurricane Electric свои Tunnel Broker беслатно предоставляет. Даже многие мелкие провайдеры вместо получения собственных автономных подсетей у ripe и иже с ними довольствуются подсеткой от HE.
просто у меня как раз такой случай, к vpn ipv6. Не сказать что бонус, т.к. пару центов приходится доплачивать. Но пусть будет
> а я бы не отказался от аплинка на v6Коль мозга нет, то и не на такое потянет.
> В России уровень внедрения IPv6 оценивается в 10.63%,
> Грузии - 12.72%,
> Украине - 13.42%,
> Беларуси - 14.35%,Итого? Россияне обогнали африку! :D. Но продули грузии, украине и беларуси. Такие вот "инновации". Можно прям медальку за развитие интернета выписать. Шоколадную.
> Итого? Россияне обогнали африку! :D. Но продули грузии, украине и беларуси. Такие
> вот "инновации". Можно прям медальку за развитие интернета выписать. Шоколадную.ipv6, Сомнительная технология.
Вот Россия и не переходит.
Бгг. В России в6 всюду,но используют его 10%. Как и чел отписавшийся сверху я тоже режу это ненужно везде где дотянусь. Пугали в свое время сайтами с в6,но оказалось что даже им это не нужно.
а еще ботоводы и всякие вредители очень любят ipv6
По факту в профильных списках блокировки IPv6 адресов единицы. Возьмите тот же fail2ban.
На моём вики проекте (20000 уникальных ip в сутки) большинство ботов это ipv6 паpaша. Для них всех включена усиленная капча и все равно не спасает.
> а еще ботоводы и всякие вредители очень любят ipv6Для противодействия им рекомендуется банить всю /64 для начала. Если многие /64 из /56 забанены, то можно их объединить. А потом тоже самое с /48 или даже все префиксы заслужившего того оператора.
>а еще
Про "зарубежные протоколы" там понравилось.
Отказываться от IPv4 и IPv6 будут? От DNS? HTTP? HTTPS?
А почему бы и нет?
> А почему бы и нет?Да вот и я о том же :D
IPv4 cильно устарел, как протокол. Все нововведения, по быстродействию и производительности разрабатываются для IPv6. IPv4 по-прежнему получает патчи безопасности и производительности, но они ограничены устаревшим legacy-дизайном. А NAT, популярный в IPv4 это вообще-то страшный костыль, который можно сравнить с PAE для 32-битной винды.Сейчас все роутеры и операционные системы приоритезируют IPv6 по-умолчанию.
Так что, хотят того хейтеры и старпёры (не по возрасту, а по менталитету) или нет, но вам придётся переходить, точно так же как вас заставили перейти с X11 на Wayland. И точно также, как вы перешли с XP на 7-ку, а потом на 10-ку, а сегодня многие перешли на десктопный Linux, чтобы не иметь дело с Windows 11.
Но в начале у вас у всех была старпёрская маниакальная стадия отрицания. Это проходит. И, кстати, вы же потом станите ярыми защитниками и фанатами IPv6, когда все будут переходить на другой протокол, более молодёжный, с блекджеком и свежими идеями.
Старенький НАТ дает анонимности даже больше чем интерполовский Тор, вот вы и записываете его в легаси.
НАТ никакой анонимности не даёт, это бред.
Почитай как это работает и перепиши свой комент.
Почитай как это работает и перепиши свой комент.
Ну вот этим коммeнтом ты и показал кто из вас двоих клоyн.
Клоyн
> Старенький НАТ дает анонимности даже больше чем интерполовский Тор, вот вы и
> записываете его в легаси.Это можно назвать анонимностью с большой натяжкой. IP адрес NAT или ваш персональный IP принадлежат тому же провайдеру. А минусы перевешивают плюсы, например:
- миллионы людей не могут попасть на сервер онлайн игры из-за одного читера.
- вы больше не сможете отредактировать статью на Wikipedia, потому что с этого IP уже школьник вандалит другие статьи.
- нельзя настроить входящее подключение из интернета. Это значит, что вам не предоставляют полноценную услугу, а дают крошки со стола, это унижение своих потребителей, отношение к ним, как к животным.К тому же NAT с IPv6 не куда не девается, это не legacy, это отдельная технология, которую, как опциональную услугу провайдеры могут предлагать даже с IPv6, если вам это нужно. А мне нужно, чтобы у всех устройств подключённых к интернету был свой интернет адрес, собственно у меня сейчас так.
Опасаетесь своего провайдера больше других? Странный вы тип. Наверняка еще используете безопасный ДНС для защиты от третьих лиц.)
> Опасаетесь своего провайдера больше других? Странный вы тип.Я вообще не об этом. Я говорю, о том, что без разницы вы за NAT или с белым IP, у вас и местоположение и провайдер один. Какая анонимность? Это ответ тому кто говорит, что NAT добавляет анонимности, это не так.
Так это я понимаю,но за НАТ я теряюсь, а кто там вычислилил моего провайдера это пустое. Зато слить все что можно левым нодам это менее анонимно.Бгг. Вот такая вот анонимность.
Более*
Хм, каждый раз как захожу на gitlab, он определяет моё месторасположение, и всё время разные города у него получаются, хотя провайдер один и тот же.
IPv6 использует префикс адреса провайдера, и адреса компьютеров в вашей сети как суффикс (вроде так), поэтому когда вы меняете внешний IP, внутренние суффиксы остаются прежними и по ним можно вас отслеживать, даже если вы смените провайдера. Оказывается, что нужно менять также IP для всех устройств в вашей сети. Есть некоторые сложные инструменты, чтобы этого избежать, но я думаю, что нужно просто использовать NAT также как и с IPv4, хотя не все роутеры могут это поддерживать.
> внутренние суффиксы остаются прежними и по ним можно вас отслеживатьЭто прежде всего мне нужно, мне нужно чтобы они оставались прежними, чтобы я из интернета мог подключиться к нужному устройству. При желании, их можно всегда сменить или использовать внутренний IPv6 NAT на стороне роутера.
Из за таких как вы интернет и централизуется.А потом вы ноете что вас единственная социалка где все друзья пускает только после KYC со сдачей номера телефона, авторизацией на госуслугах и маханием паспорта перед вебкой.
NAT очень сильно мешал и мешает любому p2p взаимодействию и толкает людей ко всем вот этим серверам бигкорпов в инете.
Нет вообще никакой проблемы хостить у себя всё и совершать p2p звонки, кроме вот этого вашего IPv4+NAT.
Кто-то до сих пор правит эту помойку с залоченными статьями с "единственно верной линией партии"?
> Старенький НАТ дает анонимности даже больше чем интерполовский ТорАнонимности он даёт только до провайдера. Т.е. для какого-нибудь пронхаба ты анонимен, а вот для товарищ майора вряд ли. У прова же в пакете рыжей дамы все свведения о соединениях хранятся. И он с радостью т. майору всё выдаст по первому требованию.
> NAT, популярный в IPv4 это
> вообще-то страшный костыль, который можно сравнить с PAE для 32-битной винды.chain=srcnat action=masquerade src-address=fc00:192:168:1:1::/128
out-interface=wan3
или
chain=dstnat action=netmap dst-address=fc00:192:168:1:1::/128 to-addresses=fd00:192:168:1:1::/128
chain=srcnat action=netmap src-address=fd00:192:168:1:1::/128 to-addresses=fc00:192:168:1:1::/128;)
Скажи словами, я намеков не понимаю.
> Скажи словами, я намеков не понимаю.NAT есть и у IPv6
Сэкономили на спичках и каждому светодиоиды понадобился в6.Бгг Прогресс такой прогресс.
> NAT есть и у IPv6никто этого не отрицал, я выше ответил про NAT тоже, что он с IPv6, как дополнительная услуга у провайдеров не куда не уходит, в личном кабинете отмечаете галочку и вы с IPv6 будете за NAT. Мне лично мне это не нужно, для меня это минус. А вот бабуле я настрою.
>точно так же как вас заставили перейти с X11 на WaylandА вы из какого года пишете?
> А вы из какого года пишете?Вы ещё не на Wayland? Тогда мы идёт к вам.
Я уже года 2 года на Wayland.
Ещё не совсем готов. Пусть ещё чуть подвялется.
> А вы из какого года пишете?Он из 3125 , там все таки заставили перецти на Wayland, но существует сопротивление, предводитель Джон, все кто еще на x11.
Говорят Wayland, еще в 1901 год путешествовал, это он тогда еще начинал, Wayland.
Ггг даже NAT хэйтили ещё 20 лет назад: http://www.eserv.ru/NAT
Нововведенения по пропроизводитетельности в IPv6 - это просто сказка и песня.
С очень неприглядной реальностью. Посмотрите, как оно в железе реализуется...
> Нововведенения по пропроизводитетельности в IPv6 - это просто сказка и песня.
> С очень неприглядной реальностью. Посмотрите, как оно в железе реализуется...Akamai измерил скорость использования IPv6 по сравнению с IPv4. Они обнаружили, что “сайты загружаются на 5% быстрее в среднем и на 15% быстрее для 95%-ного процентиля на IPv6 по сравнению с IPv4”.
Это не сказка, у IPv6 более простая структура заголовка пакетов, что делает их обработку быстрее и эффективнее на стороне маршрутизаторов, уменьшаются объёмы служебного трафика.
https://www.networkacademy.io/ccna/ipv6/ipv4-vs-ipv6
https://monsterhost.com/ipv6-to-ipv4/Также, там куча улучшение по безопасности, в том числе касающиеся мобильных и IoT устройств и обязательный IPSec.
> Это не сказка, у IPv6 более простая структура заголовка пакетов, что делает
> их обработку быстрее и эффективнее на стороне маршрутизаторовЕщё раз - посмотрите, как оно реально делается в железе, а не маркетинговый булшит.
Лукап маршрутизации IPv6 в ASIC'ах - это полый 3.14ц.
А какой смысл Akamai топить на IPv6, их тесты непредвзяты
попросите их посмотреть "как оно реально делается в железе", они вам покрутят у виска
Akamai бессмысленно просить смотреть, как оно в железе делается, они CDN, а не ISP, и у них в основном софт.
Это проблема ваших асиков, закажите асики майнерам - они умеют в длинные числа :)
Это проблема всех форвардинговых асиков на данный момент.
Если трафик гонять на том, чего ваши майнеры предлагают - просто на электричестве разоришься.
Обязательный IPSec в v6 што?
Вы это, с альтернативной реальностью-то полегче.
> Обязательный IPSec в v6 што?
> Вы это, с альтернативной реальностью-то полегче.был обязательный, теперь настоятельно рекомендуемый
RFC 1883 required support for IPsec
RFC 6434 downgraded this from a "MUST" to a "SHOULD"поэтому и правильно настроенное железо будет его автоматически использовать
Ещё немножко, и будет "опциональный".
Дальше просто забудут.
По факту - даже в кровавых энтерпрайзах не видел.
> поэтому и правильно настроенное железо будет его автоматически использоватьНу давай, покажи мне хотя бы две кастомерских CPE, которые "будут".
И если быть очень точным - очень многие роутеры идут с отключенным IPv6 по умолчанию.
> И если быть очень точным - очень многие роутеры идут с отключенным
> IPv6 по умолчанию.Совсем не многие. Пару китайских фирм так делают, причём на модифицированной OpenWrt прошивке. Я даже видел объяснение, которое показывает жутчайшую неграмотность инженеров. Понаберут по объявлению...
Я бы сказал большинство. И я прекрасно понимаю, почему так делают.
> Я бы сказал большинство. И я прекрасно понимаю, почему так делают.Вы застряли в состоянии 5-10 лет назад. Современные роутеры в подавляющем большинстве сценариев цепляют IPv6 при его наличии со стороны ISP. Роутеры и прошивки для самобытных рынков не рассматриваются.
Я вижу просто из вторых рук (ну, из первых - это собственно "поле"), что клиентам поставляется.
И да, IPv6 у нас есть, но для клиентов стоит галка "включить", потому что не все на это готовы. Включивших - менее пятой части.
Просто используем IPv6 с NAT и не паримся.
NAT не нужен.
И фаервол тоже нужно минимизировать.
> И фаервол тоже нужно минимизировать.Это очень сомнительное заявление.
Большинству пользователей можно смело рубит все входящие, кроме established,related.
Лучше уж тратить ресурсы на conntrack, чем ловить эксплойты и трафик на пользовательские порты.
У большинства пользователей андройды и маки, они уже лет 10+ как обучены работать в "общественных сетях". Даже венда обучена из коробки, ещё со времён если не ХРсп1 то хотя бы с висты/семёрки.
На xp я сам где-то в 2008 какой-то rce словил, вероятно.Тогда про роутеры и wifi вообще не знал. Так ethernet в материнку и шел.
А что там с фаерволом было - хз. Но, если ретроспективно глянуть, походу на 445, в дырявый smb что-то прилетело. Или в 139.
Сейчас винда спрашивает про тип подключения и если юзер затупит и нажмет дом, фаервола, считай что нет. И снова пресловутый smb, пусть и 3-ей версии в сети.
У андройдов, как правило, сервисов нет. Но все же помню, когда тупые разработчики китайских девайсов оставляли открытый adb.
Вообщем, если по-хорошему, входящий трафик нужно резать. А тот, кому нужно там какой-то сервер поднять, пусть сам разбирается, что ему открывать.
А видео звонки вы будете через сервера АНБ опять делать?
> можно смело рубит все входящиеУ меня и исходящие только по белому списку. Рубить надо всё, что не должно выходить в интернет.
> NAT не нужен.
> И фаервол тоже нужно минимизировать.А давай сразу интернет по паспортам?
>Просто используем IPv6 с NAT и не паримся.Рукалицо. Достали уже. Надо просто-напросто перейти на IPv6. IP - Интернет_Протокол не занимаются вашей приватностью, вы хоть прочитайте про Сетевую модель OSI. Это не её дело. Вашей анонимность занимаются на других уровнях. IP не занимается шифрованием и туннелями. 4-я версия Интернет Протокола не делает вас более анонимным чем 6-я версия.
P.S.
Ситуация похожа с Wayland. Некоторые до сих пор, требуют того, чем не должен заниматься Протокол.
OSI - у телефонистов.
В интернете TCP/IP.
Пора бы знать.
https://habr.com/ru/articles/376709/
> Надо просто-напросто перейти на IPv6Тебе надо, ты и переходи. Ты наверное и сканы документов сгрузишь и лицом с удовольствием покрутишь на камеру, а потом удивляешься откуда тебе звонят номера +38 представляясь службой безопасности твоего банка.
AFRINIC (Африка) от всех пользователей IPv6 - 0.9%, ARIN (Северная Америка) - 9.4%, LACNIC (Латинская Америка) - 10.7% и RIPE (Европа, Ближний Восток и Центральная Азия) - 16%Напомнить, сколько лет IPv6?
Не взлетело. Увы. Пора заняться IPv5/7
Просто добавить 32-bit ASN префиксом к v4 - и всё. Номер 0 - для маппинга в ныне существующую IPv4 сеть.И надо сказать очень сильно поможет железу - львиную долю роутинга между сетями можно будет осуществлять просто на основе этого префикса, без дальнейших лукапов.
Приходите сюда со своими мыслями когда у вас будет рабочий прототип.В целом ваше предложение из серии: не хочу в новый дом с жилой площадью х10, лучше приделаю балкон и буду туда лазать через пожарную лестницу.
> Приходите сюда со своими мыслями когда у вас будет рабочий прототип.
> В целом ваше предложение из серии: не хочу в новый дом с
> жилой площадью х10, лучше приделаю балкон и буду туда лазать через
> пожарную лестницу.Прототип можно для ведра и пары аппликух в принципе накорябать, но пока лень.
Да, опять переработка стека на предмет другого типа адреса - но с IPv6 уже пройдено, и путь уже отработан. Ну и читабельность адресов сохранится. 1.2.3.4:443 / 7777-1.2.3.4:443 например.
Читабельность адресов вообще никого не интересует.Вы похоже в какой то дыре живёте, и у вас больше 5 устройств в сети не бывает.
Потому что когда устройств пара сотен, да ещё всякие гостевые набегают - уже нифига не упомнишь, даже красивые DNS имена не очень помогут.Нужно думать не о некрофилии а об том какие средства андминистрирования сетей нам нужны.
У меня вот есть очень чёткое представление на этот счёт: я хочу единый гуй где будет:
MAC + IPv4 + IPv6 + DNS + вероятно ещё что то, ну типа посмотреть соединения/поредактить правила фаера.Если хотите на что то жаловатся - жалуйтесь что вам в роутер ставят dnsmasq который както работает и гуи обвязки к нему толком нет, так чтобы удобно списоком с фильтрами было.
Вот именно когда у тебя в сети очень много устройств - читабельность и интересует. Потому что да, DNS уже не помогает. Дошли до того, что просто эмбедишь IPv4 подсети в IPv6-адрес. С префиксом подсети и вложенным адресом. Чтобы два раза не зарисовывать.
Так после 5 устройств уже память в голове кончается.
>AFRINIC (Африка) от всех пользователей IPv6 - 0.9%, ARIN (Северная Америка) - 9.4%, LACNIC (Латинская Америка) - 10.7% и RIPE (Европа, Ближний Восток и Центральная Азия) - 16%Процитировал отсталые консервативные страны.
>Напомнить, сколько лет IPv6? Не взлетело.
Толсто.
>>Напомнить, сколько лет IPv6? Не взлетело.
> Толсто.Чего толсто-то. Воз и ныне там.
У ASIC'ов на IPv6 проблемы, TCAM'ы до сих пор крохотные, лукапы минимум в три фазы.
Многие вендоры лукавят насчёт лайнрейтов по IPv6 с большими таблицами, в итоге только если в MPLS заворачивать.
У CPE проблемы. С автоконфигурацией проблемы - кто в лес, кто по дрова, кому шлак дай, кому обязательно дхцпв3. С делегацией проблемы. С файрволами проблемы - те же софосы до сих пор нормально не умеют. Про софтроутеры и IPv6 вообще молчу.
Не будет никто заниматся никаким другим IP протоколом.У IPv6 нет никаких проблем технического плана, только с вот такими пользователями как вы.
За последние 10-15 лет внедрение IPv6 сильно продвинулось, это видно по всем продуктам на рынке - практически все могут IPv6, и основная проблема теперь в админах которые не могут и в провайдерах у которых мотивации/денег не хватает.
> Не будет никто заниматся никаким другим IP протоколом.
> У IPv6 нет никаких проблем технического плана, только с вот такими пользователями
> как вы.https://en.wikipedia.org/wiki/Interplanetary_Internet - IP совершенно непригоден для таких сценариев. Стоит только космическому аппарату улететь дальше орбиты Луны. Городить каждый раз проприетарный протокол не спортивно. По факту его уже давно и не городят...
Проблема не в протоколе а в задержках, пусть железячники решают проблему.
Иначе получится голубиная почта, без вариантов.
> У IPv6 нет никаких проблем технического плана, только с вот такими пользователями
> как вы.Протокол 16% уже лет как 10 так. И выше не получается, хоть и по v4 припёрло. Казалось бы - уже все должны, кончилось, нема, всё, цирк уехал. А вон оно как обернулось.
Как это не занимаются другим протоколом. Здесь же на опеннете писали про гугль и его quic, про хуавей с английским университетом делают NEW IP с переменной длиной адреса.Как это у ip6 нет недостатков, все же знают что он не подходит для iot и iiot, поэтому и не внедряется широко.
С переменной длиной адреса на асиках тоже не полетит. Только в софте.
Нет, можно, но тогда надо сверху жёстко ограничивать, и не в 128 бит.
https://www.opennet.dev/opennews/art.shtml?num=52648
> https://www.opennet.dev/opennews/art.shtml?num=52648Лучше вот это:
https://prod-upp-image-read.ft.com/6f569c60-7045-11ea-89df-4...Вот только это опять галимые теоретики - им бы с железячниками посоветоваться, те их просто пошлют на 3.14 букв.
Да я вам сам за вечер с десяток IPX/SPX/IPng/IPngng и тп наделаю, это вообще не проблема ни разу.Для IoT IPv6 подходит - даже в ESP8266 завезли его поддержку, а в ESP32 она уже давно была.
Всё что ниже их - просто мусор.
> Не будет никто заниматся никаким другим IP протоколом.Ну в принципе пока да - внезапно выяснилось, что и IPv4 пока достаточно.
IPv6 в основном в густо перенаселённых районах.
> IPv6 в основном в густо перенаселённых районах.Скорее в Китае и тех странах что лежат под Китаем. Там где нужно идентифицировать не только роутер, а и все устройства.
Хотя бы читайте то - что цитируете . Вы привели долю пользователей ipv6 в этих регионах от всех пользователей ipv6 в мире , а не его долю в соединениях . 40% - не взлетело ? А как насчёт http3 ? Или https сколько существует - всё до сотни не доберётся ...
> Хотя бы читайте то - что цитируете . Вы привели долю пользователей
> ipv6 в этих регионах от всех пользователей ipv6 в мире ,
> а не его долю в соединениях . 40% - не взлетело
> ? А как насчёт http3 ? Или https сколько существует -
> всё до сотни не доберётся ...О таком "не взлетело" остаётся многим мечтать. А местами вообще IPv6 only с IPv4 через 464xlat...
> О таком "не взлетело" остаётся многим мечтать. А местами вообще IPv6 only
> с IPv4 через 464xlat...Бедолаги. Трансляция через DNS - это лучшее, только скажите где, чтобы нечаянно не подключиться.
Да я знаю как взлетело. Мы ещё средненькие и подвижные, у нас уже 15 лет как летает. А у крупняка до сих пор для физиков нет.
> Японии (58.2%, 109 млн. пользователей)Шото я не понел. В Японии проживает 125 млн голов всего.
>> Японии (58.2%, 109 млн. пользователей)
> Шото я не понел. В Японии проживает 125 млн голов всего.на каждого человека существует по несколько устройств, то есть, пользователей протокола IP
ваш кэп
Чего проще: 125млн населения , из них 109млн юзеров (остальные древнее старичьё) , из которых больше половины на ipv6 . Обращайте внимание только на проценты .
> 125млн населения , из них 109млн юзеровВ Японии в % соотношении самое старое население. Вряд ли старичьё 60+ и младенцы вообще выходят в интернет.
> В Японии проживает 125 млн голов всего.Уже 123. Каждый год ~1 млн теряют.
Читайте https://www.opennet.dev/opennews/art.shtml?num=52648
Читайте https://www.tadviser.ru/a/349521
Бесполезно, они всё равно будут топить за ipv6 не отдавая отчёт, какую опасность данный протокол в себе несет, особенно в отдалённом будущем. Про симки по паспортам ржали на форумах в начале нулевых, а сейчас твой номер телефона это твоя цифровая подпись. А учитывая, что РФ идёт по пути Китая, то...
IPv4 очень удобен всяким хостерам, пользователь, сидящий за своим НАТом, потом за провайдерским НАТом, потом за CGNATом, просто вынужден будет брать VPS, т.е. сливать все данные.IPv4 кончился, всё, точка.
> IPv4 кончилсяВ больных фантазиях местных экспертов - возможно. Но чтобы проверить, что это не правда, достаточно пообщаться с живыми людьми на улице или на работе
И каждый живой пользователь интернета тебе расскажет, сколько у него белых адресов, ага, ври дальше.
Мyдилa, caм то пoнял что скaзал?
А фактически ipv6 используется только на серверах и датацентрах. Домашние провайдеры (как и большинство роутеров) не умеют. За последние 15 лет сменил 4 провайдера и все только ipv4 хотя уже и скорость выросла до честного гигабита.