Comments 64
Надо вводить IPv8 сразу, 2 байтика погоды не сделают, но адресов хватит всем и на бОльший срок.
В IPv6 64-битные адреса и это позволяет давать каждому абоненту подсеть размером со старый интернет.
а зачем мне, как абоненту, давать своим устройствам публичные айпи-адреса? наоборот, я хочу чтобы мои устройства были максимально изолированы от интернета в приватной подсети.
Ну учитывая, что сейчас начинается развитие Интернета вещей, да и к примеру меня устраивает возможность мониторинга происходящего в квартире удалённо.
IoT-вещь итак, как правило, ломится в облако. Зачем глупому устройству, а зачастую еще и без обновлений прошивки, торчать голой попой в интернет — мне не понятно. Сломают это устройство на китайской прошивке и вся локалка скомпрометирована.
Ну так не надо кривые прошивки использовать =) да и облако в конечном итоге можно избежать. Зачем делать костыль в виде его если данные могут P2P ходить?
вы не понимаете. наоборот, я не доверяю устройствам и НЕ хочу чтобы они куда-либо ходили без моего ведома, а тем более принимали входящие содинения.
например, у меня есть дома айпи-камера с неотключаемым облаком провайдера. я борюсь с этим, запрещая на шлюзике доступ с айпи этой камеры в интернет И не прописывая(на всякий случай) основной шлюз в сетевых настройках камеры. где мне прошивку другую взять для этой камеры? и таких устройств полно. или там ноутбук родственника какой-нибудь на старой windows. вот зачем мне его выставлять в открытый интернет?
ipv6 — протокол интернета вещей а так же глобального ботнета из них же. прошивки на железки никто не обновляет, находят какую-нибудь дырку в ядре linux(или в популярном сервисе вроде ssh) и привет. нет, спасибо, с ipv6 дома мне не по пути.
на работе, в изолированном сегменте сети — пожалуйста, но дома — нет.
например, у меня есть дома айпи-камера с неотключаемым облаком провайдера. я борюсь с этим, запрещая на шлюзике доступ с айпи этой камеры в интернет И не прописывая(на всякий случай) основной шлюз в сетевых настройках камеры. где мне прошивку другую взять для этой камеры? и таких устройств полно. или там ноутбук родственника какой-нибудь на старой windows. вот зачем мне его выставлять в открытый интернет?
ipv6 — протокол интернета вещей а так же глобального ботнета из них же. прошивки на железки никто не обновляет, находят какую-нибудь дырку в ядре linux(или в популярном сервисе вроде ssh) и привет. нет, спасибо, с ipv6 дома мне не по пути.
на работе, в изолированном сегменте сети — пожалуйста, но дома — нет.
Это не правда. IPv6 более гибкий протокол, он более сложно устроен поэтому не сразу понятно как обеспечить безопасную конфигурацию.
Если я чего не путаю, IPv6 в самом протоколе предлагает такую функцию которая сейчас называется VPN, только не требуется его долго настраивать -ваша домашняя сеть может безопасно быть расширена на любое устройство находящееся в сети интернет, и при этом легко ограничить это устройство от интернета — адресные пространства сильно разные.
Если я чего не путаю, IPv6 в самом протоколе предлагает такую функцию которая сейчас называется VPN, только не требуется его долго настраивать -ваша домашняя сеть может безопасно быть расширена на любое устройство находящееся в сети интернет, и при этом легко ограничить это устройство от интернета — адресные пространства сильно разные.
В самом протоколе такой функции нет. Когда «пугают» VPN-ом в контексте IPv6, обычно речь идет о Teredo и других переходных протоколах. Их опасность в том, что они — готовые тоннели во внешний мир, притом зачастую предустановленные.
Но это не является «дыркой» самого IPv6, это — дырка переходного периода. Как только компьютер получает IPv6-адрес, он сразу же перестает использовать Teredo. Да и закрыть эти протоколы не сложнее, чем любой другой VPN. Даже проще — ведь их не прячут.
Еще в IPv6 есть IPSEC, который также можно использовать как туннель. Но этот протокол и поверх IPv4 себя неплохо чувствует, так что IPv6 тут не при чем.
Но это не является «дыркой» самого IPv6, это — дырка переходного периода. Как только компьютер получает IPv6-адрес, он сразу же перестает использовать Teredo. Да и закрыть эти протоколы не сложнее, чем любой другой VPN. Даже проще — ведь их не прячут.
Еще в IPv6 есть IPSEC, который также можно использовать как туннель. Но этот протокол и поверх IPv4 себя неплохо чувствует, так что IPv6 тут не при чем.
Это уже чисто проблема маршрутизации. Всего одно правило в фаерволе роутера и ваша сеть не видна снаружи. К тому же, в стандарте IPv6 предусмотрены локальные адреса, для которых выход за пределы домашней подсети невозможен.
Противоположная функциональность этого стандарта — теперь устройства вашей подсети МОГУТ(прошу обратить внимание на это уточнение, в противоположность ОБЯЗАНЫ) находится в любой точке интернета.
Вобщем, фаервол одним движением превращает публичный адрес в непубличный, а нынче он встроен в любой роутер или сетевой модем.
Противоположная функциональность этого стандарта — теперь устройства вашей подсети МОГУТ(прошу обратить внимание на это уточнение, в противоположность ОБЯЗАНЫ) находится в любой точке интернета.
Вобщем, фаервол одним движением превращает публичный адрес в непубличный, а нынче он встроен в любой роутер или сетевой модем.
Хорошо, но зачем мне в эти пляски пускаться, если я могу всё то же самое в ipv4 получить, традиционным способом? ну и вообще, например, я знаю, что у меня в квартире есть /24 сетка, которую я могу держать в голове. в случае с ipv6 это(держать в голове) сложнее на порядок. в общем, в квартире ipv6 это как на суперкаре в ашан, имхо. к тому же существуют десятки миллионов легаси-девайсов, которые вообще ничего не знают про ipv6, мне надо на два фронта работать? поддерживать и ipv6-сеть и ipv4? ради чего? нет, спасибо, простоты ipv4 для дома мне хватит до старости. есть нормальные годные технологии, например, радио, которые не устаревают уже десятки лет. ipv4 из их же серии.
я думаю, не надо ничего говорить про реализацию ipv6 в современных домашних сохо-железках?
нынче он встроен в любой роутер или сетевой модем
я думаю, не надо ничего говорить про реализацию ipv6 в современных домашних сохо-железках?
А почему нельзя использовать IPv4-адресацию дома, за NAT-ом, а а один внешний адрес на роутере будет IPv6?
А смысл? IPv4 стоит использовать только с теми девайсами которые прям совсем не знают что такое IPv6. Операционки нынче знают, роутеры даже SOHO сегмента тоже знают, девайсы 5-летней давности и те повально знают что такое IPv6, причем IP-протокол выше физической линии, поэтому железо какое-то особое не нужно — достаточно переписать прошивку или накатить обновление с новым модулем поддержки. Ну а те девайсы, которые до сих пор не умеют работать с IPv6 это явно не сертифицированные девайсы или очень старые которые давно пора заменить.
Надо еще иметь в виду, что IPv6 помимо прочего решает некоторые проблемы уязвимости IPv4, которые принципиально неустранимы по причине крайней костыльности нынешней редакции IPv4. Вспомните, когда закладывалась эта версия протокола даже в мыслях у людей не было что адресное пространство может закончится.
«и так работает» не означает что работает всё хорошо и правильно.
Почитали бы как на заре NAT-а было проблемно пробросить FTP и POP3/SMTP протоколы… сейчас эти проблемы частично решены и то путём диких костылей.
Надо еще иметь в виду, что IPv6 помимо прочего решает некоторые проблемы уязвимости IPv4, которые принципиально неустранимы по причине крайней костыльности нынешней редакции IPv4. Вспомните, когда закладывалась эта версия протокола даже в мыслях у людей не было что адресное пространство может закончится.
«и так работает» не означает что работает всё хорошо и правильно.
Почитали бы как на заре NAT-а было проблемно пробросить FTP и POP3/SMTP протоколы… сейчас эти проблемы частично решены и то путём диких костылей.
А смысл? IPv4 стоит использовать только с теми девайсами которые прям совсем не знают что такое IPv6.
У меня локалка из 15 устройств.
Я не вижу ни одной причины хотя бы на одно устройство ставить IPv6.
Именно что: А смысл?
Даже сервер у меня за NAT'ом.
Сервер я тем более не хочу светить на весь интернет. Что с NAT, что с обычным файерволом — все равно придется настраивать порты, которым можно в интернет светиться. Так что мне даст IPv6?
Для меня, как админа этой локалки, единственное отличие IPv6 от IPv4+NAT — это то, что IPv6 по умолчанию светится на весь интернет и мне надо не забыть его заблокировать по всем фронтам, кроме отдельных портов на которых висят приложения которым нужен доступ в инет, а IPv4 — по умолчанию заблокирован и мне надо открыть доступ в интернет приложениям.
То есть IPv6 — по умолчанию дыра, а IPv4 — по умолчанию стена.
Ну и нафиг IPv6 обычному пользователю?
Через NAT FTP толком не работает, торенты, скайп, DC++ и прочая чепуха. Там очень много костылей реализовано чтобы всё более-менее работало.
Очень забавно иногда происходит когда у провайдера внутренний NAT, и у пользователя через роутер еще один слой NAT…
Проблема в том что IPv4 всё еще работает, но в будущем он должен стать локальным.
Проблема открытости IPv6 решается очень просто изменением дефолтных настроек в роутерах, рано или поздно это БУДЕТ.
Надо понимать что NAT появился как временное решение проблемы нехватки адресов, а не как средство безопасности. Раньше IPv4 кстати очень долгое время торчал незащищенным наружу в дикий интернет, чем это отличается от нынешней ситуации?
Сейчас кстати всё больше и больше появляются сайтов IPv6-only куда с привычного интернета просто не попасть.
Очень забавно иногда происходит когда у провайдера внутренний NAT, и у пользователя через роутер еще один слой NAT…
Проблема в том что IPv4 всё еще работает, но в будущем он должен стать локальным.
Проблема открытости IPv6 решается очень просто изменением дефолтных настроек в роутерах, рано или поздно это БУДЕТ.
Надо понимать что NAT появился как временное решение проблемы нехватки адресов, а не как средство безопасности. Раньше IPv4 кстати очень долгое время торчал незащищенным наружу в дикий интернет, чем это отличается от нынешней ситуации?
Сейчас кстати всё больше и больше появляются сайтов IPv6-only куда с привычного интернета просто не попасть.
Там очень много костылей реализовано чтобы всё более-менее работало.
Х.з. у меня все работает. :)
Может раньше и были проблемы, но их уже давно нет.
Очень забавно иногда происходит когда у провайдера внутренний NAT, и у пользователя через роутер еще один слой NAT…
Ну нет проблем. У меня белый IPv4 на роутере. Завтра IPv4 отменят — будет IPv6 на роутере. А внутри все равно локальные адреса будут стоять до последнего. :)
Надо понимать что NAT появился как временное решение проблемы нехватки адресов, а не как средство безопасности.
Но при этом обеспечивает дополнительный уровень безопасности.
Совершенно не важно для чего он создавался. Важно какие функции он выполняет и насколько безболезненно от них можно отказаться.
По сути, даже если сейчас у меня внутреннюю локалку всю за один день перевести на Ipv6 — все равно все политики безопасности будут настроены так, что никакой разницы по функционалу не будет.
Условно говоря тот же P2P Не будет работать, потому что все порты будут заблокированы. А чтобы он заработал надо будет разрешить их использование. Что ничем не отличается от настройки проброса портов за NAT.
Только в случае NAT это будет сделать сложно, а иногда и очень сложно. UPNP пробивает только первый NAT а дальше?
А ты попробуй режим FTP не пассивный а активный, или соединение сервер-сервер.
А ты попробуй режим FTP не пассивный а активный, или соединение сервер-сервер.
UPNP пробивает только первый NAT а дальше?
А откуда второй то возьмется?
На роутере белый IPv4 или IPv6.
Внутри локальные адреса.
белый и даже серый IP большая редкость для большинства провайдеров, тот шнурок который входит в квартиру с большой вероятностью уже за одним, а то и двумя NAT.
У нас в городе, на одного провайдера приходится примерно по 30 абонентов на один внешний IP. IPv6 внедрять не спешат, от инсайдера слышал что никак не раньше чем выйдет из строя главный маршрутизатор.
У нас в городе, на одного провайдера приходится примерно по 30 абонентов на один внешний IP. IPv6 внедрять не спешат, от инсайдера слышал что никак не раньше чем выйдет из строя главный маршрутизатор.
по умолчанию стена
Где-то на хабре проскакивала статья, что достучаться до компьютера за NAT таки возможно, если очень захотеть и будут некоторые благоприятные факторы. В том плане, что NAT не отменяет необходимости настроить фаервол хотя бы на роутере, если безопасность таки интересует. И iptables -P INPUT DROP на самому компьютере даёт куда больше защиты, чем NAT.
Опять же потребительские роутеры вполне могут по дефолту запрещать доступ к локалке, а открывать лишь с помощью UPnP или аналогичного протокола. А китайская фигня и сейчас может светить админкой во внешнюю сеть, что куда хуже отсутствия NAT.
Ну вы сейчас для работы сети используете файервол и NAT. Если будете использовать IPv6, то просто выбросите тяжёлый NAT за ненадобностью и оставите только более лёгкий для вашего маршрутизатора файервол. Больше никаких проблем с отсутствием звука при SIP соединениях, никаких проблем с FTP и т.д.
Наверно у меня с математикой проблемы. Сейчас адреса 48 битные, и чтобы каждому абоненту дать подсеть размером с интернет нужно чтобы новые адреса были 96битными(8байт), а не 64х.
И правда проблемы… «Сейчас» (ipv4) адреса 32х-битные вообще-то. Кстати, 8 байт — это и есть 64 бита, а 96 бит — это целых 12 байт.
Точно у меня проблемы, не умею умножать на 8 ))) Однако 6байтных адресов не хватит чтобы дать каждому 4байтную подсеть(размером с интернет).
IPv6 использует 8-байтные адреса. Не следует путать версию протокола и разрядность адреса.
Спасибо
IPv6 (англ. Internet Protocol version 6) — новая версия протокола IP, призванная решить проблемы, с которыми столкнулась предыдущая версия (IPv4) при её использовании в Интернете, за счёт использования длины адреса 128 бит вместо 32.
IPv6 имеет 16-байтные или 128-битные (8 * 16 = 128) адреса. Что же вы всё путаете…
Ошибаетесь. В IPv6 128-битные адреса. Поэтому в настоящий момент абсолютно бесплатно раздают подсети /64, а иногда даже /48. Так что каждый получается не просто подсеть размером со старый интернет, а подсеть размером с 2 ^ 32 старых интернетов.
Уже 5 лет пугают, и ничего пока не изменилось. Как была технология для гиков и специальных применений — так и осталась. Пока что я вижу только минусы ipv6:
1) 99% процентов системных администаторов не думают о существовании ipv6 и правила для фаервола настраивают исключительно для ipv4, а потом через link-local все порты машинки светятся наружу.
2) визуальная отладка(tcpdump) крайне затруднена.
3) после ipv4 сложно даётся адресация в ipv6.
4) домашнее сетевое оборудование очень условно поддерживает ipv6.
1) 99% процентов системных администаторов не думают о существовании ipv6 и правила для фаервола настраивают исключительно для ipv4, а потом через link-local все порты машинки светятся наружу.
2) визуальная отладка(tcpdump) крайне затруднена.
3) после ipv4 сложно даётся адресация в ipv6.
4) домашнее сетевое оборудование очень условно поддерживает ipv6.
А отсутствие костылей типа NAT и цирка с конями ради получения IP-адресов?
а зачем нат, если есть обычный ipv4-роутинг?
Чтобы подключить все ваше 10 устройств в доме к одному адресу выделенному провайдером.
если мне нужны дополнительные ipv4-адреса, я закажу их у провайдера и выставлю их наружу маршрутизацией, без ната. у вас в квартире сколько входных дверей, 1? вот и айпи-адресов выделяют 1шт, вполне логично.
Расскажите это пользователям беларусского Белтелеком, которые сидят за его NATом. Это уже получается один въезд (кпп) в город/страну
Так кто же вам даст дополнительные адреса, если их тупо нет?
Эти адреса не бесплатны. Провайдер с большой неохотой отстёгивает пользователям даже один выделенный адрес — сейчас это ресурс дефицитный, а значит дорогой.
В IPv6 эта проблема решена кардинально, сейчас на одного пользователя можно выделить не меньше миллиарда адресов. Со временем конечно это пространство несколько уменьшится…
В IPv6 эта проблема решена кардинально, сейчас на одного пользователя можно выделить не меньше миллиарда адресов. Со временем конечно это пространство несколько уменьшится…
А меж тем уже некоторые пользователи уже сталкиваются с проблемами из-за NAT на уровне провайдера. На Урале Ростелеком уже давно начал выдавать серые адреса вместо белых. Хочет человек получить доступ к своей системе видеонаблюдения и никакой DynDNS его уже не спасает. Нужно идти и получать у провайдера фиксированный адрес потому что половину времени он будет висеть на сером IP и доступа из интернета не будет.
Шо, опять?
И вообще что-то у меня сейчас прямо бомбануло так бомбануло. Люди, вы что, думаете, перейдем вот сейчас все на ipv6 И ЗАЖИВЁМ? Да у интернета сотни проблем поважнее! Открытые почтовые релеи, спам, нарушение сетевой нейтральности со стороны провайдеров, подмена днс и встраивание контента в чужие сайты, повальное использование http вместо https, открытые хотспоты, полное игнорирование защищенных мессенджеров, повальная слежка государств и частных компаний за пользователеями, вирусы, мошенничество, не использованиея эцп в письмах/мессенжерах, роскомнадзоры всякие.
Всё хочу проверить тестовый ipv6 у своего провайдера, да времени как-то не нахожу. Вообще, у нас в стране много кто дает хотя бы тестовый ipv6 доступ?
Уточните, эта страна?
Эта, эта.
Пишут что кое-где есть.
>Чересчур щедрую раздачу
С ipv6 история развивается по спирали, мне на один сервак выдали блок /64 считай весь ipv4 инет )
А по поводу ipv6, все совсем глухо, пробовал пинговать популярные веб-сайты и например, у того же twitter.com, kinopoisk.ru, instagram.com — нету ipv6, об чем разговор? Что уж говорить о всяких мелких проектах? Пусть сначала популярные веб-сайты внедрят, а там может и провайдеры подтянутся.
С ipv6 история развивается по спирали, мне на один сервак выдали блок /64 считай весь ipv4 инет )
А по поводу ipv6, все совсем глухо, пробовал пинговать популярные веб-сайты и например, у того же twitter.com, kinopoisk.ru, instagram.com — нету ipv6, об чем разговор? Что уж говорить о всяких мелких проектах? Пусть сначала популярные веб-сайты внедрят, а там может и провайдеры подтянутся.
Я думаю, если «раскулачить» apple/hp и парочку университетов, отхапавших себе по /8 в свое время, агонию можно продлить еще на пару-тройку лет как минимум.
Три вещи могут происходить бесконечно — изобретение новых революционных аккумуляторов, выход вояджера за пределы солнечной системы и исчерпание айпи-адресов.
Sign up to leave a comment.
У Американского регистратора интернет-номеров закончились адреса IPv4