Comments 64
Надо вводить IPv8 сразу, 2 байтика погоды не сделают, но адресов хватит всем и на бОльший срок.
-21
В IPv6 64-битные адреса и это позволяет давать каждому абоненту подсеть размером со старый интернет.
+7
а зачем мне, как абоненту, давать своим устройствам публичные айпи-адреса? наоборот, я хочу чтобы мои устройства были максимально изолированы от интернета в приватной подсети.
-2
Ну учитывая, что сейчас начинается развитие Интернета вещей, да и к примеру меня устраивает возможность мониторинга происходящего в квартире удалённо.
-2
IoT-вещь итак, как правило, ломится в облако. Зачем глупому устройству, а зачастую еще и без обновлений прошивки, торчать голой попой в интернет — мне не понятно. Сломают это устройство на китайской прошивке и вся локалка скомпрометирована.
+6
Ну так не надо кривые прошивки использовать =) да и облако в конечном итоге можно избежать. Зачем делать костыль в виде его если данные могут P2P ходить?
-3
вы не понимаете. наоборот, я не доверяю устройствам и НЕ хочу чтобы они куда-либо ходили без моего ведома, а тем более принимали входящие содинения.
например, у меня есть дома айпи-камера с неотключаемым облаком провайдера. я борюсь с этим, запрещая на шлюзике доступ с айпи этой камеры в интернет И не прописывая(на всякий случай) основной шлюз в сетевых настройках камеры. где мне прошивку другую взять для этой камеры? и таких устройств полно. или там ноутбук родственника какой-нибудь на старой windows. вот зачем мне его выставлять в открытый интернет?
ipv6 — протокол интернета вещей а так же глобального ботнета из них же. прошивки на железки никто не обновляет, находят какую-нибудь дырку в ядре linux(или в популярном сервисе вроде ssh) и привет. нет, спасибо, с ipv6 дома мне не по пути.
на работе, в изолированном сегменте сети — пожалуйста, но дома — нет.
например, у меня есть дома айпи-камера с неотключаемым облаком провайдера. я борюсь с этим, запрещая на шлюзике доступ с айпи этой камеры в интернет И не прописывая(на всякий случай) основной шлюз в сетевых настройках камеры. где мне прошивку другую взять для этой камеры? и таких устройств полно. или там ноутбук родственника какой-нибудь на старой windows. вот зачем мне его выставлять в открытый интернет?
ipv6 — протокол интернета вещей а так же глобального ботнета из них же. прошивки на железки никто не обновляет, находят какую-нибудь дырку в ядре linux(или в популярном сервисе вроде ssh) и привет. нет, спасибо, с ipv6 дома мне не по пути.
на работе, в изолированном сегменте сети — пожалуйста, но дома — нет.
+5
Это не правда. IPv6 более гибкий протокол, он более сложно устроен поэтому не сразу понятно как обеспечить безопасную конфигурацию.
Если я чего не путаю, IPv6 в самом протоколе предлагает такую функцию которая сейчас называется VPN, только не требуется его долго настраивать -ваша домашняя сеть может безопасно быть расширена на любое устройство находящееся в сети интернет, и при этом легко ограничить это устройство от интернета — адресные пространства сильно разные.
Если я чего не путаю, IPv6 в самом протоколе предлагает такую функцию которая сейчас называется VPN, только не требуется его долго настраивать -ваша домашняя сеть может безопасно быть расширена на любое устройство находящееся в сети интернет, и при этом легко ограничить это устройство от интернета — адресные пространства сильно разные.
0
В самом протоколе такой функции нет. Когда «пугают» VPN-ом в контексте IPv6, обычно речь идет о Teredo и других переходных протоколах. Их опасность в том, что они — готовые тоннели во внешний мир, притом зачастую предустановленные.
Но это не является «дыркой» самого IPv6, это — дырка переходного периода. Как только компьютер получает IPv6-адрес, он сразу же перестает использовать Teredo. Да и закрыть эти протоколы не сложнее, чем любой другой VPN. Даже проще — ведь их не прячут.
Еще в IPv6 есть IPSEC, который также можно использовать как туннель. Но этот протокол и поверх IPv4 себя неплохо чувствует, так что IPv6 тут не при чем.
Но это не является «дыркой» самого IPv6, это — дырка переходного периода. Как только компьютер получает IPv6-адрес, он сразу же перестает использовать Teredo. Да и закрыть эти протоколы не сложнее, чем любой другой VPN. Даже проще — ведь их не прячут.
Еще в IPv6 есть IPSEC, который также можно использовать как туннель. Но этот протокол и поверх IPv4 себя неплохо чувствует, так что IPv6 тут не при чем.
+1
Это уже чисто проблема маршрутизации. Всего одно правило в фаерволе роутера и ваша сеть не видна снаружи. К тому же, в стандарте IPv6 предусмотрены локальные адреса, для которых выход за пределы домашней подсети невозможен.
Противоположная функциональность этого стандарта — теперь устройства вашей подсети МОГУТ(прошу обратить внимание на это уточнение, в противоположность ОБЯЗАНЫ) находится в любой точке интернета.
Вобщем, фаервол одним движением превращает публичный адрес в непубличный, а нынче он встроен в любой роутер или сетевой модем.
Противоположная функциональность этого стандарта — теперь устройства вашей подсети МОГУТ(прошу обратить внимание на это уточнение, в противоположность ОБЯЗАНЫ) находится в любой точке интернета.
Вобщем, фаервол одним движением превращает публичный адрес в непубличный, а нынче он встроен в любой роутер или сетевой модем.
+4
Хорошо, но зачем мне в эти пляски пускаться, если я могу всё то же самое в ipv4 получить, традиционным способом? ну и вообще, например, я знаю, что у меня в квартире есть /24 сетка, которую я могу держать в голове. в случае с ipv6 это(держать в голове) сложнее на порядок. в общем, в квартире ipv6 это как на суперкаре в ашан, имхо. к тому же существуют десятки миллионов легаси-девайсов, которые вообще ничего не знают про ipv6, мне надо на два фронта работать? поддерживать и ipv6-сеть и ipv4? ради чего? нет, спасибо, простоты ipv4 для дома мне хватит до старости. есть нормальные годные технологии, например, радио, которые не устаревают уже десятки лет. ipv4 из их же серии.
я думаю, не надо ничего говорить про реализацию ipv6 в современных домашних сохо-железках?
нынче он встроен в любой роутер или сетевой модем
я думаю, не надо ничего говорить про реализацию ipv6 в современных домашних сохо-железках?
0
А почему нельзя использовать IPv4-адресацию дома, за NAT-ом, а а один внешний адрес на роутере будет IPv6?
+1
А смысл? IPv4 стоит использовать только с теми девайсами которые прям совсем не знают что такое IPv6. Операционки нынче знают, роутеры даже SOHO сегмента тоже знают, девайсы 5-летней давности и те повально знают что такое IPv6, причем IP-протокол выше физической линии, поэтому железо какое-то особое не нужно — достаточно переписать прошивку или накатить обновление с новым модулем поддержки. Ну а те девайсы, которые до сих пор не умеют работать с IPv6 это явно не сертифицированные девайсы или очень старые которые давно пора заменить.
Надо еще иметь в виду, что IPv6 помимо прочего решает некоторые проблемы уязвимости IPv4, которые принципиально неустранимы по причине крайней костыльности нынешней редакции IPv4. Вспомните, когда закладывалась эта версия протокола даже в мыслях у людей не было что адресное пространство может закончится.
«и так работает» не означает что работает всё хорошо и правильно.
Почитали бы как на заре NAT-а было проблемно пробросить FTP и POP3/SMTP протоколы… сейчас эти проблемы частично решены и то путём диких костылей.
Надо еще иметь в виду, что IPv6 помимо прочего решает некоторые проблемы уязвимости IPv4, которые принципиально неустранимы по причине крайней костыльности нынешней редакции IPv4. Вспомните, когда закладывалась эта версия протокола даже в мыслях у людей не было что адресное пространство может закончится.
«и так работает» не означает что работает всё хорошо и правильно.
Почитали бы как на заре NAT-а было проблемно пробросить FTP и POP3/SMTP протоколы… сейчас эти проблемы частично решены и то путём диких костылей.
0
А смысл? IPv4 стоит использовать только с теми девайсами которые прям совсем не знают что такое IPv6.
У меня локалка из 15 устройств.
Я не вижу ни одной причины хотя бы на одно устройство ставить IPv6.
Именно что: А смысл?
Даже сервер у меня за NAT'ом.
Сервер я тем более не хочу светить на весь интернет. Что с NAT, что с обычным файерволом — все равно придется настраивать порты, которым можно в интернет светиться. Так что мне даст IPv6?
Для меня, как админа этой локалки, единственное отличие IPv6 от IPv4+NAT — это то, что IPv6 по умолчанию светится на весь интернет и мне надо не забыть его заблокировать по всем фронтам, кроме отдельных портов на которых висят приложения которым нужен доступ в инет, а IPv4 — по умолчанию заблокирован и мне надо открыть доступ в интернет приложениям.
То есть IPv6 — по умолчанию дыра, а IPv4 — по умолчанию стена.
Ну и нафиг IPv6 обычному пользователю?
-1
Через NAT FTP толком не работает, торенты, скайп, DC++ и прочая чепуха. Там очень много костылей реализовано чтобы всё более-менее работало.
Очень забавно иногда происходит когда у провайдера внутренний NAT, и у пользователя через роутер еще один слой NAT…
Проблема в том что IPv4 всё еще работает, но в будущем он должен стать локальным.
Проблема открытости IPv6 решается очень просто изменением дефолтных настроек в роутерах, рано или поздно это БУДЕТ.
Надо понимать что NAT появился как временное решение проблемы нехватки адресов, а не как средство безопасности. Раньше IPv4 кстати очень долгое время торчал незащищенным наружу в дикий интернет, чем это отличается от нынешней ситуации?
Сейчас кстати всё больше и больше появляются сайтов IPv6-only куда с привычного интернета просто не попасть.
Очень забавно иногда происходит когда у провайдера внутренний NAT, и у пользователя через роутер еще один слой NAT…
Проблема в том что IPv4 всё еще работает, но в будущем он должен стать локальным.
Проблема открытости IPv6 решается очень просто изменением дефолтных настроек в роутерах, рано или поздно это БУДЕТ.
Надо понимать что NAT появился как временное решение проблемы нехватки адресов, а не как средство безопасности. Раньше IPv4 кстати очень долгое время торчал незащищенным наружу в дикий интернет, чем это отличается от нынешней ситуации?
Сейчас кстати всё больше и больше появляются сайтов IPv6-only куда с привычного интернета просто не попасть.
+1
Там очень много костылей реализовано чтобы всё более-менее работало.
Х.з. у меня все работает. :)
Может раньше и были проблемы, но их уже давно нет.
Очень забавно иногда происходит когда у провайдера внутренний NAT, и у пользователя через роутер еще один слой NAT…
Ну нет проблем. У меня белый IPv4 на роутере. Завтра IPv4 отменят — будет IPv6 на роутере. А внутри все равно локальные адреса будут стоять до последнего. :)
Надо понимать что NAT появился как временное решение проблемы нехватки адресов, а не как средство безопасности.
Но при этом обеспечивает дополнительный уровень безопасности.
Совершенно не важно для чего он создавался. Важно какие функции он выполняет и насколько безболезненно от них можно отказаться.
По сути, даже если сейчас у меня внутреннюю локалку всю за один день перевести на Ipv6 — все равно все политики безопасности будут настроены так, что никакой разницы по функционалу не будет.
Условно говоря тот же P2P Не будет работать, потому что все порты будут заблокированы. А чтобы он заработал надо будет разрешить их использование. Что ничем не отличается от настройки проброса портов за NAT.
0
Только в случае NAT это будет сделать сложно, а иногда и очень сложно. UPNP пробивает только первый NAT а дальше?
А ты попробуй режим FTP не пассивный а активный, или соединение сервер-сервер.
А ты попробуй режим FTP не пассивный а активный, или соединение сервер-сервер.
0
UPNP пробивает только первый NAT а дальше?
А откуда второй то возьмется?
На роутере белый IPv4 или IPv6.
Внутри локальные адреса.
0
белый и даже серый IP большая редкость для большинства провайдеров, тот шнурок который входит в квартиру с большой вероятностью уже за одним, а то и двумя NAT.
У нас в городе, на одного провайдера приходится примерно по 30 абонентов на один внешний IP. IPv6 внедрять не спешат, от инсайдера слышал что никак не раньше чем выйдет из строя главный маршрутизатор.
У нас в городе, на одного провайдера приходится примерно по 30 абонентов на один внешний IP. IPv6 внедрять не спешат, от инсайдера слышал что никак не раньше чем выйдет из строя главный маршрутизатор.
0
по умолчанию стена
Где-то на хабре проскакивала статья, что достучаться до компьютера за NAT таки возможно, если очень захотеть и будут некоторые благоприятные факторы. В том плане, что NAT не отменяет необходимости настроить фаервол хотя бы на роутере, если безопасность таки интересует. И iptables -P INPUT DROP на самому компьютере даёт куда больше защиты, чем NAT.
Опять же потребительские роутеры вполне могут по дефолту запрещать доступ к локалке, а открывать лишь с помощью UPnP или аналогичного протокола. А китайская фигня и сейчас может светить админкой во внешнюю сеть, что куда хуже отсутствия NAT.
0
Ну вы сейчас для работы сети используете файервол и NAT. Если будете использовать IPv6, то просто выбросите тяжёлый NAT за ненадобностью и оставите только более лёгкий для вашего маршрутизатора файервол. Больше никаких проблем с отсутствием звука при SIP соединениях, никаких проблем с FTP и т.д.
0
Наверно у меня с математикой проблемы. Сейчас адреса 48 битные, и чтобы каждому абоненту дать подсеть размером с интернет нужно чтобы новые адреса были 96битными(8байт), а не 64х.
-4
И правда проблемы… «Сейчас» (ipv4) адреса 32х-битные вообще-то. Кстати, 8 байт — это и есть 64 бита, а 96 бит — это целых 12 байт.
+4
Точно у меня проблемы, не умею умножать на 8 ))) Однако 6байтных адресов не хватит чтобы дать каждому 4байтную подсеть(размером с интернет).
-5
IPv6 использует 8-байтные адреса. Не следует путать версию протокола и разрядность адреса.
+4
Спасибо
+1
IPv6 (англ. Internet Protocol version 6) — новая версия протокола IP, призванная решить проблемы, с которыми столкнулась предыдущая версия (IPv4) при её использовании в Интернете, за счёт использования длины адреса 128 бит вместо 32.
+1
IPv6 имеет 16-байтные или 128-битные (8 * 16 = 128) адреса. Что же вы всё путаете…
+4
Ошибаетесь. В IPv6 128-битные адреса. Поэтому в настоящий момент абсолютно бесплатно раздают подсети /64, а иногда даже /48. Так что каждый получается не просто подсеть размером со старый интернет, а подсеть размером с 2 ^ 32 старых интернетов.
+2
Уже 5 лет пугают, и ничего пока не изменилось. Как была технология для гиков и специальных применений — так и осталась. Пока что я вижу только минусы ipv6:
1) 99% процентов системных администаторов не думают о существовании ipv6 и правила для фаервола настраивают исключительно для ipv4, а потом через link-local все порты машинки светятся наружу.
2) визуальная отладка(tcpdump) крайне затруднена.
3) после ipv4 сложно даётся адресация в ipv6.
4) домашнее сетевое оборудование очень условно поддерживает ipv6.
1) 99% процентов системных администаторов не думают о существовании ipv6 и правила для фаервола настраивают исключительно для ipv4, а потом через link-local все порты машинки светятся наружу.
2) визуальная отладка(tcpdump) крайне затруднена.
3) после ipv4 сложно даётся адресация в ipv6.
4) домашнее сетевое оборудование очень условно поддерживает ipv6.
+1
А отсутствие костылей типа NAT и цирка с конями ради получения IP-адресов?
+1
а зачем нат, если есть обычный ipv4-роутинг?
-3
Чтобы подключить все ваше 10 устройств в доме к одному адресу выделенному провайдером.
+1
если мне нужны дополнительные ipv4-адреса, я закажу их у провайдера и выставлю их наружу маршрутизацией, без ната. у вас в квартире сколько входных дверей, 1? вот и айпи-адресов выделяют 1шт, вполне логично.
-1
Расскажите это пользователям беларусского Белтелеком, которые сидят за его NATом. Это уже получается один въезд (кпп) в город/страну
+3
Так кто же вам даст дополнительные адреса, если их тупо нет?
0
Эти адреса не бесплатны. Провайдер с большой неохотой отстёгивает пользователям даже один выделенный адрес — сейчас это ресурс дефицитный, а значит дорогой.
В IPv6 эта проблема решена кардинально, сейчас на одного пользователя можно выделить не меньше миллиарда адресов. Со временем конечно это пространство несколько уменьшится…
В IPv6 эта проблема решена кардинально, сейчас на одного пользователя можно выделить не меньше миллиарда адресов. Со временем конечно это пространство несколько уменьшится…
0
А меж тем уже некоторые пользователи уже сталкиваются с проблемами из-за NAT на уровне провайдера. На Урале Ростелеком уже давно начал выдавать серые адреса вместо белых. Хочет человек получить доступ к своей системе видеонаблюдения и никакой DynDNS его уже не спасает. Нужно идти и получать у провайдера фиксированный адрес потому что половину времени он будет висеть на сером IP и доступа из интернета не будет.
0
Шо, опять?
+17
И вообще что-то у меня сейчас прямо бомбануло так бомбануло. Люди, вы что, думаете, перейдем вот сейчас все на ipv6 И ЗАЖИВЁМ? Да у интернета сотни проблем поважнее! Открытые почтовые релеи, спам, нарушение сетевой нейтральности со стороны провайдеров, подмена днс и встраивание контента в чужие сайты, повальное использование http вместо https, открытые хотспоты, полное игнорирование защищенных мессенджеров, повальная слежка государств и частных компаний за пользователеями, вирусы, мошенничество, не использованиея эцп в письмах/мессенжерах, роскомнадзоры всякие.
-10
Всё хочу проверить тестовый ipv6 у своего провайдера, да времени как-то не нахожу. Вообще, у нас в стране много кто дает хотя бы тестовый ipv6 доступ?
0
Уточните, эта страна?
-1
>Чересчур щедрую раздачу
С ipv6 история развивается по спирали, мне на один сервак выдали блок /64 считай весь ipv4 инет )
А по поводу ipv6, все совсем глухо, пробовал пинговать популярные веб-сайты и например, у того же twitter.com, kinopoisk.ru, instagram.com — нету ipv6, об чем разговор? Что уж говорить о всяких мелких проектах? Пусть сначала популярные веб-сайты внедрят, а там может и провайдеры подтянутся.
С ipv6 история развивается по спирали, мне на один сервак выдали блок /64 считай весь ipv4 инет )
А по поводу ipv6, все совсем глухо, пробовал пинговать популярные веб-сайты и например, у того же twitter.com, kinopoisk.ru, instagram.com — нету ipv6, об чем разговор? Что уж говорить о всяких мелких проектах? Пусть сначала популярные веб-сайты внедрят, а там может и провайдеры подтянутся.
0
> мне на один сервак выдали блок /64 считай весь ipv4 инет )
Ежели я ничего не путаю, это 4 миллиарда интернетов.
Ежели я ничего не путаю, это 4 миллиарда интернетов.
0
Ну вообще-то это нормально. Насколько я помню, там была рекомендация старшие 64 бита считать сетевой частью, младшие интерфейсной. Меньше 64 бит по идее выдавать не должны.
0
Я думаю, если «раскулачить» apple/hp и парочку университетов, отхапавших себе по /8 в свое время, агонию можно продлить еще на пару-тройку лет как минимум.
+1
Три вещи могут происходить бесконечно — изобретение новых революционных аккумуляторов, выход вояджера за пределы солнечной системы и исчерпание айпи-адресов.
+12
Sign up to leave a comment.
У Американского регистратора интернет-номеров закончились адреса IPv4