Comments 98
IT-сообщество в целом не единогласно поддерживает IPv6 как таковой.
Кстати да, там столько нюансов накопилось за время разработки что к стандарту есть много обоснованных претензий, а корректное внедрение на столько усложнилось, что многим компаниям проще отрубить IPv6 чем пытаться с этим совладать. Собственно я для домашних нужд и на сервере тоже вырубил его. Пытался разобраться, но по скольку не являюсь сетевым инженером всё оказалось слишком сложно для того чтобы настроить по уму.
Вы знаете, к ipv4 претензий куда больше. Первый же icmp redirect может сделать вам очень увлекательно.
IPv6 куда более продуманный, и его главная проблема — миллионы человек, которые выучили ipv4 и на этом кривая обучения у них закончилась.
IPv6 куда более продуманный, и его главная проблема — миллионы человек, которые выучили ipv4 и на этом кривая обучения у них закончилась.
Поддерживаю неодобрение ipv6. Главная его проблема — избыточность и лишняя трата ресурсов, как в сетевых железках и софте, так и в голове тех кто в ним работает.
А icmp redirect делался для доверенных локалок, во всех остальных случаях его обработку отключают. Вы бы ещё рассказали как с помощью ipv4 можно подключиться к незапароленному root ssh чьему-то.
А icmp redirect делался для доверенных локалок, во всех остальных случаях его обработку отключают. Вы бы ещё рассказали как с помощью ipv4 можно подключиться к незапароленному root ssh чьему-то.
UFO just landed and posted this here
У китайцев давно IPv9.
Следуя современным тенденциям, нужно переходить на IPvX
Ну разумеется. То когда-то нужно было файрволлы настраивать, а теперь(уже 20+ лет как) поставил NAT, и его обход становится вопросом клиентских приложений, а не работы админа. Админу мозг включать не надо, админ может быть один на 10 контор, платить ему можно меньше, а если ему не хватает денег — то пусть подрабатывает экспедитором на пиве.
При этом столько всякой замысловатенькой хрени было придумано для обхода NAT — и что же, всё это зря? Зря мучились, старались, стоя и в гамаке упражнялись? Это противоречит духу олимпиадности, на котором основан современный айти.
При этом столько всякой замысловатенькой хрени было придумано для обхода NAT — и что же, всё это зря? Зря мучились, старались, стоя и в гамаке упражнялись? Это противоречит духу олимпиадности, на котором основан современный айти.
Сходил по второй ссылке.
Ну зачем ТАК ОРАТЬ?
Поддерживает 340 триллионов, ТРИЛЛИОНОВ, ТРИЛЛИОНОВ!!! интернет-адресов
Ну зачем ТАК ОРАТЬ?
А зачем орать здесь? Так можно дойти до замкнутого цикла, когда орут все(
Вообще-то больше — 2^128 или 3.4×10^38
Да нет, всё верно, это просто некоторые люди так числа именуют.
«Тысяча тысяч» вместо «миллион».
«Миллион миллиардов» вместо «квадриллион».
«340 триллионов триллионов триллионов» это как раз и есть 340 * 10^12 * 10^12 * 10^12 = 3.4 10^38
Просто наверное мало кто поймет если сказать 340 ундециллионов.
«Тысяча тысяч» вместо «миллион».
«Миллион миллиардов» вместо «квадриллион».
«340 триллионов триллионов триллионов» это как раз и есть 340 * 10^12 * 10^12 * 10^12 = 3.4 10^38
Просто наверное мало кто поймет если сказать 340 ундециллионов.
Ну так и статья не в журнале для девочек-подростков. Если кто-то не понял, то этот человек не ЦА хабра.
Я не понял, вообще впервые слышу это слово и не понимаю зачем придумывать названия терминам, используемым пару раз в жизни — это нерациональная трата времени и памяти. Спасибо за гостеприимство, но пожалуй, я останусь
Никто так и не понял, что дело было в запятых. А вот минусовать все горазды.
UFO just landed and posted this here
UFO just landed and posted this here
Также есть специальная нотация для записи встроенного и отображённого IPv4 на IPv6. В ней последние 2 группы знаков заменены на IPv4-адрес в его формате. Пример:
::ffff:192.0.2.1
Ну ваша претензия только в системе счисления, а это решается на уровне ПО которое конфиг читает, то есть, стандарт можно не трогать а ваш конфиг будет тогда как то так 1.22.333.4444.5555.65535
Будьте любезны заменить все "Спецучреждения ООН" и тому подобное либо на Международный Союз Электросвязи(МСЭ) либо на ITU. Читая статью думаешь что сам Генсек ООН это все предлагает а не международный организация чья цель это развитие стандартов телекомуникации
Третья © и четвертая (D)
У вас парсер скушал (С), в результаате получился символ копирайта.
А по теме статьи — выдумывать любые прожекты может кто угодно, и с любым образованием и опытом реального внедрения, особенно если ему за это деньги платят, не гляда на разумность его работы. Думаю, ООН и ITU себя только выставили не очень хорошо.
Интернет и сети живут по RFC (другими словами, логика всегда «лучше бы сделать вот так», но нет средств выкрутить руки тем, кто что-то там нарушает, кроме как бойкотирование со стороны некоторых), так что на своей, отдельно взятой территории, мне не запретить назначать адреса как я хочу.
Другое дело, что за все время существования IPv6 я не так и много встречал хотя бы внятных рекомендаций, как спланировать деплой IPv6 в сети (начиная от того, какого размера сеть покупать, и до того, сколько на каждый, скажем, филиал компании, назначать адресов, с объяснением зачем так делать. Все эти «каждому конечнику не менее /64» выглядит глупостью, ведь это снижает число возможных конечников, ничего, по сути, не давая выгадать (кроме маневра при деплое). И с этой точки зрения я бы предложил ISU-ную бумажку прочитать, и совместно напридумать разумный план раскатывания нового протокола (хоть habraplan-ом его назвать, если это как-то поможет), полмира будет благодарно.
Выделение адресов это только самое начало проблемы. Я вот пару раз пытался подступиться к тому, как для IPv6 настраивать файрвол, чтобы контроль получился таким же плотным, как я привык в IPv4 — ага, щаз. Там столько особенностей маршрутизации, что за пару часов в этом полноценно разобраться нереально. А тратить на вопрос как настроить файрвол для IPv6 идентично текущему (домашний комп, но больше 20 сетевых интерфейсов, включая vlan-ы, пару ISP, локалку, vpn-ы, docker, etc.) неделю — у меня столько свободного времени нет, проще выключить IPv6 в ядре, чтобы наверняка, и забить.
Правила назначения ip адресов есть в самом стандарте. Для того, что бы снизить размер таблиц маршрутизации и удобнее использовать агрегацию ip адресов, была убрана концепция произвольной маски подсети. Теперь существует только 4 класса:
Top-Level Aggregation — транснациональные поставщики услуг.
Next-Level Aggregation средние и мелкие поставщики услуг.
Site-Level Aggregation — подсеть отдельного абонента, например подсетей одной корпоративной сети.
Идентификатор интерфейса — наконец адрес устройства.
Тут нормально расписаны подробности.
И устройства должны получать адреса иерархично, в зависимости от их назначения.
«Каждому конечнику не менее /64» — основная фича протокола. Протоколы канального уровня, например Ethernet, используют MAC адрес для адресации в разделяемой среде — в пределах одного провода. Для отображения IP адреса используется ещё одна таблица. В IPv6 MAC адрес интерфейса вносится внутрь IP адреса, в младшую часть, что бы процедурв оборачивание IP пакета в кадр канального уровня сводилось к отбрасыванию старшей части адреса.
IPv6 — продуманная система, которая берёт на себя обязанности не только IPv4, но и ещё двух протоколов. Очень грустно наблюдать, что даже на habr люди враждебно относятся к протоколу.
Top-Level Aggregation — транснациональные поставщики услуг.
Next-Level Aggregation средние и мелкие поставщики услуг.
Site-Level Aggregation — подсеть отдельного абонента, например подсетей одной корпоративной сети.
Идентификатор интерфейса — наконец адрес устройства.
Тут нормально расписаны подробности.
И устройства должны получать адреса иерархично, в зависимости от их назначения.
«Каждому конечнику не менее /64» — основная фича протокола. Протоколы канального уровня, например Ethernet, используют MAC адрес для адресации в разделяемой среде — в пределах одного провода. Для отображения IP адреса используется ещё одна таблица. В IPv6 MAC адрес интерфейса вносится внутрь IP адреса, в младшую часть, что бы процедурв оборачивание IP пакета в кадр канального уровня сводилось к отбрасыванию старшей части адреса.
IPv6 — продуманная система, которая берёт на себя обязанности не только IPv4, но и ещё двух протоколов. Очень грустно наблюдать, что даже на habr люди враждебно относятся к протоколу.
UFO just landed and posted this here
Вам правильно Sychuan ответил: нет враждебных, есть не понявшие. А также те, кто понимает, что с такой неочевидностью будет множество ошибок и со стороны других людей, так что стройная и хорошая система превратится (уже превратилась) в миллион частных случаев «сделаю вот так, это вроде бы по стандарту, но я же тестово запускаю, а потом, как приспичит, сделаю совсем нормально».
IPv4 исходно был куда как проще для понимания, вспомните, вы сами как долго концепцию его понимали, впервые столкнувшись? Да, он был проще, и многое формально было не в нем, а в других стандартах, но, по совести, оно не всегда было и нужно, а в v6 положили все-все, и с горкой, и сделали «можно и так, и так» — много как бы необязательных вариантов стало.
Да что так говорить, не так много роутеров, которые бы ipv6 просто полностью поддерживали. Если вы знаете таковые из недорогих — скажите, и назовите толковые инструкции, как людям их настроить, чтобы прямо правильно-правильно было. Тогда и на Хабре, и везде куда как выше % счастливых юзеров, а не «злобных хетеров» (на самом деле, как я писал выше — нет), будет.
IPv4 исходно был куда как проще для понимания, вспомните, вы сами как долго концепцию его понимали, впервые столкнувшись? Да, он был проще, и многое формально было не в нем, а в других стандартах, но, по совести, оно не всегда было и нужно, а в v6 положили все-все, и с горкой, и сделали «можно и так, и так» — много как бы необязательных вариантов стало.
Да что так говорить, не так много роутеров, которые бы ipv6 просто полностью поддерживали. Если вы знаете таковые из недорогих — скажите, и назовите толковые инструкции, как людям их настроить, чтобы прямо правильно-правильно было. Тогда и на Хабре, и везде куда как выше % счастливых юзеров, а не «злобных хетеров» (на самом деле, как я писал выше — нет), будет.
Поправьте, если ошибаюсь, но, вроде бы, стандарт IPv6 поддерживается многими устройствами уже давно.
Для большинства пользователей переход на IPv6 будет незаметен. (в один прекрасный день просто айпишник заменится на новый и всё)
upd: речь про пользовательские роутеры. как там у телекомопов — мне не ведомо.
Скорее нет, чем да. Там много интересных проблем возникает, не говоря о глюках. Пользовательские роутеры довольно часто декларируют ipv6, но тестировать их массово да во всех позициях вариантах раздачи ipv6 вряд ли тестировали, так что есть надежна, но нет уверенности, что «взлетит и заработает» из коробки.
И это не говоря про настройки у клиентов на компах.
А уж телекому такие шашки, вроде как, особо и не нужны: их железки могут по железу или софту не уметь хорошо IPv6, как может и биллинг не знать о такой экзотике — и все это для того, чтобы юзеры в разу чаще звонили в ТП и жаловались, что интернет глючит?
И это не говоря про настройки у клиентов на компах.
А уж телекому такие шашки, вроде как, особо и не нужны: их железки могут по железу или софту не уметь хорошо IPv6, как может и биллинг не знать о такой экзотике — и все это для того, чтобы юзеры в разу чаще звонили в ТП и жаловались, что интернет глючит?
UFO just landed and posted this here
… была убрана концепция произвольной маски подсети. Теперь существует только 4 класса:Шо, опять?
Это красиво на бумаге. К примеру IPv4 тоже начинал с классовой маршрутизации. Причем во времена перехода к CIDR память стояла дороже чем сейчас. И хоть бы где было расписано, что же такого в сетях поменялось, что для IPv6 классовая адресация оказалась лучше бесклассовой.
К примеру, если до Tier 1 (Top-Level Aggregation сети) не два, а к примеру 4 провайдера, как им делить адресное пространство?
Насчет /64 тоже всё не гладко, да ARP убрали, но теперь есть NDP. Та самая ещё одна таблица. Плюс к которой 12 байт на каждый пакет бесполезной нагрузки. Где же тут продуманность?
К примеру, если до Tier 1 (Top-Level Aggregation сети) не два, а к примеру 4 провайдера, как им делить адресное пространство?
Насчет /64 тоже всё не гладко, да ARP убрали, но теперь есть NDP. Та самая ещё одна таблица. Плюс к которой 12 байт на каждый пакет бесполезной нагрузки. Где же тут продуманность?
Эта картинка устаревшая и в ней уже неактуально всё. Когда хоть какая-то активность в IPv6-интернете появилась, то быстро поняли, что агрегировать адреса в классы на практике невозможно и от агрегации отказались, а светить мак-адреса всем подряд — плохая идея с точки зрения безопасности, так что в современных ОС interface id генерируется случайно.
В картинке можно добавить что в interface id может быть что угодно. Главное чтоб не было одинаковых ipv6 у разных узлов.
Добавлю что interface id не только генерируется случайно но и меняется периодически. Но для сервера это не удобно и можно выключить этот режим.
Также у интерфейса может быть и несколько IPv6 и возникает проблема когда пакет приходит на фиксированный IPv6 а ответ идёт с динамического и естественно на том конце не в курсе кто им ответил. Не знаю баг это или фитча.
Также у интерфейса может быть и несколько IPv6 и возникает проблема когда пакет приходит на фиксированный IPv6 а ответ идёт с динамического и естественно на том конце не в курсе кто им ответил. Не знаю баг это или фитча.Ну так и IPv4 адресов тоже может быть несколько на одном интерфейсе, там как-то с этим справляются же?
Лучше объясните мне с чем вообще связано что так долго переходим, неужели сейчас TCP/IP реализован аппаратно, то есть почему нельзя просто перепрошить все роутеры, коммутаторы и тд.
С тем, что IPv6 абсолютно не совместим с IPv4 и при этом не решает каких-то реальных проблем, имевшихся за все прошедшие десятилетия существования IPv6.
Многие ITшники считают, что адреса IPv6 выглядят очень плохо и неудобно в сравнении с IPv4, даже не вдаваясь в остальные подробности и проблемы протокола.
С железом опять же, много лет были проблемы. Люди не будут просто так менять оборудование ранее запланированного срока эксплуатации не получая ничего взамен.
В данный момент в основном уже везде поддерживается, в том числе аппаратно. За исключением опять же всяких старых домашних маршрутизаторов. Как мотивировать владельца его поменять? Работает же.
И остаётся проблема прикладного софта, который может быть рассчитан исключительно на IPv4.
Поэтому и выходит так долго.
А в России, учитывая некоторый застой в телекоме и финансовые проблемы, даже не представляю когда хоть сколько то массовый характер приобретёт IPv6.
Многие ITшники считают, что адреса IPv6 выглядят очень плохо и неудобно в сравнении с IPv4, даже не вдаваясь в остальные подробности и проблемы протокола.
С железом опять же, много лет были проблемы. Люди не будут просто так менять оборудование ранее запланированного срока эксплуатации не получая ничего взамен.
В данный момент в основном уже везде поддерживается, в том числе аппаратно. За исключением опять же всяких старых домашних маршрутизаторов. Как мотивировать владельца его поменять? Работает же.
И остаётся проблема прикладного софта, который может быть рассчитан исключительно на IPv4.
Поэтому и выходит так долго.
А в России, учитывая некоторый застой в телекоме и финансовые проблемы, даже не представляю когда хоть сколько то массовый характер приобретёт IPv6.
А в России, учитывая некоторый застой в телекоме и финансовые проблемы, даже не представляю когда хоть сколько то массовый характер приобретёт IPv6.В Германии ещё во многих городах люди на ADSL сидят, но треть пользователей на IPv6, во Франции — тоже свыше 20%, а в соседней Испании — меньше 3%, почти как в России.
Так что ситуация явно не так проста, как вы хотите её представить…
Оборудование ADSL до сих пор выпускается. Почему оно не должно держать IPv6?
Протокольно, правда, уже лет 15 не улучшается. Зато что-то новое в VDSL появлялось относительно недавно.
Про застой я имел в виду скорее экономическую составляющую. С технической точки зрения у нас более менее хорошо. Смотря, конечно, где.
Протокольно, правда, уже лет 15 не улучшается. Зато что-то новое в VDSL появлялось относительно недавно.
Про застой я имел в виду скорее экономическую составляющую. С технической точки зрения у нас более менее хорошо. Смотря, конечно, где.
А можно уточнить, какое железо, произведённое в последние 10-15 лет не умеет IPv6?
Давайте даже уточним, вы гигабитную железку видели, чтобы она ipv4 умела, а ipv6 — нет?
Давайте даже уточним, вы гигабитную железку видели, чтобы она ipv4 умела, а ipv6 — нет?
Операторское за последние 10-15 лет всё умеет. Но протоколу IPv6 более 15 лет.
Домашние маршрутизаторы 10 лет назад точно в большинстве не умели.
И до сих пор приходится видеть в работе маршрутизаторы типа Cisco 1601 (скажем 1997 года выпуска) с многолетними аптаймами. Оно не умеет много чего кроме IPv6 :)
Домашние маршрутизаторы 10 лет назад точно в большинстве не умели.
И до сих пор приходится видеть в работе маршрутизаторы типа Cisco 1601 (скажем 1997 года выпуска) с многолетними аптаймами. Оно не умеет много чего кроме IPv6 :)
Вопрос больше в качестве реализации, потому что даже на новом оборудовании есть фрагментация по фичам и производительности.
Дык вы сами себе и ответили! Таки да: скорости CPU на магистральных роутерах даже и близко не хватает для обработки всего траффика, так что от 99% до 99.9% траффика специальными ASICами направляются «мимо» CPU — причём там обрабатывается даже не весь IPv4, а только простые случаи. Что делает бессмысленным идиотские схемы, где дополнительная информация засовывается в Options и прочее.
Впрочем лет 5-6 роутеры получили-таки ASICи с поддержкой IPv6 и в некоторых странах уже половина траффика по IPv6 идёт. Что случилось в России, которая в деле внедрения IPv6 отстаёт даже от некоторых стран Африки — я не знаю. Так-то в России новые технологии (4G, 5G и прочее), внедряются достаточно быстро…
Впрочем лет 5-6 роутеры получили-таки ASICи с поддержкой IPv6 и в некоторых странах уже половина траффика по IPv6 идёт. Что случилось в России, которая в деле внедрения IPv6 отстаёт даже от некоторых стран Африки — я не знаю. Так-то в России новые технологии (4G, 5G и прочее), внедряются достаточно быстро…
У меня в голове появились сразу две возможные причины не-внедрения v6 в России.
1. «Прямо вот сейчас» сложнее (гораздо) банить по IP, т.к. адресов гораздо больше, чем IPv4. Поэтому всякие «подконтрольные» провайдеры и затягивают с переходом, а остальные следуют их примеру.
2. «Конспирологическая теория (в будущем)» для чебурнета IPv6 не нужно. Достаточно IPv4 местного, с головой.
1. «Прямо вот сейчас» сложнее (гораздо) банить по IP, т.к. адресов гораздо больше, чем IPv4. Поэтому всякие «подконтрольные» провайдеры и затягивают с переходом, а остальные следуют их примеру.
2. «Конспирологическая теория (в будущем)» для чебурнета IPv6 не нужно. Достаточно IPv4 местного, с головой.
Они уже банят подсетями. Так что в этом плане ipv6 не проблема.
Хорошо что есть 6to4 и можно никого не спрашивать.
Вообще-то никто прошивку никто не будет выпускать для старых роутеров.
То есть где-нибудь в Бельгии — все роутеры новые, а в России — довольствуются списанными роутерами из Бельгии?
Как-то не очень в это верится…
Как-то не очень в это верится…
Будет, и давно уже выпускают.
На съёмной квартире обзванивал провайдеров, интересовался у кого есть IPv6. Как оказалось, в Новосибирске он есть только у Дом.ру, да и то адрес выдаётся динамически (даже если заказан статический IPv4). Но, увы, его в нужном доме нет. Приходится юзать 6to4.
version6.ru/isp
Вот тут, скорее всего, близкое к реальному состояние.
Вот тут, скорее всего, близкое к реальному состояние.
По нему, кстати, видно, что крупняк положил на в6 довольно четко. И если и деплоят где-то, то только локально, видно, из желания местных админов.
Про сотовых операторов молчу. Хотя еще сколько лет назад они кричали, что в6 идеален для роуминга данных.
Про сотовых операторов молчу. Хотя еще сколько лет назад они кричали, что в6 идеален для роуминга данных.
А вот тут есть нюанс. Пока IPv6 балуются маленькие провайдеры домашнего интернета, на это закрывают глаза. Да и ещё не каждый абонент будет использовать.
Хотя там дом.ру есть, которого можно считать крупным.
А вот когда хотя бы один сотовый оператор запустит поддержку, вот тут сразу встанет вопрос апгрейда систем СОРМ и всяких Яровых. И будет это очень не бесплатно и не на добровольной основе.
Сотовые сидят на CGN и горя не знают. Всё довольно таки отлажено.
Хотя там дом.ру есть, которого можно считать крупным.
А вот когда хотя бы один сотовый оператор запустит поддержку, вот тут сразу встанет вопрос апгрейда систем СОРМ и всяких Яровых. И будет это очень не бесплатно и не на добровольной основе.
Сотовые сидят на CGN и горя не знают. Всё довольно таки отлажено.
https://spb.mts.ru/personal/mobilnaya-svyaz/uslugi/mobilnaya-svyaz/dostup-k-ipv6/
Хотя бы один — давно есть...
Так то, что те же американские крупные игроки у себя вводят, когда внутри сети у них IPv6, а наружу на IPv4 ресурсы трафик NAT-ируется, уже решение, но — увы, железо и воля не всегда позволяют сделать такое. МТС сделал, отписывался даже когда-то, какой крови им это стоило, а остальные не увидели пока, зачем вкладываться в то, что им прибыль непосредственно не приносит.
Правда, кроме постов Билайна, написанных сторонними специалистами, ни Би, ни Мега по текстам ничем последнее время не блещут, чтобы показать, что им интересно внедрять новое, и не для галочки и крупных тендеров, а именно полноценно. Может, однажды поймут?
Правда, кроме постов Билайна, написанных сторонними специалистами, ни Би, ни Мега по текстам ничем последнее время не блещут, чтобы показать, что им интересно внедрять новое, и не для галочки и крупных тендеров, а именно полноценно. Может, однажды поймут?
Билайн вообще обслуживание инфраструктуры в отдельную компанию выделил и чуть ли не аутсорс отдавать хотел
А не до текстов сейчас. Людей сокращают, выводят в аутсорс. В целом затраты снижают. Менеджмент играется с диджитализацией, всяким платёжными картами, бигдатой. Хотя большая часть денег как шла от услуг связи, так и идёт. От звонков, от интернета. Может МТС запустил IPv6, да и то, оно не автоматом начинает работать, насколько понял. Про Билайн читал, что осенью прошлого года их специалисты говорили о неопределённом сроке запуска IPv6. Ну а есть и те, у кого вообще такая задача отсутствует на повестке дня и не планируется.
Предлагаю расширить семантику hex-адресов ipv6, по принципу, например, что каждые следующие 6 букв латиницы соответствуют первым шести. Тогда будет осмысленным не только адрес dead:beef:1234::, но и this:ipv4:area::
В Беларусии, например у бай флая, IPv6 есть только когда трафик улетает в международную сеть (или как то так. Не трассировал. Но сайты открывает.). В винде стоит просто галочка на IPv6.
На то есть несколько причин. Первая — человеческий фактор. В мире не так много компаний, в которых технические специалисты могут убедить менеджмент начать переход на IPv6
Начнем с того, что ИТ-специалистов, понимающих IPv6, можно пересчитать по пальцам. Здесь имеется в виду не прочитавшие статью на вики и решившие, что знают, а именно имеющих понимание отличий протоколов IPv4 и IPv6, имеющих в голове роадмап перехода и хотя бы примерную карту разложенных граблей на этом пути.
Ну и продиктовать по телефону, с шумом и помехами, «пингани 192.168.0.123» гораздо проще, чем 2001:0db8:11a3:09d7:1f34:8a2e:07a0:765d, да и не запомнить наизусть десяток таких адресов!
При этом сетевым специалистам как раз приходится больше оперировать IP адресами, а не доменными именами. Затруднительно занести в DNS все возможные стыковочные и технологические подсети. Да и врядли это имеет смысл. Даже если бы имело, начнутся проблемы запоминания доменных имён и снова их кривого и длинного вида. Плюс не всегда есть возможность в принципе ресолвить имена.
Сетевые специалисты с радостью научатся оперировать IPv6-адресами и настраивать файрволы вместо сношений с NAT.
Смотря на каком уровне работать. В сетях типа магистральных NAT ни к чему и отсутствует. Хотя там своих проблем хватает.
У магистралов и с IPv6 никаких проблем.
Ну да, технически никаких проблем давно. Речь про
Если опустить вопрос про СОРМы. А у сотовиков, которые фактически тоже магистралы, ещё и вполне реальны упомянутые проблемы биллинга и всяких прочих сопутствующих систем.
«пингани 192.168.0.123» гораздо проще, чем 2001:0db8:11a3:09d7:1f34:8a2e:07a0:765d, да и не запомнить наизусть десяток таких адресов!
Если опустить вопрос про СОРМы. А у сотовиков, которые фактически тоже магистралы, ещё и вполне реальны упомянутые проблемы биллинга и всяких прочих сопутствующих систем.
Если надо продиктовать по телефону можно использовать proquint:
2001:0db8:11a3:09d7:1f34:8a2e:07a0:765d = fabad-bukum-dakog-bolil-dusuh-momov-bivob-linitЦифры по телефону диктовать ГОРАЗДО проще и разборчивей, чем по буквам «сэ-как-доллар, вэ-как-галочка»…
Неспроста же службы, много общающиеся по телефону, типа ЖЭКов и пр., стараются делать почту типа 12345@mail.ru.
Неспроста же службы, много общающиеся по телефону, типа ЖЭКов и пр., стараются делать почту типа 12345@mail.ru.
Proquint переводит бинарные данные в слова которые вы можете прочитать целиком. В данном случае ipv6 адрес 2001:0db8:11a3:09d7:1f34:8a2e:07a0:765d это 5 слов: фабад-букум-даког-болил-дусух-момов-бивоб-линит
И что человек с другой стороны будет делать с этими непонятными словами?
Скриптом переведёт обратно в HEX и получит исходный IPv6 адрес.
Откуда у человека, который первый раз тебя слышит, возьмётся скрипт для расшифровки твоего странного послания?
Ну может в будущем proquint будет встроен и можно будет ввести его как есть. Может скрипт будет в каждой ОС. А пока либо скрипт, либо в ручную дешифровать.
Вместо того, чтобы интегрировать в стандарт костыли к неудачному решению, можно было сделать нормальное — адрес из 64 бит и десятичное представление, как уже ниже написали.
Можно просто использовать удобные адреса по началу. Вот например ipv6 DNS адреса гугла:
2001:4860:4860::8888
2001:4860:4860::8844Если не учитывать нули "::" то те самые 64 бита.
Диктуем:
Две тысячи один.
Две группы. Сорок восемь. Шестьдесят.
Нули.
Чере восьмёрки.
Второй адрес оличается последней группой.
Восемь восемь четыре четыре.
А для того чтобы всем просто вылезти из под NATов 64 бит мало.
Пример:
- Адрес провайдера 4ре октета (x.x.x.x).
- Адрес в локальной сети провайдера (10.y.y.y) ещё 3 октета.
- Адрес в локальной сети пользователя (192.168.z.z) ещё 2 октета.
Итого: (x.x.x.x.y.y.y.z.z) 9 октетов или 72бита
Можно просто использовать удобные адреса по началу.
Ага, торгуйтесь с провайдером, чтобы он вам выдал именно красивые адреса (забесплатно, естественно). И учтите что вы не гугл. А ещё вам может потребоваться оперировать не своими адресами, чей владелец об этом вообще не думал.
А для того чтобы всем просто вылезти из под NATов 64 бит мало.
Ваше 4-3-2 (а лучше записать как 32-24-16) весьма спорно по каждому пункту. Что же касается домашних NAT'ов, то убирать их — эатея однозначно вредная, т.к. у неё есть куча минусов и только один, крайне сомнительный, плюс (прямой доступ к любому устройству из интернета по умолчанию, без настроек и без ведома владельца). Кому в самом деле нужен доступ — осознанно настроит свой роутер, а схема без него — куча плохо настроенных, да и просто дырявых устройств наружу в инет без прямого не то желания владельца.
Так что остаётся только 4-3 и ещё целый свободный байт.
Так провадеру самому будет удобно их обслуживать.
NAT не для этого был придуман. Для закрытия портов есть межсетево́й экра́н.
4-3 это если провайдер использует один локальный диапазон. В другом случае будет все 4-4.
Конечно можно придумывать дальше костыли. Зачем тогда нужен новый протокол который тут же упрётся в лимит? Можно дальше сидеть на ipv4 окружённым NAT'ами и не беспокоиться о том что кто то сможет напрямую не используя промежуточные сервера для преодоления NAT связаться с вами.
Применяя какую-то вещь, никому не интересно, зачем она когда-то была придумана. Концептуально можно сколько угодно доказывать, что для защиты нужно использовать фаервол, но на практике всё равно оказалось, что NAT — это самый простой способ провести границу между «своим» и «чужим» так, чтобы в своей сети ты мог творить что угодно, а чужие к тебе не лезли. IPv6 делает решение этой задачи сложнее.
крайне сомнительный, плюс (прямой доступ к любому устройству из интернета по умолчанию, без настроек и без ведома владельца)Как же мы, бедные, выжили в эпоху диалапа да и вообще до повсеместного внедрения NAT?
В эпоху диалапа — в какую именно?
До Win95 OSR2 был IP стек в основном в виде Trumpet Winsock. Внутренние сервисы систем не были доступны по IP.
Когда же пошла OSR2, практически сразу начались ping of death и прямой доступ к сервисам на портах 137-139, абсолютно незащищённых (или через пароль, который из-за ошибок в SMB подбирался посимвольно за пару секунд). Тогда массово вводились запреты на доступ извне на эти порты; я сам, работая тогда в провайдере, участвовал во введении соответствующих фильтров на кошках и на юниксовых раутерах.
Чуть позже к этому набору добавился порт 445, но и этого не хватало — пошли меры по тотальному ограничению возможности входящих соединений. Да, это был уже NAT на диалапе. Опционально, но был. Мы давали его через спец. меню входа, запуская таким юзерам slirp; а, например, Зенон (московский) сделал возможность задания суффикса логина для тех, кто хочет такой режим. Это уже 1998 или 1999.
Потом пошли 2000 и XP, с ними вначале было полегче, но к моменту появления SP2 для XP были данные, что непатченая XP (исходной редакции) живёт в открытом интернете до первого заражения вирусом — около 7 минут. Это были данные по США. Для нас (Украина, Россия) реальной цифрой было что-то около от 20 минут до часа, что тоже откровенно ничтожно — тот же SP2 выкачать за это время было просто нереально. Носили на дисках (CD, немного DVD), патчили, только тогда выходили…
сколько я тогда ловил у юзеров подобных дырявых систем — такое было впечатление, что кто-то сглазил на «таскать вам, не перетаскать»…
И NAT на разраставшихся тогда (середина 2000х) домосетках выглядел как такая себе манна небесная — «ура! мы защищены!» хотя тут же ловили вирус из письма, пришедшего через законное исходящее POP или IMAP соединение…
Так что как именно выжили — вопрос сложный. Тяжело выжили, с потерями. И это всё ещё не закончилось…
До Win95 OSR2 был IP стек в основном в виде Trumpet Winsock. Внутренние сервисы систем не были доступны по IP.
Когда же пошла OSR2, практически сразу начались ping of death и прямой доступ к сервисам на портах 137-139, абсолютно незащищённых (или через пароль, который из-за ошибок в SMB подбирался посимвольно за пару секунд). Тогда массово вводились запреты на доступ извне на эти порты; я сам, работая тогда в провайдере, участвовал во введении соответствующих фильтров на кошках и на юниксовых раутерах.
Чуть позже к этому набору добавился порт 445, но и этого не хватало — пошли меры по тотальному ограничению возможности входящих соединений. Да, это был уже NAT на диалапе. Опционально, но был. Мы давали его через спец. меню входа, запуская таким юзерам slirp; а, например, Зенон (московский) сделал возможность задания суффикса логина для тех, кто хочет такой режим. Это уже 1998 или 1999.
Потом пошли 2000 и XP, с ними вначале было полегче, но к моменту появления SP2 для XP были данные, что непатченая XP (исходной редакции) живёт в открытом интернете до первого заражения вирусом — около 7 минут. Это были данные по США. Для нас (Украина, Россия) реальной цифрой было что-то около от 20 минут до часа, что тоже откровенно ничтожно — тот же SP2 выкачать за это время было просто нереально. Носили на дисках (CD, немного DVD), патчили, только тогда выходили…
сколько я тогда ловил у юзеров подобных дырявых систем — такое было впечатление, что кто-то сглазил на «таскать вам, не перетаскать»…
И NAT на разраставшихся тогда (середина 2000х) домосетках выглядел как такая себе манна небесная — «ура! мы защищены!» хотя тут же ловили вирус из письма, пришедшего через законное исходящее POP или IMAP соединение…
Так что как именно выжили — вопрос сложный. Тяжело выжили, с потерями. И это всё ещё не закончилось…
В эпоху диалапа — в какую именно?В ту самую, ужасы которой вы так красочно описываете.
В детройтах и выше достаточно было отвязать службы нетбиоса от сетевого интерфейса, чтобы всё это прекратилось — операция на десять секунд. Почему этого не хватало, вы не объяснили, а интересно было бы знать, т.к. teardrop был закрыт как раз с чикаги на детройт а других актуальных эксплойтов той поры я что-то не припомню.
Да, голая XP без сп ловила из инета сассер сразу же, это точно. Лечилось это, кстати, так же — отвязкой smb-шных потрохов от интерфейса. Но я также помню, что к тому моменту большинство рабочих станций было на вин2к, к которой уже вышло достаточно много сервиспаков и стала она вполне устойчивой и юзабельной. Очень быстро после этого сп2 для ХР стал встроенным и в ретейловых и в ОЕМных дистрах.
Так что как именно выжили — вопрос сложный. Тяжело выжили, с потерями. И это всё ещё не закончилось…Ну, дырок уровня sasser'а с виндами давно уже не случалось, всё больше локальные эксплойты мутятся. Сегодня, опять же, встроенный файрволл и антивирус, вот это всё. А неудобств, связанных с невозможностью p2p связи из коробки без всяких там туннелей и stun'ов, всё больше.
> Почему этого не хватало, вы не объяснили,
Потому что знание об этом было сильно ограниченным. Я узнал об таких регулировках уже через пару лет, от коллег из интеграторов — это при том, что вроде бы в провайдерах должны были такие вещи знать одними из первых. Возможно, работал технологический разрыв — люди, которые работали только с Unix, не представляли себе даже приблизительно, где такое правится на Windows. Были одни коллеги, у которых стояло всё провайдерское хозяйство на NT, позже на Win2000, но на вопрос «а как вы добились, что их не ломают»? следовал такой поток подробностей, что из нас никто не был в состоянии запомнить — потому что полная заточка (а не просто «отвязать от интерфейса») была сильно объёмнее.
Я готов заранее принять любые обвинения в невежестве и верхоглядстве с нашей стороны, но проблема в том, что это было тотальным свойством обстановки, и потоки пострадавших клиентов это только подтверждали.
> Но я также помню, что к тому моменту большинство рабочих станций было на вин2к, к которой уже вышло достаточно много сервиспаков и стала она вполне устойчивой и юзабельной.
Доля тех «рабочих станций» была ничтожной от всех пользователей, у которых любимый вариант был «ZverCD с базара плюс MDaemon оттуда же и пошли рассылать рекламу своих туров». Потому и первое, что говорили таким — как правильно настроить тот же MDaemon, чтобы он не был open relay, и это хватало, чтобы понизить градус до терпимого…
> А неудобств, связанных с невозможностью p2p связи из коробки без всяких там туннелей и stun'ов, всё больше.
Угу. Но это тоже постепенно лечится, хоть и медленно…
Потому что знание об этом было сильно ограниченным. Я узнал об таких регулировках уже через пару лет, от коллег из интеграторов — это при том, что вроде бы в провайдерах должны были такие вещи знать одними из первых. Возможно, работал технологический разрыв — люди, которые работали только с Unix, не представляли себе даже приблизительно, где такое правится на Windows. Были одни коллеги, у которых стояло всё провайдерское хозяйство на NT, позже на Win2000, но на вопрос «а как вы добились, что их не ломают»? следовал такой поток подробностей, что из нас никто не был в состоянии запомнить — потому что полная заточка (а не просто «отвязать от интерфейса») была сильно объёмнее.
Я готов заранее принять любые обвинения в невежестве и верхоглядстве с нашей стороны, но проблема в том, что это было тотальным свойством обстановки, и потоки пострадавших клиентов это только подтверждали.
> Но я также помню, что к тому моменту большинство рабочих станций было на вин2к, к которой уже вышло достаточно много сервиспаков и стала она вполне устойчивой и юзабельной.
Доля тех «рабочих станций» была ничтожной от всех пользователей, у которых любимый вариант был «ZverCD с базара плюс MDaemon оттуда же и пошли рассылать рекламу своих туров». Потому и первое, что говорили таким — как правильно настроить тот же MDaemon, чтобы он не был open relay, и это хватало, чтобы понизить градус до терпимого…
> А неудобств, связанных с невозможностью p2p связи из коробки без всяких там туннелей и stun'ов, всё больше.
Угу. Но это тоже постепенно лечится, хоть и медленно…
Увеличив длину адреса всего в два раза по сравнению с IPv4 и оставив десятичное представление — и переход на IPv6 не был бы такой проблемой.
Sign up to leave a comment.
Спецучреждение ООН опубликовало план перехода на IPv6 — IT-сообщество им недовольно