Vlákno názorů k článku Existují ještě stovky milionů nevyužitých IPv4 adres. Má smysl je uvolnit? od Filip Jirsák - Já bych ty adresy uvolnil co nejdřív. Dřív...
-
Já bych ty adresy uvolnil co nejdřív. Dřív než se na to síťová infrastruktura stihne připravit. Aby začalo být lépe vidět to, co spousta lidí odmítá vidět – že IPv4 internet už dávno nefunguje. Byl by pádný viditelný důvod, proč IPv4 odmítat („Vám to nefunguje? A vy používáte IPv4? No to by mohlo být tím…“). A co teprve až by se mezi lidmi rozkřiklo, že jsou v oběhu IPv4 adresy druhé kategorie, které nemusí fungovat správně. A že místo toho mohou dostat zbrusu nové IPv6 adresy.
-
Jenze on navenek ten IPv4 internet funguje (a spousta sluzeb typu GitHub ci Twitter je porad IPv4-only, stejne jako mnohe sluzby e-govermentu), spousta ISP u nas je IPv4-only. V case se kreativne nasly se ruzne workaroundy na to, jak projit pres NATy po ceste (dnes zcela bezne i dva, kreativni borci zvladnou i vic) - takze dnes realne ani nepotrebujete mit verejnou IPv4 na to, abyste se podival na video z domaci kamery. Beznym koncovym uzivatelum je ve vysledku jedno, jak vec doopravdy funguje - nainstaluji si appku, data protecou pres nejaky cloud, kam se i tak kamera pripoji... uzivatel je spokojen, funguje to.
-
No, funguje, až na případy, kdy nefunguje. Zkuste se někdy podívat do poraden na Root.cz, Živě.cz, AbcLinuxu.cz apod., jak často tam někdo řeší problém, který je původně způsoben nedostatkem IPv4 adres a tím, že dotyčný je někde za NATem.
No a vtip toho uvolnění uvedených adres co nejdřív by byl právě v tom, že by to zasáhlo i ty uživatele, kteří to teď neřeší, protože se appkou připojí na nějaký cloud. Protože ty uvolněné IPv4 adresy by právě nejvíce využívaly nějaké cloudy, přičemž ISP odmítající nasadit něco tak hrozně nového jako IPv6 by při troše štěstí měl problém i s těmito uvolněnými IPv4 adresami.
Vzhledem k tomu, jak se odborné informace dostávají k laikům tichou poštou, je určitá naděje, že by se nakonec mezi lidmi rozkřiklo, že IPv4 je starý a nespolehlivý a mají od svých ISP chtít moderní IPv6. Což je v zásadě to, co by bylo záhodno mezi lidmi rozšířit.
(Jinak to samozřejmě bylo myšleno jako nadsázka.)
11. 11. 2022, 18:25 editováno autorem komentáře
-
Tak ono je diskutabilni, nakolik za problemy je prave a vylucne NAT - a rozhodne z toho v obecne rovine dovozovat, ze na IPv6 problem uz nebudou. Samozrejme ze problemy budou - na domacich routerech bude minimalne stavovy firewall a ruzne extotictejsi protokoly tam budou narazet na problemy stejne, jako v pripade onoho NATu. Zvlast u levnych "cinskych" krabicek za par korun, co si lide bezne porizuji nelze predpokladat, ze tam bodou tyhle veci spolehlive vyresene. A vypinat stavovy firewall pro IPv6 na hranici domaci site... ehm, asi nebude uplne stastne reseni, ze? :-)
Debogonizace v IPv4 adresnim prostoru je tu vec, co se resi dlouho - a resi a jednou asi se resit bude rovnez v pripade IPv6. Nesmime zapominat, ze realne se dnes pouziva jen nepatrny zlomek adresniho prostoru - jako globalni unicast se oznacuje blok adres 2000::/3. Ale ten az jednou (treba) dojde, tak se jiste hrabne do nejakych IETF rezev (treba se to roztahne na 2000::/2)... no ale realne muze jednou nastat stejny problem jako dnes s blokem 240.0.0.0/4. Vlastne nekde i s IPv6 do budoucna skryvame stejne pasti dnes zname z IPv4 sveta (pouze se dnes u toho boharovne tvarime, ze nic takoveho se prece stat nemuze).
Pokud jde o (ne)nasazeni IPv6 - nejde hejtit jen ISP. I nekteri content-provideri jsou IPv4-only, nektere sluzby zprovoznili IPv6 doslova pred par tydny. Nase statni sprava se s IPv6 take zrovna nepredre, a kdyz budu hooodne kousavy - tak ono ani vas zamestnavatel to s nasazovani IPv6 uplne nespecha (i kdyz vas ISP to zarucene umi)... :D
-
Za problémy, když se někdo potřebuje připojit z venku ke svému zařízení, které je ovšem za NATem, rozhodně může NAT. Za problémy, kdy se někdo připojuje ven, jenže je za NATem s někým, kdo se připojuje tamtéž a připojení tím nějak znemožní, také může NAT.
Nikdo netvrdí, že s IPv6 žádné problémy nebudou. Ale nebudou tam problémy způsobené NATem.
Debogonizace v IPv4 adresnim prostoru je tu vec, co se resi dlouho - a resi a jednou asi se resit bude rovnez v pripade IPv6. Nesmime zapominat, ze realne se dnes pouziva jen nepatrny zlomek adresniho prostoru - jako globalni unicast se oznacuje blok adres 2000::/3. Ale ten az jednou (treba) dojde, tak se jiste hrabne do nejakych IETF rezev (treba se to roztahne na 2000::/2)... no ale realne muze jednou nastat stejny problem jako dnes s blokem 240.0.0.0/4. Vlastne nekde i s IPv6 do budoucna skryvame stejne pasti dnes zname z IPv4 sveta (pouze se dnes u toho boharovne tvarime, ze nic takoveho se prece stat nemuze).
Záměrně se nyní používá jen zlomek adresního prostoru IPv6. Protože až se jednou ukáže, že se IPv6 adresy přidělují špatně (jako se nám to stalo s IPv4), pořád zbývá v IPv6 prostoru spousta místa, kde se bude moci začít s přidělováním znovu a lépe. Akorát to bude pořád IPv6, takže formát paketů zůstane stejný. (To je to, po čem pořád volají odpůrci IPv6 a ptají se, proč bylo nutné přicházet s novým protokolem. V IPv4 se s tímhle nepočítalo, takže to nešlo. Autoři IPv6 se poučili a počítají s tím, takže s příští změnou snad nebude nutné formát paketu měnit.) Zároveň teď už snad neexistuje žádný standard, který by mohl někdo interpretovat tak, že má být současný využívaný prostor IPv6 pokud možno vypálen do křemíku. Takže ukrojení další části z volného adresního prostoru IPv6 by nemělo zdaleka tolik bolet.I nekteri content-provideri jsou IPv4-only,
Což je ostatním poskytovatelům obsahu úplně jedno, protože je to nijak neovlivňuje. -
Jenze u diskutovanych (treba) "domacich kamer" bude problem s primym pripojenim zpusobovat (prozmenu) domaci firewall na routeru. Problem ve sve podstate se nezmeni, jen se bude resit jinym zpusobem - a to je to, o cem mluvim. Proste nezmizi. Globalne routovana adresa je jen cast problemu - jehoz resenim ale neni odstaveni firewallu chranici domaci infrastrukturu. A ano, soucasna CPE na IPv6 vesme korektne funguji soucasne jako stavovy firewall, co zvenci dovnitr nic nepusti. A bezny Ferda uzivatel opravdu standardne nema znalosti na to tyhle veci menit.
No a pak tu mame NAT i na IPv6 - treba RFC 6296 v kombinaci s RFC 4193 adresami boharovne prehlizite. A treba RFC 7010 pojednava o tom, ze takove to automaticke precislovani vnitrni site podle od ISP (dynamicky) delegovaneho prefixu ma zrovnatak sve problemy (takze k tomu NATu nekde nekdo asi zklouzne - a mluvim o NATu, zatimco vy nespravne zamenujete PAT a NAT). Ja netvrdim ze to vubec nejde - ale ono to proste prinasi uplne nove vyzvy, se kterymi se dana infrastruktura musi nejak vyporadat. A zmena "stylu" adresace (tedy napr. ta zmena masky u globalnich adres z /3 na /2) nebude jen o tom, ze zmenite nejake lejstro (RFC) a magicky vse zacne fungovat - opet bude prekopat spoustu veci (v ruznych filtrech), a to ze se nezmeni format paketu je jen "drobnustka"...
Myslim ze jednim z prusvihu IPv6 je mimo jine "vas pristup" - tedy bagatelizace moznych problemu - soucasnych i budoucich. A osobne jej povazuju za skodlivy - ta vase bagatelizace paradoxne muze mnohe odrazovat. A jinak - autori IPv6 se uci "za pochodu" - standardy IPv6 se vyviji od roku 1995 - a finalni IPv6 RFC tu mame teprve od roku 2017. A nekolika slepymi ulickami jsme si za tu dobu take prosli - aneb na papire to vypadalo hezky, ale prakticka implementace... byla horsi.
Apropo, kdyz tu tak basnite o IPv6, proc nemate IPv6 poradne ani na sve osobni domene (jirsak.org), kdyz se oprostime od toho, ze to nemate v praci? :-) Trosku to vypada, jako kdyz kazete (IPv6) vodu, ale sam pijete (IPv4) vino :D S vasim diskusnim zapalem bych ocekaval, ze mate IPv6 vsude :D
-
Domácí firewall si zvládne nastavit (nebo klidně vypnout) každý, případně s nějakou drobnou radou. S NATem ISP ale sám nic neuděláte.
Firewall chránící domácí infrastrukturu je nesmysl. Firewall nelze „mít“, firewall můžete jen nakonfigurovat a provozovat. Pokud to někdo neumí, „mít“ firewall mu nepomůže. Stejně podstatná je i druhá věc – firewall složí k oddělení bezpečné vnitřní sítě od nebezpečné vnější. Já bych domácí síť ve většině domácností rozhodně nepovažoval za bezpečnou, naopak jediný rozumný předpoklad je, že je to tam stejně divoké, jako venku.
A zmena "stylu" adresace (tedy napr. ta zmena masky u globalnich adres z /3 na /2) nebude jen o tom, ze zmenite nejake lejstro (RFC) a magicky vse zacne fungovat - opet bude prekopat spoustu veci (v ruznych filtrech), a to ze se nezmeni format paketu je jen "drobnustka"...
Já jsem také netvrdil, že to bude lusknutím prstu. Ale drobnost bude úprava těch filtrů, zatímco všechno ostatní zůstane stejné (formát paketu, přidělování adres v síti, routování v lokálních sítích).Myslim ze jednim z prusvihu IPv6 je mimo jine "vas pristup" - tedy bagatelizace moznych problemu - soucasnych i budoucich.
Já problémy nebagatelizuju. Já se akorát netvářím, že je potřeba teď začít vymýšlet, jak řešit směrování IPv6 v lokální síti, protože je to horká novinka, kterou ještě nikdo nevyřešil.Apropo, kdyz tu tak basnite o IPv6, proc nemate IPv6 poradne ani na sve osobni domene (jirsak.org)
Protože ta současná instance serveru před několika lety začínala s plánem ISP, který IPv6 nepodporoval. A když jsem to naposledy převáděl k novému ISP, bylo to po požáru datacentra OVH, takže jsem řešil jen obnovu 1:1 a nic dalšího jsem s tím nedělal. Vzhledem k tomu, že je to vpodstatě jenom zaparkovaná doména, je to úplně jedno. -
Poradit vypnuti (nebo dokonce nezapnuti) firewallu na domacim routeru muze navrhnout opravdu jen naprosty diletant (no vidim, ze jste mozna obratny internetovy zvanil - ale bezpecnost je pro vas sproste slovo) . Jisteze ten (implicitne zapnuty) firewall nejake problemy alespon castecne resi - nevystavi vsechny domaci IoT hracky primo do internetu.
-
A zmena "stylu" adresace (tedy napr. ta zmena masky u globalnich adres z /3 na /2) nebude jen o tom, ze zmenite nejake lejstro (RFC) a magicky vse zacne fungovat
Ale nikde přece není napsáno, že globální unicastové adresy jsou jenom 2000::/3. Naopak, v RFC 4291, sekci 2.4 je explicitně napsáno:
Future specifications may redefine one or more sub-ranges of the Global Unicast space for other purposes, but unless and until that happens, implementations must treat all addresses that do not start with any of the above-listed prefixes as Global Unicast addresses.
(Přičemž vyjmenovány jako výjimky jsou jen ::/128, ::1/128, ff00::/8 a fe80::/10.) Existuje sice dohoda, že se zatím přidělují adresy jen z rozsahu 2000::/3, ale to nikoho neopravňuje nakládat s ostatními adresami jako se "zakázanými", naopak, to by bylo porušením specifikace.a finalni IPv6 RFC tu mame teprve od roku 2017
Pokud chcete opravdu argumentovat takhle, musel bych dojít k závěru, že v tomto smyslu tu "finální TCP RFC" máme teprve od... srpna 2022. Mám tedy TCP považovat za ještě nezralejší experimentální protokol, než za jaký vy považujete IPv6?
11. 11. 2022, 23:08 editováno autorem komentáře
-
Existuje spousta dalsich doporuceni a materialu, kde je filtr na 2000::/3 explicitne uvedeny jako doporuceni. A (ne)prekvapive to lide takto nasazuji... aneb posledni, co chcete nekde resit je spoofnuty bordel treba z 4000::/3... a to, ze s BCP38/RFC2827 se to na mnoha mistech ani pod 22 letech od vydani tohoto standardu neprehani je bohuzel take realita, se kterou se nejak vyporadat musite. Aneb ano, to jsou ty vecne strety "teoretiku/akademiku" se surovou praxi, ktera neni obcas tak slunickova, jak to teoreticky - na papire - vypada...
TCP RFC 793 tu mame 41 let - a narozdil od IPv6 taky neresime, ze by to s jeho nasazenim v praxi nejak zasadne drhnulo. Spravne polozena otazka by mela byt o tom, proc tomu tak tedy je, proc se toho lidi okolo tak boji - a co udelat, aby se jejich pohled zmenil. A namachrovane reci "nic neni problem" asi reseni nejsou. A me odpovidat nemusite, ja zazil i 3ffe::/16 jeste funkcni a v plne slave... zkuste se spis bavit s temi, co IPv6 neprovozuji.
-
Spravne polozena otazka by mela byt o tom, proc tomu tak tedy je, proc se toho lidi okolo tak boji - a co udelat, aby se jejich pohled zmenil.
K této správně položené otázce je potřeba si položit ještě druhou otázku – proč se toho jiné lidé nebojí a mají to dávno nasazené.Pokud by to byl problém technologie, měli by problém s nasazením všichni. Pokud se toho bojí jen ti, kteří se bojí všeho nového, asi to nebude problém technologie. No a když se toho bojí lidé, kteří se bojí všeho nového a nasazují to pod tlakem až když už to opravdu jinak nejde (a pak si stěžují, jak je to nečekané), nezbývá než vyvíjet ten tlak a neprodlužovat to umírání nesmyslnými přísliby, že se najednou někde vyšťourají IPv4 adresy. I kdyby se přidělily všechny teoreticky existující IPv4 adresy (ponechme teď stranou, že to nejde), pořád jich bude málo.
-
Ale technologie problem byt muzou. Rec je o (proprietarnich) aplikacich, kde treba takove jejich logovani muze byt IPv4-only. To je stejne jako s 2038 problemem - zmenit to neni az tak trivialni, jak se muze zdat - proste prekopat vsecko z 32bit na 64bit (cas) nebo 128bit (adresa) s sebou nejakou praci nese. Zrovnatak muzu argumentovat tim, ze lidi maji prejit se svymi aplikacemi z PHP5... a to uz jsme u PHP8 a ta petka je uz davno nepodporovana. Sedmicka konci za chvili. Se schvalne podivejte, kolik veci bezi jeste na petce. Jo, ono se to hezky "teoretizuje" o tom, jak nic neni problem. A nemusi za tim byt nutne "strach" - ten duvod muze byt jiny a mnohem prozaictejsi - a tim jsou penize.
Ja pamatuju doby, kdy IPv6 na sitovych zarizenich byla dokonce priplatkova feature. Ano, za podporu IPv6 na routeru si clovek musel priplatit extra licenci. I dnes se potykame s tim, ze feature/functional parity mezi IPv4 a IPv6 proste neni 100%. Treba do popularnich Kubernetes prisla podpora pro IPv6 teprve loni - do te doby to bylo IPv4 only a pritom slo o vec, ktera vznikla v dobe, kdy IPv6 uz davno existovalo - proc tam nemeli IPv6 teda hned, kdyz jste tak chytrej? :-) A takhle muzeme pokracovat donekonecna... treba zrovna u firmy, kde pracujete :D Tak nam tu objasnete, proc OKsystem s nasazovanim IPv6 take nespecha ;-) Kdyz to podle vas neni zadnej problem.
-
A jak by jste resil problemy zpusobene takovou implementaci? Vola Vam zakaznik do eshopu, mesicni obrat nekolik milionu a rika ze se mu vas web nenacita a vy mu budete rikat jestli nahodou neni na nejake specificke IP adrese ktera byla puvodne rezerovana? Nebo si chcete pustit zaplaceny Netflix a zjistite ze vam to proste nehraje a nebude hrat protoze vas internetovy poskytovatel pouziva 5 let starou techniku na ktere se s timhle vubec nepocita? Kazdeho poslete ve stylu MS do zadele?
-
Myslíte, že by podpora takového e-shopu (často třeba sám majitel) měl takové znalosti IP, že by řešil rozsahy IP adres? Já si myslím, že by nanejvýš zvládl: „No jo, vám nejspíš ISP prodává starý internet, s tím to často nefunguje. Musíte od něj chtít nový internet ‚IPv6‘, ten je daleko lepší, rychlejší a nebudete mít tyhle problém.“ A to je právě to, co chceme.
Jinak si nemyslím, že by se tyhle adresy objevovaly na straně koncových uživatelů, k tomu není důvod. Spíš by se objevily u poskytovatelů obsahu. A cílem by samozřejmě bylo neřešit tyhle problémy s IPv4 adresami ale tlačit lidi k přechodu na IPv6.
-
Jenze zas u dnes prevladajiciho dual-stacku hned nevite, zda-li problem vznika na IPv4 nebo na IPv6, kdyz nejaky problem resite, takze naopak tem "podporam" to pridela praci. Ty zmizi az budou IPv6-only site - kterych je ale zatim jako safranu - protoze samozrejme v nich stale musite resit dostupnost IPv4 sveta (ve kterem je spousta sluzeb... a ano, tam zase skoncite u nejake formy prekladu, navic podstatne slozitejsiho). E-shopy jsou navic fakt blby priklad, zrovna HTTP je protokol, co s NATem moc netrpi... kdyby byl opak pravdou, davno mate vybombardovane helpdesky vsech ISP nejen v CR :-)
ČLÁNKY DO MAILU