Názory k článku IPv6 v domácích směrovačích
-
Můj názor je, že adopce IPv6 půjde relativně rychle. Vzhledem k tomu, že IPv4 adresy kriticky chybí hlavně tam, kde počet uživatelů Internetu roste nejrychleji, tj. v Asii, přijde impuls odtamtud. Bude stačit jeden velký tender od někoho jako je China Telecom apod a s levnými krabičkami s podporou IPv6 se roztrhne pytel.
Velkých výrobců SOHO routerů je asi tak 5 (nemyslím nalepovače log jako je Zyxel nebo Asus, spíše lidi jako Arcadyan nebo Askey) a samotní výrobci hledají další impuls, který by vedl k masivní obnově krabiček u uživatelů. Právě skončily dostihy s 801.11n, takže další feature se jen hodí. Aktuálně není na trhu žádná vlastnost, která by se dala vzít a obecně implementovat takže lidi nemají moc důvodů ke změnám. První tender, který zaplatí vývoj a dostatečné množství krabiček v první objednávce (pár milionů), bude zároveň znamenat i obnovení marketingových dostihů, které nám vysvětlí, že bez IPv6 nelze žít. A odtud je pak už jen krátká cesta aby to do svých sítí začali požadovat i normální správci podnikových sítí a nejen ti osvícení jako dnes.
Já tomu dávám tak 2 roky. Za tu dobu bude na trhu minimálně 5 typů krabiček kolem 1000,- až 1500,- -
Neznam sice detailne UPnP specifikace, ale videl jsem to uz dneska pouzivat na otevreni firewallu v SOHO routeru a asi neni duvod, proc by to nemohlo byt v budoucnu masivne pouzivane. Takze budu mit SOHO router s IPv6 a vychozim blokovanim nove komunikace. Na stanici si pustim jabber klienta a ten posle na router, hele ja potrebuju prenos souboru, mam IP XXX a port YYY, povol mi prichozi komunikaci.
Asi nejvetsi problem je poresit, jak zamezit nejake zaskodnicke aplikaci, aby vam nevystrcila pocitac jen tak do internetu, nicmene to zvladaji i za natem, takze to neni dramaticky rozdil. -
PPPoA a PPPoE vyuzivane pro vytvoreni IP tunelu u xDSL pripojeni nemohou nest dual-stack (podle me z principu navrhu protokolu to je nemozne). Jak to maji poskytovatele resit? Jedine co me napada je otevrit druhou PPP session a tim padem i dalsi ATM PVC, podobne jako to dela ted O2 s IPTV... Jenze tam se podle me zacne vyskytovat problem s rizenim provozu - uzivatel zacne prenaset vetsi mnozstvi dat po obou konektivitach a jakym zpusobem se pote ma limitovat jeho tok? Limitovat v tomhle pripade ctyrku a sestku v souctu bude na soucasnym HW docela problem, takze uzivatel ziska teoreticky dvojnasobnou rychlost, coz ale neni v zajmu ISP. A pokud by tedy nasazeni sestky slo proti zajmum ISP nikdy se nenasadi. -
Rozdíl je v jednoduchosti případné konfigurace. Pokud chcete "otevřít" port na routeru s NATem, musíte zajistit přesměrování z routeru na nějaký cílový počítač. Nejde jednoduše zařídit otevření portu na všech vnitřních počítačích. S IPv6, protože cílová adresa je opravdu cílová, jenom povolíte port. Pokud chcete povolit konkrétní počítač, prostě vyplníte jeho IP a číslo portu. S NATem potřebujete porty mapovat, tedy musíte nastavit kombinaci veřejná IP, veřejný port, lokální IP, lokální port. Jeden port můžete mapovat na jeden počítač, minimálně současně. S IPv6 prostě port povolíte a může chodit všem zaráz. Pravda je, že tohle stejně musí řešit autoři aplikací a nějak se s tím poprat, takže dost možná zjednodušení vůbec nebude poznat.
-
Pak je to celé ale "mnoho povyku pro nic". Osobně bych čekal, že mám-li poskytovatele s nativním IPv6, prostě vyhodím všechny tyhle "krabičky na internet" z okna, na jejich místo šoupnu pětiportový svišť za dvě stovky a v tu ránu mám end-to-end IPv6 konektivitu na všech domácích strojích. (Jenže to by asi výrobci "SOHO routerů" přišli na buben...) Pokud se mi i nadále bude do komunikace plést občas funkční a občas protestující zařízení, přijde mi to jako naprosté promrhání potenciálu IPv6.
-
S tim v obecne rovine souhlasim, ale v siti, kde se mixuji stanice duveryhodne a neduveryhodne mi prijde smysluplne pouzivat nejakou ochranu na hranicnim smerovaci a povolovat spojeni jen na ty duveryhodne. A na to by to chtelo nejaky mechanizmus, ktery bude dostatecne univerzalni, aby byl obecne popsatelny a bylo mozne poskytnout obecny navod, jak koncovy uzivatel takovou komunikaci muze povolit.
-
Pro WiFi se pomalu prosazuje Wi-Fi Protected Setup(tm), kde se na zarizeni zmackne tlacitko a dve minuty se vsechna zarizeni v dosahu domlouvaji a nakonec se nastavi sit s WPA2 a silnym/nahodnym sifrovacim klicem. Takze pro konfiguraci firewallu by klidne mohlo platit neco podobneho. Takovych veci se da vymyslet fura. Obtezujici uzivatele asi budou, bezpecnost neni nikdy zadarmo a snadna.
Neverim, ze kterykoliv z velkych hracu nakoupi a bude svym uzivatelum distribuovat zarizeni, ktere umozni neomezenou end to end konektivitu ve vychozi konfiguraci. -
Tyfus (neregistrovaný)Nesouhlasim s obema.
Maskarada se objevila jeste pred ipv4, studenti si chteli pripojit neco co nemeli. Ale krome adresovani vlastne nic nebranilo...
U ipv6 maskarade taky nic nebrani (zanedbame ipsec). Takze at si ji kdo chce provozuje. Napr linux to umi uz dva roky. Smysluplnost by byla jina debata. -
Hix (neregistrovaný)a co treba tohle...
mame VPN boxy... nedelaji router, jsou jenom pichnute do switche.
Zvenci je na ne presmerovan jeden port... jakmile se nekdo pripoji, pouzijeme NAT aby se komunikace vuci ostatnim strojum na LAN (treba tem, u kterych NELZE nastavit gw) tvarila jakoze je iniciovana v ramci LAN.
IMHO osvedcene, elegantni, fcni...
u IPV6 bych musel prekonfigurovavat staticke smerovani na routeru, coz treba u hloupejsich DSL routeromodemu delam nerad.
toz tak. -
Hix (neregistrovaný)nemuzu si pomoct, ale absence NAT mne stve.
Co mi ma kdo kecat do cislovani site, jakou chci doma, nebo ve firme.
Uvedomuju si, ze NAT ma sve stinne stranky... ale predstava ze kazde zarizeni bude potencialne spojene s kazdym (ala ipv6 jestli ho dobre chapu) mne neoslovuje, ale znechucuje. -
ondra.novacisko.cz (neregistrovaný)"Jinými slovy se předpokládá, že tato zařízení, podobně jako jejich současné IPv4 protějšky, budou volně prostupná jen směrem zevnitř. Tato asymetrie, původně vynucená vytvářením tabulky pro překlad IPv4 adres v NATu, se prosadila jako dodatečný bezpečnostní mechanismus a v této podobě už s námi zřejmě zůstane. Aplikacím se plete pod nohy, nicméně je už dnes vnímána jako součást každodenní reality a vývojáři se s ní musí nějak vyrovnat."
Proč mám jako zákazník chtít IPv6, když jedinou věc navíc, kterou nabízí vlastně domácí směrovač blokuje. Tak proč to všechno? -
petr_p (neregistrovaný)
Otázka je, proč by se měla o tom dohadovat stanice s hraničním směrovačem, když to samé může udělat operační systém stanice při zavolání služby listen() přímo sám na sobě. Tím by také odpadlo přidávání UPnP klientů do každé aplikace.
Podle mě je přístup UPnP zvrácený. Buďto stanici nevěřím (hloupý uživatel nebo nezkonfigurovatelný software) a všechno filtrování provádím autoritativně na hraničním firewallu, nebo stanici věřím a pustím na ni všechno.
-
martin (neregistrovaný)Je jasny, ze bez IPv6 to do budoucna nepude a produkty pro domaci pouziti uz jsou na svete, nejen Mikrotik.
V utery jsem byl na skoleni IPv6 od i4wifi, ktery tam domaci routery ukazalo - http://www.skoleni-mikrotik.cz/skoleni-detail-probehle.php?id=131.
Vlastni skoleni sice delal konkurent, ale ve svy siti uz na IPv6 jede, takze zajimavy informace... -
petr_p (neregistrovaný)
A jak si to představujete? Jako UAC ve Vistách, které podle křišťálové koule rozhodne, že je na čase udělat krok stranou, zeptat se uživatele, jestli nechce sušenku, provést jeho psychologické vyšetření, jestli je způsobilý kvalifikovaně problém rozhodnout, a pak se nějak zařídit?
Tohle není bezpečnost, ale lhaní si do kapsy.
-
vh (neregistrovaný)Další domácí routery, které umí routovat IPv6, jsou Airport Extreme a Airport Express od Applu. Možnosti filtrování jsou jednoduché - lze buď povolit všechno oběma směry nebo jen spojení zevnitř ven.
A perlička - používá IPv6 jako defaultní protokol při vlastní konfiguraci (při komunikaci s konfigurační utilitou běžící na stolním pc).
ČLÁNKY DO MAILU