Portál AbcLinuxu, 24. dubna 2024 19:02
V rámci konference Internet a Technologie 10, kterou pořádalo sdružení CZ.NIC, správce domény .cz, proběhla také diskuze na téma přechodu na IPv6 v České republice. Zúčastnili se jí zástupci významných firem (Seznam.cz, O2) a státní správy (Ministerstvo průmyslu a obchodu), kteří nastínili, jaké kroky ve svých oborech podnikají, aby byl přechod z IPv4 na IPv6 v ČR pokud možno hladký.
IP adresy přidělované prostřednictvím stávajícího protokolu IPv4 docházejí, a proto je nutné tuto záležitost neprodleně řešit. CZ.NIC uvádí, že „Podle současných odhadů zmizí za rok veškeré volné bloky IP adres využívajících stávající protokol IPv4. Během první poloviny roku 2012 pak IP adresy postupně dojdou i na regionální úrovni a u jednotlivých poskytovatelů internetového připojení, kteří adresy přidělují koncovým uživatelům.“
Pokud by v době, kdy IPv4 adresy dojdou, nebylo implementováno řešení, které nedostatek volných adres odstraní, způsobilo by to velmi vážné problémy při dalším rozšiřování internetu jak z hlediska dostupného obsahu, tak připojených zařízení. Vzhledem k tomu, že je dnes k internetu připojeno stále více počítačů, telefonů, spotřební elektroniky i dalších zařízení, byla by taková situace mnohem bolestivější, než by se mohlo na první pohled zdát. Totéž platí pro obsah – množství informací a služeb zpřístupňovaných přes internet stále stoupá, takže by vyčerpání IPv4 adres bez dostupné alternativy znamenalo velký problém.
Ondřej Filip, ředitel CZ.NIC: „Dnes z původního objemu IPv4 adres zbývá pouhých šest procent a jejich počet klesá rychleji, než se předpokládalo ještě před rokem. Rok 2012 se může zdát daleko, ale kompletní přechod na IPv6 je záležitost let – co do technologické složitosti jde o proces podobný například digitalizaci televizního vysílání. Lze to stihnout, ale je třeba začít s nasazením řešení co nejdříve, a to ve vzájemné součinnosti zejména poskytovatelů připojení a obsahu, státní správy, ale i koncových uživatelů.“
Řešení je přitom známé již mnoho let. Zastaralý protokol IPv4, který vznikl již v 70. letech v prvopočátcích internetu, je nutné nahradit protokolem novým: IPv6. Ten nabízí 128bitový adresní prostor, takže bez potíží pokryje stávající i budoucí (alespoň v dohledné budoucnosti) požadavky na IP adresy. IPv6 poskytuje z hlediska uživatele stejné funkce, takže by se mohlo zdát, že jeho nasazení nic nebrání.
Háček je v tom, že jsou protokoly vzájemně nekompatibilní. Zjednodušeně řečeno to znamená, že se zařízením, které „umí“ pouze IPv4, si nepřečtete obsah poskytovaný přes IPv6 a zařízení s podporou IPv6 vám neposlouží v případě naprosté většiny současného obsahu, který je zpřístupněn přes IPv4. Tento problém má být řešen pomocí tzv. přechodového období, kdy budou poskytovatelé obsahu i výrobci zařízení podporovat oba protokoly. Nemilé je, že toto přechodové období již mělo dávno nastat.
Jak podotkl Ondřej Filip ve své úvodní přednášce, jde o problém vejce-slepice. Zatímco poskytovatelé internetového připojení čekají, až bude k dispozici obsah, ke kterému by šlo prostřednictvím IPv6 konektivity přistupovat, poskytovatelé obsahu čekají, dokud nebude dostatek uživatelů, kteří by chtěli k obsahu přistupovat přes IPv6.
Připravenost České republiky na nevyhnutelný přechod na IPv6 lze nahlížet dvěma způsoby:
Na straně jedné můžeme s potěšením konstatovat, že doména .cz a její správce CZ.NIC jsou zcela připraveni na IPv6. Totéž platí pro NIX.CZ (společnost sdružující české i zahraniční poskytovatele internetových služeb za účelem vzájemného propojení jejich sítí) – základní infrastruktura je na svém místě a připravena na provoz s protokolem IPv6.
Druhá věc je připravenost uživatelů a poskytovatelů obsahu. V současné době je pouze 1,5 % webových stránek dostupných přes IPv6. Datové toky v rámci NIX.CZ také vypovídají o tom, jak málo rozšířený je IPv6. Nová verze protokolu tvoří přibližně 0,1 % z celkového objemu dat.
Ve srovnání s ostatními evropskými zeměmi je na tom ČR přibližně stejně jako její sousedé, možná máme lehce navrch. Výjimka je Slovinsko, které všechny ostatní státy v oblasti implementace IPv6 výrazně předběhlo.
Ing. Michal Feix, provozní ředitel Seznam.cz, vystoupil s krátkou prezentací, která shrnovala, jak je na tom největší český poskytovatel obsahu s připraveností na IPv6. Mimo jiné v úvodu uvedl několik zajímavých statistik, které ukazují, jaký je výchozí stav a jakou infrastrukturu bude potřeba na IPv6 nachystat:
Pan Feix dále vysvětlil, jaké má Seznam.cz plány ohledně postupného posilování IPv6 konektivity (v současné době disponuje pouze tranzitním IPv6 spojením, nikoliv do NIX.CZ) a příprav pro překlopení webových serverů do duálního režimu. Pokud se chcete přes IPv6 podívat na seznam.cz už dnes, využijte adresu ipv6.seznam.cz (kromě toho, že půjde vaše komunikace přes zahraničí, tak na IPv6 stále nejsou připraveny DNS Seznamu – probíhá tedy překlad do IPv4).
Zajímavým aspektem plánů Seznamu je to, že po zprovoznění externích IPv6 DNS budou zprvu tyto servery vydávat IPv6 záznamy jen pro předem vybrané a otestované (IPv6) sítě – jinak budou dále vracet IPv4. Seznam chce spolupracovat s jednotlivými poskytovateli připojení a zajistit tak, že se IPv6 použije výhradně tam, kde je IPv6 konektivita správně a spolehlivě nastavena.
Již v roce 2010 chce Seznam zavést překlad protokolů na svých loadbalancerech a spustit informační podporu pro přechod na IPv6. V roce 2011 chce celou akci dokončit, včetně přečíslování svých interních sítí.
Pan Jakub Votava představil plány Telefóniky O2, největšího českého poskytovatele připojení k internetu. Hned na úvod zmínil, že O2 předpokládá problémy s dalšími alokace od RIPE, takže pro jistotu počítá s tím, že už žádné nedostane. V tuto chvíli má jejich stávající nedočerpaný blok ještě 131 tisíc adres. Výhled na tento a příští rok pro nové zákazníky vypadá takto:
Z toho je zřejmé, že IPv4 již Telefónice dlouho nevydrží. O2 je podle slov pana Votavy připraveno na nasazení duální konektivity na pevných i mobilních linkách. Konkrétně mají alokované IPv6 adresy, mají IPv6 v internetovém PoPu (Point of Presence), mezinárodní peering a jsou připraveni na národní peering s NIX.CZ. Takto vypadá plán dalších příprav:
Za nejsložitější považují převod informačních systémů (tj. v systémech zákaznické podpory, objednávkových systémech atd.). Drobnost na okraj: O2 provozuje svoji IPTV na vlastních adresách, takže tam k žádným změnám nedojde.
V průběhu roku 2011 hodlají upravit svou nabídku datových služeb (rozšířit o nabídku plné podpory IPv6), přičemž od počátku roku poběží technické pilotní projekty a do konce roku má být hotová finální nabídka. Noví zákazníci budou automaticky dostávat koncová zařízení s podporou obou protokolů. Stávající zákazníci budou mít možnost o migraci na IPv6 požádat, což bude zahrnovat buď upgrade softwaru, nebo hardwaru na jejich koncovém zařízení. Ostatní budou i nadále připojeni s původními modemy a nebudou mít přístup k IPv6 obsahu.
Ing. Mgr. Monika Pochylá z odboru elektronických komunikací seznámila přítomné s tím, jak se na IPv6 chystá MPO a co dělá proto, aby nebyla Česká republika jako celek zaskočena, až k přechodu z IPv4 bude muset dojít. Hned první slajd z její prezentace si zaslouží vystavení, protože lakonicky, leč výstižně ukázal, jaká je situace MPO a celé státní správy.
V dalších částech své prezentace slečna/paní Pochylá informovala o aktivitách týkajících se příprav na IPv6 v rámci Evropské unie, především jmenovala dvě sdělení Evropské komise zaměřená na povzbuzení států, aby nezanedbaly potřebné kroky k úspěšnému přechodu na novou verzi protokolu. Rovněž zmínila přípravné workshopy na téma IPv6, které EK pořádá.
Další organizace, které se podílejí na plánování nasazení IPv6, jsou Mezinárodní telekomunikační unie (International Telecommunication Union, ITU) a Organizace pro hospodářskou spolupráci a rozvoj (Organisation for Economic Co-operation and Development, OECD). Zatímco ITU například poskytuje podporu pro rozvojové země, OECD v roce 2010 měří úroveň nasazení IPv6.
V České republice je základní dokument určující postup přechodu státní správy na IPv6 usnesení vlády č. 727 (PDF) ke Zprávě o přechodu na internetový protokol verze 6 (Ipv6) (již vypracovalo právě MPO). Vláda tímto usnesením:
ukládá ministrům a vedoucím ostatních ústředních orgánů státní správy (a doporučuje hejtmanům a primátorovi hl. města Prahy) zajistit:
Ačkoliv to zní akčně a vzhledem k uvedeným termínům i poměrně slibně, sl./paní Pochylá upřesnila, že se naneštěstí jedná pouze o „usnesení“, takže nikomu nehrozí v případě nedodržení žádný postih, ani neexistují páky, jak příslušné úřady přinutit k poslušnosti. Ministerstvo průmyslu a obchodu se však bude po uplynutí termínu dotazovat jednotlivých ministerstev a úřadů, jak jsou s implementací daleko – a v případě zjištění nedostatků bude tyto prezentovat vládě.
Na závěr zazněla tzv. základní teze připravované vládní strategie „Digitální Česko“ (vizte zatím prázdný web http://digitalnicesko.cz): „Podporovat správu internetu zaměřenou na zavádění internetového protokolu Ipv6 a zabezpečeného systému DNSSEC“.
Jako poslední vystoupil Aleš Pícl, zástupce společnosti D-Link, tedy výrobce síťových zařízení, včetně domácích switchů, routerů a modemů, které bude nutné postupně vyměnit či upgradovat jejich firmware, aby si s IPv6 rozuměly. Podle slov pana Pícla je D-Link samozřejmě na protokolovou revoluci připraven – jejich firmwary již nyní nabízejí několik možností využití IPv6 konektivity, včetně tunelování IPv6 do IPv4, které umožní ve vnitřní síti dále využívat IPv4 zařízení.
Podstatným bodem této prezentace bylo upozornění na logo IPv6-ready, které D-Link a další výrobci používají k usnadnění jednoznačné a okamžité identifikace hardwaru použitelného s novou verzí IP.
Přestože jsem si od tohoto tzv. kulatého stolu příliš nesliboval, musel jsem opravit svůj prvotní pesimistický náhled – nakonec šlo o zajímavé a podnětné setkání, které může dopomoci k tomu, aby si alespoň někteří z hlavních aktérů nadcházející IPv4 apokalypsy ujasnili, jaká je situace v jednotlivých oborech. CZ.NICu tedy patří dík za to, že se snaží nastartovat debatu o tom, kudy se přípravy budou ubírat. A vzhledem k tomu, že se setkání účastnili i zástupci České televize, lze doufat, že se nějaké informace dostanou i k masám uvažujícím podle schématu „éčko=internet, web=seznam“.
9.6.2010 08:30
houska | skóre: 41
| blog: HW
ipv6.abclinuxu.cz ti nejde? ;)
nejde prihlaseni :/Mimochodem, už jste zkusili ipv6.abclinuxu.cz?Po jemném upozornění, že to jaksi nemá AAAA záznam, Robert odpověděl, že
Mám od adminů potvrzeno, že ipv6 funguje.Museli jsme ho ukecávat dva, že to opravdu nejde. Když jsme tak u toho, zajímalo by mě, kterýho experta napadlo používat pro abclinuxu.cz DNS servery, které jsou podle traceroute a pingu někde v Americe. OK, ta latence je asi zanedbatelná, jednak se projeví jenom občas a druhak oproti těm zbylým deseti vteřinám, kdy se stránka v Opeře deset vteřin nevykresluje kvůli různým googleanalytiksům, není moc významná. Nicméně to není poprvé, co tyhle DNS servery vrací úplné nesmysly - včera záznam nebyl, dneska už je*. Minulý víkend bylo ábíčko půl dne nedostupné, protože nameservery vytrvale tvrdily, že www.abclinuxu.cz neexistuje (Samozřejmě bez zprávičky, která by upozorňovala, že se A záznam bude měnit). Opravdu si myslím, že tady v Čechách jsou poskytovatelé, kteří nabídnou lepší služby... * Btw., nejsem expert na RFC, ale když už je něco CNAME, nemělo by to jméno, na které ten CNAME ukazuje, existovat?
No ještě včera večer článek končil takhle:Ano, spletl jsem se. Ještě před vydáním článku byla chyba odstraněna.
Robert odpověděl, žeEhm, odpověděl jsem přesně definovanému okruhu adresátů. Tato diskuse na seznamu příjemců nebyla.
Minulý víkend bylo ábíčko půl dne nedostupné, protože nameservery vytrvale tvrdily, že www.abclinuxu.cz neexistujeDNS byly nedostupné. Všech 5. Nemohli jsme s tím nic dělat, nejsou pod naší správou.
Samozřejmě bez zprávičky, která by upozorňovala, že se A záznam bude měnitMinulý týden se nic neměnilo. Jen došlo k výpadku, za který jsme se prostřednictvím FB, Twitteru a Identi.ca omlouvali (protože Abc bylo v tu dobu nedostupné).
DNS byly nedostupné. Všech 5. Nemohli jsme s tím nic dělat, nejsou pod naší správou.A vy jste ještě u stejného DNS providera? :)
Ano, spletl jsem se.No jestli ti řekli, že to funguje, tak se asi spletl někdo jiný, ale OK
Ehm, odpověděl jsem přesně definovanému okruhu adresátů. Tato diskuse na seznamu příjemců nebyla.Měl jsem za to, že bude hezké vytáhnout na světlo, jak funguje správa abclinuxu. Od velkých pitomostí jako migrace na Xen, aby se o dva dny později napůl migrovalo zpátky, po malé, jako že Ti admin něco řekne, aniž by si to ověřil. Jestli s tím máš problém, můžeš mě s klidem vyjmout ze seznamu adresátů konference.
DNS byly nedostupné. Všech 5. Nemohli jsme s tím nic dělat, nejsou pod naší správou.Což je přesně to, na co se ptám: proč si necháváte vést DNS záznamy u jakési společnosti v Americe, zvlášť poté, co se stane něco takového, jako že jim vypadne pět serverů. Tady v Čechách najdeš podstatně spolehlivější služby, nezávislé na zahraniční konektivitě a zadarmo nebo za mírný bakšiš.
Minulý týden se nic neměnilo. Jen došlo k výpadku, za který jsme se prostřednictvím FB, Twitteru a Identi.ca omlouvaliOK, beru, možná se ta adresa měnila už dřív. A když jsem koukal na Twitter, nebylo tam nic.
Měl jsem za to, že bude hezké vytáhnout na světlo, jak funguje správa abclinuxu.Budeš se divit, ale nepřipadá mi to hezké. Snažíme se dělat, co je v našich silách a možnostech, takže sice oceňujeme podnětnou kritiku, ale nijak nás netěší podobné pranýřování - navíc založené na neúplných informacích.
Tady v Čechách najdeš podstatně spolehlivější službyJá o tom nerozhoduji. A ti "admini", které jsem tu zmínil, také ne.
A když jsem koukal na Twitter, nebylo tam nic.http://twitter.com/abclinuxu/status/15113537864 -- jsem si vědom, že Twitter není nejvhodnější komunikační kanál - na každý to čte. Ale ten výpadek nakonec nebyl tak dlouhý (např. můj poskytovatel to měl keši většinu doby výpadku), aby mi připadalo vhodné k tomu ještě psát zprávičku na web.
Ta pitomost s Xenem už nějaký ten rok funguje.
9.6.2010 12:19
default | skóre: 22
| Madrid
oproti těm zbylým deseti vteřinám, kdy se stránka v Opeře deset vteřin nevykresluje kvůli různým googleanalytiksůmNa to existuje velice elegantní řešení.
9.6.2010 12:50
default | skóre: 22
| Madrid
Ono to neco na co ukazuje CNAME existuje, ale ma to jen AAAA zaznamCož to vím, jenom mi přišlo divné, že když se pošle dotaz na A záznam že to vrátí CNAME, který už neexistuje.
9.6.2010 23:09
xkucf03 | skóre: 49
| blog: xkucf03
Obecne nejsou moc znami/duveryhodni, coz ovsem postihuje 90% implicitne duveryhodnych autorit. Samozrejme ne kazdy instaluje do windows i nepovinne aktualizace, takze nemusi mit jejich autoritu mezi duveryhodnymi. Ted aktualne me rozciluji, ze uz druhy zaslany autorizacni kod konci pri validaci tim, ze jejich web toci hodinami az do timeoutu. A samozrejme kdyz vlezu znova do overeni, tak zase poslou dalsi, zase budu muset shanet majitele domeny, aby mi jej predal.
Cena jejich certifikatu je ovsem neodolatelna. Jsou schopni vystavit EV certifikat s nekolika SAN za cenu nejlevnejsiho Thawte certifikatu.
openssl x509 -in all.rudna.net.crt -text
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 3024 (0xbd0)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing,\
CN=StartCom Class 2 Primary Intermediate Server CA
Validity
Not Before: Nov 19 00:00:01 2009 GMT
Not After : Nov 19 23:40:17 2011 GMT
Subject: C=CZ, ST=Stredocesky Kraj, L=Rudna, O=Dan Ohnesorg,\
OU=StartCom Verified Certificate Member, CN=*.rudna.net/emailAddress=hostmaster@rudna.net
.....
Cili v kazdem certikatu je obcanske jmeno, potazmo jmeno firmy, ale to je zase dalsi platba, protoze oni to kumuluji, overi osobu, pak overi, ze nekde pracuje, za kazde z techto overeni se plati.
9.6.2010 14:33
Limoto | skóre: 32
| blog: Limotův blog
2a01:430:10::1 abicko.abclinuxu.cz abclinuxu.cz www.abclinuxu.cz
Udelejme to jinak, zmenil jsem IPv6 na adresu 2a01:430:10:ab::1 a udelam z toho rozsah jen pro abicko, stavajici IP se pouziva i jinde. Tim padem budu moct ten rozsah libovolne smerovat nezavisle na jinych sluzbach.
9.6.2010 15:04
Limoto | skóre: 32
| blog: Limotův blog
9.6.2010 15:05
Limoto | skóre: 32
| blog: Limotův blog
We have finally got some time to work on native IPv6 inside a faculty network (which includes rewriting the iptables configuration to be protocol-neutral)… For now, we want to create 3rd-layer infrastructure for IPv6, and then the services will follow.
9.6.2010 22:10
xkucf03 | skóre: 49
| blog: xkucf03
i VŠE je na tom lépe.Teda ty o nás musíš mít mínění
Náhodou jsme celkem pokroková škola. No i když asi jenom v tomhle, pak je spousta věcí o kterých radši nemluvit.
s MFF -> FEL to platí taky
13.6.2010 08:24
pavlix | skóre: 54
| blog: pavlix
Chápu to dobře, že studenti FELu jsou inteligenčně podpůměrní studenti CVUT?To tam nikde nevidím.
Ohledně srovnání FEL vs. VŠE to přesně nechápu... pro studium ekonomiky je myslím třeba jiné nadání než pro studium elektro.To vychází z toho, že tvůj předřečník možná ani netuší, že se na VŠE nějaká ekonomie učí. On zná VŠE zřejmě pouze jako fakultu informatiky a statistiky, což je jedna z těch slabších infomatických fakult v republice.
9.6.2010 09:08
corwin78 | skóre: 10
| Ostrava
9.6.2010 09:47
corwin78 | skóre: 10
| Ostrava
9.6.2010 22:24
xkucf03 | skóre: 49
| blog: xkucf03
, hlavně ať tady tu IPv6 máme co nejdřív.
Na druhou stranu, pokud je v tom zařízení Linux (jako že většinou je), tak by sis do něj měl mít možnost tu IPv6 podporu dodělat i sám, zdrojáky bys měl dostat.
9.6.2010 09:50
the.max | skóre: 46
| blog: Smetiště
Uz bys mohl vedet, ze o prachy jde vzdy az v prvnim miste.
Nicmene toto je pouze d-link, co ostatni vyrobci? btw vi nekdo o nejakem wifi routeru s IPv6 podporou a idealne Atheros cipsetem? (tim nemyslim nejake Asusy ci Linksysy s OpenWRT, potrebuju proste jednoduse spravovatelnou (prez web) krabicku, kterou budu moci davat zakaznikumzatim to resim tak, ze pokud je zakaznik pripojeny na wifi (ma mikrotika sam pro sebe), tak 6ka je na mikrotikovi a domaci wifi router stavim do pozice hloupeho 4portoveho switche s APckem. Vypnu DHCP a mikrotika pripojim do LANu. WAN zustava nezapojeny. Pokud je nekdo v panelaku na optice nebo TPcku, ma bohuzel smulu, pripadne si musi poridit vedle wifi routeru navic jeste mikrotika RB-750...
Myslíte něco jako CC&C: WA-6201-V5 150 Mbps AP/Kl/Router/Switch, USB (2,4 GHz, 802.11n, IPv6)
10.6.2010 00:39
the.max | skóre: 46
| blog: Smetiště
10.6.2010 00:42
the.max | skóre: 46
| blog: Smetiště
10.6.2010 13:43
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
10.6.2010 20:19
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
Do Linksyse WRT54GL (wifi AP) ho dam ... do Linksyse WAG160N (adsl modem s wifi) nee. V nouzi bridge.
10.6.2010 20:24
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
10.6.2010 21:28
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
Žůžo, dík ...
Malá změna ... vedu WAG54G2 a zatím ještě podporovaný není. Na WAG160N jsem "jen" mlsně koukal ... když jsem vybíral. A o2tv neumí ani jeden z nich, jelikož neumí atm multipvc.
No AAAA records were found for www.nic.cz No AAAA records were found for ipv6.nic.czIPv6 u D-Linku znamená, že u daného zařízení lze flashovat bios. Nikoli však reálnou oficiální podporu IPv6. Pokud tedy nepočítáme firmware třetích stran. Takže o nějaké připravenosti nemůže být ani řeč. Situace s přechodem na IPv6 docela tristní. Myslím si, že by měli co nejdříve přejít na duální provoz poskytovatelé obsahu . Jedině tak lze očekávat, že se o IPv6 začnou zajímat i uživatelé, pro které nebude přechod znamenat krok zpět. Ti snad svým zájmem poté přinutí své providery k přechodu na IPv6. A především je potřeba, aby se do IPv6 vrhli výrobci síťových prvků, protože to je v současné době asi největší brzda rozvoje IPv6. Masám, pro které éčko=internet je naprosto jedno jaký protokol používají. Oni ani netuší, že nějaké IP existuje, protože používají to co jim řekne jejich provider. Je opravdu potřeba začít u poskytovatelů obsahu a providerů. Oni jsou totiž ti, na koho vyčerpání IP adres dopadne nejvíce. Obyčejný uživatel si vystačí s NATem. Ale zkuste si provozovat webserver bez veřejné IP adresy. A nebo je současný liknavý přístup spíše úmyslem, aby se v budoucnu elegantně zamezilo vzniku nové konkurence? Nejsou IP adresy, nejsou nové konkurenční weby
.
marek@tebook:~> host www.nic.cz www.nic.cz has address 217.31.205.50 www.nic.cz has IPv6 address 2001:1488:0:3::2 marek@tebook:~>hmm?
name class type data time to live nic.cz IN AAAA 2001:1488:0:3::2 1800s (00:30:00)
9.6.2010 10:29
H0ax | skóre: 36
| blog: Odnikud_nikam
9.6.2010 20:12
houska | skóre: 41
| blog: HW
10.6.2010 00:55
the.max | skóre: 46
| blog: Smetiště
10.6.2010 16:10
Jakub Lucký | skóre: 40
| Praha
10.6.2010 16:11
xkucf03 | skóre: 49
| blog: xkucf03
10.6.2010 16:22
Jakub Lucký | skóre: 40
| Praha
[root@server ~]# ping6 www.nic.cz -n PING www.nic.cz(2001:1488:0:3::2) 56 data bytes 64 bytes from 2001:1488:0:3::2: icmp_seq=0 ttl=61 time=0.560 ms 64 bytes from 2001:1488:0:3::2: icmp_seq=1 ttl=61 time=0.415 msA záznam ipv6.nic.cz nikde v článku není uveden že vůbec existuje. To si asi pletete se Seznamem. Ten uvedl ipv6.seznam.cz a ten funguje
[root@server ~]# ping6 ipv6.seznam.cz -n PING ipv6.seznam.cz(2a02:598:1::101) 56 data bytes 64 bytes from 2a02:598:1::101: icmp_seq=0 ttl=60 time=0.728 ms
9.6.2010 11:01
wasabi1 | skóre: 9
| blog: iLinux
9.6.2010 12:14
Petr Maleček | skóre: 28
| Plzeň - Bolevec
9.6.2010 11:03
9.6.2010 10:18
traceroute6 www.nic.cz
traceroute to www.nic.cz (2001:1488:0:3::2), 30 hops max, 40 byte packets
1 router-garfield.v6.pilsfree.net (2a01:490:11:7::1) 0.433 ms 0.342 ms 0.376 ms
2 router-nfx-1.v6.pilsfree.net (2a01:490:11:1::1) 0.571 ms 0.560 ms 0.539 ms
3 l3sw-nfx1.v6.nfx.cz (2a01:490:0:1::1) 3.315 ms 3.237 ms 3.150 ms
4 nix6-s.nic.cz (2001:7f8:14::e:2) 2.998 ms 2.923 ms 3.046 ms
5 nix6-s.nic.cz (2001:7f8:14::e:2) 2.998 ms !X 3.048 ms !X 2.995 ms !X
traceroute to ipv6.seznam.cz (2a02:598:1::101), 30 hops max, 40 byte packets
1 router-garfield.v6.pilsfree.net (2a01:490:11:7::1) 0.392 ms 0.364 ms 0.351 ms
2 router-nfx-1.v6.pilsfree.net (2a01:490:11:1::1) 0.524 ms 0.498 ms 0.600 ms
3 l3sw-nfx1.v6.nfx.cz (2a01:490:0:1::1) 3.285 ms 3.277 ms 3.254 ms
4 l3sw-nfx2.v6.nfx.cz (2a01:490:0:1::b:1) 3.224 ms 3.245 ms 3.220 ms
5 2001:4de8:b0ba:3fd5:1::1 (2001:4de8:b0ba:3fd5:1::1) 3.801 ms 3.877 ms 3.899 ms
6 2001:4de8:b0ba:deac::2 (2001:4de8:b0ba:deac::2) 4.506 ms !X * *
Kurnik co ty "X"ka s vykřičníkama :D
!X (communication administratively prohibited)
9.6.2010 12:39
Petr Maleček | skóre: 28
| Plzeň - Bolevec
# traceroute -6 -I ipv6.seznam.cz traceroute to ipv6.seznam.cz (2a02:598:1::101), 30 hops max, 80 byte packets (...) 6 76sit-te2-4.dialtelecom.cz (2001:4de8:d1a1:1111:d::2) 9.460 ms 6.000 ms 6.047 ms 7 2001:4de8:d1a1:1111:20::2 (2001:4de8:d1a1:1111:20::2) 7.117 ms 7.381 ms 7.630 ms 8 2001:4de8:b0ba:deac::2 (2001:4de8:b0ba:deac::2) 7.771 ms 5.734 ms 6.179 ms 9 ipv6.seznam.cz (2a02:598:1::101) 6.254 ms 6.605 ms 6.709 msICMP traceroute projde bez problémů, linuxový traceroute ovšem ICMP standardně nepoužívá, musíte si ho vynutit. A ještě k poznámce v článku, že IPv6 provoz do Seznamu jde přes zahraničí - to není pravda, IPv6 provoz jde přes NIX do Dial Telecomu a z Dial Telecomu pak do Seznamu :)
9.6.2010 13:57
Petr Maleček | skóre: 28
| Plzeň - Bolevec
server:~# traceroute6 -I ipv6.seznam.cz
traceroute to ipv6.seznam.cz (2a02:598:1::101), 30 hops max, 40 byte packets
1 router-garfield.v6.pilsfree.net (2a01:490:11:7::1) 0.449 ms 0.428 ms 0.413 ms
2 router-nfx-1.v6.pilsfree.net (2a01:490:11:1::1) 0.801 ms 0.798 ms 0.787 ms
3 l3sw-nfx1.v6.nfx.cz (2a01:490:0:1::1) 3.392 ms 3.395 ms 3.389 ms
4 l3sw-nfx2.v6.nfx.cz (2a01:490:0:1::b:1) 3.290 ms 3.304 ms 3.308 ms
5 2001:4de8:b0ba:3fd5:1::1 (2001:4de8:b0ba:3fd5:1::1) 3.573 ms 3.742 ms 3.743 ms
6 2001:4de8:b0ba:deac::2 (2001:4de8:b0ba:deac::2) 3.716 ms 3.687 ms 3.693 ms
7 ipv6.seznam.cz (2a02:598:1::101) 3.407 ms 3.377 ms 3.413 ms
9.6.2010 12:33
wasabi1 | skóre: 9
| blog: iLinux
Víte, co může taky tak trochu bránit nasazení IPv6? Nepodpora NAT v Linux kernelu. Jistí lidé pro to mají jistě dobré úmysly, bohužel v praxi by to (pozitivní) využití našlo. Abych citoval: "Not gonna happen". Problém je, že to implikuje i věci jako REDIRECT - ano, máme tu TPROXY, ale ta potřebuje speciální socket option, což u binárních aplikací znamená použití emulační vrstvy (wrapperu), která nastaví IP_TRANSPARENT. To u REDIRECT targetu není potřeba.
9.6.2010 13:24
H0ax | skóre: 36
| blog: Odnikud_nikam
9.6.2010 17:55
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
9.6.2010 21:03
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
9.6.2010 21:59
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
680MHz MIPS uroutuje cca 500Mbit a to hovořím o IPv4 (tj. 32 bitů -- kolik by měli textové adresy? 64B tj 16x tolik?), a o funkcích vykonávaných v čase 1T. Pro textové řetězce to jsou stovky cpu cyklů (a to nehovořím o paměti a nutnosti velké cache). I kdyby jen 100T, tak jsme na 5Mbitech.
Router, který by zvládl tvůj nápad, by musel mít ekvivalentní takt 136GHz pro gigabitovou síť. To moc levné nebude (a to se ještě držím při zemi).
9.6.2010 22:00
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
10.6.2010 16:09
Jakub Lucký | skóre: 40
| Praha
10.6.2010 22:43
pavlix | skóre: 54
| blog: pavlix
NAT pro IPv6 nikdy nebude.Odvážné to tvrzení. Navíc tady se mluvilo o redirectech, což je v podstatě jednoduché tcp proxy, které průměrný admin nastaví s pomocí inetd+netcat nebo nějaké obdoby.
10.6.2010 23:13
xkucf03 | skóre: 49
| blog: xkucf03
9.6.2010 14:55
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
No a teď budu chtít z připojeného notebooku "sdílet internet" pro další zařízení, třeba mobilní telefon přes bluetooth, nebo pro virtualizované OS na tom notebooku.
Bridge na tu síťovku a to zařízení si pak vyžádá od stejného "DHCP" další IP. To znamená, že každé tvé zařízení bude mít vlastní globální IP ve stejném subnetu.
Přesměrování je totiž věc firewallu a ne NATu. Jedná se o síť kde je cca 25 000 PC a asi 350 routerů a cca 20 NAT routerů.Vycházel jsem z prvního komentáře ve vlákně, ze kterého jsem pochopil, že absence NATu pro IPv6 v linux kernelu znamená i to, že nejde použít REDIRECT/DNAT pro přesměrování.
Druhý příklad. V hotelech i na IPv4 neřeší omezení 1LAN zásuvka - jedna IP adresa. V hotelu jakékoliv PC v interní síti přihlásí o IP adresu, tak ji dostane. Mám to vyzkoušeno u virtuálního PC v módu bridge, které opravdu dostane jinou IP než fyzické PC a internet jde na obou. Takže k připojení dalšího PC stačí v PC nastavit bridge a NAT opět už dnes není potřeba.V "jednoduché" síti to tak asi bude. Měl jsem na mysli obecně "více zabezpečené sítě", kde jsou L2 switche nastaveny s omezeními jako 1MAC/port, 802.1x autentizace a podobně. U virtuálního PC jde v podstatě o SW ethernet<>ethernet bridge, to odpovídá fyziskému "rozbočení" zásuvky pomocí switche. Když budu ale připojen přes ethenet do nějaké cizí hodně zabezpečené sítě, a budu mít 1 IPv6 adresu (třeba proto, že správce té sítě to tak chce), a budu mít k PC připojeno jiné zařízení přes protokol PPP nebo SLIP (prostě něco, co neemuluje ethernet), tak mám s nějakým bridgem smůlu. Jiný příklad může být třeba smartphone s 3G připojením (PPP linkový protokol), kde dostanu 1 IPv6 adresu, protože operátor nechce, abych přes to připojoval jiná zařízení. A já budu chtít "nasdílet internet" do počítače - na IPv4 to udělám NATem. Dobrý příklad je i to zmíněné záložní připojení (bez vlastního AS). Jak by se to mělo řešit bez nějakých složitostí typu VPN server na páteřní síti? Vím, že NAT je "zlo" a v IPv6 nemá místo. Ale prostě mě napadají určité speciální situace, kdy by se NAT užil. Bohužel čistota návrhu musí někdy ustoupit realitě.
Popsal jste vlastně jen případy,kdy správce sítě něco chce, a vy to chcete obejít.
Protože správce sítě má na hlavě desetidolarovku, na rameni papouška a mluví italsky.
Pak je ale otázka, proč správce sítě chce něco, co lze snadno obejít,
Protože to pro něj vyjde ekonomicky výhodněji - 95% uživatelů to dělat nebude a finance vynaložené na vývoj a nasazení lepšího řešení by se nevrátily (4% z těch 5% by si našly způsob, jak nové řešení obejít).
případně proč to vy chcete obcházet
Pohodlí. Možnosti. Alias "proč ne, když by se mi to hodilo a můžu". Taky se tu může vyskytnou souvislost s první citací (tedy nemožnost domluvy s ISP).
a zaměřil bych se spíš na to, než řešit, jak se podrbat leovu rukou za pravým uchem.
Já osobně se raději podrbu levou rukou za pravým uchem a pravou rukou na levé noze, než bych měl vstát a zajít k sousedovi, aby mě podrbal jeho pravou rukou za mým pravým uchem nebo se svíjet svěděním, odstaven od možnosti pracovat.
Pohodlí. Možnosti. Alias "proč ne, když by se mi to hodilo a můžu".Jinými slovy chcete dělat blázniviny, a vadí vám, že pro to někde není dostatečná podpora. Tak si tu podporu do jádra dopište, nebo počkejte, až ji dopíše někdo jiný. Aneb klidně si používejte hrábě jako lopatu, ale nestěžujte si, že se vám to používá blbě a že by to chtělo ty hrábě upravit, aby fungovaly víc jako lopata.
Pokud jsem správně pochopil tzv. Tethering, jde v podstatě taky o použití NATu a "schování" dalšího zařízení za smartphone.
Jistě, jsou i možnosti, jak připojit třeba notebook bez NATu, pokud by to ISP podporoval, ale dovedu si představit dva tarify "internet pro smartphone" a "internet pro smartphone a jeden laptop", kde je druhá varianta o 50% dražší. Člověk si pak rozmyslí, zda použít NAT (+ firewall) nebo ne.
9.6.2010 20:03
Jendа | skóre: 78
| blog: Jenda
| JO70FB
I takových /112 by bylo na celou firmu (těch pár poboček dohromady) až až. Kolik mi dá můj WISP na domácí síťku? Dostanu jednu IPv6 adresu a půjdu na párek?
Zaujala mě Yenyova poznámka ohledně "protokolově neutrálních" filtrů pod Linuxem. Je fakt, že už teď mám IPtables postavené pokud možno především podle rozhraní a TCP portů, podle IP adres pouze v minimální nutné míře. Navíc mám konkrétní jména rozhraní a IP adresy substituované z externího konfiguráku přes shellové environment proměnné. Nicméně si myslím, že tohle mi na "protokolově neutrální iptables" stačit nebude. Když bude logika IPv6 tolik jiná než logika IPv4, budou nutně vypadat jinak celé skripty (resp. celá konkstrukce řetězců IPtables pravidel). Takže prostě budu mít dvě sady pravidel - jednu pro IPv4, druhou pro IPv6...
10.6.2010 11:39
xkucf03 | skóre: 49
| blog: xkucf03
odstupňovaných podle priority - a aby to tak klientské aplikace chápaly (jako vzájemnou redundanci). V tuhle chvíli jistě je možné dát do DNS víc A záznamů z téhož jména na různé IP adresy, ale aplikace to jako redundanci nechápou+1, to určení priorit mi tam taky chybí. V současnosti jde ty DNS záznamy použít leda tak k rozložení zátěže.
10.6.2010 11:01
houska | skóre: 41
| blog: HW
Aha, RFC 4893 a 5668...
Nicméně to řeší jenom problém s tím identifikátorem - nijak to nepomůže řešit konvergenci neustále rostoucí/houstnoucí globální sítě (možná spíš naopak)
10.6.2010 11:34
xkucf03 | skóre: 49
| blog: xkucf03
Kolik mi dá můj WISP na domácí síťku?Dobrá otázka. Pokud by každý dostal „spoustu IPv6 adres“, tak bychom za chvíli dopadli jako s IPv4, kvůli neuvěřitelnému plýtvání by těch IPv6 najednou nebylo tak nekonečně mnoho, jako se to zdá teď. Na druhou stranu jedna IPv6 adresa je málo i pro běžnou domácnost – stolní počítač, několik notebooků, VoIP telefon, PDA/chytrotelefon… Takže by asi bylo potřeba vymyslet nějaký systém přidělování – IPv6 adres bys mohl dostat, kolik bys chtěl, ale musel by sis o ně říct – ne že je každá přípojka dostane automaticky a pak budou nevyužité.
Přitom třeba mě osobně by doma stačila /120 i pokud bych nechal vnitřní WiFi bez zabezpečení a pučoval adresy na potkání každýmu kdo jde kolem...
Spíš mi šlo o to, jestli se s tím bude někdo ručně správcovat/routovat, káždému zákazníkovi extra subnet, když dřív stačilo pustit zákošům vzduchem DHCP, jeden subnet přes celé sídliště, a případný login vyžadovat webovým ksichtem někde kus dál...
Proč se ptám na mobily: v průmyslovém nasazení vidím dost často malé routery s GPRS uplinkem. Za routerem uvnitř je pochopitelně privátní subnet. Což na IPv6 znamená, že by tam musel být nějaký příděl.
Zkusím uvažovat o kus dál: GPRS PDP kontext je vlastně point-to-point spoj mezi MT (resp. koncovým počítačem) a GGSN. Pokud pomineme úchylné detaily vespod, jako je transparentní relay na GTP a LLC, tak se to chová jako PPP dial-in z mobilního počítače do GGSN. Pokud si v roli GGSN představím Cisco router (svého času šlo údajně použít např. Cisco 7200 series), tak mi to tam vyplave jako PPP interface/template, která jde připojit na Radius. A přes Radius můžu per-user nastavit spoustu věcí - pokud se nepletu, můžu do té nově navázané relace i poslat statický route, který zároveň na GGSN vyplave v OSPF.
Ostatně pokud přidělování subnetů funguje přes DHCPv6, tak by to asi šlo i tudy - DHCP relay byl odjakživa základním způsobem, jak si z tepla své kanceláře přidělovat svá privátní IPčka do privátní GPRS APN.
Když o tom tak přemejšlím, pokud bych dostal na GPRS modem jenom jednu IPv6 adresu, tak bych z toho routeru pořád mohl otevřít "4-over-6" VPN tunel někam "domů". Což je beztak topologie, která je čím dál populárnější i na holém IPv4. A stejně ty průmyslové automaty nebudou hned všechny umět IPv6, když v dnešní době horko těžko zvládají IPv4.
A taky mě hned napadá zádrhel: i pokud GPRS modem nemá vlastní IP stack, tak to PPPčko pořád vyrábí modem (proti připojenému počítači). Takže pro připojení k IPv6 bude potřeba upgrade GPRS modemu, aby uměl nabídnout IPv6CP. V lepším případě to půjde upgradem firmwaru. Ale když si vzpomenu na několik historických předělů, kdy se starý hardware (modemy) přes noc po tichu přestal dodávat, a nové firmwary do starého hardwaru se zároveň přestaly dělat, začínám tušit zradu... No vzhledem k tomu, že Wavecom (Sierra) má několik velkých odběratelů právě v Asii, nemusel by tentokrát být až tak pozadu.
Huawei? Viděl jsem jednou nějakou malou plastovou oblou růžovou krabičku, která měla tohle logo a fungovat se jí moc nechtělo. Brr...
a mám velmi dobrou představu, co za administrativní opruz a technické obtíže znamená PI alokace,Administrativni mozna, technicky je to uplne normalni poskytovani tranzitni konektivity - neni rozdil, zda se jedna o klienta s PI adresama nebo o LIRa s vlastnima PA adresama.
Na IPv6 min nez /64 pridelit nelze, viz generovani IP adresy.Myslíte vytvoření Ip adresy na základě MAC adresy? To je jen jeden z mnoha způsobů přidělení IP adresy, nevidím důvod, proč by měl omezovat velikost přidělovaných bloků.
10.6.2010 22:07
xkucf03 | skóre: 49
| blog: xkucf03
Sorry, ale ty PC fakt ne vždy potřebují veřejné IPv4Tahle věta v normálním světě nedává smysl. Je to jenom výmluva pro případ, že už došly IPv4 adresy. Srovnejte to třeba s větou „autem lze dojet i na prázdné pneumatice“, která je sice také pravdivá, ale nezpůsobuje, že velká část aut jezdí na prázdných pneumatikách, nezvniká celý průmysl kolem toho, jak lépe jezdit na prázdných pneumatikách, neprodávají se auta s prázdnými pneumatikami s tím, že to tak stačí, a s příchodem nové generace aut se nenajde spousta těch, kteří si stěžují, že ta nová auta mají neprorazitelné pneumatiky a že tak přicházíme o úžasnou možnost jezdit na prázdných pneumatikách.
11.6.2010 15:46
xkucf03 | skóre: 49
| blog: xkucf03
Řetězení NATu je administrativně jednoduché. Na druhou stranu Internet je o 3. vrstvě a na ní si jiný než symetrický NAT neuděláte (respektive bude fungovat jen jeden směr).
K vašemu příkladu: nedělitelný rozsah nedostanente, právě proto že je nedělitelný.
Pokud si ve své síti vypnete bezstavovou konfiguraci, můžte prefixy delegovat (ať už automaticky přes DHCP nebo ručně).
Pokud připustíme situaci, že máte nedělitelný prefix, ještě stále zbývá NBD proxy. Protože v IPv6 máte vždy linkové adresy (i na point-to-point), lze takto propojit sítě i které nemají stejnou linkovou vrstvu.
Tak mi přijde, že si tu někteří přečetli první dvě věty z mého postu a hned se pustili do flamewar za zničení toho hnusného NATu.
Pochopitelně NAT na straně ISP je na IPv6 hnus (je to hnus i na IPv4), každý by měl dostat /48 nebo alespoň /64, nicméně i přesto by měl NAT zůstat kvůli flexibilitě pro koncové uživatele, tzn. ne kvůli úspoře adres, ale kvůli řešení specifických problémů.
Alternativně je možné použít userspace implementaci něčeho jako "transparentní SOCKS proxy", ale uvítal bych podobnou vlastnost i v kernelu.
9.6.2010 18:21
Limoto | skóre: 32
| blog: Limotův blog
Vážně? Přijel jsem s kamarádem do Brna - Žabětína asi půl roku zpátky, plánovali jsme tam zůstat na víkend u známých a poté pokračovat směrem na Plzeň. Zmíněný "známý" má internetové připojení od (teď si nevzpomenu na jméno) providera X, u kterého má "registrovanou" svoji MAC adresu a musí kontaktovat providera při každé změně MAC adresy (což je v pátek v noci a vůbec o víkendu docela obtížné). Já i můj kamarád jsme se (ze svých notebooků) ale chtěli dostat na internet, který byl řešen propojením kabelu od ISP s 5port ethernet switchem Edimax u stolního počítače (ke kterému si "známý" připojoval občas také notebook s MAC registrovanou u providera). Řešení bylo tedy jednoduché - zapojit můj notebook s Linuxem do switche, zfalšovat MAC notebooku známého a přes NAT pod jednou IP/MAC (v rámci jiného subnetu, ale přes stejný switch) "nasdílet připojení" pro kamaráda (winXP/7).
Ano, NAT tedy vyřešil můj problém! Což vyvrací tvrzení, že "není řešení problémů". Šlo by to řešit pěkněji, šlo by mít inteligentního providera, šlo by dalších milion věcí (třeba oficiální opensource ovladače ati/nvidia), které by návrháři "no NAT" IPv6 navrhnuli, to ale nic nemění na faktu, že pokud výrobci implementují IP/MAC modely i u IPv6 krabiček, někteří ISP je budou používat a v takovém případě je filosofie o bezNATovosti IPv6 pěknou pohádkou.
Nevěřím, že se Linux kernel IPv6 NATu vyhne, pokud se dostane do "krabiček" ve formě vlastní implementace / jiného firmwaru, který to umí (BSD?) a pokud ano, pravděpodobně se najde někdo, kdo napíše userspace (třeba libpcap + interakce s conntrack) implementaci pro výjimečné a dočasné případy, kdy se NAT opravdu hodí.
... tedy pokud to už nějaká zmiňovaná proxy neumí.
Takže prosím, než začnete (mířím hromadně, nejen na jeden příspěvek) vyprávět o hnusnosti NATu, o tom, že to není řešení problémů, chytat se za hlavu, že jej někdo považuje za bezpečnostní řešení, filosofovat o ideálním fungování internetu (fungoval původní koncept komunismu?), zkuste popřemýšlet nad realitou. Raději použiji NAT a připojím sebe + pár kamarádů v hotelu, než bych se rozplýval nad nepotřebou NAT a učil ostatní, jak změnit MAC adresu v jejích OS, který neznám tak dobře + řešil možné kolize source portů a anomálie switche/bridge, který by měl na 4 portech hlášenou stejnou MAC. Ten časový rozdíl je 1-2 minuty versus asi půl hodina (UAC win7 je fakt labůžo).
Navíc se nemusí jednat jen o "MAC filter" na straně ISP, vizte zmíněný příklad s PPP připojením, někde se dokonce používá ještě 56k modem.
Ještě jednou opakuji, že jsem silně proti jakémukoli nucenému NATu ze strany ISP nebo jeho ISP, stejně tak jsem proti omezování technologie jen kvůli teoretickému modelu.
9.6.2010 20:57
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Hezké, takže jsi vlastně vyřešil problém, který by neměl ani existovat. Místo jednoduchého: FUCK OFF! tomuto "ISP", si libuješ, jak jsi to krásně vyřešil. Gratuluji.
Přitom by stačilo, kdyby ten kamarád měl skutečného poskytovatele (případně tlačil na současného), céčkový v4 nebo /64 v6 subnet a vy byste se pohodlně připojili do switche.
Ano vím, že jsi psal ať ti předchozí dva řádky nikdo nepíše. Naopak, psát je je potřeba. Pokud by každý (nebo alespoň dostatečně velký počet lidí), tlačil na své poskytovatele, nemohli by se na síti chovat jako prasata. "Vyřešit" to natem není úspěch, je to prohra. Já svého ISP požádal u subnet, dostal jsem jej. Když ke mě přijdeš na návštěvu, nebudeme řešit MAC ani NAT, prostě od DHCP dostaneš veřejnou. Ostatní na stejné síti (také mohou požádat) to řeší hororovými pravidly v iptables. I díky těmto lidem se brodíme v marasmu natV4 a to i na serverech. Ale co, už jsem to psal.
9.6.2010 21:04
default | skóre: 22
| Madrid
Já bych chtěl třebas mít na svém laptopu jednu jedinou IP adresu ať se připojuji odkudkoli. Když mají být IP adresy všechny veřejné, pak chci mít ve všech sítích jednu!
Jde toto zařídit?
9.6.2010 21:49
default | skóre: 22
| Madrid
Takže když budu chtít mít stejnou veřejnou IP adresu za stálého počasí, i nadále budu muset používat workaroundy ve formě VPN či mobilního připojení s pevnou IP adresou s šukáním s routovací tabulkou.
Je to fakt výhra. Jen co je pravda.
Ale fandím tomu. Rád se směju bordelu, který je okolo mě.
9.6.2010 22:44
default | skóre: 22
| Madrid
Dobrá. Stačí mi jedno zařízení připojené do internetu, takže nějaký NAT mě netrápí. VPN a původní "obezličky" mi budou taky fungovat. Ale mi jde spíš o princip. Nová verze by měla nabízet víc nebo alespoň to samé. Nikoli původní funkcionalitu bez náhrady očesat.
10.6.2010 17:34
default | skóre: 22
| Madrid
S IPv6 to jde snáz, protože je dost IP adres.S IPv4 a IPv6 to jde uplne stejne snadno - podas zadost splnujici pozadavky a dostanes adresy. Pridelovani PI adres se omezuje nikoliv kvuli nedostatku adres (tam je celkem jedno, zda jde o PI nebo PA adresy), ale kvuli omezovani rustu globalnich routovacich tabulek, takze tezko to bude bezna praxe u firem o 20 lidech. Napr. v soucasne dobe chce RIPE stejny rocni poplatek za PI prefix bez ohledu na to, zda jde o IPv4 nebo IPv6 adresy.
Mohou to být pořád PA adresy, které ale ISP v případě výpadku poslední míle přeroutuje přes záložní konektivituHuh? Bavime se o pripade, kdy organizace chce mit z duvodu spolehlivosti konektivitu pres vic nezavislych ISP a v pripade vypadku primarni prepnout na zalozni. To lze resit v podstate dvema zpusoby: - pres BGP a PI adresy (nebo rovnou byt LIRem), coz je kanon na vrabce - mit od kazdeho ISP jeden PA sitovy prefix (od kazdeho jiny). Pak je ale otazka, ktere adresy pouzivat ve vnitrni site. Tam me napadaji tyto moznosti: 1) pouzit primarni adresy a NATovat v pripade komunikace pres zalozni linku (nebo rovnou privatni adresy a NATovat v obou pripadech). Problematicke pro externi servery (to ale vsechny varianty). 2) vzdy pri zmene primarni-sekundarni precislovat adresy. Pouzitelne pouze pro nejtrivialnejsi pripady (jeden router, jedna lokalni sit s klienty, zadne interni servery), jinak nerealne - sitova infrastruktura (routery a servery) je obvykle konfigurovana staticky, nevim o zadnych protokolech, ktere by zajistily automatickou zmenu prefixu v cele siti (napr. zmenily konfiguraci router advertisement demonu na odlehlych routerech). 3) mit nakonfigurovane vsude v siti oba prefixy paralelne, pak staci akorat presvedcit vsechny pocitace, aby pri komunikaci s vnejskem pokazde pouzily spravnou zdrojovou adresu. Mene problematicka varianta nez 2) (zato asi narocnejsi na konfiguraci), ale opet v pripade komplikovanejsi site nevim o protokolech, ktere by tohle zajistily.
Ten problém neměl existovat, ale existoval, v tom to je. Až za *pár* let bude ipv6 všude a pokud to bude vypadat jak dnes s ipv4 (1 IP adresa na 1 MAC), řeknu "jó, za dob ipv4 bychom se připojili přes NAT, takhle si utřem nos a jdem spát, doufám Franto, že si tu necháš natáhnout za těch pár tisíc kabel od jinýho providera, ať se příště můžem připojit".
Nezbývá než doufat, že výrobci a ISP neudělají stejnou chybu podruhé, tzn. že se tyto věci nebudou muset řešit. Proto je ipv6 NAT asi tak hromadně odmítán (i přes svých pár specifických užití) - aby to tlačilo ISP udělat alespoň něco správně.
Kdybych měl možnost se připojovat v síti s IP6, bude mne to chránit? Nebo musím nastavovat něco jiného? Jak se zadávají pravidla, jestli je tam nějaká odlišnost, atd. Obecně soudím, že podpora IP6 je mizerná i proto, že o tom fakticky něco ví jenom pár lidí. ABC jako technický server má jen nějakou experimentální adresu, místo aby toto podporovalo natvrdo. Atd.iptables -F iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP iptables -F -t nat iptables -F -t filter iptables -X # loopback iptables -A INPUT -p ALL -i lo -j ACCEPT # navazana spojeni iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
9.6.2010 22:27
Limoto | skóre: 32
| blog: Limotův blog
10.6.2010 00:34
Petr Maleček | skóre: 28
| Plzeň - Bolevec
10.6.2010 11:42
xkucf03 | skóre: 49
| blog: xkucf03
iptables a pomocí přepínače bys mu určoval, s kterou verzí IP má pracovat. Jako to má třeba ssh, wget atd. (což jsou sice aplikace na úplně jiné úrovni, ale řešit by to šlo stejně).
10.6.2010 11:44
xkucf03 | skóre: 49
| blog: xkucf03
10.6.2010 11:56
default | skóre: 22
| Madrid
LinMuck, WinFuck :-P
10.6.2010 23:04
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Nemyslel tím, že budou do IPv4 lézt přes NAT?jen proste novi zakaznici uz IPv4 dostavat nebudouOn už je nějaký použitelný mechanismus na přístup k IPv4-only obsahu z IPv6-only sítě?
10.6.2010 22:57
pavlix | skóre: 54
| blog: pavlix
IPv4 tu bude jeste desitky letJak moc velké desítky let? Jedna? Dvě? Víc? IPX není protokol, který běhá po celém Internetu. Ať si každý doma (na komunitní síti) provozuje co chce. Na Internetu je do jisté míry potřeba protokol sjednotit.
# Toto případně načíst z příkazové řádky #IPTABLES_CMD=iptables IPTABLES_CMD=ip6tables $IPTABLES_CMD -F $IPTABLES_CMD -X $IPTABLES_CMD -A INPUT -i lo -j ACCEPTa pak to jenom spustit dvakrát, pokaždé s jiným příkazem dosazeným do IPTABLES_CMD.
Případně (čistěji) udělat jeden iptables-save skript (automaticky vygenerovat nebo napsat ručně) a pak ho předat iptables-restore a ip6tables-restore.
10.6.2010 22:58
pavlix | skóre: 54
| blog: pavlix
Jak psal kolega podemnou, jde to kombinovat, přes "here document". Tedy něco jako
#!/bin/bash INTERFEJS="eth0" iptables-resotre <<KONEC *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0 -A INPUT -i $INTERFEJS -d 1.2.3.4 -j ACCEPT -A OUTPUT -o $INTERFEJS -s 1.2.3.4 -j ACCEPT KONEC
Nevýhod shell skriptu pro iptables je hned několik, mezi dvě největší (které mě teď napadají) patří nutné načtení a zápis celého rulesetu při každém volání iptables (což u větších setů pravidel značně zpomaluje), druhou nevýhodou je pak atomicita - se shell scriptem není moc těžké si uříznout větev pod sebou (ssh) kvůli jenomu špatnému řádku, kdežto iptables-restore buď obnoví všechno, nebo nic. V jednom kroku. Dokonce mám pocit, že je tam lock, kdy kernel nepustí další packet na zpracování, dokud není nahraný nový ruleset, tedy není možnost, aby nějaký packet proklouzl těsně po flushnutí pravidel.
Pokud se týče atomicity a "uříznutí větve", jasně že se mašina při reloadnutí firewallu na chvíli odmlčí - ale protože to na tom firewallu běží jako shellový skript na lokále, tak ten shellový skript doběhne celý. Alespoň já jsem si nikdy nenaběhl na -J REJECT nebo tak něco, co by shodilo SSH relaci uprostřed skriptu. Možná je taky důležité, že ten můj shellový skript nic nevypisuje na stdout, takže se na tom nezablokuje Ale souhlasím, že 100% atomicita může být v mnoha případech užitečná.
Pro mě z toho plyne jiná kombinace: shellovým skriptem vygenerovat konfigurák v syntaxi iptables-save a ten pak restornout
17.6.2010 14:28
pavlix | skóre: 54
| blog: pavlix
Přijde mi, že "here document" je taková ta kombinace, která má nevýhody obojíhoDůvod?
Pokud se týče atomicity a "uříznutí větve", jasně že se mašina při reloadnutí firewallu na chvíli odmlčíKdyž je to napsaný dobře, tak si odmlčení nevšimneš. Atomicita tady má význam přesně opačný. Měla by ti zajistit, aby nebyl systém ani chvíli děravý. Manuálová stránka k iptables-save neříká o atomicitě nic (Fedora 13).
Alespoň já jsem si nikdy nenaběhl na -J REJECT nebo tak něco, co by shodilo SSH relaci uprostřed skriptu.Buď jsi hodně dobrý, nebo moc často nenastavuješ firewall vzdálených strojů.
Pro mě z toho plyne jiná kombinace: shellovým skriptem vygenerovat konfigurák v syntaxi iptables-save a ten pak restornoutTo mi přijde ekvivalentní té možnosti, kterou kritizuješ. Nějaký praktický rozdíl?
17.6.2010 15:17
xkucf03 | skóre: 49
| blog: xkucf03
Ale uvažuji, že si pravidla budu definovat v XML* a z nich ten skript generovat :-P
*) pro rýpaly: iptables-xml, ale to dělá jen přepis toho skriptu, posloupnost příkazů a ne nějakou logickou definici toho, co má být povolené a co ne.
18.6.2010 01:50
pavlix | skóre: 54
| blog: pavlix
18.6.2010 09:47
xkucf03 | skóre: 49
| blog: xkucf03
"HERE document" pokud vím neinterpretuje proměnné prostředí (jsem si jistý tak na 70%). Čili bych na tom byl stejně, jako se standalone konfigurákem ve formátu iptables-save, akorát bych to vcelku zbytečně navíc vkládal do skriptu jako "HERE document".
Pokud si shellovým skriptem vygeneruji konfigurák iuptables-save a ten pak restornu, mám možnost použít proměnné prostředí a nakonec konfigurák atomicky natáhnout.
18.6.2010 11:43
pavlix | skóre: 54
| blog: pavlix
"HERE document" pokud vím neinterpretuje proměnné prostředí (jsem si jistý tak na 70%).Kdybysis aspoň přečetl ten příklad z proměnnými výše. Heredoc se k proměnným chová tak jak si sám zvolíš. Na zbytek nemá cenu reagovat, protože to vychází ze špatného předpokladu.
Díky
20.6.2010 23:13
pavlix | skóre: 54
| blog: pavlix
co by shodilo SSH relaci uprostřed skriptuKdyž se skript pustí ve screenu, tak se se nestane, že by se v půlce kvůli ztrátě spojení přerušil...
10.6.2010 15:14
houska | skóre: 41
| blog: HW
11.6.2010 12:30
houska | skóre: 41
| blog: HW
10.6.2010 15:28
xkucf03 | skóre: 49
| blog: xkucf03
„O IPv6 aktualne neuvazujeme. Resit ji teoreticky zacneme v moment, kdy bude realna hrozba vycerpani kapacity IPv4.“Je to naprostá ignorance nebo jen neznalost?
10.6.2010 23:24
xkucf03 | skóre: 49
| blog: xkucf03
Ale obávám se, že to neprojde.
10.6.2010 22:02
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
Chybělo mi v té diskusi na IT10 něco na téma "a co budete dělat, když to nestihnete, nesplníte, bude větší nouze, než čekáte?"
10.6.2010 22:08
xkucf03 | skóre: 49
| blog: xkucf03
10.6.2010 22:10
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
Já čekal spíš slova "dávám hlavu na špalek, že to naše firma zvládne".
Mimochodem, v té diskusi byli spíše technici než obchodníci ... ?
10.6.2010 22:22
xkucf03 | skóre: 49
| blog: xkucf03
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.
19.6.2010 01:10
22.6.2010 12:01