Provozovatel čínské sociální sítě TikTok dostal v Evropské unii pokutu 530 milionů eur (13,2 miliardy Kč) za nedostatky při ochraně osobních údajů. Ve svém oznámení to dnes uvedla irská Komise pro ochranu údajů (DPC), která jedná jménem EU. Zároveň TikToku nařídila, že pokud správu dat neuvede do šesti měsíců do souladu s požadavky, musí přestat posílat data o unijních uživatelích do Číny. TikTok uvedl, že se proti rozhodnutí odvolá.
Společnost JetBrains uvolnila Mellum, tj. svůj velký jazykový model (LLM) pro vývojáře, jako open source. Mellum podporuje programovací jazyky Java, Kotlin, Python, Go, PHP, C, C++, C#, JavaScript, TypeScript, CSS, HTML, Rust a Ruby.
Vývojáři Kali Linuxu upozorňují na nový klíč pro podepisování balíčků. K původnímu klíči ztratili přístup.
V březnu loňského roku přestal být Redis svobodný. Společnost Redis Labs jej přelicencovala z licence BSD na nesvobodné licence Redis Source Available License (RSALv2) a Server Side Public License (SSPLv1). Hned o pár dní později vznikly svobodné forky Redisu s názvy Valkey a Redict. Dnes bylo oznámeno, že Redis je opět svobodný. S nejnovější verzí 8 je k dispozici také pod licencí AGPLv3.
Oficiální ceny Raspberry Pi Compute Modulů 4 klesly o 5 dolarů (4 GB varianty), respektive o 10 dolarů (8 GB varianty).
Byla vydána beta verze openSUSE Leap 16. Ve výchozím nastavení s novým instalátorem Agama.
Devadesátková hra Brány Skeldalu prošla portací a je dostupná na platformě Steam. Vyšel i parádní blog autora o portaci na moderní systémy a platformy včetně Linuxu.
Lidi dělají divné věci. Například spouští Linux v Excelu. Využít je emulátor RISC-V mini-rv32ima sestavený jako knihovna DLL, která je volaná z makra VBA (Visual Basic for Applications).
Revolut nabídne neomezený mobilní tarif za 12,50 eur (312 Kč). Aktuálně startuje ve Velké Británii a Německu.
Společnost Amazon miliardáře Jeffa Bezose vypustila na oběžnou dráhu první várku družic svého projektu Kuiper, který má z vesmíru poskytovat vysokorychlostní internetové připojení po celém světě a snažit se konkurovat nyní dominantnímu Starlinku nejbohatšího muže planety Elona Muska.
zhorsim bezpecnost site.Nesmysl, odkazovaná přednáška není o sítích ISP, ale o koncových sítích a to především tvrdě omezovaných korporátních sítích.
A taky NATy, ac se to puristum nelibi, jednoznacne zvysuji bezpecnost koncoveho zakaznika.Jednoznačně určitě ne.
A ne, NAT nezabrani ovladnuti takoveho stroje, ale zvysi potrebne usili, a znacne snizi pravdepodobnost.Možná tak statisticky v obecném měřítku, ale to podle mě nemá pro konkrétní opatření zásadní význam. Problém je v tom, že v diskuzi padlo, že NAT jednoznačně zvýší bezpečnost (každého) koncového zákazníka a to je bohapustá lež, na kterou jsi se bohužel nechal nachytat i ty. Teoretický i praktický bezpečnostní přínos NATu je nutné posuzovat inteligentně a dle okolností, nikoli na základě ideologie a v přespříliš obecné rovině.
Jediné, co mi reálně stojí za úvahu je neodstraňovat bezhlavě NAT tam, kde je, v případě, že není zajištěno odpovídající zabezpečení na jiné úrovni.O to mi vpodstate jde. Masivnim nasazovanim IPv6 se odstrani obrovske mnozstvi NATu.
NAT ve skutečnosti bezpečnost drasticky snižuje tím, že lidé uvěří pověrám, které kolem něj kolují, a na jejich základě bezpečnost zanedbají.Ja bych rekl, ze vetsina koncovych zakazniku nema tuseni co to je NAT, takze zadnym poveram neuveri
Výsledek takovéhoto počínání je do jisté míry náhodný a především zcela neauditovatelný.Na mou spravovanych systemech bych takovy postup taky nezvolil, ale z pochopitelnych duvodu ISP, stejne jako vetsina jinych komercnich subjektu, hledaji spise lokalni optimum, protoze na ceste ke globalnimu optimu je prilis velky odpor ze strany uzivatelu.
Přes údajně bezpečný NAT pak spuští exáče z pornostránek.Ano, ten klicovy problem je chovani uzivatelu. Ale ja si v tomhle opravdu nedelam velke nadeje. Diky tomu, jak je tezke zmenit chovani uzivatelu, vznikly takove humusy jako antiviry, ktere rovnou predpokladaji, ze uzivatele spousti exace z pornostranek. Nelibi se mi to a na svem systemu bych nikdy tak retardovany pristup k zabezpeceni nezvolil. Ale faktem je, ze nejake masove viry tem lidem ten antivirak odchyti a kdybych ze dne na den smazal vsechny antiviraky z kazdeho kompu po celem svete, tak bych tomu stavu nepomohl.
kdybych ze dne na den smazal vsechny antiviraky z kazdeho kompu po celem svete, tak bych tomu stavu nepomohl.I kdyz z dlouhodobeho hlediska by se to pak asi zlepsilo, a stejne tak u odstraneni NATu.
O to mi vpodstate jde. Masivnim nasazovanim IPv6 se odstrani obrovske mnozstvi NATu.To si vůbec nerozumíme. Mluvil jsem o akci v duchu toho, že přijdu do firmy, zjistím, že mají stroje na veřejných IPv4 adresách za NATem, tak ten NAT jako projev nebezpečného entuziasmu vypnu. On je to ostatně taky jediný případ, kdy NAT zvyšuje bezpečnost, protože zapnutí NATu u privátních adres cestu ke stroji naopak otevírá. Masivní nasazování globálních adres (třeba IPv6, když je to teď tak populární) s sebou nese mnohem zajímavější problémy a rizika a mělo by být dobře připravené a promyšlené. Že to tak často není, je trochu jiný typ problému, než o kterém se tady bavíme.
Ja bych rekl, ze vetsina koncovych zakazniku nema tuseni co to je NAT, takze zadnym poveram neuveriTo ovšem na věci vůbec nic nemění, neznalost uživatelů bezpečnosti nemusí vždy pomoct.
Diky tomu, jak je tezke zmenit chovani uzivatelu, vznikly takove humusy jako antiviry, ktere rovnou predpokladaji, ze uzivatele spousti exace z pornostranek.Jenže zkušenost říká, že je tento předpoklad platný a bezpečnost běžného uživatelského systému by měla být řešena s ohledem na to, že u něj sedí člověk, který je z hlediska bezpečného chování „debil“. Nejde to samozřejmě řešit pouze technickými prostředky ale jsou docela podstatnou součástí toho řešení. A vůbec se nemusí jednat o nějaký hloupý antivirus.
Ale faktem je, ze nejake masove viry tem lidem ten antivirak odchyti a kdybych ze dne na den smazal vsechny antiviraky z kazdeho kompu po celem svete, tak bych tomu stavu nepomohl.Vidím to podobně jako kdybys vypnul všechny NATy.
A taky NATy, ac se to puristum nelibi, jednoznacne zvysuji bezpecnost koncoveho zakaznika.
Zajímavá otázka. Když se zamyslíš a půjdeš trochu dál, podíváš se, jaké má NAT dopady, tak je to přesně naopak. Uživatelé se spolu nemohou spojit na přímo, musí využívat služeb různých prostředníků, kteří často narušují důvěrnost přenášených informací nebo můžou uživatele odříznout od komunikace; nezřídka nutí uživatele instalovat proprietární (škodlivý) software. Asi nejznámější příklad: Skype.
Nedílnou součástí služby je přidělení IP adresního prostoru. V ceně služby Internet ADSL/VDSL je přidělení jedné veřejné IPv4 adresy a veřejného statického rozsahu IPv6 o velikosti /56Na podporu jsem volal, říkali mi že reverzní DNS se pro běžné smrtelníky vůbec nedělá.
O2 bohužel neumí na jedné DSL přípojce zároveň IPv6 a pevnou IPv4 adresu. Oficiální vyjádření podpory.Vzhledem k tomu, že rok a půl zpátky jsem dělal firemní podporu korporátů, tak prostě vím, že to není pravda.
Oficiální vyjádření podpory.To jako že to máš černé na bílém v podobě dopisu, který je podepsaný vedoucí oddělení? Pokud ne, tak to není oficiální vyjádření.
IMHO jen proto že ve formuláři mají jen jedno políčko kde se to dá vyplnit...Lol. Tak možná obchoďačky.
Vzhledem k tomu, že rok a půl zpátky jsem dělal firemní podporu korporátů...Prací na korporátní podpoře O2 bych se nechlubil, zrovna dneska jsem tam volal.
To jako že to máš černé na bílém v podobě dopisu, který je podepsaný vedoucí oddělení?Pardon, mám vyjádření z 31. 10. 2013 od člověka s funkcí Internal Account Manager. Jestli to je dostačující, netuším.
Lol. Tak možná obchoďačky.To s tím políčkem ve formuláři byl vtip...
Prací na korporátní podpoře O2 bych se nechlubil, zrovna dneska jsem tam volal.Rozhodně se tím nechci chlubit, protože to byla pěkně nahovno práce v mnoha ohledech. Což je taky důvod, proč jsem odešel. Jinak oddělení, kde jsem pracoval už dnes ani neexistuje. Všechno se to od té doby několikrát sloučilo, rozloučilo, odloučilo, změlnilo a preskupilo, že bych se ani nedivil, kdyby korporáti dneska volali k úplně stejným lidem, jako běžní zákazníci.
Pardon, mám vyjádření z 31. 10. 2013 od člověka s funkcí Internal Account Manager. Jestli to je dostačující, netuším.Je to písemně s podpisem?
To s tím políčkem ve formuláři byl vtip...To by ses ještě divil. Když IPv6 zavedli, tak neupravili interní aplikace, takže tam opravdu nebylo nic, kam by to mohli napsat, nehledě na to, že z 4 hodinového školení si většina lidí neodnesla vůbec nic, takže to pak podle toho vypadalo.
A pak samozřejmě, IPv6 by mohlo zničit biznis mnoha firmám, protože v okamžiku kdy by každé zařízení mělo veřejnou adresu, by už nikdo nepotřeboval služby typu Skype, různé webové úschovny apod. Takže vlastně se dostáváme k tomu, že zavedení IPv6 do běžné praxe u koncových uživatelů je vlastně silně nežádoucí z obchodního hlediska.To je perla na urovni komentara chemika,ze nikto nebude chodit na benzinove stanice, ved benzin si dokaze kazdy uvarit doma sam.
A pak samozřejmě, IPv6 by mohlo zničit biznis mnoha firmám, protože v okamžiku kdy by každé zařízení mělo veřejnou adresu, by už nikdo nepotřeboval služby typu Skype, různé webové úschovny apod. Takže vlastně se dostáváme k tomu, že zavedení IPv6 do běžné praxe u koncových uživatelů je vlastně silně nežádoucí z obchodního hlediska.Naopak. S IPv6 bude daleko jednodussi sledovat jednotlive uzivatele (ani Privacy Extension proti tomu prilis nepomohou), takze prinejmensim firmy jako Google/Facebook/Apple/Microsoft se budou snazit protlacit IPv6 co nejdriv. Kdyby nebylo IPv6 tak zprasene, tak uz by ho byvali protlacili davno...
ani Privacy Extension proti tomu prilis nepomohouTo se mi nezdá. Nejvíc mě ale udivuje, že češti "velikáni" jako idnes.cz, lidovky.cz nebo ihned.cz IPv6 nemají. U serverhostingů je to dnes už snad samozřejmost.
(ani Privacy Extension proti tomu prilis nepomohou)Mozes to nejak rozviest? Mne sa zda, ze Privacy Extension prinasa zhruba rovnaku anonymitu ako IPv4 NAT:
inet6 2a01:f123:1234:5bd0:21f1:f624:d2b8:3702/64 scope global temporary dynamic valid_lft 86314sec preferred_lft 2914sec inet6 2a01:f123:1234:5bd0:222:15ff:fe64:42bd/64 scope global dynamic valid_lft 86314sec preferred_lft 86314sec
Není to chyba, jako hrubý filtr je to dobré řešení. Pokud víš, že se někam připojuješ jen z práce, z domova a ze školy, tak ti stačí povolit tři IP adresy (nebo tři rozsahy) a odfiltruješ tím většinu útočníků nebo prudičů. Pro připojení odjinud se dá přidat VPN nebo stroj se SSH fungující jako brána.
U IPv4 je více uživatelů schovaných za jednou IP adresou (NAT). U IPv6 je víc uživatelů schovaných za jedním rozsahem (PE). Ta vypovídací hodnota je srovnatelná a v tomhle směru to IMHO vyjde nastejno. V čem vidí odpůrci IPv6 rozdíl? Já tam vidím naopak výhodu v tom, že když chci, můžu se spojit na přímo s konkrétním zařízením a nemusím používat nějaké pochybné metody na obcházení NATu. A když se na přímo spojovat nechci, tak si to zakážu na firewallu.
Nic moc. Ale dovedu si představit podobnou proxy, pomocí které bys vlastně dělal MITM útok sám na sebe – v prohlížeči by pak stačilo mít jedinou CA a ta proxy by se starala o kontrolu certifikátů1 a směrem k prohlížeči to posílala podepsané/zašifrované tím svým certifikátem. A zároveň by to mohlo filtrovat reklamy, šmírovací skripty a obrázky a další malware. Případně by to mohlo některé stránky/služby úplně přetvořit – např. místo YouTube a dalších by ti to poslalo jednoduchou XHTML stránku s webm/mp4/ogv videem.
P.S. sakra, zase další projekt, na který bych si měl najít čas
[1] což mne vlastně na tuhle myšlenku před časem přivedlo – chtěl bych mít stejná pravidla pro kontrolu certifikátů ve všech prohlížečích nebo obecně klientech a chtěl bych si je nastavovat přesně podle svého
Ale dovedu si představit podobnou proxy, pomocí které bys vlastně dělal MITM útok sám na sebeVe firemní praxi se tímto realizuje centrální proxy se svoji vlastní politikou certifikátů.
kdyz si admini neoptimalizuji servery pro beh na IPv6 ma koncovy zakaznik smuluCo to je optimalizace serveru pro běh na IPv6? Jinak špatně fungující IPv6 dost často řeší prohlížeče, AFAIK třeba takový Firefox, když se během necelé vteřiny nepřipojí na IPv6 adresu, automaticky přejde na IPv4.
Nenacital se treba seznam, nebo to dlouho nacitalo.Kéž bych dostal € vždycky, když tohle od někoho slyšim...
Jsou opravdu nezbytné local-link adresy?Link-local adresy jsou velký přínos. Ale když je nechcete, tak si jich prostě nevšímejte.
Proč je zápis IP adres takový, aby byl vlastně nezapamatovatelný?A jak byste to chtěl zapisovat?
Prakticky vše tam je při migraci problematické, stojí to spoustu času a nervů.IPv6 jsem nasazoval už několikrát, i jsem portoval aplikace a bylo to zcela bez problémů. Ba co víc, byla to větší pohoda než s IPv4.
DHCPv6 přece není plnohodnotná náhrada DHCP na v4 sítích.Je tam komplikace s výchozí bránou. Zkusil jsem experimentálně zkombinovat radvd a dhcpd6, kdy radvd propaguje lokální prefix (/64) a globální prefix (/96) spolu s
AdvManagedFlag on
a také AdvAutonomous off
u toho /96 bloku. dhcp6 pak přidělovalo adresy v rozsahu toho /96 bloku a chodilo to, aspoň s Windows jako klientem.
Výchozí brána na klientovi byla klasicky link-local adresa, takže problém s výchozí bránou je asi podobnou kombinací SLAAC a DHCPv6 "vyřešený".
Android DHCPv6 neumí, tam to takhle nešlo.
Pokud vím, o obou těch věcech se vedly léta spory.To je pravda. Já považuju SLAAC za super věc, ale nechápu, proč by měla být povinnost to používat.
Chápu, že to souvisí s MAC, ale proč vlastně odvozovat IP adresy zařízení na síti od jejich MAC a pak vymýšlet berličky kvůli soukromí apod.?A do toho ještě skutečnost, že u DHCPv6 se namísto MAC adres používá DUID, jehož vypovídací hodnota je podobná /dev/random.
Když je autokonfigurace, tak výsledné adresy jsou odvozené od MAC adres a není v tom žádný systém.Výhody to samozřejmě má. Vyměním prefix u lokální adresy a vím, jakou globální adresu ten stroj má.
S IPv6 aby si pomalu i v domácí síti člověk zprovoznil lokální DNS server.mDNS stačí, žádný server pak nepotřebujete. Linuxové distribuce to asi stejně instalují by default. (Adresa pak má tvar
názevPC.local
)
Bezstavový model je podstatně jednodušší na implementaci i na zdrojePřesto byl problém ho korektně definovat a implementovat.
základní konfigurace (adresa a gateway) se nastaví podle RA a o zbytek si stanice řekne DHCP serveru; abych pravdu řekl, moc smyslu v tom nevidím, ale možné to je.V tuto chvíli je to spíše nutné.
Myslel jsem tím spíš to, že v tom kombinovaném řešení nevidím moc výhod oproti tomu, když si přes DHCP řeknu rovnou o všechno. Ale asi ano, pořád tam zůstává ta výhoda, že si server nemusí vést evidenci leases (nebo aspoň ne pro všechny stanice).
Ono se obecně dá těžko odhadnout, co se v praxi bude používat a jak. Dřív jsem si třeba myslel, že fragmentace u IPv6 má být naprosto okrajovou záležitostí, které je žádoucí se pokud možno vyhnout - než jsem zjistil, že pro jednoho z našich zákazníků je posílání (obrovského množství) 3KB UDP datagramů přes IPv6 denním chlebem.
Myslel jsem tím spíš to, že v tom kombinovaném řešení nevidím moc výhod oproti tomu, když si přes DHCP řeknu rovnou o všechno.Ani já ne.
Ale asi ano, pořád tam zůstává ta výhoda, že si server nemusí vést evidenci leases (nebo aspoň ne pro všechny stanice).Popravdě nevidím jako reálnou výhodu ani to.
Myslel jsem tím spíš to, že v tom kombinovaném řešení nevidím moc výhod oproti tomu, když si přes DHCP řeknu rovnou o všechno. Ale asi ano, pořád tam zůstává ta výhoda, že si server nemusí vést evidenci leases (nebo aspoň ne pro všechny stanice).To je přesně ten důvod, proč to existuje. Můžete tak třeba mít několik DHCP serverů na různých částech sítě, které spolu nekomunikují. Stejně tak se nic nerozbije, i pokud DHCP server (což je typicky třeba modem) restartujete.
Dřív jsem si třeba myslel, že fragmentace u IPv6 má být naprosto okrajovou záležitostí, které je žádoucí se pokud možno vyhnout - než jsem zjistil, že pro jednoho z našich zákazníků je posílání (obrovského množství) 3KB UDP datagramů přes IPv6 denním chlebem.Fragmentaci není nutné se vyhýbat (IPv6 dokonce definuje minimální MTU 1 280 bajtů, ale minimální podporovaná délka paketů je 1 500 bajtů, takže fragmentace je už přímo tady), IPv6 to ale řeší tak, že fragmentují jen koncové body, ne mezilehlé routery, což občas vedlo k velkém množství velmi malých fragmentů (např. pokud jeden router měl MTU 1 500 bajtů, další 1 480 a další 1 460).
Duvodu je nekolik. V prve rade je to odlisny mechanismus urceni on-link prefixu na IPv6. Zatimco na IPv4 se to urci podle prefixu pridelene adresy, tak na IPv6 je to nezavisly mechanismus, ktery vyuziva mimo jine informace z RA.Taková informace by mohla stejně dobře být poskytována pomocí DHCP.
V principu by tyto informace mohl poskytovat i DHCP server, ale neni to dobry napadTo si nemyslím.
napr. CE router muze okamzite prestat propagovat sam sebe jako defaultni router v okamziku, kdy mu spadne uplink. To by se pres spolecny DHCP server propagovalo podstatne sloziteji.Není vůbec nutné používat společný DHCP server a případně by nebyl problém toto implementovat jako součást DHCP relay, pokud chceme společný DHCP server používat. Osobně mi to připadá jako pouze zdánlivá výhoda, která neospravedlňuje použití jinak ve všech ohledech horšího a navíc chybně specifikovaného protokolu.
Není vůbec nutné používat společný DHCP server a případně by nebyl problém toto implementovat jako součást DHCP relay, pokud chceme společný DHCP server používat.To by ale znamenalo, že leasy musí být velmi krátké. Platnost RA u multihomed systémů je často nastavená třeba jen na desítky sekund, zatímco platnost IP adres je typicky v řádech hodin.
To by ale znamenalo, že leasy musí být velmi krátké.Non sequitur.
Platnost RA u multihomed systémů je často nastavená třeba jen na desítky sekund, zatímco platnost IP adres je typicky v řádech hodin.Myšlenka krásná, ale používá se to vůbec někde mimo laboratoř?
Myšlenka krásná, ale používá se to vůbec někde mimo laboratoř?Více různých RA ano, ale nevím o tom, jestli tam používají stavové DHCPv6 nebo SLAAC.
Taková informace by mohla stejně dobře být poskytována pomocí DHCP.Zatimco host se uci on-link prefixy z RA od vsech routeru na siti, v pripade, ze by to dostaval od jednoho DHCP serveru (se kterym ma vztah), pak by se ta data musela distribuovat od routeru na DHCP server.
Není vůbec nutné používat společný DHCP server a případně by nebyl problém toto implementovat jako součást DHCP relay, pokud chceme společný DHCP server používat.Spolecnym DHCP serverem jsem nemyslel DHCP server spolecny pro vice siti, ale situaci, kdy by vice routeru na jedne siti propagovalo informace na jeden DHCP server, ktery by je pak announcoval hostum. Namisto stavajici situace s RA, kdy to routery announcuji primo hostum. Nicmene pripklad s DHCP serverem spolecnym vice sitim je dalsi case, kdy se hodi mit per-link specificke informace (jako IP adresy ci brana) konfigurovane z jineho zdroje nez DHCP.
Osobně mi to připadá jako pouze zdánlivá výhoda, která neospravedlňuje použití jinak ve všech ohledech horšího a navíc chybně specifikovaného protokolu.V cem je chybne specifikovany? Me ta specifikace prijde jako vicemene primocara a jasna.
DHCPv6 je stavová konfigurace, tj. musí tam být nějaký server, který přiděluje adresy a pamatuje si, komu co a na jak dlouho přidělilPouze pokud je to stavový DHCPv6. Existuje i bezstavový, o kterém se sám zmiňujete dále.
Bezstavový model je podstatně jednodušší na implementaci i na zdroje, ale moc se nehodí, pokud potřebujete implementovat nějaké politiky apod.SEND
základní konfigurace (adresa a gateway) se nastaví podle RA a o zbytek si stanice řekne DHCP serveru; abych pravdu řekl, moc smyslu v tom nevidím, ale možné to je.A přitom je to mnohem používanější způsob DHCPv6.
Samozřejmě se mýlíte. Oficiální možnost používat menší podsítě existuje, stejně tak jako používat DHCPv6. Jenže ono je snazší a rychlejší používat právě ty automaticky dopočítané adresy.Nikoliv. Klienti by to sice měli umět, ale vy byste to neměl pro normálně přidělované adresy (2000::/3) používat. Viz RFC 4291: All Global Unicast addresses other than those that start with binary 000 have a 64-bit interface ID field Navíc protože byste to neměl používat, tak třeba routery to mohou odmítat a Mikrotik to tak i dělá. Podle RFC 7421 to je možný výklad RFC: Router implementors might interpret IETF specifications such as RFC6164 and RFC7136 as indicating that prefixes between /65 and /126 (inclusive) for unicast packets on-the-wire are invalid Kromě těchto problémů v sítích s prefixem nad /64 nefunguje třeba ani multicast (RFC 3306 a RFC 3956).
"The IPv6 CE router MUST be prepared to accept a delegated prefix size different from what is given in the hint. If the delegated prefix is too small to address all of its interfaces, the IPv6 CE router SHOULD log a system management error."To je ale standard pro CE routery, zminujici co ma router delat, kdyz nedostane, co v DHCP pozadoval, ten O2 v principu porusovat nemuze (ledaze by dodavalo i vlastni CE routery). Tva citace 'CPE should consider the lack of ...' ma velmi podobny vyznam.
Rather than attempt to contrive a method for a homenet to operate in a constrained manner when faced with insufficient prefixes, such as the use of subnet prefixes longer than /64 (which would break stateless address autoconfiguration [RFC4862]), the use of NPTv6, or falling back to bridging across potentially very different media, it is recommended that the receiving router instead enters an error state and issues appropriate warnings.
Proč má třeba koncový zákazník mít nesmyslný prefix /64?Koncový zákazník má mít dle RFC 6177 možnost získat alespoň /56 (/48 podle staršího RFC 3177), pokud o to požádá. Bohužel ne všichni ISP tohle dodržují.
proč vlastně není oficiálně podporovaná možnost to rozdělit na menší subsítě?Protože celá filosofie IPv6 je založena na sítích, ne na jednotlivých stanicích. Z toho důvodu dělí adresu na prefix (síť) a interface ID. Pro všechny normálně přidělované adresy (2000::/3) je v RFC 4291 definováno, že prefix má 64 bitů a interface ID druhých 64 bitů. (Mimochodem jeden z původních návrhů IPng byl založen stejně jako IPv4 na jednotlivých stanicích a používal 64bitové adresy. Až později se při řešení problémů, kdy se něco týká mezisíťového a kdy lokálního provozu, přišlo s rozšířením na 128 bitů a definitivním rozdělením těchto dvou.)
Jsou opravdu nezbytné local-link adresy?Ano, jsou nezbytné pro SLAAC a lokální multicast (třeba hledání routerů či DHCP serverů).
Proč není navrženo a implementováno plnohodnotné DHCP?Plnohodnotné DHCP navrženo i implementováno je, ale preferované řešení pro domácí uživatele je SLAAC.
Proč je vnucováno odvozování IP adres od MAC?Protože na fyzické vrstvě musí být v lokální síti unikátní, takže v odvozených adresách nemohou vzniknout kolize. Nicméně tohle se týká jen link-local adres, pro globální adresy (při zapnutém SLAAC) klient EUI/MAC používat nemusí.
Proč je zápis IP adres takový, aby byl vlastně nezapamatovatelný?Protože 128-bitové číslo si pravděpodobně stejně nezapamatujete, ať má jakýkoliv zápis.
Protože 128-bitové číslo si pravděpodobně stejně nezapamatujete, ať má jakýkoliv zápis.Moje zkušenost je taková, že si pamatuju IPv4 a IPv6 adresy úplně stejně. Přidělený prefix si člověk při práci s jednou sítí velmi brzy zapamatuje a zbytek se u strojů, kde má smysl si to pamatovat, dá přidělovat úplně stejně.
Proč je zápis IP adres takový, aby byl vlastně nezapamatovatelný?
Jestli jsou tam tečky nebo dvojtečky je celkem jedno – důležitý je počet bajtů. Např. v mém případě si u IPv6 stačí pamatovat šest bajtů a zbytek už je na mě, jak si rozdělím (klidně souvislá řada čísel). Ale u IPv4 si musím pamatovat tři bajty pro IP adresy přidělené v první vlně a jiné tři bajty pro později přidělené adresy. Zbytek je opět souvislá řada, jen si nemůžu vybírat a je v tom prostoru dost těsno. Navíc si musím pamatovat, do které skupiny, který stroj patří.
Ve výsledku si nepamatuji ani IPv6 ani IPv4 adresy (od toho mám DNS), takže je to vlastně jedno. Jen si občas při prohlížení logu řeknu: tahle adresa je mi povědomá, ta bude asi moje (platí pro IPv4 i IPv6), ale abych měl jistotu, tak si to stejně musím přeložit. Nejsem prostě síťař, který by každý den obcházel klientská zařízení a bouchal do nich IP adresy z hlavy
net.ipv6.conf.all.forwarding
) a nastavit radvd. Mám velmi podobný setup (PPPoE na serveru), akorát mám IPv6 přes he.net. Do zahraničí to má dokonce pozitivní dopad na latenci, jelikož zahraniční konektivita O2 je špatný vtip.
no auto-selected prefix on interface br0, disabling advertisements
.
radvd
nepoužívá a řekl bych, že je to dobré rozhodnutí.
fe90::21c:65ff:ef16:ecac - to má být jako co? to, co budu zadávat do nepředstavitelně zalagovaném draxu na serveru někde v tramtarii několikrát?Představ si ještě, jaká sranda je to diktovat po telefonu, specificky pak ještě někomu, kdo vůbec netuší co to je.
V každý diskusi o IPv6 už od jeho počátku přijde někdo normální a zeptá se proč třeba nějak evolučně nerozšířit IPv4 jako třeba přidat pár bitů do adresy místo 172.16.254.1 by bylo 172.16.254.1.10 každá současná IPv4 adresa by se stala adresním rozsahem atd... vždy se roztrhne pytel s autistickejma matfyzákama, kteří ho setřou jakej je ignorant, že tahle to prostě nejde a jak je to celé uplně blbé.Jenže to je úplná pravda, jste ignorant. Zjednodušeně řečeno, přidáním bitů do IPv4 adresy vzniklo právě IPv6. Do hlavičky IPv4 nemůžete jen tak přidat bity navíc a tvářit se, že to je pořád IPv4. Rozdíl je jen v tom, že u IPv6 se těch bitů přidalo víc (když už musí vznikat nekompatibilní protokol), takže je pak výhodnější adresu zapisovat hexadecimálně. Řešením pro obtížný přepis adresy je používání (m)DNS. Nebo můžete diktovat jen MAC adresu a člověk na druhé straně může zbytek nechat dopočítat.
Výsledkem je tedy postupný vznik komoditního trhu s IP adresami, protože světe div se, naprostá většina lidí je ochotná zaplatit peníze navíc jenom za to, aby se IPv6 nemuseli zabývat.Ne. Jsou ochotní za ně platit kvůli problému chicken-egg. ISP kupují IPv4 adresy, jelikož ne vše je dostupné přes IPv6. Poskytovatelé obsahu kupují IPv4 adresy, protože ne všichni uživatelé mají IPv6.
V každý diskusi o IPv6 už od jeho počátku přijde někdo normální a zeptá se proč třeba nějak evolučně nerozšířit IPv4 jako třeba přidat pár bitů do adresy místo 172.16.254.1 by bylo 172.16.254.1.10 každá současná IPv4 adresa by se stala adresním rozsahem atd...No jasný, nebo by se mohly začít používat vyšší čísla jako třeba 824.0.0.1 a byl by problém vyřešen. Protože IPv6 všechno řeší složitě čistě z plezíru, že... OMG. Teď vážně: Místo IPv6 klidně bejvalo mohlo být navrženo nějaké zpětně kompatibilní rozšíření IPv4, jenže tím bys narazil na úplně stejné problémy - stejně by všichni museli investovat do podpory rozšíření a situace by byla úplně stejná, akorát by ten protokol byl zprasenej.
Stačí regulační poplatek pár dolarů na ip adresu a najednou jich bude dost.To je hodně naivní názor. Velké korporace si klidně zaplatí tisíce $ za fůru IP adres, úplě stejně jako třeba za domény. Na druhou stranu obyčejní uživatelé jako třeba já ten poplatek pocítí mnohem víc. V důsledku nemam možnost si připojit zařízení k internetu aniž bych za to platil. Opravu nevim, proč bych měl platit horentní částky za jednu blbou IP adresu jen pro to, že nějakej šmudla se bojí hexa čísla. Sic transit gloria mundi.
nejmenší BGP rozsah je (afaik) /24Striktne vzato BGP muze pracovat s jakymikoliv prefixy, ale prakticky vam jakykoliv delsi prefix (tedy kratsi rozsah) nez /24 ostatni ISP odfiltruji.
Hotovo šmitec, jasný jak facka i poslednímu Jardovi od městských služeb.
Jistě. Čím méně toho člověk o problematice ví, tím je mu všechno jasnější.
Adresy se nedají obchodovat po jedné? Například Franta od vedle má jednu adresu koupenou, pronajatou, půjčenou - no prostě je teď na nějakou dobu jeho a má ji napsanou ve smlouvě. Oh wait, I just Did!No, to je sice hezké, pravděpodobně je to udělané tak, že se mu to na tu "jeho" veřejnou překládá někde na posledním routeru toho ISP a ve vnitřní síti má nějakou lokální. Což je taky moc příjemné. Hodně dobře se potom řeší, když dva takový klienti chtějí komunikovat mezi sebou. Rozhodně ten ISP tu jednu adresu neprodá nějakému jinému ISP v Austrálii. Takže to obchodování je značně omezené.
Tak si ISP pronajme/koupí 250 adres a ty pak bude pronajímat zákzníkůmNekoupí, nepronajme. Došly.
a potřebujíTohle je asi největší důkaz naprosté neznalosti toho, jak fungují sítě. Adresu, nejlépe globálně adresovatelnou, potřebuje každý uzel. Rozlišování na potřebují a nepotřebují je největší zvěrstvo. To klidně mohou ISP poskytovat pouze spojení na proxy server a bude to fungovat úplně stejně. Takový uzel stejně není připojen na internet.
A vy technycy tady na mě s BGP a 128-pokojovym adresování, zaprvý nevím co to je, zadruhý mě to uráží a už vůbec mě to nezajímá. Já mám internety vysokorychlostní od Pepy za tři kila měsíčně a pohoda, děcka na tom sediou skoro pořád, takže mám klid u kopané.Jo jo, přesně tak. Vůbec nevíte jak to funguje, ale budete do toho kafrat.
A aby bylo z celýho světa vidět kolik mám v chlaďáku braníků přes internet of things si klidně nechám ujít a když o to jó bude zájem, tak se to zmákne i přes IPv4 NAT port forwarding apod.Tohle je přesně důkaz toho, že ipv4 adresy došly a že je potřeba přejít na jiné adresní schéma. Port forwarding je zneužívání čísel portů (což je vyhrazeno pro služby) na "rozšíření" adres (každá ip se tak může tvářit, že je to vlastně 65tis dalších adres). Jo jo, úžasné řešení.
Nekoupí, nepronajme. Došly.To, ze dosly, znamena akorat to, ze LIR (ISP) jiz nedostane pridelene nove od RIRa (RIPE a pod.), ale stale je muze sehnat (pronajmout) prefixy od jinych LIRu a dost mozna vznikne i oficielni moznost pridelene prefixy prevadet za kompenzaci (tedy defacto prodat).
Jenže oni nechtejí, nepotřebují a ani nevědí, že by měli. Honza nahraje fotku na facebook nebo uloz.to a Jarda si to odtamtud stahne. To je realita, model chování, use case řikejte tomu jak chcete, ale prostě to tak je, dělá se to tak, moje matka v důchodu to tak dělá, stejnak jako synovec na základce to tak dělá.A koho to zajímá, jak Honza používá internet?
Honza nahraje fotku na facebook nebo uloz.to a Jarda si to odtamtud stahne.No, az mu ulozto nahlasi 'Z teto IP adresy se jiz stahuje, pockejte', protoze jeho ISP ho spolu z dalsima dvema stovkama schoval za jednu verejnou IP adresu, tak uvidi, ze je nekde problem.
Jednou jsou to moje porty, tak si do nich budu strkat, co budu chtít a jestli budu chtít mít na portu 54786 forwarding na vzdálené ovládání intezity análního kolíku, tak ho tam mít budu i kdybyste se na hlavu stavěl.Pokud budes kvuli nedostatku IP adres schovan za NAT na strane poskytovatele (tak, jak to dnes delaji mikroISP), tak si ani ten port forwarding sam nenastavis.
Nedošli, je jich dost. Jen je potřeba je lépe rozdělit na základě úplně jiných pravidel než se dělo doposud. Akorát se nebudou přidělovat zadarmo nějakou "autoritou", ale budete je "nakupovat u telekomu".Proč? Proč bych měl nakupovat u telekomů něco, čeho můžu mít s IPv6 zdarma kvanta? Telekomy už tak ždímaj lidi na všem možný a ty bys jim jetě nahrával do krámu? Ty budeš asi telekom, že?
To je nejlepší a nejlevnější řešení, které se de facto děje už nyní spontáně v rámci šedé zóny a právní rámec na sebe podle mě nemusí nechat dlouho čekat.Ono se da argumentovat presne opacne - to, ze se IPv4 adresy rozdavali (pro LIRy) za pakatel, umoznovalo udrzovat status quo. Zatimco domacnosti a mikroISP s adresama setrili a meli NATy kde to jde, tak LIRove meli adresy skoro zadarmo, mohli tedy kazdemu zakaznikovi pridelit aspon jednu IP adresu a nemeli motivaci se situaci moc delat. Dnes uz LIRove dalsi prefixy nedostanou, sve stavajici mohou preprodavat na sedem trhu, a tak koukaji, jak pripojovat zakazniky bez alokace verejnych adres. A protoze pouzivani stateful NAT je v takovem meritku podstatne problematictejsi nez stateless technologii, tak to dnes vypada, ze nejlepsi reseni bude bude pouzit nekterou z technologii na bazi A+P pro IPv4 v kombinaci s IPv6 tranzitni siti - npapr. MAP ci 4rd. Uzivatel dostane pridelen rozsah portu na verejne IPv4 adrese, ktery muze pouzivat pro svuj IPv4 provoz, a jeho domaci router udela pro IPv4 provoz NAT do tohoto rozsahu a nasledne to zabali ci prelozi do IPv6 paketu a ten posle ISP. Ten to na hranici ze sve site ven bezestavove vybali/prelozi do regulerniho IPv4 provozu. Obdobne zpet. Sekundarni dusledek je pak nasazeni nativniho IPv6 v siti ISP i pro uzivatele.
O IPv6 se nezajímám, protože je to věc, kterou nikdo nechce, ale i z toho mála co vím se mi IPv6 nelíbí.Samozřejmě, nikdo to nechce, proto firmy jako Cisco, IBM, Microsoft, Google, Nokia či Huawei do toho investovaly několik desítek let vývoje a miliony dolarů a firmy jako T-Mobile, Verizon a UPC to nasazují
V každý diskusi o IPv6 už od jeho počátku přijde někdo normální a zeptá se proč třeba nějak evolučně nerozšířit IPv4 jako třeba přidat pár bitů do adresy místo 172.16.254.1 by bylo 172.16.254.1.10 každá současná IPv4 adresa by se stala adresním rozsahem atd... vždy se roztrhne pytel s autistickejma matfyzákama, kteří ho setřou jakej je ignorant, že tahle to prostě nejde a jak je to celé uplně blbé.Hlavní důvod, proč se to kompletně změnilo, je, že by každá změna IP adres stejně znamenala kompletní výměnu všech zařízení a přepsání tuny software, který s delšími adresami prostě nepočítal, tak proč to rovnou neudělat i jinak a lépe.
Přitom od samotného začátku musel být vždy alespoň jeden takový "blbec", který se na to zaptal, bylo mu vysvětleno, že je blbec a on se rozhodl, že se IPv6 zabývat nebude. Nikdo si nepoložil zcela logickou otázku, jestli na těch dotazech něco není, byla to asi chyba.Tihle lidé se začali rojit asi tak deset let poté, co IPv6 již existovalo, testovalo se, ladilo a fungovalo. Většinou jde o lidi, kteří o IPv6 ví málo.
Co se tedy stalo bylo naprosto logické, IPv6 nic nikomu nepřináší akorát komplikace, velké změny, problémy a hlavně náklady, náklady, náklady.Tohle by udělala každá změna IP protokolu.
Domácím zákazníkům je nějaký IPv6 uplně buřt, facebook zchecknou klidně i za NATem, torrenty v pasivním režimu taky tak nějak jedou a pro hračičky se dá veřejná IP za kilo měsíčně a máme dokonce zisk za pronájem abstraktího čísla, které jsme dostali přidělené zdarma.Torrenty tak nějak jedou. Nebo taky tak nějak nejedou, pokud jsou za dvojitým či symetrickým NATem. To samé třeba WebRTC či SIP.
A teď chci vidět jak někdo přijde s IPv6 řešením a vytlačí mě z trhu, on bude mít dvojité náklady, protože IPv4 bude muset udržovat tak jako tak, nebude mít kilo z pronajímání veřejných IP, zato hromadu starostí s podporou polofunkčního IPv6 a přitom nebude schopen poskytnout nic reálně obchodovatelného a relevatního pro zákazníka navíc.Nebude. IPv4 není už u domácích uživatelů potřeba. T-Mobile US provozuje IPv6-only síť s 464XLAT a není to nijak polofunkční. Na rozdíl od vás ale nebude muset shánět nedostatkové adresy, za které už bude muset platit.
Výsledkem je tedy postupný vznik komoditního trhu s IP adresami, protože světe div se, naprostá většina lidí je ochotná zaplatit peníze navíc jenom za to, aby se IPv6 nemuseli zabývat.Většina lidí je ochotna zaplatit za cokoliv, aby nemusela něco měnit. Tohle by se týkalo jakéhokoliv nového IP protokolu.
V nejbližších minimálně pěti letech nemá IPv6 reálnou šanci se prosaditIPv6 pokrývá momentálně přes 7 % provozu a každý rok se jeho podíl zdvojnásobuje. IPv4 adresy neustále "docházejí" už aspoň deset let IPv4 adresy na mnoha místech již došly. V roce 2011 došly v Asii, v roce 2012 v Evropě a letos v Americe. Minimálně 5 let se bude tedy pořád jenom žvanit o tom, že IPv6 je super a jak IPv4 "zase" dovházejí, jinak se nestane naprosto nic. Samozřejmě. Proto IPv6 nabízí už i u české ADSL a mnoho firem přechází na 464XLAT a definitivně opouští IPv4 adresy u domácích uživatelů.
Samozřejmě, nikdo to nechce, proto firmy jako Cisco, IBM, Microsoft, Google, Nokia či Huawei do toho investovaly několik desítek let vývoje a miliony dolarů a firmy jako T-Mobile, Verizon a UPC to nasazují
A podle bugů, co mi procházejí rukama, to nasazují opravdu ve velkém.
Nejvíc mne ovšem dostává mantra "IPv6 stojí za prd, protože ho navrhovali akademici odtržení od praxe." Stačí si uvědomit, že ten protokol vznikal začátkem 90. let, kdy právě "akademici" byli víceméně jediní, kdo měl s Internetem nějaké netriviální praktické zkušenosti. (Pro ilustraci: ještě Windows 95 neměly defaultně zapnutou podporu IPv4.) Na dalším vývoji se pak už samozřejmě podílely i firmy z oboru. Kacířská myšlenka: možná že kdyby Internet zůstal převážně akademickým o pár let déle, stihlo se přejít na IPv6 ještě před jeho komercionalizací a dneska jsme měli klid.
Pokud se po mnoha letech mediálmí masáže, poplašných zpráv (Ne, IPv4 adresy opravdu nedošly a ještě dlouho nedojdou, pouze už nedostane každý neomezené množství zadarmo.) a bambiliónech investic pohybujeme lehce nad poměrem homosexuálů, je podle mě naopak na místě otázka, kde je chyba než srdnaté vychvalování nějakých jednotek procent převlékáním je do trička s nápisem "úspěch".IPv4 adresy došly. LIRové (ISP) nedostanou už ani jednu. Ten hlavní důvod, proč IPv6 stále není tolik rozšířené, je, že se hodně dlouho testovalo a ladilo, aby nebylo nutné jej za pár let zase měnit. A během toho málokdo chtěl kupovat HW pro masové nasazení za miliony, který možná bude umět jen vlastnosti, které reálně úplně nefungují (ostatně spousta přechodových mechanismů je dost nová). Fáze testování byla završena World IPv6 Day v roce 2011. World IPv6 Launch (= IPv6 je oficiálně připraveno pro masové nasazování) byl až v roce 2012. IPv4 bylo definováno v roce 1978, ale masově používat se začalo až v roce 1983, a tak „brzy“ to navíc bylo jen proto, že přechod byl pro všechny povinný. Pak se následujících dvacet let dolaďovalo „za chodu“. Protože jde o exponenciálu, tak 7 % dnes znamená přes 50 % za tři roky
Vemte si příklad analogie s telefoními čísly, ty už se za můj život měnili několikrát, nikoho nenapadlo, že se bude na telefonu vytáčet 654asd4sda654asd6a5s4dasd6as5(např.), meziměsto od ledna samozřejmě s předvolbou f47s:4sd5d:sad4(např.), změnili se čísla z 02/545551 na 222584756 (např.), ale to bylo pro architekty internetu málo cool matrix hackerspace.Přečíslování neměnilo technologii vytáčení. Když se změní IPv4 adresa vašeho modemu, nemění se tím nijak technologie, kterou k vám pakety cestují. (Pro srovnání: DTMF dosáhlo většinového podílu až více než dvacet let po svém uvedení.) Až se změní, možná opravdu budete vytáčet s předvolbou f47s:4sd5d:sad4.
Když někomu ukážete IPv6 adresu, první na co se zeptá je, proč je to tak dlouhé a složité. A na to je samozřejmě jednoduchá odpověď: "Aby každý vocas mohl mít dostatek adres pro všechny atomy na zeměkouli - a to je kúl, ty ignoratská nulo." Hodně lidí tato odpověď neuspokojí, neboť nedává smysl ani po faktické straánce.To je odpověď na způsob, že českých telefonních čísel je miliarda, protože každý přeci budeme u sebe nosit desítky mobilních telefonů. Tohle přirovnání se seriózně používá tak maximálně pro představu, kolik těch čísel vlastně je, ne proč jich je tolik. Těch adres (či telefonních čísel) je tolik, protože velké množství se snáze rozděluje do spojitých bloků. U IPv6 to znamená např. jednodušší routovací tabulky. Druhý důvod je ten, že ta délka je mocnina dvojky, což jsou čísla, se kterými počítače umí pracovat nejlépe, a tohle byla nejkratší, se kterou většina v IETF souhlasila jako dostatečně pohodlnou. Původně měl nový protokol (tehdy zvaný SIPP či IPng) mít základní délku 64 bitů (o jednu mocninu víc než IPv4), ale počítalo se s tzv. „cluster addressingem“ a jednotlivé stanice pak měly být adresovány dalšími 64 bity (tohle se navíc mohlo opakovat). Tenhle způsob adresace je sice nevyčerpatelný, ale byl velmi složitý a byla obava, jak to půjde rozumně používat či implementovat v routerech, proto byl zjednodušen na pevně dlouhou, 128bitovou (následující mocnina po 64) adresu a z clusteru se stal prefix.
fe90::21c:65ff:ef16:ecac - to má být jako co? to, co budu zadávat do nepředstavitelně zalagovaném draxu na serveru někde v tramtarii několikrát? to je to, co budu kontrolovat znak po znaku jestli je vyplněno dobře a bez překlepů?Místo do IPv4 investujte raději do operačního systému, který podporuje copy&paste.
s/normální/problematiky neznalý/
Jsem koncový zákazník, IPv6 mám a tuhle dávnou minulost už naštěstí řešit nemusím.
If the above steps did not help, please disable IPv6. The League of Legends client is designed to work with IPv4.Kdyby jim to na IPv6 jen nejelo… Ale oni ještě doporučují vypnout ten protokol úplně :/
WAA-9: As a router, the IPv6 CE router MUST follow the weak host (Weak End System) model [RFC1122]. ...Tady se pozaduje, aby se domaci routery chovaly dle weak host modelu. Linuxove routery tedy asi nemohou splnovat RFC 7084 pozadavky pro domaci hranicni routery.
Linuxova implementace IPv4 odpovida weak modelu, zatimco implementace IPv6 zrejme odpovida strong modelu.
Proč myslíte? Teď jsem to zkusil a chová se to stejně jako IPv4: přijímá i pakety s cílovou adresou přiřazenou na jiném rozhraní. Pokud chcete, aby to tak nebylo, můžete si to zakázat třeba netfilterem.
For incoming packets, Linux checks if the destination address matches one of the addresses assigned to its interfaces and then processes the packet according the configured host model. By default, Linux implements the weak host model [RFC1122] on both IPv4 and IPv6. However, Linux can also be configured to support the strong host model.
Tiskni
Sdílej: