Минусы IPv6 NAT

Различий в v4 и v6 nat ровно ноль. Только вопрос зачем? Вам разве пров выдал единственный v6 ? Или это разговор про какой-то vps ?

ОС вроде Windows 10, iOS 12, Android 9

а Linux тут при том, что...? Шлюз на нем?

Вам разве пров выдал единственный v6 ? Или это разговор про какой-то vps ?

Разговор про VPS, который будет служить VPN-сервером и на нём только один IPv6 адрес. К сожалению в России с IPv6 всё плохо, я нашёл буквально двух хостеров, которые выдают /64 и до обоих у меня пинг ощутимо хуже.

Да.

Ну в этом случае проблем с nat не вижу. Уже много лет как завезли. Ради теста гонял, интересно было.

К сожалению в России с IPv6 всё плохо

Ретрансляторы 6to4 есть у многих провайдеров. NAT - изначально костыль для борьбы с недостатком IPv4 адресов. Зачем его тащить в IPv6?

Есть какие-то ещё очевидные минусы и проблемы?

Да. Уродыш IPv6 NAT.

NAT - изначально костыль для борьбы с недостатком IPv4 адресов.

Нет.

в книжках пишут, что таки для экономии адресов придумали, а якобы безопасность получилось как побочка.

In May 1994, the first RFC document on Network Address Translator (NAT) was published (RFC 1631). NAT is a technology used to prolong IPv4 availability. It does this by translating a private address in an internal network into legal public addresses.

Источник: http://ipv4marketgroup.com/a-brief-history-of-ipv4/. Здесь тоже самое пишут https://www.ietfjournal.org/a-retrospective-view-of-nat/. Но если вы стояли у истоков разработки RFC 1631 и знаете истинные мотивы его появления, то милости просим рассказать как оно было на самом деле.

в книжках пишут, что таки для экономии адресов придумали, а якобы безопасность получилось как побочка.

Как бы строить внутренние сети предприятий, которым никогда не будет нужен Интернет, на реальных IP - это как бы перебор. Тем не менее, кому-то может оказаться нужен доступ вовне в каких-то отдельных случаях.

Это не важно. Доступный извне адрес каждому устройству — бред.

Просто авторы ipv6 охренели от количества адресов возможных и решили, что это ок, когда с кофеварки можно зайти на сервер банка, а оттуда куда-нибудь на аппарат МРТ, потому что 640 кб^w^wадресов хватит всем.

Обеспечить сетевой экран на одном пограничном устройстве в сотни раз правильней, чем ждать подвоха от каждой IoT лампочки.

Конечному потребителю нужен 4to6 шлюз на маршрутизаторе, ибо нет таких организаций (а домашних пользователей — тем более), да и вряд ли будет будет, где абонентов, которым нужно друг-друга видеть будет больше 18 миллионов, а на это хватает трёх диапазонов ipv4 описаных в rfc1918.

IPv6 нужен только у ISP и в датацентрах. Конечному пользователю нужен один IPv6 адрес, который схавает его роутер.

Через 5-15 лет, когда у гугла физических серверов будет не 1M, а 1B и на каждом из них по сотне контейнеров (а рядом вырастет ещё с десяток таких же гуглобуков), эти, которые «ipv6 nat не нужен», опять схватятся, что зря раскидывались большими блоками адресов.

Только как сейачс, так и потом, организации будут анально огораживаться от любопытных глаз сетевыми экранами, а домашние пользователи так и будут покупать SOHO роутеры, где локалка будет анально огорожена, чтобы злые хацкеры не подбирали пароли к их Windows XIX EnterpriZver Edition.

NAT, кроме всего, добро ещё и потому, что не твоего провайдерского ума дело, сколько у меня компутеров, ноутбуков и чайников подключено к интернету. Ибо плачу я тебе не за «один ноутбук», а за канал в Nmbps.

Вы смешиваете в кучу NAT и firewall (пакетный фильтр). В общем случае эти понятия независимы. Зачастую NAT абузится в качестве последнего из-за недостатка квалификации или лени.

Конечному потребителю нужен 4to6 шлюз на маршрутизаторе, ибо нет таких организаций (а домашних пользователей — тем более), да и вряд ли будет будет, где абонентов, которым нужно друг-друга видеть будет больше 18 миллионов, а на это хватает трёх диапазонов ipv4 описаных в rfc1918.

У меня наоборот 6to4 интерфейс на домашнем роутере поднят. Я хочу пользоваться современными технологиями сейчас и квалификация мне позволяет. Глупо сидеть на IPv4 и ждать когда

Через 5-15 лет, когда у гугла физических серверов будет не 1M, а 1B

плачу я тебе не за «один ноутбук», а за канал в Nmbps.

Вы платите за связность. Если канал в Nmbps будет до соседнего подъезда, то наверное вас это не устроит. Остальное уже детали.

Как бы строить внутренние сети предприятий, которым никогда не будет нужен Интернет, на реальных IP - это как бы перебор

Нет. Использовать IP (Internet Protocol) в информационных системах, которые не предполагают обмена данными с Интернетом - вот где самый настоящий перебор. Но ой, у нас так весь мир живет.

Ну может для того, чтобы не светить адресом своего устройства для удаленного сервера.

Здрасте!!! Вон сколько всяких локальных программ обмениваются данными через локальный сетевой интерфейс. Это крайне удобно и единообразно.

Windows XIX EnterpriZver Edition

Оригинально. Схоронил.

nat это плохой firewall

Так интернет это же просто множество сетей. Мало какие программы работают в локалочке на 12 компьютеров. Обычно в любом предприятии имеются множество сетей, порой территориально распределённых. Тут без межсетевого взаимодействия никак!

В общем случае эти понятия независимы.

А на практике надо не только фильтровать пакеты, но и не сливать лишней информации посторонним лицам. Кто бы с какого бы устройства не вышел в сеть, посторонний наблюдатель видит корпоративный шлюз до тех пор, пока пользователь не решит идентифицировать себя на ресурсе. Один это человек, 10 это человек, или вообще сервер скриншот страницы сделать зашёл - поди разбери. И даже если ты владеешь одним ресурсом, где ты сможешь отделить по отпечатку того же браузера гарантировано отделить каждого из десятерых. На другом ресурсе ты даже сидя mitm как определишь где чей трафик пошёл?

квалификация мне позволяет пользоваться современными технологиями сейчас

но не позволяет определить, что где надо применить, а где лучше смузи выпить... у тебя и на телефоне faceid, и дверной замок, поди, с Wi-Fi или с сим картой?

Вы платите за связность.

«У меня абоненты постоянно жаловались на плохую связь. Инженеры предложили протянуть ещё одну магистраль, а лучше пару, чтобы при обрыве одной линии интернет людям продолжал приходить по другой. Это вышло бы в копеечку, но я нашёл иной выход! По DHCP я стал раздавать адреса не IPv4, а IPv6 и абоненты перестали жаловаться! Теперь звонят и благодарят меня за хорошую связанность городской сети.» PS: скажи, что ты платишь за связанность, мудакам из большой тройки, которые в тарифах пишут что «интернет только на один _телефон_ в котором симка установлена».

я где-то говорил, что ната без пакетного фильтра достаточно? О.о

А на практике надо не только фильтровать пакеты, но и не сливать лишней информации посторонним лицам.

Если надо - не сливайте. Кому-то это не нужно.

...На другом ресурсе ты даже сидя mitm как определишь где чей трафик пошёл?

Это мне вопрос? Как собираются пользовательские данные большими компаниями я в курсе, и NAT там точно никак не препятствует. Впрочем я не занимаюсь сбором пользовательских данных, а уж тем более не использую методы нарушающие нормальное функционирование сети.

но не позволяет определить, что где надо применить, а где лучше смузи выпить...

Пруфы будут? И раз уж вы увидели мои дипломы и сертификаты, то неплохо было бы показать свои чтобы мы все знали на кого равняться.

у тебя и на телефоне faceid

Что плохого в faceid? И да у меня при нахождении в домашней wifi сети телефон не лочится. Но у меня детей нет - лазить не кому.

дверной замок, поди, с Wi-Fi или с сим картой

Что это даёт в плане удобств?

скажи, что ты платишь за связанность, мудакам из большой тройки, которые в тарифах пишут что «интернет только на один _телефон_ в котором симка установлена».

Что вы сделали чтобы это исправить кроме как написали на лоре? Оферту читали когда симку покупали? Я плачу за связность операторам независимо от бренда, если связность нарушена я как минимум жду объяснений от тех.поддержки с объявлением сроков устранения неисправности.

Нет. Использовать IP (Internet Protocol) в информационных системах, которые не предполагают обмена данными с Интернетом - вот где самый настоящий перебор

Безусловно. Но народ ленится и разрабатывает всё с прицелом под один стек. Хотя, в принципе, мощности процессорные давно таковы, что этот оверхед не особенно заметен уже. Не как лет 20 назад.

Если надо - не сливайте. Кому-то это не нужно.

Кому-то под виндой и антивирус не нужен, но его почему-то в десятке из коробки стали поставлять.

Впрочем я не занимаюсь сбором пользовательских данных

Поэтому и другие не занимаются? Отличная логика. И я тебе не про сбор гуглом информации, которую ты сам ему на сервера несёшь, а о том, кто может между тобой и гуглом сидеть.

Пруфы будут?

Твоих заявлений, что нат нужен только из-за нехватки адресов не достаточно?) Нет, ну вот ещё один пруф ты сам привёл:

Что плохого в faceid?

Что это даёт в плане удобств?

Я не знаю, что это даёт. Но это «современные технологии», использованием которых ты бравируешь. Тебе должно быть виднее, что оно даёт. А ещё вангану: в проде у тебя, поди, докер какой-нибудь используется?

Что вы сделали чтобы это исправить кроме как написали на лоре?

«Дядя Петя, ты дурак?» Тебе почти прямым текстом говорят, что провайдеру нечего знать, сколько и какие у тебя устройства в локалке, как раз чтобы не было договоров где владелец трубы, которому ты платишь за кубометр воды, диктует сколько тебе водорозеток поставить можно в доме, а ты спрашиваешь, знал ли я заранее о подобных ограничениях.

Кому-то под виндой и антивирус не нужен, но его почему-то в десятке из коробки стали поставлять.

В огороде бузина

Поэтому и другие не занимаются? Отличная логика.

Я за других не отвечаю. Не нужно мне приписывать высказываний которых не было.

И я тебе не про сбор гуглом информации, которую ты сам ему на сервера несёшь, а о том, кто может между тобой и гуглом сидеть.

Я вам ответил на вопрос:

На другом ресурсе ты даже сидя mitm как определишь где чей трафик пошёл?

Если целью всего абзаца было рассказать о том как слушают чужие HTTPS соединения в Интернете и воруют данный карт и др., то прикладывайте пруфы со свершившимися фактами. А то слов много, а информации мало.

Твоих заявлений, что нат нужен только из-за нехватки адресов не достаточно?)

Молодой человек, что же вы передёргиваете?

NAT - изначально костыль для борьбы с недостатком IPv4 адресов.

Согласитесь, есть разница между оригиналом и вашей интерпретацией.

Я не знаю, что это даёт. Но это «современные технологии», использованием которых ты бравируешь. Тебе должно быть виднее, что оно даёт. А ещё вангану: в проде у тебя, поди, докер какой-нибудь используется?

https://ru.wikipedia.org/wiki/Луддиты - почитайте на досуге, может кого знакомого найдёте.

«Дядя Петя, ты дурак?» Тебе почти прямым текстом говорят, что провайдеру нечего знать, сколько и какие у тебя устройства в локалке, как раз чтобы не было договоров где владелец трубы, которому ты платишь за кубометры воды, диктует сколько тебе водорозеток поставить можно в доме, а ты спрашиваешь, знал ли я заранее о подобных ограничениях.

Не скатывайтесь на оскорбления, умейте вести дискуссию. Мне прямым текстом говорят что рады видеть в моём лице абонента. И договор я перед подписанием читаю. Экономический смысл запрета машрутизаторов в мобильном Интернете понятен, как и запрет торрентов. Не нравится - пишите жалобу в РосПотребНадзор или выбирайте тариф без таких ограничений.

IPv6 NAT - нужная, полезная штука. Как и IPv4 NAT, он решает те же самые две задачи:

1) сокрытие топологии сети

2) нехватка адресов

По первому пункту, надеюсь, возражений нет. Да я в курсе про privacy extensions и т.д., но кто-то может захотеть и так.

По второму пункту - интереснее. Все мы слышали, что адресов IPv6 много, нехватки быть не должно. Но на практике бывает иначе. Приведу конкретный пример. Провайдер выдал клиенту /64. Клиент хочет две локальные сетки. Например, для себя и для гостей. По правилам SLAAC, минимальный префикс, который обязаны поддерживать любые устройства - это именно /64. Таким образом, адресов не хватает. Сюрприз :) Решение: для основной сетки испольуем повайдерский /64, для гостевой - fdxx:yyyy:zzzz:: и делаем NAT. Это позволяет пользователям пользоваться ресурсами, доступными только по IPv6, но по умолчанию обычно используется IPv4.

Согласитесь, есть разница между оригиналом и вашей интерпретацией.

Колумб западный путь в Индию открывал, а открыл новый континент. Какая разница что сподвигло для разработки NAT, если в итоге получилось, что оно не только «расширить пространство», но и «спрятать топологию» позволяет?

В огороде бузина

«Нострик, ты тупой». Систему для обывателя надо строить так, чтобы из коробки оно ему не дало в ногу себе выстрелить.
Перевожу аналогию: кому надо — тот себе сделает раздачу «белых» ipv6 в локалку, кому не надо — выключит и сядет за нат. Что делать тому, кто хочет просто купить роутер, просто воткнуть в него кабель и чтобы оно заработало?

почитайте на досуге, может кого знакомого найдёте.

После того, как ты про «хипстер» почитаешь и объяснишь на кой тому же IBM или Microsoft в офисном здании нужен именно IPv6. И тем более, на кой в принципе раздавать «белые» адреса в локальной сети, если доступа извне к этому адресу всё-равно нет?

целью всего абзаца было рассказать о том как

можно прочитать структуру твоей сети на основании одних лишь заголовках пакетов.

Не скатывайтесь на оскорбления, умейте вести дискуссию.

Тебя оскорбляют цитаты из ставших уже классическими произведений?

Не нравится - пишите жалобу

Зачем? У меня NAT и корректный MTU. Клал я на их попытки диктовать сколько кранов я после счётчика поставлю.

выбирайте тариф без таких ограничений.

Благодари NAT за существование подобных тарифов.

PS хотя чего я жду от клинического случая, который при еле достигнутых 50% внедрения ipv6 в некоторых странах (а повсемесно оно на уровне 20-30%) в локалке раздаёт только ipv6…

Кто бы с какого бы устройства не вышел в сеть, посторонний наблюдатель видит корпоративный шлюз до тех пор, пока пользователь не решит идентифицировать себя на ресурсе. Один это человек, 10 это человек, или вообще сервер скриншот страницы сделать зашёл - поди разбери.

Вы ошибаетесь. Отслеживать можно, как минимум, по особенностям TCP-стека, и я знаю, что это применяется в рекламных сетях.

Один из RFC IPv6 рекомендует строить внутренние сети на реальных IPv6-адресах, даже если у них нет доступа в интернет, чтобы не возникало коллизий при использовании одинаковых внутренних диапазонов при слиянии нескольких сетей, что часто происходило в IPv4.

Сюрприз :) Решение:

Решение — запросить у провайдера либо еще одну /64, либо /56. Нормальные провайдеры сразу выдают /56 или /48, там, где это технически возможно (почти везде). Тот же мобильный МТС выдает /64 на одно устройство, и готов выдавать /56, если устройства будут его запрашивать (с этим проблемы в мобильных сетях).

NAT придуман именно для борьбы с недостатком IPv4. Полагаться на NAT в качестве защиты неправильно, доступ к сети за NAT из другой сети можно легко получить, при определенных условиях, см. https://habr.com/ru/post/402187/#comment_18100267 и выше.

Решение — запросить у провайдера либо еще одну /64, либо /56.

Нет такой опции. Сколько дали, столько и бери. Или не бери.

Нормальные провайдеры

Провайдеры бывают разные, надо «дружить» со всеми.

Тот же мобильный МТС выдает /64 на одно устройство

Почти все, по моим наблюдениям, дают /64. Но конкретно с мобильными у меня мало опыта. В основном - всякие большие кабельно-оптические телекомы.

Один из RFC IPv6 рекомендует строить внутренние сети на реальных IPv6-адресах, даже если у них нет доступа в интернет, чтобы не возникало коллизий при использовании одинаковых внутренних диапазонов при слиянии нескольких сетей, что часто происходило в IPv4.

Во избежание коллизий адреса fd::/8 имеют 5 байт для случайного идентификатора сети. Сильно облегчает жизнь.

Определяем пользователей VPN (и их настройки!) и прокси со стороны сайта

По ссылке ни слова о MITM. Я читаю через слово, или вы? И да, на роутере mtu/mss/ttl можно любые поставить, что ты ни VPN не определишь, ни что это не с маршрутизатора лор читают, если есть цель замаскировать трафик удалённых пользователей среди трафика пользователей локальных.

Отслеживать можно, как минимум, по особенностям TCP-стека

Давай пруф. По каким признакам, например?

минимальный префикс, который обязаны поддерживать любые устройства - это именно /64.

Кто-то да а кто-то нет, но в целом по больнице переходим /128 и все робит.

но по умолчанию обычно используется IPv4.

Как вы тут написали «Сюрприз», по умолчанию начинает использоваться v6 для вас это «Сюрприз» ?

Кто-то да а кто-то нет, но в целом по больнице переходим /128 и все робит.

Можно подробнее об этом?

Как вы тут написали «Сюрприз», по умолчанию начинает использоваться v6 для вас это «Сюрприз» ?

«Сюрприз» - возможность нехватки адресов IPv6.

IPv6 обычно используется по умолчанию при наличии у устройства глобальных адресов IPv6, т.е. нормальной доступности сети IPv6. При этом IPv6 используется преимущественно при разрешении доменных имен, т.е. запрашиваются в первую очередь записи типа AAAA.

IPv6 не используется по умолчанию при наличии адресов туннельных или ULA. При этом IPv4 используется преимущественно при разрешении доменных имен, т.е. запрашиваются в первую очередь записи типа A. IPv6 используется только при отсутствии доступа к ресурсу по IPv4. Именно эту ситуацию мы получаем в описанном примере с гостевой сетью.

Какая разница что сподвигло для разработки NAT...

Какая разница что пишет оппонент, если можно переврать его слова и съехать с темы?

Что делать тому, кто хочет просто купить роутер, просто воткнуть в него кабель и чтобы оно заработало?

Купить роутер и воткнуть кабель. Не вижу проблемы.

на кой тому же IBM или Microsoft в офисном здании нужен именно IPv6

Ну как минимум в подразделениях RnD он точно есть, так что мимо кассы

можно прочитать структуру твоей сети на основании одних лишь заголовках пакетов.

Вам уже подсказали что NAT тут не решает. Нужны иные методы защиты.

«Нострик, ты тупой». Тебя оскорбляют цитаты из ставших уже классическими произведений?

Я не смотрю КВН да и федеральное телевидение в целом. Если у вас есть удачная по вашему мнению аллюзию к текущей дискуссии прикладывайте ссылку, желательно с указанием времени. Посмеёмся вместе.

Зачем? У меня NAT и корректный MTU

А зачем вы это сюда написали и потратили наше время, а не время чиновников в РКН и РПН? Кому помог этот пост? Как поменять TTL и MTU на этом форуме без вас знают.

PS хотя чего я жду от клинического случая, который ... в локалке раздаёт только ipv6

Где пруфы? Если вы не будете обосновывать свои слова то прослывёте пустословом как минимум.

Можно подробнее об этом?

А куда подробнее? При префиксе <64 устанавливается /128

При этом IPv6 используется преимущественно при разрешении доменных имен

Ну а я о чем? /etc/gai.conf
в шинде говорят тоже нечто подобное есть, из моих заметок netsh interface ipv6 show prefixpolicies но сам не пробовал.

IPv6 не используется по умолчанию при наличии адресов туннельных

Это сфига ли? У меня почему-то все нормально, в первую очередь v6 если не поправить gai.conf. Поясню у меня как раз все тунельные, 2штука 6to4 и 2штука HE тунелей. Реальных v6 провы пока не завезли.

хотя чего я жду от клинического случая...в локалке раздаёт только ipv6

А что в этом плохого если оно потом транслируеться на роутере в v4 ? Есть история успеха на просторах «этих ваших интернетов» причем «на русском» локалка только v6.

ЗЫ А вот в гейос современных это исправить нельзя, раньше можно было. Но на то она и гейос.

Это сфига ли? У меня почему-то все нормально, в первую очередь v6 если не поправить gai.conf. Поясню у меня как раз все тунельные, 2штука 6to4 и 2штука HE тунелей.

А у меня - нет. Через 6to4 и ULA точно не едет по умолчанию. Что на Линуксе, что на Маке. Если бы ехало, я бы уже _точно_ об этом знал. На Маке, кстати, почему-то вообще всегда IPv4 по умолчанию.

Надо смотреть, что в gai.conf по умолчанию.

А у меня - нет. Через 6to4

Хм может и дэфолт где-то поменяли не покажите свой gai.conf?

На Маке, кстати, почему-то вообще всегда IPv4 по умолчанию

А я наоборот потратил кучу времени на гугленье, так и не нашел решения, точнее все заканчивается старыми версиями.

Здрасте!!! Вон сколько всяких локальных программ обмениваются данными через локальный сетевой интерфейс. Это крайне удобно и единообразно.

Это проблема ожиданий программистов о том, что локальный интерфейс обязательно будет. Но его наличие не является строго обязательным. Более того, у операционной системы может вовсе не быть IP-стека. Пусть используют unix-сокеты, shared memory или любые другие не завязанные на сеть локальные механизмы для локальных соединений.

Хм, все закеомментированно, но согласно правилам если они такие же в ведре такого как у вас быть не должно.
Тут принцип не простой с первого и даже со второго взгляда, описано здесь https://tools.ietf.org/html/rfc3484
Но пояснения могу дать.
Если вы приведете пример wget google.com может разберем по подробнее.
Для примера: исправленный gai.conf

wget google.com
--2019-07-03 13:29:54--  http://google.com/
Resolving google.com... 173.194.73.100, 173.194.73.138, 173.194.73.101, ...
Connecting to google.com|173.194.73.100|:80... connected.

wget google.com
--2019-07-03 13:28:07--  http://google.com/
Resolving google.com... 2a00:1450:4010:c0f::8b, 64.233.162.139, 64.233.162.102, ...
Connecting to google.com|2a00:1450:4010:c0f::8b|:80... connected.

все закеомментированно

Я так понимаю, это значения по умолчанию, захардкоженные в библиотеку. Явно видны исключения для туннельных и приватных адресов.

Если вы приведете пример wget google.com может разберем по подробнее

Вот на компе с реальными адресами IPv6:

di@di:~$ ping www.google.com
PING www.google.com(sfo03s06-in-x04.1e100.net (2607:f8b0:4005:806::2004)) 56 data bytes
64 bytes from sfo03s06-in-x04.1e100.net (2607:f8b0:4005:806::2004): icmp_seq=1 ttl=49 time=163 ms
64 bytes from sfo03s06-in-x04.1e100.net (2607:f8b0:4005:806::2004): icmp_seq=2 ttl=49 time=163 ms
^C
--- www.google.com ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 2ms
rtt min/avg/max/mdev = 162.521/162.530/162.540/0.403 ms
di@di:~$

Вот на туннельных адресах (другая машина в другом месте, там 6to4):

[dimss@winner ~]$ ping www.google.com
PING www.google.com (216.58.211.4) 56(84) bytes of data.
64 bytes from muc03s13-in-f4.1e100.net (216.58.211.4): icmp_seq=1 ttl=54 time=23.0 ms
64 bytes from muc03s13-in-f4.1e100.net (216.58.211.4): icmp_seq=2 ttl=54 time=22.9 ms
^C
--- www.google.com ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 3ms
rtt min/avg/max/mdev = 22.879/22.963/23.047/0.084 ms
[dimss@winner ~]$ 
[dimss@winner ~]$
[dimss@winner ~]$ ping ipv6.google.com
PING ipv6.google.com(arn11s01-in-x0e.1e100.net (2a00:1450:400f:806::200e)) 56 data bytes
64 bytes from arn11s01-in-x0e.1e100.net (2a00:1450:400f:806::200e): icmp_seq=1 ttl=56 time=69.9 ms
64 bytes from arn11s01-in-x0e.1e100.net (2a00:1450:400f:806::200e): icmp_seq=2 ttl=56 time=69.8 ms
64 bytes from arn11s01-in-x0e.1e100.net (2a00:1450:400f:806::200e): icmp_seq=3 ttl=56 time=70.0 ms
64 bytes from arn11s01-in-x0e.1e100.net (2a00:1450:400f:806::200e): icmp_seq=4 ttl=56 time=70.1 ms
64 bytes from arn11s01-in-x0e.1e100.net (2a00:1450:400f:806::200e): icmp_seq=5 ttl=56 time=69.10 ms
64 bytes from arn11s01-in-x0e.1e100.net (2a00:1450:400f:806::200e): icmp_seq=6 ttl=56 time=70.1 ms
64 bytes from arn11s01-in-x0e.1e100.net (2a00:1450:400f:806::200e): icmp_seq=7 ttl=56 time=70.2 ms
64 bytes from arn11s01-in-x0e.1e100.net (2a00:1450:400f:806::200e): icmp_seq=8 ttl=56 time=70.1 ms
^C
--- ipv6.google.com ping statistics ---
8 packets transmitted, 8 received, 0% packet loss, time 16ms
rtt min/avg/max/mdev = 69.795/70.035/70.223/0.372 ms
[dimss@winner ~]$

Я ступил. Приношу свои извинения. Мне очень стыдно :( С 6to4 точнее 2002::/16 все верно получаеться. Ведь я блин знаю эту тему, и так накосячил. Ещё раз приношу извинения. :(
Все верно
label 2002::/16
и
label ::/0
не совпадают
переходим к
precedence
тут совпадение только на
::ffff:0:0/96

ЗЫ А то что я писал про туннели, на вход у меня работают все четыре, а на выход тот который сейчас работает (в смысле если что-то рухнет будет следующий и так далее по списку) и мои проверки были не правильными у меня he на тот момент был.

Прочитайте статью, там все ваши вопросы описаны. Либо зайдите на http://witch.valdikss.org.ru/ с разных устройств за одним NAT, и сами убедитесь.

доступ к сети за NAT из другой сети можно легко получить, при определенных условиях

А без NAT при любых. Как правило файрвол и NAT объединяют. Соответственно проблема с правилами в случае с NAT - это проблема доступа, а без NAT - это просто велкам.

NAT не создан для защиты доступа, это его побочное действие. Для защиты доступа, например, в IPv6 следует применять stateful firewall, а не NAT.