Чем плох ipv6?

Имею только на смартфоне от сотового оператора. Разницы не заметил.

Опять у кого-то нат заменяет фаерволл.

- протокол как таковой к скорости не имеет отношения. Для IPv6 могут не быть прописана правильно веса («дорогой линк» помечен только в v4) и через это он может быть быстрее: чей-то резервный в v4 линк работает как основной в v6.

- NAT и экран - разные вещи

- есть возможность сделать большой пакет из цепочки заголовков и мучать роутеры на пути

Да нет у него недостатков, пока просто менять всем лень или не за чем.

NAT и экран - разные вещи

Это понятно. Но NAT позволяет не париться, когда в локалочке есть машины без фаервола или тупо незащищенные. У меня лично наружу светит только торрент, хорошо настроенный RDP с одной нужной машины, WebDAV с ридми контентом и OpenVPN, через который хожу на все остальное. Вот я и не хочу чтобы это все остальное отсвечивало с ipv6.

Плох тем, что его нет. А так хорош

А чем-нибудь плох 6to4 в сравнении с настоящим 6?

Это понятно. Но NAT позволяет не париться, когда в локалочке есть машины без фаервола или тупо незащищенные.

А что, у тебя на маршрутизаторе, который делает нат, по умолчанию разрешен форвард наружных соединений?

Нет. И этого достаточно чтобы спать спокойно?

сам по себе он неплох. плохо то, что его мало поддерживают. особенно у нас. за рубежом его начали внедрять ещё лет пять назад и уже развернули нормальную инфраструктуру. а у нас, как обычно тормоза. плохо то, что с ним могут быть проблемы с разными местными сервисами. так что могут быть проблемы с коннектами ко всяким васяпупкин.ру, которые в 99% случаев не могут в ipv6.

и, как уже выше сказали, фильтровать и роутить его малость тяжелее. там такой себе cork на уровне IP: в один пакет собирается куча заголовков, в том числе и с разными протоколами. роутеры напрягаются чуть более. а если хочется фильтрации - будет ещё больше нагрузки. но с другой стороны там нет тотальных бродкастов и всякие маздаи не засирают сеть своими рассылками.

с ipv6, они по дефолту отсвечивают наружу или как?

Как настроишь, так и будет. Если честно, при разрешенных входящих проблем за год с лишним не обнаружилось. Privacy extensions делают свое дело, да и надежность софта против взлома за последние годы в целом повысилась.

А чем-нибудь плох 6to4

Публичная инфраструктура плохого качества. Проблемы с MTU.

P.S. причем постепенно становится всё хуже и хуже, потому что никто им уже не интересуется.

могут быть проблемы с коннектами ко всяким васяпупкин.ру, которые в 99% случаев не могут в ipv6.

Никаких проблем. Будешь ходить туда по IPv4.

Проблема бывает как раз наоборот - когда какой-то ресурс поддерживает IPv6, а провайдер относится к IPv6 по остаточному принципу. Сейчас большинство ОС выбирают IPv6 по умолчанию, если есть выбор, как идти на сайт. И если при этом IPv6 работает, но плохо, вот тогда - проблемы.

Или когда после аварии провайдер вообще забывает восстановить IPv6.

я не заметила какой-либо разницы на зарубежных серверах. там провайдер нормально обслуживает ipv6. остаточный принцип - это у нас бывает, когда формально хостер вроде даёт ipv6, а по факту там фигня на низкоприоритетном трафике. в целом, во всём мире тренд к нормальному внедрению ipv6. ну а у нас, как известно, вечно свой путь.

всякие там гуглы-амазоны вполне юзают ipv6 и уже давно. все сервисы доступны, всё работает. уже даже китайские боты на ipv6 перешли.

Опять у кого-то нат заменяет фаерволл.

+1

у нас, как известно, вечно свой путь.

Чудес всюду хватает. За последнее время пришлось хлебнуть прозы международной жызни. Но что удивительно, пока ни одного кейса из России, хотя Украина уже была...

Никаких проблем. Будешь ходить туда по IPv4.

Вот последний раз когда щупал, создалось впечатление, что перед переходом идет проверка доступности ipv6 адреса, а поскольку его в большинстве случаев нет, то получаем небольшую задержку.

фильтровать и роутить его малость тяжелее

Это из-за 128бит вместо 32?

Берёшь и просто запрещаешь на роутере все входящие коннекты из внешнего мира. Только исходящие. Всё! После этого по уровню безопасности твоя сеть будет ничуть не хуже NAT (а то и лучше). Единственное отличие - с точки зрения сайтов твой смартфон, твой ноутбук и твой десктоп будут выглядеть как разные клиенты. На безопасность это влиять не должно.

Потребительские роутеры ИМХО должны иметь эту опцию включенной из коробки, если их беспокоит безопасность пользователей. А уже кому надо разрешит отдельные порты на отдельных IP (как сейчас делается Port Forwarding, фактически интерфейс можно оставить тем же, только внешний и внутренний порт теперь будут одинаковые всегда), либо вовсе отключит защиту, если ему так нужно.

Да. Если маршрутизатор режет все входящие коннекты из внешнего мира (вне зависимости от того кому они обращены - ему самому или клиенту за ним), то это равносильно работе NAT с точки зрения безопасности. Более того, поскольку NAT на самом деле придуман не для этого, без подобного правила файервола NAT можно обойти при некоторых обстоятельствах, а это правило - нет.

это в resolv.conf надо добавлять

options single-request

или

options single-request-reopen

первое запрашивает сразу обе DNS записи за один запрос, второе открывает другой порт для повторного DNS запроса, не ожидая закрытия соединения.

нет. из-за структуры пакетов.

Нет. И этого достаточно чтобы спать спокойно?

А что сверх этого дает НАТ? Только предположение, что снаружи ничего не может прилететь на твой внутренний серый айпи?

и, как уже выше сказали, фильтровать и роутить его малость тяжелее.

Но и нат не бесплатен.

да какбэ всё небесплатно. я тут тестировала скорость обмена по сети и выяснила, что даже просто установка некоторых модулей в ядро тормозит сеть на 10-20%. только установка, даже без реального использования. так что чем меньше всякой хрени наверчено на сеть - тем лучше. любая, даже самая незначительная обработка пакетов требует ресурсов. а в ipv6 NAT нахрен не нужен. нат - это не файрволл, на самом деле.

но ipv6 усложняет жизнь сетевым роутерам. они должны разгребать, что там приехало в цепочке пакетов.

то даже просто установка некоторых модулей в ядро тормозит сеть на 10-20%. только установка, даже без реального использования

какие именно?

но ipv6 усложняет жизнь сетевым роутерам. они должны разгребать, что там приехало в цепочке пакетов.

Такова их судьба. Но такое бремя, с божьей помощью, посильно даже сохо-роутерам 15-летней давности, ибо какой-нибудь pptp дает куда бОльшую нагрузку.
Сейчас даже захотелось поискать вменяемого сравнения перфоманса ipv4 NAT vs ipv6 forwading, но в данный момент очень тяжек 2джи в моей ситуации.

какие именно?

Например, любые связанные с conntrack. Туда сразу начинает попадать весь трафик, для которого в iptables нет рулесов с NOTRACK таргетом. По умолчанию - весь трафик начинает сравниваться с содержимым conntrack.

вся виртуализация. поддержка виртуалбокса и иже с ним. всё, что пытается создавать всякие там виртуальные сетки и роутить трафик внутри ядра. но так-то даже бриджи немного отъедают. так что чем меньше всякого говна на машине - тем лучше.

да, и это тоже.