А зачем IPv6 дома?

man privacy extensions. Проблем с приватностью не больше, чем при использовании одного статического IPv4-адреса на роутер.

Больше. Но спорить с фанатиками бесполезно.

Ещё один свидетель NAT.

Я ничего не говорил про NAT. Но все фанатики мыслят стереотипами, да.

4.2. Возможность напрямую обращаться к любому устройству — это объективное, неоспоримое преимущество.

Это - дыра.

IPSec так могёт!

Вопрос был риторическим. Мало ли, как что проектировалось. «Так было раньше» — это не аргумент.

А ты объясни техническую необходимость проектировать это тем или иным отличным образом.

Если словосочетания «статистически уникальный идентификатор» и «парадокс дней рождения», стоящие рядом друг с другом, ни о чём не говорят, то…

То ты просто не умеешь объяснять или намеренно стебёшься. Парадокc дней рождений мне понятен, но какое он имеет отношение к размеру подсети - непонятно. DUID - всего лишь идентификатор DHCPv6 клиента, он не обязан быть частью IPv6 адреса. К тому же размер DUID, в зависимости от его типа, может быть ещё больше шести байт.

На самом деле там не про возможность обращаться к любому устройству, а про возможность адресоваться к любому устройству.

20р в месяц за статику это вообще даром.

Где такая халява? Плачу 140, если опять не подняли незаметно.

Это - дыра.

Настройте firewall.

Кстати говоря, в роутерах с поддержкой IPv6 «из-коробки» что я видел (обычно это означает только поддержку /64 префиксов и базовый SLAAC без каких-то настроек), файрвол запрещал все входящие подключения к устройствам из внутренней сети (ну кроме разве что ICMP). В общем доступность внутренних устройств из вне мало чем отличалась от IPv4 NAT. Так что, вероятно, большинству пользователей настраивать ничего не нужно совсем.

Как зачем? Чтобы забыть навсегда пердолинг с натами и роутерами, платами за статические и белые IP, и иметь возможность откуда угодно достучаться напрямую до любого из домашних устройств. Ну и понятное дело чтобы из дома ходить в IPv6-only коего уже становится дохрена.

Это - дыра.

В голове у тебя дыра.

НН.

В мобильном приложении провайдера легко меняются и PTR к адресам (до 5шт).

Поправьте если не прав, но с v6 мне нужно будет поднимать фаерволл на каждом конечном устройстве?

На твоем роутере. А провайдер тебе зачем? 99% дудоса должен банить он.

Нет. Только на роутере. Функционал надо смотреть для конкретной модели.

У TpLink’а - в 2019-м году, например, судя по тому что я сходу нагуглил, актуальные на то время модели по-умолчанию блокировали входящие подключения по IPv6 на устройства в локальной сети (все кроме ICMP, который необходим), и не имели возможности эти правила настраивать вообще - то есть входящие подключения по IPv6 по-сути были невозможны.

Зря ты так. Есть аутентичные девушки-инженеры.

файрвол запрещал все входящие подключения

Кошмар, всю идею загубили! Нет, такой «IPv6» мне не нужен совсем.

Вообще, бытовых роутеров с целом с поддержкой IPv6 все очень посредственно. Если только openwrt шить и с ним возится, но даже там костыльности хватает.

Почему нельзя поделить /64 на подсети и раздавать адреса по DHCPv6 без копирования MAC адресов внутрь IPv6?

Можно. Но SLAAC хорош тем, что он stateless - не требует состояния на стороне роутера (или роутеров), который рассылает RA.

DHCPv6 надо где-то поднимать и хранить состояние. А для SLAAC каждое устройство назначает себе адрес самостоятельно.

Размер /64 достаточен для того, чтобы два устройства, подключенные в один L2-сегмент не пытались присвоить себе одинаковые адреса.

DHCPv6 хорош в том случае, когда требуется централизация - например в организации, где можно выделить отдел, отвечающий за администрирование сети. В случае использования DHCP можно будет совершать различные действия в момент выдачи/отбирания lease, например (де)регистрацию узла в DNS. Или с помощью PD делегировать раздачу адресов в подсетях меньшего размера другим подразделениям организации.

В случае DHCP (как v4, так и v6) парадокс дней рождений не страшен - в обязанности сервера входит невыделение одного и тот же адреса двум устройствам в пересекающиеся периоды аренды адреса. А в случае SLAAC такую гарантию давать некому, так как нет единой точки в сети, ответственной за раздачу адресов.

Плюсы будут когда произойдет повсеместное внедрение.

Как это расшифровывается?

Ага. Пришла она такая, смотрит: «фиии, такой маленький, всего /64… Даже у меня /48»

тебе вот смешно, а на местном сайте знакомств «мисс админ» в легинсах висит:)))

https://love.ngs.ru/profile/1413450/

p.s.

знаю, надо было в пятницу такое писать:)

Это всё понятно. Однако DHCP - довольно нересурсоёмкий сервис, чтобы вот так нерационально использовать адресное проcтранство IPv6. Раз есть раутер, то на нём же можно поднять DHCP, что всё время и делали в IPv4. Кроме того, первый три байта MAC адреса - это идентификатор производителя. Одновременно используемых производителей обычно немного (гораздо меньше диапазона трёхбайтовых чисел), то есть вполне можно хешировать MAC адрес во что-то менее длинное, гарантированно без коллизий.

бытовых роутеров с целом с поддержкой IPv6 все очень посредственно

Пользовался одно время ZTE MF920 с МТС IPv4v6, входящие подключения по IPv6 в локалку были.

В голове у тебя дыра.

Теоретики-фанатики они такие, да. Ну что ты мне тычешь ссылкой на файрвол? Ты пойди сделай безопасным IPv6, поймешь, о чем я.

а зачем интернет дома?

Держать дополнительное состояние (которое нельзя без нарушения работы сети терять) на большом роутере дорого. Ведь это состояние нужно каким-то образом распространять на соседние роутеры, которые существуют для увеличения пропускной способности и отказоустойчивости - реализовывать консенсус, позволяющий определить, кому из этих роутеров позволено менять это состояние, и с кого тянуть реплику.

Можно, конечно, сделать так, чтобы каждый роутер имел нереплицируемое состояние, и выдавал адреса из непересекающегося пула, но тогда придётся выдумывать какой-то механизм миграции адресов между пулами на случай падения одного из роутеров.

Проще избавиться от состояния на стороне роутера совсем. Пришёл пакет на один интерфейс, обновили счётчики, прогнали его через stateless firewall, посмотрели на flowid и заполнили его, если там нули, нашли нужный маршрут, перекинули на другой интерфейс или обернули во что-нибудь и отправили дальше, обновили другие счётчики.

В современных больших сетях крупных организаций (например Facebook или Amazon) много виртуальных сущностей (VM, контейнеры, оверлейные сети для всяких SDN, NFV, IP-based vhost), поэтому MAC-адреса генерируются случайно. Число таких сущностей, создаваемых в день от одного производителя может запросто превысить десятки миллионов. А ещё бывает удобно наделять биты IP-адреса смыслом, как например у NAT64 в младших 32 битах после константного префикса лежит IPv4-адрес или у solicited-node multicast адресов в младших 24 битах лежат 24 младших бита LL.

Для дома почти всегда это всё излишне, можно все сетевые функции запихнуть в одну неотказоустойчивую коробку. И тогда принимать выборы «использовать ли DHCP?», «использовать ли SLAAC?» исходя из того, что будут уметь устройства, подключенные к этой сети.

Им это всё равно надо учитывать в мире с IPv4 и NAT. У ISP, который делает NAT, в случае большого числа абонентов будет несколько global scope (белых) адресов, потому что исходящие L4-порты закончатся, и никто не обещает, что один и тот же абонент, однажды установив соединение с внешним хостом установит через секунду новое соединение с того же адреса.

То же самое ещё более справедливо для мобильных - абонент прошёл сто метров, его перекинуло на другую соту, и его внешний IP-адрес (возможно) поменялся.

А какие новые свойства IPv6 делают его менее безопасным по сравнению с IPv4?

End-to-end connectivity возможна и в случае использования белых IPv4 везде.

То же самое ещё более справедливо для мобильных - абонент прошёл сто метров, его перекинуло на другую соту, и его внешний IP-адрес (возможно) поменялся.

мне кажется, мобильные сети так не работают

Murg, покажи кадык :з

Murg, покажи кадык :з

неправильно, надо так

Murg, перечисли по памяти все поля IPv6 пакета :)

TheAnonymous Harald

ня!

ЗЫ: Дестинейшн Адрес обрезался если чё.

Ъ! :)

а у тебя IPv6 дома есть?

Нет. По дефолту пров выдает 4, а 6 нам ненужно, потому что 90% его еще не поддерживает покачто.

А какие новые свойства IPv6 делают его менее безопасным по сравнению с IPv4?

Сама концепция «каждое устройство имеет внешний адрес» порочна в плане безопасности. А как только мы уходим от этой концепции, оказывается, что IPv6 настолько не нужен, что не стоит даже усилий по внедрению.

«те, кто выбирают безопасность в обмен на свободу...» ну ты понел

ну вот сходу:

• пир то пир соединения

• DPI оборудование его обычно игнорирует или почти игнорирует

• доступ к домашним машинам снаружи (хотя кому-то это может и минус)

А чем «внешние» адреса отличаются от «внутренних»? Сейчас каждое ethernet-устройство имеет свой уникальный MAC-адрес, и это никак безопасности не вредит.

Легинсы это хорошо, но кадык на фото не проверить )

«каждое устройство имеет внешний адрес» порочна в плане безопасности

IPv6-to-IPv6 Network Prefix Translation вроде бы должен помочь?

А чем «внешние» адреса отличаются от «внутренних»?

Своей глобальной доступностью. Опуская сейчас срачи про настройку файрволов (по сути IPv6 - это отдельная вселенная и все, что ты знал про файрволы в IPv4, ты можешь забыть - не пригодится), сама парадигма - говно. Потому что все без исключения устройства де факто никогда не будут достаточно безопасными, чтобы быть доступными отовсюду. Типичное «если долго смотреть в бездну, бездна посмотрит в тебя» - особого вреда от того, что устройство будет куда-то ходить, не прогнозируется, а вот от того, что на него будут ходить все - ну, тут только вопрос времени, когда выйдет очередной 0day exploit.

Короче говоря, обеспечить в IPv6 безопасный периметр - это квест и причина того, почему мало кто всерьез хочет использовать IPv6 во внутренних сетях.

Кстати, NAT сам по себе ни разу не защищает от доступности девайсов твой внутренней сеточки. Провайдер может невозбранно залезть в неё, прописав у себя маршрут на 192.168.0.0/16 или что там у тебя, на твой домашний роутер. Т.е. файерволл всё равно нужен.

Кстати, NAT сам по себе ни разу не защищает

Я нигде тут не писал, что NAT от чего-то защищает. Но плюсик в карму стереотипного IPv6-фанатика ты себе получил :)

Провайдер может невозбранно залезть в неё, прописав у себя маршрут на 192.168.0.0/16 или что там у тебя, на твой домашний роутер

Горе ты мое луковое. Форвардинг внутрь на роутере должен быть разрешен и настроен. Иначе ничего не выйдет. Не исключаю, что где-то есть дебилы, так роутеры настраивающие, но тред вроде не про то, как отстрелить себе яйца через гланды?

Форвардинг внутрь на роутере должен быть разрешен и настроен.

он как бы глобальный обычно во все стороны

он как бы глобальный обычно во все стороны

Обычно он выключен и дополнительно стоит политика DROP.

Короче говоря, обеспечить в IPv6 безопасный периметр - это квест и причина того, почему мало кто всерьез хочет использовать IPv6 во внутренних сетях.

А что мешает производителю домашнего роутера по дефолту настроить правила на блокировку входящих IPv6 соединений? Кто умный, тот сам потом разрешит, что ему надо и куда надо.

А что мешает производителю домашнего роутера по дефолту настроить правила на блокировку входящих IPv6 соединений? Кто умный, тот сам потом разрешит, что ему надо и куда надо.

Да никому этот IPv6 не уперся в домашних роутерах, 99% потребителей словей таких не знает. Пока не будет IPv6 повсеместно в ынтерпрайзе, его не будет нигде. А в ынтерпрайзе повсеместно (давай не будем брать FAANG, это далеко не весь ынтерпрайз) IPv4, и ничего другого не будет, пока не будет дан ответ на вопрос «зачем?», на который никто не может ответить никакими техническими аргументами уже больше десятка лет. А ради маркетингового булщита миллиарды не тратят.

залез на свой роутер, ничего в настройках не менял

cat /proc/sys/net/ipv4/ip_forward 
1