LINUX.ORG.RU
ФорумTalks

А зачем IPv6 дома?

 ,


0

2

Провайдер Дом.ру сегодня по телефону (!) оповестил меня о возможности бесплатного подключения IPv6 /64. На вопросы зачем оно нужно, лишь похмыкал в трубку. Вот сижу и думаю, а зачем оно действительно нужно, особенно если есть белый IPv4 и доступ к устройствам в локалке легко DNATится на роутере? Поиск по гуглу не дал вразумительных плюсов v6 в этом кейсе.

А что думает ЛОРовец?


Ответ на: комментарий от intelfx

man privacy extensions. Проблем с приватностью не больше, чем при использовании одного статического IPv4-адреса на роутер.

Больше. Но спорить с фанатиками бесполезно.

Ещё один свидетель NAT.

Я ничего не говорил про NAT. Но все фанатики мыслят стереотипами, да.

4.2. Возможность напрямую обращаться к любому устройству — это объективное, неоспоримое преимущество.

Это - дыра.

pekmop1024 ★★★★★
()
Ответ на: комментарий от intelfx

Вопрос был риторическим. Мало ли, как что проектировалось. «Так было раньше» — это не аргумент.

А ты объясни техническую необходимость проектировать это тем или иным отличным образом.

Если словосочетания «статистически уникальный идентификатор» и «парадокс дней рождения», стоящие рядом друг с другом, ни о чём не говорят, то…

То ты просто не умеешь объяснять или намеренно стебёшься. Парадокc дней рождений мне понятен, но какое он имеет отношение к размеру подсети - непонятно. DUID - всего лишь идентификатор DHCPv6 клиента, он не обязан быть частью IPv6 адреса. К тому же размер DUID, в зависимости от его типа, может быть ещё больше шести байт.

hummer
()
Ответ на: комментарий от pekmop1024

На самом деле там не про возможность обращаться к любому устройству, а про возможность адресоваться к любому устройству.

hummer
()
Последнее исправление: hummer (всего исправлений: 1)
Ответ на: комментарий от sinaps

Кстати говоря, в роутерах с поддержкой IPv6 «из-коробки» что я видел (обычно это означает только поддержку /64 префиксов и базовый SLAAC без каких-то настроек), файрвол запрещал все входящие подключения к устройствам из внутренней сети (ну кроме разве что ICMP). В общем доступность внутренних устройств из вне мало чем отличалась от IPv4 NAT. Так что, вероятно, большинству пользователей настраивать ничего не нужно совсем.

DawnCaster ★★
()

Как зачем? Чтобы забыть навсегда пердолинг с натами и роутерами, платами за статические и белые IP, и иметь возможность откуда угодно достучаться напрямую до любого из домашних устройств. Ну и понятное дело чтобы из дома ходить в IPv6-only коего уже становится дохрена.

slovazap ★★★★★
()
Ответ на: комментарий от BceM_IIpuBeT

Поправьте если не прав, но с v6 мне нужно будет поднимать фаерволл на каждом конечном устройстве?

Hg194
() автор топика
Ответ на: комментарий от Hg194

На твоем роутере. А провайдер тебе зачем? 99% дудоса должен банить он.

BceM_IIpuBeT ★★☆☆☆
()
Последнее исправление: BceM_IIpuBeT (всего исправлений: 1)
Ответ на: комментарий от Hg194

Нет. Только на роутере. Функционал надо смотреть для конкретной модели.

У TpLink’а - в 2019-м году, например, судя по тому что я сходу нагуглил, актуальные на то время модели по-умолчанию блокировали входящие подключения по IPv6 на устройства в локальной сети (все кроме ICMP, который необходим), и не имели возможности эти правила настраивать вообще - то есть входящие подключения по IPv6 по-сути были невозможны.

DawnCaster ★★
()
Ответ на: комментарий от One

Зря ты так. Есть аутентичные девушки-инженеры.

Shadow ★★★★★
()
Ответ на: комментарий от DawnCaster

файрвол запрещал все входящие подключения

Кошмар, всю идею загубили! Нет, такой «IPv6» мне не нужен совсем.

sinaps
()
Ответ на: комментарий от sinaps

Вообще, бытовых роутеров с целом с поддержкой IPv6 все очень посредственно. Если только openwrt шить и с ним возится, но даже там костыльности хватает.

Khnazile ★★★★★
()
Ответ на: комментарий от hummer

Почему нельзя поделить /64 на подсети и раздавать адреса по DHCPv6 без копирования MAC адресов внутрь IPv6?

Можно. Но SLAAC хорош тем, что он stateless - не требует состояния на стороне роутера (или роутеров), который рассылает RA.

DHCPv6 надо где-то поднимать и хранить состояние. А для SLAAC каждое устройство назначает себе адрес самостоятельно.

Размер /64 достаточен для того, чтобы два устройства, подключенные в один L2-сегмент не пытались присвоить себе одинаковые адреса.

DHCPv6 хорош в том случае, когда требуется централизация - например в организации, где можно выделить отдел, отвечающий за администрирование сети. В случае использования DHCP можно будет совершать различные действия в момент выдачи/отбирания lease, например (де)регистрацию узла в DNS. Или с помощью PD делегировать раздачу адресов в подсетях меньшего размера другим подразделениям организации.

kmeaw ★★★
()
Ответ на: комментарий от hummer

В случае DHCP (как v4, так и v6) парадокс дней рождений не страшен - в обязанности сервера входит невыделение одного и тот же адреса двум устройствам в пересекающиеся периоды аренды адреса. А в случае SLAAC такую гарантию давать некому, так как нет единой точки в сети, ответственной за раздачу адресов.

kmeaw ★★★
()
Последнее исправление: kmeaw (всего исправлений: 1)

Плюсы будут когда произойдет повсеместное внедрение.

voltmod ★★★
()
Ответ на: комментарий от DawnCaster

Ага. Пришла она такая, смотрит: «фиии, такой маленький, всего /64… Даже у меня /48»

тебе вот смешно, а на местном сайте знакомств «мисс админ» в легинсах висит:)))

https://love.ngs.ru/profile/1413450/

p.s.

знаю, надо было в пятницу такое писать:)

crypt ★★★★★
()
Последнее исправление: crypt (всего исправлений: 1)
Ответ на: комментарий от kmeaw

Это всё понятно. Однако DHCP - довольно нересурсоёмкий сервис, чтобы вот так нерационально использовать адресное проcтранство IPv6. Раз есть раутер, то на нём же можно поднять DHCP, что всё время и делали в IPv4. Кроме того, первый три байта MAC адреса - это идентификатор производителя. Одновременно используемых производителей обычно немного (гораздо меньше диапазона трёхбайтовых чисел), то есть вполне можно хешировать MAC адрес во что-то менее длинное, гарантированно без коллизий.

hummer
()
Ответ на: комментарий от Khnazile

бытовых роутеров с целом с поддержкой IPv6 все очень посредственно

Пользовался одно время ZTE MF920 с МТС IPv4v6, входящие подключения по IPv6 в локалку были.

sinaps
()
Ответ на: комментарий от BceM_IIpuBeT

В голове у тебя дыра.

Теоретики-фанатики они такие, да. Ну что ты мне тычешь ссылкой на файрвол? Ты пойди сделай безопасным IPv6, поймешь, о чем я.

pekmop1024 ★★★★★
()
Ответ на: комментарий от hummer

Держать дополнительное состояние (которое нельзя без нарушения работы сети терять) на большом роутере дорого. Ведь это состояние нужно каким-то образом распространять на соседние роутеры, которые существуют для увеличения пропускной способности и отказоустойчивости - реализовывать консенсус, позволяющий определить, кому из этих роутеров позволено менять это состояние, и с кого тянуть реплику.

Можно, конечно, сделать так, чтобы каждый роутер имел нереплицируемое состояние, и выдавал адреса из непересекающегося пула, но тогда придётся выдумывать какой-то механизм миграции адресов между пулами на случай падения одного из роутеров.

Проще избавиться от состояния на стороне роутера совсем. Пришёл пакет на один интерфейс, обновили счётчики, прогнали его через stateless firewall, посмотрели на flowid и заполнили его, если там нули, нашли нужный маршрут, перекинули на другой интерфейс или обернули во что-нибудь и отправили дальше, обновили другие счётчики.

В современных больших сетях крупных организаций (например Facebook или Amazon) много виртуальных сущностей (VM, контейнеры, оверлейные сети для всяких SDN, NFV, IP-based vhost), поэтому MAC-адреса генерируются случайно. Число таких сущностей, создаваемых в день от одного производителя может запросто превысить десятки миллионов. А ещё бывает удобно наделять биты IP-адреса смыслом, как например у NAT64 в младших 32 битах после константного префикса лежит IPv4-адрес или у solicited-node multicast адресов в младших 24 битах лежат 24 младших бита LL.

Для дома почти всегда это всё излишне, можно все сетевые функции запихнуть в одну неотказоустойчивую коробку. И тогда принимать выборы «использовать ли DHCP?», «использовать ли SLAAC?» исходя из того, что будут уметь устройства, подключенные к этой сети.

kmeaw ★★★
()
Ответ на: комментарий от Harald

Им это всё равно надо учитывать в мире с IPv4 и NAT. У ISP, который делает NAT, в случае большого числа абонентов будет несколько global scope (белых) адресов, потому что исходящие L4-порты закончатся, и никто не обещает, что один и тот же абонент, однажды установив соединение с внешним хостом установит через секунду новое соединение с того же адреса.

То же самое ещё более справедливо для мобильных - абонент прошёл сто метров, его перекинуло на другую соту, и его внешний IP-адрес (возможно) поменялся.

kmeaw ★★★
()
Ответ на: комментарий от pekmop1024

А какие новые свойства IPv6 делают его менее безопасным по сравнению с IPv4?

End-to-end connectivity возможна и в случае использования белых IPv4 везде.

kmeaw ★★★
()
Ответ на: комментарий от kmeaw

То же самое ещё более справедливо для мобильных - абонент прошёл сто метров, его перекинуло на другую соту, и его внешний IP-адрес (возможно) поменялся.

мне кажется, мобильные сети так не работают

Harald ★★★★★
()
Ответ на: комментарий от Harald

Нет. По дефолту пров выдает 4, а 6 нам ненужно, потому что 90% его еще не поддерживает покачто.

Murg ★★★
()
Ответ на: комментарий от kmeaw

А какие новые свойства IPv6 делают его менее безопасным по сравнению с IPv4?

Сама концепция «каждое устройство имеет внешний адрес» порочна в плане безопасности. А как только мы уходим от этой концепции, оказывается, что IPv6 настолько не нужен, что не стоит даже усилий по внедрению.

pekmop1024 ★★★★★
()
Ответ на: комментарий от pekmop1024

«те, кто выбирают безопасность в обмен на свободу...» ну ты понел

Harald ★★★★★
()

ну вот сходу:

  • пир то пир соединения

  • DPI оборудование его обычно игнорирует или почти игнорирует

  • доступ к домашним машинам снаружи (хотя кому-то это может и минус)

sergej ★★★★★
()
Ответ на: комментарий от pekmop1024

А чем «внешние» адреса отличаются от «внутренних»? Сейчас каждое ethernet-устройство имеет свой уникальный MAC-адрес, и это никак безопасности не вредит.

kmeaw ★★★
()
Ответ на: комментарий от kmeaw

А чем «внешние» адреса отличаются от «внутренних»?

Своей глобальной доступностью. Опуская сейчас срачи про настройку файрволов (по сути IPv6 - это отдельная вселенная и все, что ты знал про файрволы в IPv4, ты можешь забыть - не пригодится), сама парадигма - говно. Потому что все без исключения устройства де факто никогда не будут достаточно безопасными, чтобы быть доступными отовсюду. Типичное «если долго смотреть в бездну, бездна посмотрит в тебя» - особого вреда от того, что устройство будет куда-то ходить, не прогнозируется, а вот от того, что на него будут ходить все - ну, тут только вопрос времени, когда выйдет очередной 0day exploit.

pekmop1024 ★★★★★
()
Ответ на: комментарий от pekmop1024

Короче говоря, обеспечить в IPv6 безопасный периметр - это квест и причина того, почему мало кто всерьез хочет использовать IPv6 во внутренних сетях.

pekmop1024 ★★★★★
()
Ответ на: комментарий от pekmop1024

Кстати, NAT сам по себе ни разу не защищает от доступности девайсов твой внутренней сеточки. Провайдер может невозбранно залезть в неё, прописав у себя маршрут на 192.168.0.0/16 или что там у тебя, на твой домашний роутер. Т.е. файерволл всё равно нужен.

Harald ★★★★★
()
Ответ на: комментарий от Harald

Кстати, NAT сам по себе ни разу не защищает

Я нигде тут не писал, что NAT от чего-то защищает. Но плюсик в карму стереотипного IPv6-фанатика ты себе получил :)

Провайдер может невозбранно залезть в неё, прописав у себя маршрут на 192.168.0.0/16 или что там у тебя, на твой домашний роутер

Горе ты мое луковое. Форвардинг внутрь на роутере должен быть разрешен и настроен. Иначе ничего не выйдет. Не исключаю, что где-то есть дебилы, так роутеры настраивающие, но тред вроде не про то, как отстрелить себе яйца через гланды?

pekmop1024 ★★★★★
()
Ответ на: комментарий от pekmop1024

Форвардинг внутрь на роутере должен быть разрешен и настроен.

он как бы глобальный обычно во все стороны

Harald ★★★★★
()
Ответ на: комментарий от pekmop1024

Короче говоря, обеспечить в IPv6 безопасный периметр - это квест и причина того, почему мало кто всерьез хочет использовать IPv6 во внутренних сетях.

А что мешает производителю домашнего роутера по дефолту настроить правила на блокировку входящих IPv6 соединений? Кто умный, тот сам потом разрешит, что ему надо и куда надо.

Harald ★★★★★
()
Ответ на: комментарий от Harald

А что мешает производителю домашнего роутера по дефолту настроить правила на блокировку входящих IPv6 соединений? Кто умный, тот сам потом разрешит, что ему надо и куда надо.

Да никому этот IPv6 не уперся в домашних роутерах, 99% потребителей словей таких не знает. Пока не будет IPv6 повсеместно в ынтерпрайзе, его не будет нигде. А в ынтерпрайзе повсеместно (давай не будем брать FAANG, это далеко не весь ынтерпрайз) IPv4, и ничего другого не будет, пока не будет дан ответ на вопрос «зачем?», на который никто не может ответить никакими техническими аргументами уже больше десятка лет. А ради маркетингового булщита миллиарды не тратят.

pekmop1024 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.