А зачем IPv6 дома?

Не забудь мне показать таблицы nat.

ну DROP там везде, где надо, есть - но это подтверждает мою точку зрения, что файервол нужен в любом случае

до нас в сибирь ваши тренды еще не дошли, мистер шалун. кадык ему потрогать захотелось... все там гетеро, как написано.

а зачем оно действительно нужно

Обходить цензуру.

а зачем оно действительно нужно, особенно если есть белый IPv4 и доступ к устройствам в локалке легко DNATится на роутере

1. А домашняя сеть у тебя резиновая ? Сейчас когда вафлю имеет каждый электрочайник и выключатель - очень скоро станет тесно. Конечно не ко всему из этого нужен доступ. Сегодня. А завтра - кто его знает. У нас семья из трех человек. В сети около 15-ти устройств. И это только устройства для развлекухи - компы, ноуты, смарты, часы. По факту - раза в два больше, потому что всякий IOT и прочая;

2. Чтобы заNATить устройство - тебе нужно находиться дома. Мне пару дней назад написал знакомый, он в Польше на заработках. Отказали камеры дома. Понятно что ССЗБ все дела, но вот адресочек поменялся, и сюрвеланс превратился в тыкву, включая NAT’ы;

3. Я не спец в сетях, но сдается мне чтобы обслуживать маршрутизацию - нужны значительные аппаратные ресурсы->мощнее->жруще->горячее->дороже. В итоге условный прямой трафик ты можешь гонять на МК уровня Ардуины, а с твоими маршрутами уже нужен минимум 400Мгц MIPS и 128Мб DDR100500. Мужик, я на таком конфиге в третью кваку и вульфа гонял.

Плюсов нет СЕЙЧАС.

1. 10.0.0.0/8 - для домашней сетки мало?

2. А разве доступ к роутеру, со статикой v4, извне локалки трудно прикрутить?

3. В 2021 у любого более-менее нормального роутера хорошее железо. А уж тем более для NAT.

А вообще, v6 мертворождённый. Ждём IPv4+ с бОльшим адресным пространством и полной совместимостью с v4.

10.0.0.0/8 - для домашней сетки мало?

Да. Любой «более менее нормальный роутер» из третьего пункта будет обслуживать 253 устройства в домашней сети. Не забудь, что там нет опции устанавливать произвольную сеть;

А разве доступ к роутеру, со статикой v4, извне локалки трудно прикрутить?

Да. Во-первых, статика еще должна быть, и это одна из главных причин по которой v6. Во-вторых, роутер должен поддерживать фишку подключения извне. В-третьих, это дыра благодаря тому что роутеры светят мордой и по ней можно понять модель и подобрать пароль (в лучшем случае, а в худшем admin\admin). И дыра вполне больших размеров.

В 2021 у любого более-менее нормального роутера хорошее железо. А уж тем более для NAT.

У любого более менее нормального роутера хорошее железо ИЗ-ЗА NAT . Оно греется. И потребляет. Пару градусов, и копейки. Но таких устройств миллионы. Доллар там, ватт здесь, и опп, одной солнечной панелью ты уже не обойдешься.

А вообще, v6 мертворождённый. Ждём IPv4+ с бОльшим адресным пространством и полной совместимостью с v4.

Откуда возьмется полная совместимость ?

А разве доступ к роутеру, со статикой v4, извне локалки трудно прикрутить?

Нет, но вот статический IPv4 в мобильный интернет подключить попробуйте.

1. На моей памяти все ASUS/TP-Link/D-Link позволяли установить любую подсеть, даже /8.

2. Статику позволяет подключить большинство провайдеров. Из пункта 1 все роутеры имеют возможность подключения извне. А безопасность… ну тут да, но дешевые роутеры с подключенным v6 имеют дыру ещё бОльших размеров.

3. А зачем каждый градус и ватт считать? Компы и ноуты с печками затмевают потребление сетевого оборудования.

В v4+ лишь добавляем пару октетов для адресного пространства. Всё остальное такое же как в обычном v4. Думаю, новое оборудование можно спроектировать для совместимости.

10.0.0.0/8 - для домашней сетки мало?

много. добавляешь рабочий впн и приехали

дома лучше жить с 192.168.$RANDOM.0/24 во избежании конфликтов с сетями куда ты возможно будешь подключаться.

поэтому иметь возможность назначать реальные адреса - это полезно, даже если запретить на них ходить снаружи.

серые адреса периодически конфликтуют.

IPv6 на любом новом железе уже номинально поддерживается, сколько там на это потребовалось усилий с 1996 года, а ты тут такой с новым протоколом

Вот, например, два IPv4-адреса, оба выделены Xerox: 13.12.40.11 и 13.13.40.11. Чем они отличаются? Какой из них глобально доступен? Какой из них является внутренним?

Зачем всем устройствам без исключения быть доступными отовсюду?

Как устройства без поддержки IPv4+ будут ходить на IPv4+-only узлы, у котороых в расширенной части адреса не нули? А в обратную сторону?

Что делать операционным системам и прикладным программам без поддержки IPv4+?

Возможность напрямую обращаться к любому устройству — это объективное, неоспоримое преимущество.

Это - дыра.

Кто бы ещё говорил про фанатизм.

Возможность адресоваться/обращаться к любому устройству — это преимущество, т. к. добавляет возможности, которых не было раньше, и не отбирает никаких других возможностей. Дырой она становится только при неправильной конфигурации, но при неправильной конфигурации вообще много чего становится дырой (особенно учитывая, что и с IPv4 есть точно такая же «дыра», просто более трудно эксплуатируемая). А не замечать объективных преимуществ и возводить в абсолют гипотетические недостатки — это самый что ни на есть фанатизм.

Форвардинг внутрь на роутере должен быть разрешен и настроен. Иначе ничего не выйдет.

Гениальный в своей дебильности аргумент.

Форвардинг на роутере всегда включен, иначе это не роутер (лол). А если форвардинг между какими-то конкретными сетями запрещён файрволлом, то он и с IPv6 будет запрещён.

объективных преимуществ

Нет. Просто есть люди, которым нравится все новое потому, что оно новое.

гипотетические недостатки

Недостатки не гипотетические (хотелось схохмить «генетические», да), а вполне реальные, к сожалению. Сама парадигма IPv6 подразумевает максимальное усложнение организации защищенного периметра, потому что во главу всего поставлена глобальная доступность адресов. Когда практически никак не можешь прогнозировать адресацию, ты не можешь её эффективно фильтровать - только Жаров-style, дропать/аксептить подсетями из охулиарда устройств.

Форвардинг на роутере всегда включен, иначе это не роутер (лол). А если форвардинг между какими-то конкретными сетями запрещён файрволлом, то он и с IPv6 будет запрещён.

С чего он будет запрещен? Кому он будет запрещен? А как разрешить так, чтобы не разрешить лишнего? Правильный ответ - в IPv6 никак не получится. В этом нашем IPv4 модель адресации ясная и понятная, какой адрес/подсеть устройству выдал, такой и можешь пускать. Можно его еще и прибить гвоздями к vlan’у, если так сильно параноить захочется. А что, простите, пускать в случае IPv6? /64 подсеть с неизвестным количеством устройств? Еще раз - не придумывали сетевики еще в природе чего-то менее безопасного, чем IPv6. Он может существовать только в мире розовых поней, срущих радугой, где никаких 0day уязвимостей не бывает и all devices have their firmware continously delivered and up to date.

Просто есть люди, которым нравится все новое потому, что оно новое.

В эту игру можно играть вдвоём. С IPv6 всё хорошо, просто есть люди, которым не нравится всё новое, просто потому что оно новое.

Сама парадигма IPv6 подразумевает максимальное усложнение организации защищенного периметра, потому что во главу всего поставлена глобальная доступность адресов.

Как одно связано с другим? Конкретика будет или как обычно?

Когда практически никак не можешь прогнозировать адресацию, ты не можешь её эффективно фильтровать

Ну ты, может, и не можешь. Это едва ли проблема IPv6.

С чего он будет запрещен? Кому он будет запрещен?

По условию задачи, млять. Если у тебя в IPv4 нет файрволла, то отсутствие «внешних адресов» тебя не спасёт, выше по треду уже в деталях расписали, как именно и куда можно тебя поиметь. А если есть, то куда и почему он исчезнет при переходе на IPv6?

А как разрешить так, чтобы не разрешить лишнего? Правильный ответ - в IPv6 никак не получится.

Извини, но если у тебя «никак не получится», то это, опять же, проблема между стулом и клавиатурой, а не в IPv6.

А что, простите, пускать в случае IPv6? /64 подсеть с неизвестным количеством устройств?

Запрещаешь SLAAC на уровне RA, включаешь DHCPv6 и параноишь сколько угодно.

Еще раз - не придумывали сетевики еще в природе чего-то менее безопасного, чем IPv6.

Потому что ты так сказал?

Если у тебя в IPv4 нет файрволла

А, еще один свидетель NATa… Найди мне в треде, где я про NAT что-то писал. После этого с тобой просто не интересно спорить, как с любым фанатиком с догматами в голове.

как с любым фанатиком с догматами в голове

А теперь перечитай свои сообщения.

Удачи.

С 6 придётся такое делать для каждого устройства

Нет. Точно также на маршрутизаторе делаешь drop in на провайдерском интерфейсе и всё.

ТС, в IPv6 не будет NAT, поэтому у каждого устройства будет свой адрес. Без NAT станет немного быстрее, и меньше каптч если ты делил раньше публичный адрес с большим количеством других клиентов.

СОРМ у провайдера решает эту проблему

Чё то захотелось себе ipv6, а у провайдера нет такой услуги.

Всякие туннельные и другие 6to4 можно запользовать.

Провайдер гоняет мой трафик через nat. Туннели работать не будут.

преимущества обозначили двумя сообщениями выше, реакция ТС пропустить все мимо внимания и сказать что преимуществ нет. NAT это как минимум дополнительные накладные сетевые расходы, не говоря о настройке, поддержке (для домашней сети конечно менее актуально), но смысл в том что можно было бы и согласиться, тем более если задарма, чего нет то? Узнали бы для себя что-то новое.

Провайдер Дом.ру сегодня по телефону (!) оповестил меня о возможности бесплатного подключения IPv6 /64

Хочу! главным образом потому что бесплатно. сибирские сети уже лет 5 снабжают инетом ниже плинтуса. а тут, может, каналы посвободнее будут. вряд ли по ipv6 активно ддосы ведутся.

vpn туннель в общем-то без разницы по какому протоколу кидать.

позвонил: а у нас в городе IPv6 не подключают:(((

справочная инфа https://version6.ru/

Я люблю ipv6 за то, что можно обоцтись без NAT.

зачем отбирать, когда можно брать деньги?
дом.ру 100 рублей в месяц берет за белый IPv4
И да, при этом они всё равно его NATят

IPv6 дома в принципе не нужен,
много лет он у меня есть через Hurricane Electric tunnel broker,
реального использования практически нет

лучше не будет, даже если сделают ipv6, то выше плинтуса предоставляемых услуг в целом он не прыгнет, будут только дополнительные косяки и прыганье вирусов по сети.

У старого провайдера был одно время ipv6, потом они его зачем-то выключили, но в широковещалке еще долго мусор летал от анонсов ipv6

гг)

Так тунель как раз и должен работать. Вроде бы.

платами за статические и белые IP

Передаю привет МГТС’у с его ДИНАМИЧЕСКИМ ipv6.

много лет он у меня есть через Hurricane Electric tunnel broker,
реального использования практически нет

Полностью аналогично.

дом.ру подключает по pppoe. я не уверен, что там есть широковещательные запросы и вообще клиенты друг друга видят, как в обычной сети.

дом.ру это конгломерация провайдеров, по PPPoE подключается у нас в городе часть, в старых районах, всех остальных подключают по ~DHCP~ статическому IP с привязкой по MAC


Впрочем, про мусор в широковещалке была речь о другом провайдере, там тоже DHCP (на этот раз честный и без NATа для белого IP, который там выдавали еще и бесплатно...)

конгломерация

то, что ты так назвала, было по всей россии. укрупнение провайдеров, но они давно уже все под одной крышей и на одном оборудовании.

IPv6 - это нормальная вещь. И работает ipv6(multicast) быстрее, чем ipv4(broadcast).

Также, спокойно можно подключаться к 2 и более провайдерам по ipv6. Не нужно заморачиваться с различными таблицами для каждого провайдера.

В Германии половина трафика уже ipv6. работает, никто даже не обращает внимания.

А если глобально, то адресное пространство уже нарезано на континенты, страны, провайдеры и клиентов. Таблица маршрутизации гораздо меньше, чем в ipv4. До сих пор помню такую вещь как bgp full view. И для каждого провайдера нужно было загружать свою fullview. А память в роутере не резиновая.

НО - Читал, что в asus роутерах есть фаервол для ipv4, а для ipv6 нет. И если случайно провайдер включит ipv6, то все «мамкины хакеры» смогут спокойно залезть на роутер в гости.

Но это не мешает им использовать разные варианты подключения даже в пределах одного подъезда. Во всяком случае у полосатых такое есть.

скажи, по pppoe я ipsec не смогу гонять?

Эм, не понял вопроса.

да вот я тоже пока не понял. дом.ру проводит до дома ethernet. потом по pppoe они подключают либо по ipv4, либо по ipv6 по выбору. я не знаю, что там выходит со внешним IP, стало быть не знаю, как ведет себя ipsec.

С таким вариантом не сталкивался. Даже слышу про подобный вариант первый раз.