Дамы и господа – то, о чём так долго предупреждала Администрация адресного пространства Интернет (IANA), свершилось. У Американского регистратора интернет-номеров (ARIN) закончились адреса в пространстве IPv4.
То, что адреса закончатся скорее рано, чем поздно, известно было уже не один десяток лет. Чересчур щедрую раздачу по «классам» адресов сменила новая адресация, повсеместно стали использовать NAT, но число подключаемых к сети устройств и виртуальных машин росло чуть ли не экспоненциально.
О необходимости перехода на адреса IPv6, стандарт которых разработали ещё в конце 90-х, регистраторы постоянно предупреждали, но инерция, непонимание проблемы и привычка ждать клевка жареной птицы привела к тому, что в большинстве своём компании не задумывались об этом. И теперь у ARIN, регистратора, обслуживающего США, Канаду, Карибские острова и острова Северной Атлантики больше нет в резерве крупных блоков свободных адресов.
Время убывания свободных адресов ARIN разделил на 4 фазы разной напряжённости. Последняя, 4-я, длилась несколько лет. Теперь организация, обратившаяся к регистратору за порцией адресов, скорее всего не получит их желаемого количества. Регистратор будет раздавать оставшиеся порции, а желающие получать адреса будут вставать в очередь, на случай освобождения уже использовавшихся. На следующей неделе ARIN сделает официальное объявление об этом событии.
Специалисты советуют всем задуматься о неотложном переходе на IPv6. Провайдерам – чтобы не отстать от конкурентов, компаниям – чтобы не столкнуться с многочисленными трудностями эксплуатации NAT (особенно многослойных) и не вкладываться в роутеры, способные справляться с возрастающими таблицами маршрутизации.
Комментарии (64)
lolipop
25.09.2015 10:11+1Уже 5 лет пугают, и ничего пока не изменилось. Как была технология для гиков и специальных применений — так и осталась. Пока что я вижу только минусы ipv6:
1) 99% процентов системных администаторов не думают о существовании ipv6 и правила для фаервола настраивают исключительно для ipv4, а потом через link-local все порты машинки светятся наружу.
2) визуальная отладка(tcpdump) крайне затруднена.
3) после ipv4 сложно даётся адресация в ipv6.
4) домашнее сетевое оборудование очень условно поддерживает ipv6.
Salabar
25.09.2015 10:58+1А отсутствие костылей типа NAT и цирка с конями ради получения IP-адресов?
lolipop
25.09.2015 11:03-3а зачем нат, если есть обычный ipv4-роутинг?
Alexeyslav
25.09.2015 11:07+1Чтобы подключить все ваше 10 устройств в доме к одному адресу выделенному провайдером.
lolipop
25.09.2015 11:30-1если мне нужны дополнительные ipv4-адреса, я закажу их у провайдера и выставлю их наружу маршрутизацией, без ната. у вас в квартире сколько входных дверей, 1? вот и айпи-адресов выделяют 1шт, вполне логично.
shoomyst
25.09.2015 13:47+3Расскажите это пользователям беларусского Белтелеком, которые сидят за его NATом. Это уже получается один въезд (кпп) в город/страну
lolipop
25.09.2015 16:12ростелеком же как-то справляется, выдаёт внешние айпишники. с другой стороны, 80% пользователей даже и не подозревают, что их в чем-то обделили. не вижу проблемы для 20% пользователей нуждающихся в этом за умеренную плату давать динамические внешние айпи-адреса. или так и есть?
Alexeyslav
25.09.2015 16:42Эти адреса не бесплатны. Провайдер с большой неохотой отстёгивает пользователям даже один выделенный адрес — сейчас это ресурс дефицитный, а значит дорогой.
В IPv6 эта проблема решена кардинально, сейчас на одного пользователя можно выделить не меньше миллиарда адресов. Со временем конечно это пространство несколько уменьшится…
FSA
28.09.2015 13:58А меж тем уже некоторые пользователи уже сталкиваются с проблемами из-за NAT на уровне провайдера. На Урале Ростелеком уже давно начал выдавать серые адреса вместо белых. Хочет человек получить доступ к своей системе видеонаблюдения и никакой DynDNS его уже не спасает. Нужно идти и получать у провайдера фиксированный адрес потому что половину времени он будет висеть на сером IP и доступа из интернета не будет.
lolipop
25.09.2015 11:51-10И вообще что-то у меня сейчас прямо бомбануло так бомбануло. Люди, вы что, думаете, перейдем вот сейчас все на ipv6 И ЗАЖИВЁМ? Да у интернета сотни проблем поважнее! Открытые почтовые релеи, спам, нарушение сетевой нейтральности со стороны провайдеров, подмена днс и встраивание контента в чужие сайты, повальное использование http вместо https, открытые хотспоты, полное игнорирование защищенных мессенджеров, повальная слежка государств и частных компаний за пользователеями, вирусы, мошенничество, не использованиея эцп в письмах/мессенжерах, роскомнадзоры всякие.
neomedved
25.09.2015 13:54+7Вы считаете, раз есть другие проблемы, то эту решать не надо?
lolipop
25.09.2015 14:40на мой взгляд, это далеко не самая главная.
anVlad11
25.09.2015 16:03+3Вот просыпаетесь вы одним прекрасным утром, а у вас один IP с половиной города. И не работают ни Google, который считает, что вы генерируете слишком много запросов, ни ВК, в котором вы замучаетесь вбивать капчу после каждого сообщения.
Gorthauer87
25.09.2015 11:59Всё хочу проверить тестовый ipv6 у своего провайдера, да времени как-то не нахожу. Вообще, у нас в стране много кто дает хотя бы тестовый ipv6 доступ?
Foror
25.09.2015 18:10>Чересчур щедрую раздачу
С ipv6 история развивается по спирали, мне на один сервак выдали блок /64 считай весь ipv4 инет )
А по поводу ipv6, все совсем глухо, пробовал пинговать популярные веб-сайты и например, у того же twitter.com, kinopoisk.ru, instagram.com — нету ipv6, об чем разговор? Что уж говорить о всяких мелких проектах? Пусть сначала популярные веб-сайты внедрят, а там может и провайдеры подтянутся.vagran
25.09.2015 21:45Ну вообще-то это нормально. Насколько я помню, там была рекомендация старшие 64 бита считать сетевой частью, младшие интерфейсной. Меньше 64 бит по идее выдавать не должны.
Night_Snake
25.09.2015 18:33+1Я думаю, если «раскулачить» apple/hp и парочку университетов, отхапавших себе по /8 в свое время, агонию можно продлить еще на пару-тройку лет как минимум.
wormball
25.09.2015 19:34+12Три вещи могут происходить бесконечно — изобретение новых революционных аккумуляторов, выход вояджера за пределы солнечной системы и исчерпание айпи-адресов.
Sychuan
25.09.2015 20:35Ну вообще-то речь идет о региональном интернет-регистраторе (это уже третий, вроде как), а не о том, что адреса вообще все закончились и больше нет свободных.
Сейчас вроде как остались блоки у лат.америки и африки только
Dark_Purple
Надо вводить IPv8 сразу, 2 байтика погоды не сделают, но адресов хватит всем и на бОльший срок.
Salabar
В IPv6 64-битные адреса и это позволяет давать каждому абоненту подсеть размером со старый интернет.
lolipop
а зачем мне, как абоненту, давать своим устройствам публичные айпи-адреса? наоборот, я хочу чтобы мои устройства были максимально изолированы от интернета в приватной подсети.
AxisPod
Ну учитывая, что сейчас начинается развитие Интернета вещей, да и к примеру меня устраивает возможность мониторинга происходящего в квартире удалённо.
lolipop
IoT-вещь итак, как правило, ломится в облако. Зачем глупому устройству, а зачастую еще и без обновлений прошивки, торчать голой попой в интернет — мне не понятно. Сломают это устройство на китайской прошивке и вся локалка скомпрометирована.
shifttstas
Ну так не надо кривые прошивки использовать =) да и облако в конечном итоге можно избежать. Зачем делать костыль в виде его если данные могут P2P ходить?
lolipop
вы не понимаете. наоборот, я не доверяю устройствам и НЕ хочу чтобы они куда-либо ходили без моего ведома, а тем более принимали входящие содинения.
например, у меня есть дома айпи-камера с неотключаемым облаком провайдера. я борюсь с этим, запрещая на шлюзике доступ с айпи этой камеры в интернет И не прописывая(на всякий случай) основной шлюз в сетевых настройках камеры. где мне прошивку другую взять для этой камеры? и таких устройств полно. или там ноутбук родственника какой-нибудь на старой windows. вот зачем мне его выставлять в открытый интернет?
ipv6 — протокол интернета вещей а так же глобального ботнета из них же. прошивки на железки никто не обновляет, находят какую-нибудь дырку в ядре linux(или в популярном сервисе вроде ssh) и привет. нет, спасибо, с ipv6 дома мне не по пути.
на работе, в изолированном сегменте сети — пожалуйста, но дома — нет.
Alexeyslav
Это не правда. IPv6 более гибкий протокол, он более сложно устроен поэтому не сразу понятно как обеспечить безопасную конфигурацию.
Если я чего не путаю, IPv6 в самом протоколе предлагает такую функцию которая сейчас называется VPN, только не требуется его долго настраивать -ваша домашняя сеть может безопасно быть расширена на любое устройство находящееся в сети интернет, и при этом легко ограничить это устройство от интернета — адресные пространства сильно разные.
mayorovp
В самом протоколе такой функции нет. Когда «пугают» VPN-ом в контексте IPv6, обычно речь идет о Teredo и других переходных протоколах. Их опасность в том, что они — готовые тоннели во внешний мир, притом зачастую предустановленные.
Но это не является «дыркой» самого IPv6, это — дырка переходного периода. Как только компьютер получает IPv6-адрес, он сразу же перестает использовать Teredo. Да и закрыть эти протоколы не сложнее, чем любой другой VPN. Даже проще — ведь их не прячут.
Еще в IPv6 есть IPSEC, который также можно использовать как туннель. Но этот протокол и поверх IPv4 себя неплохо чувствует, так что IPv6 тут не при чем.
Alexeyslav
Это уже чисто проблема маршрутизации. Всего одно правило в фаерволе роутера и ваша сеть не видна снаружи. К тому же, в стандарте IPv6 предусмотрены локальные адреса, для которых выход за пределы домашней подсети невозможен.
Противоположная функциональность этого стандарта — теперь устройства вашей подсети МОГУТ(прошу обратить внимание на это уточнение, в противоположность ОБЯЗАНЫ) находится в любой точке интернета.
Вобщем, фаервол одним движением превращает публичный адрес в непубличный, а нынче он встроен в любой роутер или сетевой модем.
lolipop
Хорошо, но зачем мне в эти пляски пускаться, если я могу всё то же самое в ipv4 получить, традиционным способом? ну и вообще, например, я знаю, что у меня в квартире есть /24 сетка, которую я могу держать в голове. в случае с ipv6 это(держать в голове) сложнее на порядок. в общем, в квартире ipv6 это как на суперкаре в ашан, имхо. к тому же существуют десятки миллионов легаси-девайсов, которые вообще ничего не знают про ipv6, мне надо на два фронта работать? поддерживать и ipv6-сеть и ipv4? ради чего? нет, спасибо, простоты ipv4 для дома мне хватит до старости. есть нормальные годные технологии, например, радио, которые не устаревают уже десятки лет. ipv4 из их же серии.
я думаю, не надо ничего говорить про реализацию ipv6 в современных домашних сохо-железках?
Retifff
А почему нельзя использовать IPv4-адресацию дома, за NAT-ом, а а один внешний адрес на роутере будет IPv6?
Alexeyslav
А смысл? IPv4 стоит использовать только с теми девайсами которые прям совсем не знают что такое IPv6. Операционки нынче знают, роутеры даже SOHO сегмента тоже знают, девайсы 5-летней давности и те повально знают что такое IPv6, причем IP-протокол выше физической линии, поэтому железо какое-то особое не нужно — достаточно переписать прошивку или накатить обновление с новым модулем поддержки. Ну а те девайсы, которые до сих пор не умеют работать с IPv6 это явно не сертифицированные девайсы или очень старые которые давно пора заменить.
Надо еще иметь в виду, что IPv6 помимо прочего решает некоторые проблемы уязвимости IPv4, которые принципиально неустранимы по причине крайней костыльности нынешней редакции IPv4. Вспомните, когда закладывалась эта версия протокола даже в мыслях у людей не было что адресное пространство может закончится.
«и так работает» не означает что работает всё хорошо и правильно.
Почитали бы как на заре NAT-а было проблемно пробросить FTP и POP3/SMTP протоколы… сейчас эти проблемы частично решены и то путём диких костылей.
AllexIn
У меня локалка из 15 устройств.
Я не вижу ни одной причины хотя бы на одно устройство ставить IPv6.
Именно что: А смысл?
Даже сервер у меня за NAT'ом.
Сервер я тем более не хочу светить на весь интернет. Что с NAT, что с обычным файерволом — все равно придется настраивать порты, которым можно в интернет светиться. Так что мне даст IPv6?
Для меня, как админа этой локалки, единственное отличие IPv6 от IPv4+NAT — это то, что IPv6 по умолчанию светится на весь интернет и мне надо не забыть его заблокировать по всем фронтам, кроме отдельных портов на которых висят приложения которым нужен доступ в инет, а IPv4 — по умолчанию заблокирован и мне надо открыть доступ в интернет приложениям.
То есть IPv6 — по умолчанию дыра, а IPv4 — по умолчанию стена.
Ну и нафиг IPv6 обычному пользователю?
Alexeyslav
Через NAT FTP толком не работает, торенты, скайп, DC++ и прочая чепуха. Там очень много костылей реализовано чтобы всё более-менее работало.
Очень забавно иногда происходит когда у провайдера внутренний NAT, и у пользователя через роутер еще один слой NAT…
Проблема в том что IPv4 всё еще работает, но в будущем он должен стать локальным.
Проблема открытости IPv6 решается очень просто изменением дефолтных настроек в роутерах, рано или поздно это БУДЕТ.
Надо понимать что NAT появился как временное решение проблемы нехватки адресов, а не как средство безопасности. Раньше IPv4 кстати очень долгое время торчал незащищенным наружу в дикий интернет, чем это отличается от нынешней ситуации?
Сейчас кстати всё больше и больше появляются сайтов IPv6-only куда с привычного интернета просто не попасть.
AllexIn
Х.з. у меня все работает. :)
Может раньше и были проблемы, но их уже давно нет.
Ну нет проблем. У меня белый IPv4 на роутере. Завтра IPv4 отменят — будет IPv6 на роутере. А внутри все равно локальные адреса будут стоять до последнего. :)
Но при этом обеспечивает дополнительный уровень безопасности.
Совершенно не важно для чего он создавался. Важно какие функции он выполняет и насколько безболезненно от них можно отказаться.
По сути, даже если сейчас у меня внутреннюю локалку всю за один день перевести на Ipv6 — все равно все политики безопасности будут настроены так, что никакой разницы по функционалу не будет.
Условно говоря тот же P2P Не будет работать, потому что все порты будут заблокированы. А чтобы он заработал надо будет разрешить их использование. Что ничем не отличается от настройки проброса портов за NAT.
Alexeyslav
Только в случае NAT это будет сделать сложно, а иногда и очень сложно. UPNP пробивает только первый NAT а дальше?
А ты попробуй режим FTP не пассивный а активный, или соединение сервер-сервер.
AllexIn
А откуда второй то возьмется?
На роутере белый IPv4 или IPv6.
Внутри локальные адреса.
Alexeyslav
белый и даже серый IP большая редкость для большинства провайдеров, тот шнурок который входит в квартиру с большой вероятностью уже за одним, а то и двумя NAT.
У нас в городе, на одного провайдера приходится примерно по 30 абонентов на один внешний IP. IPv6 внедрять не спешат, от инсайдера слышал что никак не раньше чем выйдет из строя главный маршрутизатор.
KivApple
Где-то на хабре проскакивала статья, что достучаться до компьютера за NAT таки возможно, если очень захотеть и будут некоторые благоприятные факторы. В том плане, что NAT не отменяет необходимости настроить фаервол хотя бы на роутере, если безопасность таки интересует. И iptables -P INPUT DROP на самому компьютере даёт куда больше защиты, чем NAT.
Опять же потребительские роутеры вполне могут по дефолту запрещать доступ к локалке, а открывать лишь с помощью UPnP или аналогичного протокола. А китайская фигня и сейчас может светить админкой во внешнюю сеть, что куда хуже отсутствия NAT.
FSA
Ну вы сейчас для работы сети используете файервол и NAT. Если будете использовать IPv6, то просто выбросите тяжёлый NAT за ненадобностью и оставите только более лёгкий для вашего маршрутизатора файервол. Больше никаких проблем с отсутствием звука при SIP соединениях, никаких проблем с FTP и т.д.
Dark_Purple
Наверно у меня с математикой проблемы. Сейчас адреса 48 битные, и чтобы каждому абоненту дать подсеть размером с интернет нужно чтобы новые адреса были 96битными(8байт), а не 64х.
mayorovp
И правда проблемы… «Сейчас» (ipv4) адреса 32х-битные вообще-то. Кстати, 8 байт — это и есть 64 бита, а 96 бит — это целых 12 байт.
Dark_Purple
Точно у меня проблемы, не умею умножать на 8 ))) Однако 6байтных адресов не хватит чтобы дать каждому 4байтную подсеть(размером с интернет).
mayorovp
IPv6 использует 8-байтные адреса. Не следует путать версию протокола и разрядность адреса.
Dark_Purple
Спасибо
wormball
IPv6 (англ. Internet Protocol version 6) — новая версия протокола IP, призванная решить проблемы, с которыми столкнулась предыдущая версия (IPv4) при её использовании в Интернете, за счёт использования длины адреса 128 бит вместо 32.
mayorovp
И правда. Эффект якорения как он есть :)
KivApple
IPv6 имеет 16-байтные или 128-битные (8 * 16 = 128) адреса. Что же вы всё путаете…
KivApple
Ошибаетесь. В IPv6 128-битные адреса. Поэтому в настоящий момент абсолютно бесплатно раздают подсети /64, а иногда даже /48. Так что каждый получается не просто подсеть размером со старый интернет, а подсеть размером с 2 ^ 32 старых интернетов.