image

Дамы и господа – то, о чём так долго предупреждала Администрация адресного пространства Интернет (IANA), свершилось. У Американского регистратора интернет-номеров (ARIN) закончились адреса в пространстве IPv4.

То, что адреса закончатся скорее рано, чем поздно, известно было уже не один десяток лет. Чересчур щедрую раздачу по «классам» адресов сменила новая адресация, повсеместно стали использовать NAT, но число подключаемых к сети устройств и виртуальных машин росло чуть ли не экспоненциально.

О необходимости перехода на адреса IPv6, стандарт которых разработали ещё в конце 90-х, регистраторы постоянно предупреждали, но инерция, непонимание проблемы и привычка ждать клевка жареной птицы привела к тому, что в большинстве своём компании не задумывались об этом. И теперь у ARIN, регистратора, обслуживающего США, Канаду, Карибские острова и острова Северной Атлантики больше нет в резерве крупных блоков свободных адресов.

Время убывания свободных адресов ARIN разделил на 4 фазы разной напряжённости. Последняя, 4-я, длилась несколько лет. Теперь организация, обратившаяся к регистратору за порцией адресов, скорее всего не получит их желаемого количества. Регистратор будет раздавать оставшиеся порции, а желающие получать адреса будут вставать в очередь, на случай освобождения уже использовавшихся. На следующей неделе ARIN сделает официальное объявление об этом событии.

Специалисты советуют всем задуматься о неотложном переходе на IPv6. Провайдерам – чтобы не отстать от конкурентов, компаниям – чтобы не столкнуться с многочисленными трудностями эксплуатации NAT (особенно многослойных) и не вкладываться в роутеры, способные справляться с возрастающими таблицами маршрутизации.

Комментарии (64)


  1. Dark_Purple
    25.09.2015 09:50
    -21

    Надо вводить IPv8 сразу, 2 байтика погоды не сделают, но адресов хватит всем и на бОльший срок.


    1. Salabar
      25.09.2015 10:05
      +7

      В IPv6 64-битные адреса и это позволяет давать каждому абоненту подсеть размером со старый интернет.


      1. lolipop
        25.09.2015 10:13
        -2

        а зачем мне, как абоненту, давать своим устройствам публичные айпи-адреса? наоборот, я хочу чтобы мои устройства были максимально изолированы от интернета в приватной подсети.


        1. AxisPod
          25.09.2015 10:29
          -2

          Ну учитывая, что сейчас начинается развитие Интернета вещей, да и к примеру меня устраивает возможность мониторинга происходящего в квартире удалённо.


          1. lolipop
            25.09.2015 10:31
            +6

            IoT-вещь итак, как правило, ломится в облако. Зачем глупому устройству, а зачастую еще и без обновлений прошивки, торчать голой попой в интернет — мне не понятно. Сломают это устройство на китайской прошивке и вся локалка скомпрометирована.


            1. shifttstas
              25.09.2015 11:12
              -3

              Ну так не надо кривые прошивки использовать =) да и облако в конечном итоге можно избежать. Зачем делать костыль в виде его если данные могут P2P ходить?


              1. lolipop
                25.09.2015 11:20
                +5

                вы не понимаете. наоборот, я не доверяю устройствам и НЕ хочу чтобы они куда-либо ходили без моего ведома, а тем более принимали входящие содинения.

                например, у меня есть дома айпи-камера с неотключаемым облаком провайдера. я борюсь с этим, запрещая на шлюзике доступ с айпи этой камеры в интернет И не прописывая(на всякий случай) основной шлюз в сетевых настройках камеры. где мне прошивку другую взять для этой камеры? и таких устройств полно. или там ноутбук родственника какой-нибудь на старой windows. вот зачем мне его выставлять в открытый интернет?

                ipv6 — протокол интернета вещей а так же глобального ботнета из них же. прошивки на железки никто не обновляет, находят какую-нибудь дырку в ядре linux(или в популярном сервисе вроде ssh) и привет. нет, спасибо, с ipv6 дома мне не по пути.
                на работе, в изолированном сегменте сети — пожалуйста, но дома — нет.


                1. Alexeyslav
                  25.09.2015 15:59

                  Это не правда. IPv6 более гибкий протокол, он более сложно устроен поэтому не сразу понятно как обеспечить безопасную конфигурацию.
                  Если я чего не путаю, IPv6 в самом протоколе предлагает такую функцию которая сейчас называется VPN, только не требуется его долго настраивать -ваша домашняя сеть может безопасно быть расширена на любое устройство находящееся в сети интернет, и при этом легко ограничить это устройство от интернета — адресные пространства сильно разные.


                  1. mayorovp
                    25.09.2015 17:20
                    +1

                    В самом протоколе такой функции нет. Когда «пугают» VPN-ом в контексте IPv6, обычно речь идет о Teredo и других переходных протоколах. Их опасность в том, что они — готовые тоннели во внешний мир, притом зачастую предустановленные.

                    Но это не является «дыркой» самого IPv6, это — дырка переходного периода. Как только компьютер получает IPv6-адрес, он сразу же перестает использовать Teredo. Да и закрыть эти протоколы не сложнее, чем любой другой VPN. Даже проще — ведь их не прячут.

                    Еще в IPv6 есть IPSEC, который также можно использовать как туннель. Но этот протокол и поверх IPv4 себя неплохо чувствует, так что IPv6 тут не при чем.


        1. Alexeyslav
          25.09.2015 11:03
          +4

          Это уже чисто проблема маршрутизации. Всего одно правило в фаерволе роутера и ваша сеть не видна снаружи. К тому же, в стандарте IPv6 предусмотрены локальные адреса, для которых выход за пределы домашней подсети невозможен.
          Противоположная функциональность этого стандарта — теперь устройства вашей подсети МОГУТ(прошу обратить внимание на это уточнение, в противоположность ОБЯЗАНЫ) находится в любой точке интернета.

          Вобщем, фаервол одним движением превращает публичный адрес в непубличный, а нынче он встроен в любой роутер или сетевой модем.


          1. lolipop
            25.09.2015 11:12

            Хорошо, но зачем мне в эти пляски пускаться, если я могу всё то же самое в ipv4 получить, традиционным способом? ну и вообще, например, я знаю, что у меня в квартире есть /24 сетка, которую я могу держать в голове. в случае с ipv6 это(держать в голове) сложнее на порядок. в общем, в квартире ipv6 это как на суперкаре в ашан, имхо. к тому же существуют десятки миллионов легаси-девайсов, которые вообще ничего не знают про ipv6, мне надо на два фронта работать? поддерживать и ipv6-сеть и ipv4? ради чего? нет, спасибо, простоты ipv4 для дома мне хватит до старости. есть нормальные годные технологии, например, радио, которые не устаревают уже десятки лет. ipv4 из их же серии.

            нынче он встроен в любой роутер или сетевой модем

            я думаю, не надо ничего говорить про реализацию ipv6 в современных домашних сохо-железках?


            1. Retifff
              25.09.2015 14:19
              +1

              А почему нельзя использовать IPv4-адресацию дома, за NAT-ом, а а один внешний адрес на роутере будет IPv6?


              1. Alexeyslav
                25.09.2015 16:55

                А смысл? IPv4 стоит использовать только с теми девайсами которые прям совсем не знают что такое IPv6. Операционки нынче знают, роутеры даже SOHO сегмента тоже знают, девайсы 5-летней давности и те повально знают что такое IPv6, причем IP-протокол выше физической линии, поэтому железо какое-то особое не нужно — достаточно переписать прошивку или накатить обновление с новым модулем поддержки. Ну а те девайсы, которые до сих пор не умеют работать с IPv6 это явно не сертифицированные девайсы или очень старые которые давно пора заменить.
                Надо еще иметь в виду, что IPv6 помимо прочего решает некоторые проблемы уязвимости IPv4, которые принципиально неустранимы по причине крайней костыльности нынешней редакции IPv4. Вспомните, когда закладывалась эта версия протокола даже в мыслях у людей не было что адресное пространство может закончится.

                «и так работает» не означает что работает всё хорошо и правильно.
                Почитали бы как на заре NAT-а было проблемно пробросить FTP и POP3/SMTP протоколы… сейчас эти проблемы частично решены и то путём диких костылей.


                1. AllexIn
                  25.09.2015 20:02
                  -1

                  А смысл? IPv4 стоит использовать только с теми девайсами которые прям совсем не знают что такое IPv6.

                  У меня локалка из 15 устройств.
                  Я не вижу ни одной причины хотя бы на одно устройство ставить IPv6.
                  Именно что: А смысл?
                  Даже сервер у меня за NAT'ом.
                  Сервер я тем более не хочу светить на весь интернет. Что с NAT, что с обычным файерволом — все равно придется настраивать порты, которым можно в интернет светиться. Так что мне даст IPv6?
                  Для меня, как админа этой локалки, единственное отличие IPv6 от IPv4+NAT — это то, что IPv6 по умолчанию светится на весь интернет и мне надо не забыть его заблокировать по всем фронтам, кроме отдельных портов на которых висят приложения которым нужен доступ в инет, а IPv4 — по умолчанию заблокирован и мне надо открыть доступ в интернет приложениям.

                  То есть IPv6 — по умолчанию дыра, а IPv4 — по умолчанию стена.
                  Ну и нафиг IPv6 обычному пользователю?


                  1. Alexeyslav
                    25.09.2015 20:40
                    +1

                    Через NAT FTP толком не работает, торенты, скайп, DC++ и прочая чепуха. Там очень много костылей реализовано чтобы всё более-менее работало.
                    Очень забавно иногда происходит когда у провайдера внутренний NAT, и у пользователя через роутер еще один слой NAT…
                    Проблема в том что IPv4 всё еще работает, но в будущем он должен стать локальным.
                    Проблема открытости IPv6 решается очень просто изменением дефолтных настроек в роутерах, рано или поздно это БУДЕТ.

                    Надо понимать что NAT появился как временное решение проблемы нехватки адресов, а не как средство безопасности. Раньше IPv4 кстати очень долгое время торчал незащищенным наружу в дикий интернет, чем это отличается от нынешней ситуации?
                    Сейчас кстати всё больше и больше появляются сайтов IPv6-only куда с привычного интернета просто не попасть.


                    1. AllexIn
                      25.09.2015 20:49

                      Там очень много костылей реализовано чтобы всё более-менее работало.

                      Х.з. у меня все работает. :)
                      Может раньше и были проблемы, но их уже давно нет.

                      Очень забавно иногда происходит когда у провайдера внутренний NAT, и у пользователя через роутер еще один слой NAT…

                      Ну нет проблем. У меня белый IPv4 на роутере. Завтра IPv4 отменят — будет IPv6 на роутере. А внутри все равно локальные адреса будут стоять до последнего. :)

                      Надо понимать что NAT появился как временное решение проблемы нехватки адресов, а не как средство безопасности.

                      Но при этом обеспечивает дополнительный уровень безопасности.
                      Совершенно не важно для чего он создавался. Важно какие функции он выполняет и насколько безболезненно от них можно отказаться.
                      По сути, даже если сейчас у меня внутреннюю локалку всю за один день перевести на Ipv6 — все равно все политики безопасности будут настроены так, что никакой разницы по функционалу не будет.
                      Условно говоря тот же P2P Не будет работать, потому что все порты будут заблокированы. А чтобы он заработал надо будет разрешить их использование. Что ничем не отличается от настройки проброса портов за NAT.


                      1. Alexeyslav
                        25.09.2015 21:14

                        Только в случае NAT это будет сделать сложно, а иногда и очень сложно. UPNP пробивает только первый NAT а дальше?
                        А ты попробуй режим FTP не пассивный а активный, или соединение сервер-сервер.


                        1. AllexIn
                          25.09.2015 21:35

                          UPNP пробивает только первый NAT а дальше?

                          А откуда второй то возьмется?
                          На роутере белый IPv4 или IPv6.
                          Внутри локальные адреса.


                          1. Alexeyslav
                            25.09.2015 23:05

                            белый и даже серый IP большая редкость для большинства провайдеров, тот шнурок который входит в квартиру с большой вероятностью уже за одним, а то и двумя NAT.
                            У нас в городе, на одного провайдера приходится примерно по 30 абонентов на один внешний IP. IPv6 внедрять не спешат, от инсайдера слышал что никак не раньше чем выйдет из строя главный маршрутизатор.


                  1. KivApple
                    26.09.2015 17:26

                    по умолчанию стена


                    Где-то на хабре проскакивала статья, что достучаться до компьютера за NAT таки возможно, если очень захотеть и будут некоторые благоприятные факторы. В том плане, что NAT не отменяет необходимости настроить фаервол хотя бы на роутере, если безопасность таки интересует. И iptables -P INPUT DROP на самому компьютере даёт куда больше защиты, чем NAT.

                    Опять же потребительские роутеры вполне могут по дефолту запрещать доступ к локалке, а открывать лишь с помощью UPnP или аналогичного протокола. А китайская фигня и сейчас может светить админкой во внешнюю сеть, что куда хуже отсутствия NAT.


                  1. FSA
                    28.09.2015 13:52

                    Ну вы сейчас для работы сети используете файервол и NAT. Если будете использовать IPv6, то просто выбросите тяжёлый NAT за ненадобностью и оставите только более лёгкий для вашего маршрутизатора файервол. Больше никаких проблем с отсутствием звука при SIP соединениях, никаких проблем с FTP и т.д.


      1. Dark_Purple
        25.09.2015 11:36
        -4

        Наверно у меня с математикой проблемы. Сейчас адреса 48 битные, и чтобы каждому абоненту дать подсеть размером с интернет нужно чтобы новые адреса были 96битными(8байт), а не 64х.


        1. mayorovp
          25.09.2015 11:46
          +4

          И правда проблемы… «Сейчас» (ipv4) адреса 32х-битные вообще-то. Кстати, 8 байт — это и есть 64 бита, а 96 бит — это целых 12 байт.


          1. Dark_Purple
            25.09.2015 11:54
            -5

            Точно у меня проблемы, не умею умножать на 8 ))) Однако 6байтных адресов не хватит чтобы дать каждому 4байтную подсеть(размером с интернет).


            1. mayorovp
              25.09.2015 12:09
              +4

              IPv6 использует 8-байтные адреса. Не следует путать версию протокола и разрядность адреса.


              1. Dark_Purple
                25.09.2015 12:46
                +1

                Спасибо


              1. wormball
                25.09.2015 18:07
                +1

                IPv6 (англ. Internet Protocol version 6) — новая версия протокола IP, призванная решить проблемы, с которыми столкнулась предыдущая версия (IPv4) при её использовании в Интернете, за счёт использования длины адреса 128 бит вместо 32.


                1. mayorovp
                  25.09.2015 18:53
                  +1

                  И правда. Эффект якорения как он есть :)


              1. KivApple
                25.09.2015 18:32
                +4

                IPv6 имеет 16-байтные или 128-битные (8 * 16 = 128) адреса. Что же вы всё путаете…


      1. KivApple
        25.09.2015 18:31
        +2

        Ошибаетесь. В IPv6 128-битные адреса. Поэтому в настоящий момент абсолютно бесплатно раздают подсети /64, а иногда даже /48. Так что каждый получается не просто подсеть размером со старый интернет, а подсеть размером с 2 ^ 32 старых интернетов.


  1. lolipop
    25.09.2015 10:11
    +1

    Уже 5 лет пугают, и ничего пока не изменилось. Как была технология для гиков и специальных применений — так и осталась. Пока что я вижу только минусы ipv6:
    1) 99% процентов системных администаторов не думают о существовании ipv6 и правила для фаервола настраивают исключительно для ipv4, а потом через link-local все порты машинки светятся наружу.
    2) визуальная отладка(tcpdump) крайне затруднена.
    3) после ipv4 сложно даётся адресация в ipv6.
    4) домашнее сетевое оборудование очень условно поддерживает ipv6.


    1. Salabar
      25.09.2015 10:58
      +1

      А отсутствие костылей типа NAT и цирка с конями ради получения IP-адресов?


      1. lolipop
        25.09.2015 11:03
        -3

        а зачем нат, если есть обычный ipv4-роутинг?


        1. Alexeyslav
          25.09.2015 11:07
          +1

          Чтобы подключить все ваше 10 устройств в доме к одному адресу выделенному провайдером.


          1. lolipop
            25.09.2015 11:30
            -1

            если мне нужны дополнительные ipv4-адреса, я закажу их у провайдера и выставлю их наружу маршрутизацией, без ната. у вас в квартире сколько входных дверей, 1? вот и айпи-адресов выделяют 1шт, вполне логично.


            1. shoomyst
              25.09.2015 13:47
              +3

              Расскажите это пользователям беларусского Белтелеком, которые сидят за его NATом. Это уже получается один въезд (кпп) в город/страну


              1. lolipop
                25.09.2015 16:12

                ростелеком же как-то справляется, выдаёт внешние айпишники. с другой стороны, 80% пользователей даже и не подозревают, что их в чем-то обделили. не вижу проблемы для 20% пользователей нуждающихся в этом за умеренную плату давать динамические внешние айпи-адреса. или так и есть?


            1. Salabar
              25.09.2015 14:38

              Так кто же вам даст дополнительные адреса, если их тупо нет?


              1. lolipop
                25.09.2015 14:39

                закончились свободные адреса у регистраторов, а у тех, кому они выданы они вполне себе есть.


                1. Salabar
                  25.09.2015 14:49

                  У операторов тоже зачастую стоит задача распределить 10к адресов между 40к абонентов.


                  1. Alexeyslav
                    25.09.2015 16:44

                    Если бы, обычно еще хуже — 126 адресов на 10000+ абонентов.


            1. Alexeyslav
              25.09.2015 16:42

              Эти адреса не бесплатны. Провайдер с большой неохотой отстёгивает пользователям даже один выделенный адрес — сейчас это ресурс дефицитный, а значит дорогой.
              В IPv6 эта проблема решена кардинально, сейчас на одного пользователя можно выделить не меньше миллиарда адресов. Со временем конечно это пространство несколько уменьшится…


    1. FSA
      28.09.2015 13:58

      А меж тем уже некоторые пользователи уже сталкиваются с проблемами из-за NAT на уровне провайдера. На Урале Ростелеком уже давно начал выдавать серые адреса вместо белых. Хочет человек получить доступ к своей системе видеонаблюдения и никакой DynDNS его уже не спасает. Нужно идти и получать у провайдера фиксированный адрес потому что половину времени он будет висеть на сером IP и доступа из интернета не будет.


      1. lolipop
        28.09.2015 14:33

        у мгтса в москве, например, на дешевых тарифах — нат, на дорогих — внешний айпи. по-моему, вполне себе честно.


        1. FSA
          28.09.2015 14:37

          У вас более удобный вариант. У нас у всех может быть и NAT и белый адрес. Кроме, конечно, тех, кто заказал себе статический IP.


  1. Vindicar
    25.09.2015 10:58
    +17

    Шо, опять?


    1. amarao
      27.09.2015 18:20
      -2

      Да. IPv4 адреса заканчиваются как свобода в России. По чуть-чуть, чтобы все привыкали.


  1. lolipop
    25.09.2015 11:51
    -10

    И вообще что-то у меня сейчас прямо бомбануло так бомбануло. Люди, вы что, думаете, перейдем вот сейчас все на ipv6 И ЗАЖИВЁМ? Да у интернета сотни проблем поважнее! Открытые почтовые релеи, спам, нарушение сетевой нейтральности со стороны провайдеров, подмена днс и встраивание контента в чужие сайты, повальное использование http вместо https, открытые хотспоты, полное игнорирование защищенных мессенджеров, повальная слежка государств и частных компаний за пользователеями, вирусы, мошенничество, не использованиея эцп в письмах/мессенжерах, роскомнадзоры всякие.


    1. neomedved
      25.09.2015 13:54
      +7

      Вы считаете, раз есть другие проблемы, то эту решать не надо?


      1. lolipop
        25.09.2015 14:40

        на мой взгляд, это далеко не самая главная.


        1. anVlad11
          25.09.2015 16:03
          +3

          Вот просыпаетесь вы одним прекрасным утром, а у вас один IP с половиной города. И не работают ни Google, который считает, что вы генерируете слишком много запросов, ни ВК, в котором вы замучаетесь вбивать капчу после каждого сообщения.


  1. Gorthauer87
    25.09.2015 11:59

    Всё хочу проверить тестовый ipv6 у своего провайдера, да времени как-то не нахожу. Вообще, у нас в стране много кто дает хотя бы тестовый ipv6 доступ?


    1. shaytan
      25.09.2015 12:10
      -1

      Уточните, эта страна?


      1. Gorthauer87
        25.09.2015 12:22

        Эта, эта.


        1. shaytan
          25.09.2015 12:31
          -1

          Пишут что кое-где есть.



  1. Foror
    25.09.2015 18:10

    >Чересчур щедрую раздачу
    С ipv6 история развивается по спирали, мне на один сервак выдали блок /64 считай весь ipv4 инет )

    А по поводу ipv6, все совсем глухо, пробовал пинговать популярные веб-сайты и например, у того же twitter.com, kinopoisk.ru, instagram.com — нету ipv6, об чем разговор? Что уж говорить о всяких мелких проектах? Пусть сначала популярные веб-сайты внедрят, а там может и провайдеры подтянутся.


    1. wormball
      25.09.2015 18:12

      > мне на один сервак выдали блок /64 считай весь ipv4 инет )

      Ежели я ничего не путаю, это 4 миллиарда интернетов.


      1. Foror
        25.09.2015 19:18

        Точно ) Т.е. раздачи просто мегащедрые )


    1. vagran
      25.09.2015 21:45

      Ну вообще-то это нормально. Насколько я помню, там была рекомендация старшие 64 бита считать сетевой частью, младшие интерфейсной. Меньше 64 бит по идее выдавать не должны.


  1. Night_Snake
    25.09.2015 18:33
    +1

    Я думаю, если «раскулачить» apple/hp и парочку университетов, отхапавших себе по /8 в свое время, агонию можно продлить еще на пару-тройку лет как минимум.


    1. KivApple
      25.09.2015 19:13
      +1

      А смысл?


  1. wormball
    25.09.2015 19:34
    +12

    Три вещи могут происходить бесконечно — изобретение новых революционных аккумуляторов, выход вояджера за пределы солнечной системы и исчерпание айпи-адресов.


    1. Sychuan
      25.09.2015 20:35

      Ну вообще-то речь идет о региональном интернет-регистраторе (это уже третий, вроде как), а не о том, что адреса вообще все закончились и больше нет свободных.
      Сейчас вроде как остались блоки у лат.америки и африки только