Всем привет, Хабравчане.
Лично я программист 1С и в сетевых технологиях не особо разбираюсь. Но по верхам всё-таки нахватался. Потребовалось мне удалённо управлять компьютером моих родных по ssh. Самый простой способ, как мне кажется, у провайдера получить белый ip и подключаться по нему. Конечно, этот вариант чреват дополнительными финансовыми затратами. Поэтому я начал искать альтернативы для себя.
Я прошу вас не писать в комментариях, как вы решили бы эту проблему. Понятно, что за годы использования IPv4 появилась куча обходных путей для этой задачи. Но, как я понял, повсеместное внедрение IPv6 вообще исключит этот класс проблем. Разве это не благо?
Первым делом я узнал, что у моего провайдера (один и тот же на обеих сторонах) есть поддержка IPv6. Эта новость меня очень обрадовала. К сожалению, радость была не долгой. Оказалось, что провайдер выдаёт префиксы подсети динамически. Мало того, хотя на моей стороне подключена услуга "Статический IP", к IPv6 она почему-то не относится, техподдержка тоже с этим вопросом никак помочь не смогла. Таким образом, формально провайдер развернул у себя инфраструктуру IPv6, но сделал это в нарушение рекомендаций RIPE-690.
Что и привело меня к вам. Мне нужна помощь специалистов, которые значительно лучше меня разбираются в теме, чтобы попытаться ускорить внедрение IPv6 в РФ хотя бы на уровне провайдеров.
Во-первых, своим постом я хочу посмотреть, насколько велик интерес специалистов к этой теме. А где искать единомышленников, кроме как на Хабре?
Во-вторых, сам в одиночку я не справлюсь. А если и справлюсь, то инициатива на РОИ будет убогая. И если она и наберёт достаточное количество голосов, то её не примут в работу наши правители. Т.к. я не смогу достаточно хорошо показать выгоду от внедрения.
Итак, какие плюсы вижу я лично:
1) Ускорение работы интернета. Почему это будет так - объяснить не смогу.
1.1) Более высокая скорость скачивания чего угодно, как написано здесь.
2) Снижение затрат на предоставление услуг связи для провайдеров. Кажется потому, что не потребуется оборудования для NAT. А также, не потребуется аренда IPv4 адресов. Ну или снизится потребность в аренде.
3) Появление нового рынка услуг. Например, для любых клиентов провайдера можно будет настроить человекочитаемые записи DNS для любого устройства и подключаться к нему откуда угодно. Например, смотреть видео со своих камер видеонаблюдения без особых ухищрений. Причём это может выглядеть вот так: www.camera1.my_domain.ru, www.camera2.my_domain.ru ...
4) Престиж. Первая страна полностью перешедшая на IPv6. Может кому-то это будет важно. РФ славится своими IT спецами.
5) Снижение трудоёмкости настройки маршрутизации. По моему мнению, если избавиться от NAT, это станет намного проще.
6) VoIP телефония станет доступнее. По крайней мере так сказал автор в этой статье.
7) И другие плюсы которые можно прочитать здесь и, как мне кажется, нет смысла перечислять это отдельно.
Прошу всех неравнодушных в комментарии. А неравнодушных и политически активных - в рабочую группу Телеграм.
Комментарии (94)
m6atom
17.10.2024 23:36Всем привет, Хабравчане.
«Миша, у тебя скучное лицо, тебе никто денег не даст».
dTi
17.10.2024 23:36Каждое сетевое устройство, торчащее в Интернет наружу веб-мордой и остальными портами. Идеально!
FragCounter Автор
17.10.2024 23:36Разве эта проблема принципиально не решаема? Я интересуюсь искренне, без издёвки. Вот что нагуглил из этой статьи https://habr.com/ru/articles/773708/:
Немного про безопасность IPv6
Очень часто в интернет одним из аргументов против IPv6 является то, что, якобы, в IPv4 трансляция адресов (NAT) обеспечивает защиту сети. Якобы, благодаря ему устройства внутри сети недоступны извне. Отчасти это так. Внутренняя адресация не может быть доступна из интернета напрямую. Однако исследователями найдено множество способов обойти ограничения NAT. Самым простым является заражение машины внутри сети, которая уже сама будет связываться с удалённым центром управления. Есть способы проброса пакетов на нужный узел внутри сети даже при наличии NAT. Защититься от этого метода можно только используя брандмауэр, который как раз и предназначен для защиты! Таким образом мы приходим к выводу, для того, чтобы обеспечить защиту вашей локальной сети от атак из интернет — использовать брандмауэр.
Для примера, рассмотрим настройки по умолчанию на маршрутизаторе с OpenWRT. Правила брандмауэра (межсетевого экрана) запрещают входящие пакеты из сети интернет и разрешают исходящие. При этом именно брандмауэр обеспечивает защиту вашей сети, а не NAT! NAT мы вынуждены применять по причине того, что мы не можем обеспечить нашу сеть достаточным количеством публичных IP адресов и нам необходимо на границе модифицировать адрес источника, записывать то, что мы сделали в специальную таблицу, чтобы при ответе отправить его на нужный узел сети, тоже модифицировав его соответствующим образом. Это сильно усложняет обработку транзитных пакетов, при этом нам не нужно забывать о правилах брандмауэра, который и защищает нашу сеть от вторжения!
А что нужно будет сделать, чтобы обеспечить доступ к сервису на одной из наших машин по IPv6? Достаточно создать правило для трафика, где указать адрес нашего сервиса и необходимые порты. После этого всё начинает работать. А что нужно сделать для IPv4? Во-первых, озадачиться выбором порта для сервиса, который будет перенаправлен на один из портов на внутреннем адресе, а также создать правило для трафика, как это было для IPv6. Если вы захотите вывести в интернет два веб-сервера, то у вас не получится этого сделать, поскольку порты 80 и 443 у вас в одном экземпляре на один IPv4 адрес. Направив трафик веб на одну из машин, вторую вы уже не сможете открыть не меняя номеров портов. Можно, конечно, получить ещё один внешний IPv4 адрес и перенаправлять соединения с одного адреса на одну машину, а с другого на другую. Но, согласитесь, схема очень уж сильно усложняется, если сравнивать с тем, что нужно было сделать при использовании IPv6.
aik
17.10.2024 23:36исследователями найдено множество способов обойти ограничения NAT. Самым простым является заражение машины внутри сети
Только чтобы заразить машину внутри сети - надо сперва заразить машину внутри сети.
А доступа в сеть нет. С IPv6 никакой внутренней сети нет и ко всем устройствам прямой доступ.мы приходим к выводу, для того, чтобы обеспечить защиту вашей локальной сети от атак из интернет — использовать брандмауэр.
Правильно. И в случае IPv4 этот брандмауэр есть и сеть защищает "по-умолчанию". А в случае IPv6 его нет.
При этом именно брандмауэр обеспечивает защиту вашей сети, а не NAT!
А кто говорил, что защиту сети NAT обеспечивает? Это в его функции не входит, он для другого предназначен.
Если вы захотите вывести в интернет два веб-сервера, то у вас не получится этого сделать, поскольку порты 80 и 443 у вас в одном экземпляре на один IPv4 адрес
Реверс-прокси.
согласитесь, схема очень уж сильно усложняется, если сравнивать с тем, что нужно было сделать при использовании IPv6.
Простота IPv6 в данном случае - это именно обратная сторона его небезопасности. Да, с IPv6 тоже наверняка можно поставить брэндмауэр для защиты - но вы тогда попадаете в ту же самую ситуацию, что и с IPv4 - придётся пробрасывать порты, настраивать NAT (если он вообще в IPv6 предусмотрен) и т.п.
FragCounter Автор
17.10.2024 23:36Только чтобы заразить машину внутри сети - надо сперва заразить машину внутри сети.
А доступа в сеть нет. С IPv6 никакой внутренней сети нет и ко всем устройствам прямой доступ.Сейчас по умолчанию у нас стоит NAT на роутерах. А будет стоять брандмауэр с блокированием всех входящих соединений. И админ сети вместо проброса портов будет менять правила брандмауэра.
Правильно. И в случае IPv4 этот брандмауэр есть и сеть защищает "по-умолчанию". А в случае IPv6 его нет.
Если нет, то при внедрении надо сделать, чтобы был преднастроен по умолчанию на пользовательских устройствах.
Реверс-прокси.
Лишний оверхэд в случае внедрения IPv6
но вы тогда попадаете в ту же самую ситуацию, что и с IPv4 - придётся пробрасывать порты, настраивать NAT
Ситуация таже, да не та. Вместо проброса портов - настройка правил брандмауэра. Но вот пляски с белыми айпишниками останутся в прошлом.
saboteur_kiev
17.10.2024 23:36Попробуйте сделать у себя дома две подсети IPV6 и настроить правила брендмауэра. Чтобы сравнить пляски с пробросом портов и пляски с IPV6
Не забудьте так сделать со всеми вашими устройствами, а не только виртуалками с современными версиями ОС.FragCounter Автор
17.10.2024 23:36А зачем? Мне не понятно что именно я должен проверить в этом сценарии. То есть не понятен кейс, когда реально нужна такая настройка, как вы сейчас описали. Спасибо.
aik
17.10.2024 23:36Сейчас по умолчанию у нас стоит NAT на роутерах. А будет стоять брандмауэр с блокированием всех входящих соединений. И админ сети вместо проброса портов будет менять правила брандмауэра.
Ну и в чём разница-то будет? Всё равно стоит устройство для того, чтобы рулить доступом ко внутренней сети. Нахрена всё переводить на v6, если относительно v4 ничего не изменится?
Если нет, то при внедрении надо сделать, чтобы был преднастроен по умолчанию на пользовательских устройствах.
Какой ценой? Сейчас сеть прикрывает один копеечный роутер, а тут вы предлагаете в каждое устройство втыкать функционал такого роутера. Даже в лампы и выключатели.
Лишний оверхэд в случае внедрения IPv6
Это внедрение IPv6 лишний оверхед относительно существующих и работающих решений. Реверс-прокси обычно ещё и о сертификатах https заботится, а тут вам на каждое устройство придётся сертификат получать руками. Ну или городить аналогичное реверс-прокси решение.
Вместо проброса портов - настройка правил брандмауэра.
И где разница?
На деле у нас получается копия инфраструктуры IPv4 - с роутерами-файрволами и т.п., просто на IPv6 реализованная. Зачем?
FragCounter Автор
17.10.2024 23:36Ну и в чём разница-то будет? Всё равно стоит устройство для того, чтобы рулить доступом ко внутренней сети. Нахрена всё переводить на v6, если относительно v4 ничего не изменится?
В том то и дело, что изменится. По крайней мере получим все плюшки IPv6. А не изменится именно с точки зрения руления доступом.
Какой ценой? Сейчас сеть прикрывает один копеечный роутер, а тут вы предлагаете в каждое устройство втыкать функционал такого роутера. Даже в лампы и выключатели.
Я имел ввиду роутер. На конечных пользовательских устройствах брандмауэр не нужен, конечно.
Это внедрение IPv6 лишний оверхед относительно существующих и работающих решений. Реверс-прокси обычно ещё и о сертификатах https заботится, а тут вам на каждое устройство придётся сертификат получать руками. Ну или городить аналогичное реверс-прокси решение.
Разве? Что-то у меня есть подозрение, что получение сертификатов только упростится. И достаточно будет настроить сертбота на конкретном сервере с конкретным сервисом. Вместо руления этим зоопарком через реверс-прокси.
И где разница?
На деле у нас получается копия инфраструктуры IPv4 - с роутерами-файрволами и т.п., просто на IPv6 реализованная. Зачем?
Ну так плюсы инфраструктуры IPv6 я попытался обозначить в статье. Это не тупо копия IPv4.
aik
17.10.2024 23:36По крайней мере получим все плюшки IPv6.
А какие плюшки-то, кроме того, что адресов много?
Я имел ввиду роутер.
Ну вот сейчас стоит роутер. И при v6 будет стоять роутер, только чуть по другому рулящий трафиком. Где разница?
И достаточно будет настроить сертбота на конкретном сервере с конкретным сервисом.
Угу, особенно на каждой умной лампочке сертбота настраивать.
Вот у меня сейчас несколько десятков сервисов в домашней сети хостится. И сертификатами я рулю централизовано на реверс-прокси. А сами сервисы вообще не думаю о том, по какому протоколу к ним соединение происходит, когда кончится сертификат и всё такое.
И мне совсем не улыбается получать зоопарк, когда за сертификатами придётся на каждом конкретном устройстве следить.
Ну так плюсы инфраструктуры IPv6 я попытался обозначить в статье. Это не тупо копия IPv4.
Попытались, но не указали, как по мне. И копия оно не тупо, а просто копия. Было роутер - останется роутер. Был реверс-прокси - будет какой-то сервис для руления сертификатами. И т.п.
FragCounter Автор
17.10.2024 23:36Вы принципиально отрицаете полезность получения возможности обращения к любому вашему устройству из интернета без покупки белого IP?
Вот самый главный и жирный плюс для меня. И если ни в чём другом, как вы говорите, не будет разницы, то почему бы и не сделать это тогда?
aik
17.10.2024 23:36Вы принципиально отрицаете полезность получения возможности обращения к любому вашему устройству из интернета без покупки белого IP?
К любому - отрицаю. А не к любому - мне и через IPv4 нормально.
И если ни в чём другом, как вы говорите, не будет разницы, то почему бы и не сделать это тогда?
Айпишник v4 стоит 2 бакса в месяц. Переход на v6 стоит заметно дороже. Зачем платить больше, если можно обойтись двумя баксами?
randomsimplenumber
17.10.2024 23:36Вы принципиально отрицаете полезность получения возможности обращения к любому вашему устройству из интернета без покупки белого IP?
Чистое незамутненное зло такая возможность.iot - вы видите там букву S (security)? Это потому что его там нет.
inkelyad
17.10.2024 23:36Правильно. И в случае IPv4 этот брандмауэр есть и сеть защищает "по-умолчанию". А в случае IPv6 его нет.
Есть некое подозрение, что во всех существующих бытовых маршрутизаторах (У них это для получения лого IPv6 Ready наверняка вписано) этот брандмауэр есть и по умолчанию настроен на 'снаружи ничего не пускать'.
В не бытовых - считается, что работающий с ним знает, что делает.
aik
17.10.2024 23:36Есть некое подозрение, что во всех существующих бытовых маршрутизаторах (У них это для получения лого IPv6 Ready наверняка вписано) этот брандмауэр есть
Есть. Но если у вас всё равно стоит устройство, прикрывающее сеть, то никакого выигрыша в сравнении с IPv4 вы не получите. Всё равно будет роутер и всё равно надо будет его настраивать.
inkelyad
17.10.2024 23:36Есть. Но если у вас всё равно стоит устройство, прикрывающее сеть, то никакого выигрыша в сравнении с IPv4 вы не получите. Всё равно будет роутер и всё равно надо будет его настраивать.
Маршрутизатор - так и так будет. Но его можно было бы делать дешевле. Потому что тупо прибиваем постоянный внешний адрес порту оператора (и/или маршрутизатора, если он оператором конфигурируется) и железке клиента больше ничего не остается, как смотреть "этот пакет внутрь надо или наружу?" тупо применив битовую маску. Плюс немного фильтровать по списку разрешенных устройств.
Но, как я написал рядом, сетевые процессоры подешевели и это стало никому не интересно.
aik
17.10.2024 23:36Но, как я написал рядом, сетевые процессоры подешевели и это стало никому не интересно.
Вот-вот. Оборудованию пофиг, v4 маршрутизировать или v6 файрволить. Всё упирается исключительно в то, хочется ли админу заморачиваться данным вопросом.
inkelyad
17.10.2024 23:36Да, с IPv6 тоже наверняка можно поставить брэндмауэр для защиты - но вы тогда попадаете в ту же самую ситуацию, что и с IPv4 - придётся пробрасывать порты, настраивать NAT (если он вообще в IPv6 предусмотрен) и т.п.
Вообще, нет. Будет немного проще. Будет просто 'дать доступ извне на адрес/порт...', там где оно надо.
Потому что сейчас, с NAT-ом, довольно муторно дать вход извне на один и тот же порт двух разных внутренних адресов. Приходится разные внешние порты выбирать.
aik
17.10.2024 23:36довольно муторно дать вход извне на один и тот же порт двум разным адресам. Приходится разные внешние порты выбирать.
По мне так какой-то особенной муторности нет. Ну только если несколько сайтов если хочется хостить - тут надо как-то разруливать вопрос.
А правила вида "порт 1234 - перебрасываем на внутренний хост1:122" и "пакеты для хоста1:порта 122 пропускаем на хост1:122" по мне так не отличаются по сложности настройки.
Ну то есть всё равно есть устройство, которое отделяет внутреннюю сеть от внешней. Может быть, правила пропуска трафика несколько более просты в обработке для железки. Но сам протокол ipv6 тяжелее, так что тут никакой серьёзной разницы не планируется.
А уж если встанет вопрос маршрутизации IPv6 - то тут, думаю, нагрузка явно превысит затраты на маршрутизацию IPv4.
inkelyad
17.10.2024 23:36Может быть, правила пропуска трафика несколько более просты в обработке для железки. Но сам протокол ipv6 тяжелее, так что тут никакой серьёзной разницы не планируется.
А уж если встанет вопрос маршрутизации IPv6 - то тут, думаю, нагрузка явно превысит затраты на маршрутизацию IPv4.
Если я правильно помню - это неверно. IPv6 проще в маршрутизации и обработке. Преимущественно потому, что для решения смотреть нужно на меньшее количество бит. (Старшие по всей сети одинаковые) Так IPv6 придумывали.
Но... тут вмешался прогресс в умении делать процессоры. Вдруг выяснилось, что процессор, умеющий NAT, connection tracking итд итп - совсем не так уж и дорого для домашнего маршрутизатора.
aik
17.10.2024 23:36Если я правильно помню - это неверно. IPv6 проще в маршрутизации и обработке.
Текущему железу пофиг, как мне думается.
Aelliari
17.10.2024 23:36Только чтобы заразить машину внутри сети - надо сперва заразить машину внутри сети.
С v6 поди найди, там ведь не 1 адрес в норме. А ещё адрес на котором устройство принимает соединение - не обязан быть адресом с которого устройство «выходит в интернет»
И в случае IPv4 этот брандмауэр есть и сеть защищает "по-умолчанию". А в случае IPv6 его нет.
Это с какого перепугу? То что к устройству можно подключится ибо нет сломанной связности, не означает что устройство не защищено фаерволлом
Реверс-прокси
Самое то упрощение, ага
поставить брэндмауэр для защиты - но вы тогда попадаете в ту же самую ситуацию
Нет, не попадем, и уж точно не будем пробрасывать порты на роутере. И это всё с активным фаерволлом
aik
17.10.2024 23:36С v6 поди найди
Ну будут боты просто дольше сети сканировать.
Это с какого перепугу?
Ну у нас же вон преподносится как достоинство то, что устройства напрямую к сети подключены. Если же они подключены не напрямую - то чем это отличается от v4?
Самое то упрощение, ага
Это не упрощение, это ответ на "не получится". Всё получится.
уж точно не будем пробрасывать порты на роутере
Ну не будете пробрасывать, будете открывать. Разница-то в чём с точки зрения пользователя?
Aelliari
17.10.2024 23:36Ну у нас же вон преподносится как достоинство то, что устройства напрямую к сети подключены. Если же они подключены не напрямую - то чем это отличается от v4?
Они подключены «напрямую», но их защищает фаерволл
Ну будут боты просто дольше сети сканировать.
Несколько бесперспективное занятие, особенно если устройство реализует privacy extension и периодически меняет адреса. А если бот все же найдёт, разве мы говорили про отключение фаерволла?
Разница-то в чём с точки зрения пользователя?
Ну, например, я бы посмотрел на проброс портов у вас, в ситуации когда isp не предоставляет «белых» адресов
aik
17.10.2024 23:36Они подключены «напрямую», но их защищает фаерволл
Ну и какой тут тогда профит относительно v4 в плане наличия/отсутствия оборудования?
Несколько бесперспективное занятие, особенно если устройство реализует privacy extension и периодически меняет адреса
Если оно постоянно меняет адреса, то как мы к нему обращаемся?
я бы посмотрел на проброс портов у вас, в ситуации когда isp не предоставляет «белых» адресов
Ну вот когда перестанут предоставлять белые адреса - тогда и будет необходим v6. А пока адреса предоставляются, пусть и за некоторое вознаграждение. И лично мне проще платить эти 2 бакса, чем мутить v6.
Aelliari
17.10.2024 23:36Если оно постоянно меняет адреса, то как мы к нему обращаемся?
Ты ведь специально делаешь вид что не понимаешь, да?
Если нам нужно обращаться - мы делаем адрес к которому обращаемся постоянным. Доступ к этому адресу ограничен фаерволлом.
Если ты боишься неких «хакеров», которые просканируют интернет и взломают твой компьютер - им будет напряженно искать даже просто активный адрес. Который ещё и не будет отвечать на соединения «из вне», потому что открыт не для, них если фаерволл включен
Ну вот когда перестанут предоставлять белые адреса - тогда и будет необходим v6
Когда нога отвалится, тогда и приходите, да?
aik
17.10.2024 23:36Если нам нужно обращаться - мы делаем адрес к которому обращаемся постоянным. Доступ к этому адресу ограничен фаерволлом.
Ну вот если адрес постоянный и порт открытый - то его боты и нащупают.
Который ещё и не будет отвечать на соединения «из вне», потому что открыт не для, них если фаерволл включен
Ну так вскроют "по-старинке", изнутри, через "голая_баба.ехе".
Когда нога отвалится, тогда и приходите, да?
Примерно. Нога уже сколько лет отваливается и пока не отвалилась? Значит дешевле её латать, чем выкидывать старое тело и переходить на новый уровень существования.
inkelyad
17.10.2024 23:36Ну вот если адрес постоянный и порт открытый - то его боты и нащупают.
Это все-таки затруднительно. Если IPv4 адресное пространство целиком вместе с портами сканируют регулярно, то найти адрес, который человек сервису назначил внутри даже /64 - задача довольно затруднительная. Тут надо трафик до этого адреса видеть.
aik
17.10.2024 23:36Всё равно доберутся. Сейчас вон на v4 порт открываешь - к тебе через минуту боты приходят. Ну будут на v6 по первости приходить через день - но всё равно будут же. А потом ботов оптимизируют, производительность повысят - и на v6 сразу будут активные хосты находить.
Так что на "меня не найдут" я бы особо не рассчитывал. Найдут, просто несколько позже.
inkelyad
17.10.2024 23:36Всё равно доберутся. Сейчас вон на v4 порт открываешь - к тебе через минуту боты приходят.
Вот потому и проходят, что сканирование всего IPv4 происходит постоянно. Это всего 2^32 адресов.
А тут - даже у одного интерфейса выбор из 2^64 адресов.
Найдут, просто несколько позже.
Найдут, но никак не прямым/случайным перебором, как сейчас в IPv4.
Aelliari
17.10.2024 23:36Ну вот если адрес постоянный и порт открытый - то его боты и нащупают.
Вы специально игнорируете? неудобную часть про
Доступ к этому адресу ограничен фаерволлом.
Значит дешевле её латать, чем выкидывать старое тело и переходить на новый уровень существования.
Я устал, настолько дешевле, что Гугл оценивает адаптацию аж в 40%. А isp имеющие ipv4 только на стыках с интернетом, а внутри ipv6 only стали появляться ещё лет 10 назад (пусть их и сейчас единицы, но все же…). Да и магистральные провайдеры умеют в него уже наверно все
aik
17.10.2024 23:36Доступ к этому адресу ограничен фаерволлом.
Если порт открыт - то доступ не ограничен.
Я устал, настолько дешевле, что Гугл оценивает адаптацию аж в 40%. А isp имеющие ipv4 только на стыках с интернетом, а внутри ipv6 only стали появляться ещё лет 10 назад
Ну так с нуля когда строишь - вполне можно всё сразу на v6 делать. Только инициатива-то от автора поста - не с нуля построить, а "всё заменить".
inkelyad
17.10.2024 23:36Если порт открыт - то доступ не ограничен.
Тут речь идет о правилах "разрешить доступ на адрес:порт" только с конкретных адресов"
aik
17.10.2024 23:36А у моего телефона/ноутбука всегда будет конкретный адрес v6 при подключениях к разным сетям? Как-то сомневаюсь в этом.
inkelyad
17.10.2024 23:36А у моего телефона/ноутбука всегда будет конкретный адрес v6 при подключениях к разным сетям? Как-то сомневаюсь в этом.
Тут явно не про этот случай речь идет, но даже так в IPv6 мире можно пошаманить, если очень хочется.
Ноутбуку или телефону выдается адрес из /64. И оператору, если он не совсем странный, будет все равно, какой именно адрес в этом /64 используется.
Ну вот и добавляем на интерфейс еще один вида адрес <префикс, что нам выдал оператор>::c056:15e5
И в правилах файрволла вписываем (надо, правда, смотреть, какая так умеет), что разрешаем траффик только с *:c056:15e5
Aelliari
17.10.2024 23:36Отдельный интерфейс не нужен, но если хочется - можно объявить «вот этот адрес» постоянным. Одновременно на интерфейсе с ipv6 адресов могут быть десятки, и все ок.
Разрешать в фаерволле не адрес, а подсеть которую тебе выдал isp. Не очень подходит для случая динамического распределения префиксов, да. Хотя неприятный костыль вроде port-knoking-а никто не отменял, но тут ситуация аналогична белой динамике в v4
P.S. С доступностью SDN-решений в личных целях можно вообще ничего не публиковать и получить доступ даже если твои железки за NAT. А если использование cloudflare не входит в твою модель угроз - можно за NAT успешно хостить сайты через их ревер-прокси (с ipv6, заметь)
inkelyad
17.10.2024 23:36Не очень подходит для случая динамического распределения префиксов, да.
Ну вот тут как раз шаманство(вместо port-knoking) для разных префиксов, когда ноут по стране ездит.
Вешаем ему на интерфейс дополнительный ...:2bb0:33a5:ccb3:ce29 и вот таким странным образом файрволл настраиваем, где проверяются последние биты src адреса.
aik
17.10.2024 23:36Тут явно не про этот случай речь идет
А про какой? Ресурсы из домашней сети наружу выставляют именно для того, чтобы откуда угодно к ним доступ получать.
Ну вот и добавляем на интерфейс еще один вида адрес <префикс, что нам выдал оператор>::c056:15e5
А это в настройках телефона указать можно? Ну чтобы он в любой сети эти буквы приписывал?
inkelyad
17.10.2024 23:36А про какой?
Выставить сервис, который будет доступен только другому офису. Когда полноценную VPN между ними лень делать.
aik
17.10.2024 23:36Автор идеи начал с "не хочу тратить деньги на ip-адрес" и доступа к домашним камерам. Про офис ничего не говорилось. Да и впн, по-моему, тоже не особо-то тяжелая вещь для настройки.
Всяко проще перехода на v6.
inkelyad
17.10.2024 23:36А это в настройках телефона указать можно? Ну чтобы он в любой сети эти буквы приписывал?
Понятия не имею. Вряд ли. Это все-таки шаманство и хак.
Но, я думаю, если использовать мобильные модемы/маршрутизаторы - то там с некоторой вероятностью можно. Особенно если использовать собственную прошивку.
В смысле - поставить нужный адрес из выданной /64 на устройство за этим маршрутизатором так, чтобы все маршрутизировалось.
aik
17.10.2024 23:36Ну то есть для реальной жизни всё равно какой-то другой способ авторизации придётся использовать, а не ограничение по IP.
inkelyad
17.10.2024 23:36Ну то есть для реальной жизни всё равно какой-то другой способ авторизации придётся использовать, а не ограничение по IP.
Это, так. Но...
Сейчас:
Весь исходящий трафик и наш VPN сервер висят на одном адресе (внешнем интерфейсе маршрутизатора). Который легко находится перебором и который любой сайт, куда ты полез, знает и потом может потыкать на предмет открытых портов.
С IPv6:
VPN сервер/сервер доступа к внутренней сети висит на отдельном адресе, который не надо покупать дополнительно. И который больше ни для чего не используется. И который попробуй еще найди среди 2^64 адресов.
Даже если он открыт всему Интернету - мне второй вариант нравится больше.
Aelliari
17.10.2024 23:36Если порт открыт - то доступ не ограничен.
Нет, даже если вы привыкли пробрасывать порт целиком, разрешая подключения с 0.0.0.0/0, это не означает что это единственный и исключительно правильный способ
vasiliev-s
17.10.2024 23:36Так и живем: "лично я <...> в сетевых технологиях не особо разбираюсь. Но <...>" Но инициативу предложу.
Лично я в науке не разбираюсь, но исследования предложу.
Лично я в медицине не разбираюсь, но лечение предложу.
Лично я в экономике не разбираюсь, но реформы предложу.
Лично я вообще ни в чем не разбираюсь, но законы предложу.
И т.д. и т.п.
SloN1
17.10.2024 23:36Это называется "дурак с инициативой".
FragCounter Автор
17.10.2024 23:36Спасибо за лестную оценку. А то что я не кинулся сразу строчить инициативу на РОИ и решил сначала выслушать мнение экспертов тоже характеризует меня дураком?
baldr
17.10.2024 23:36Добро пожаловать в интернет, сэр! Из тех кто придёт к вам в комментарии - дай бог 20% будут более-менее понимающими в теме, из них ещё хорошо если 10% будут реальных экспертов, кто потрудится ответить. Остальные - либо тролли, либо такие же диванные комментаторы. Это публичный ресурс, будьте готовы к таким комментариям.
На хабре читатели ожидают статей, в которых автор потрудился сам разобраться в теме, а потом её объяснить. Написать дилетантских вопросов прямо в статье, а потом ждать что за вас всё объяснят бесплатно - ну мало кому так хочется. Такие статьи тут сразу набирают минусов.
Хотите серьёзно разобраться - заплатите эксперту и он подробно за час-два ответит на ваши вопросы и нарисует вам схемы на доске. Не хотите платить - можете сами сидеть и читать статьи. На эти темы уж в интернете-то сравнений плюсов-минусов за 20 лет накопилось море.
CCNPengineer
17.10.2024 23:36вы же не знаете кто эксперт а кто нет. голоса экспертов потеряются в шуме.
мое мнение таково что
длительное время придется поддерживать два протокола, и IPv4 и IPv6. и для клиентов и для серверов. а это серьезное удорожание. кто будет платить. допустим оператор пришлет все клиентам сообщение. платите на 1000 руб. больше и у вас будет два адреса. кто согласится? пока все не согласятся нет смысла вообще двигаться.
безопасность. сейчас миллионы людей пользуются смартфонами, и смартфоны защищены потому что за NAT. раздайте на все смартфоны прямые IPv6 адреса и миллионы людей пострадают. их смартфоны возможно будут взломаны. я не проводил такое исследование.
inkelyad
17.10.2024 23:36безопасность. сейчас миллионы людей пользуются смартфонами, и смартфоны защищены потому что за NAT.
Вот как раз у сотовых операторов смарфоны все чаще и чаще(если верить википедии) получают IPv6. Только пользователь этого не замечает, поскольку сайтов и сервисов не телефоне не держат.
ky0
17.10.2024 23:36Контрпредложение, гораздо более простое в реализации - ввести десятину на трафик. Каждый десятый пакет не присылать, а отправлять в ФНС.
nolube
17.10.2024 23:36Ты так и не написал ни одного плюса для "наших правителей".
FragCounter Автор
17.10.2024 23:36Если расходы провайдеров на услуги связи сократятся, то вырастет из прибыль. Я подозреваю, что некто из властных кругов является бенефициаром провайдерского бизнеса. Вот и плюс ему к доходам.
baldr
17.10.2024 23:36Как же они сократятся, если, скорее всего, придётся менять кучу оборудования по всей стране и настраивать всё заново? С санкциями новое оборудование получать сложнее и дороже, а рассчитывать прибыль через 10 лет у нас и до санкций не умели и не хотели.
Aelliari
17.10.2024 23:36У магистральных скорее всего все оборудование уже умеет, часть IX уже сейчас требует для новых подключений - IPv6
saboteur_kiev
17.10.2024 23:36Вот и плюс ему к доходам.
Какой плюс?
Ему будет выгоднее продавать белые айпишники.
Limansky
17.10.2024 23:36Ещё не пришло время для IPv6, когда-то придет его адекватное внедрение, но не сейчас. Вам просто повезо, что худо бедно есть зачатки у вашего провайдера с новым протоколом. По поводу уж повсеместного внедрения, для поставщиков услуг это влетит в копеечку как минимум. Да и к тому же поддерживать придется и 4 и 6 версии, а это накладные расходы для техподдержки.
aik
17.10.2024 23:361) Ускорение работы интернета. Почему это будет так - объяснить не смогу.
Попытайтесь.
1.1) Более высокая скорость скачивания чего угодно, как написано здесь.
Скорость скачивания зависит от интернет-канала. Если у меня 100 мегабит, то по какому бы протоколу я не качал, выше 100 мегабит прыгнуть не смогу.
2) Снижение затрат на предоставление услуг связи для провайдеров.
Повышение. Придётся заморачиваться с трансляцией адресов, менять оборудование, объяснять клиентам, нахрена им надо менять своё оборудование и всё такое.
3) Появление нового рынка услуг. Например, для любых клиентов провайдера можно будет настроить человекочитаемые записи DNS для любого устройства и подключаться к нему откуда угодно.
А что тут нового? И так можно для любого устройства настроить читаемые записи DNS, даже без IPv6.
4) Престиж. Первая страна полностью перешедшая на IPv6.
И сломавшая окончательно свою сеть.
5) Снижение трудоёмкости настройки маршрутизации.
Усложнение - потому что вам придётся поддерживать обе системы.
6) VoIP телефония станет доступнее.
А она разве недоступна?
У IPv6 плюс только в том, что адресов много. Всё остальное в нынешнем виде - минусы. Я бы ваше предложение сравнил с "а давайте в России заменим все автомобили на вертолёты, плюсы - ускорение передвижения, снижение затрат на обслуживание дорог, появление нового рынка услуг - обслуживание вертолётов, престиж - первая страна, полностью перешедшая на вертолёт, смотреть на землю с высоты станет доступнее, ну и ещё всякие там плюсы, которые не хочу перечислять".
Минусы полного перехода на вертолёты, надеюсь, увидите сами. С IPv6 примерно так же. Технология полезная, но дорогая во внедрении и не требующая внедрения вотпрямощаз.
myswordishatred
17.10.2024 23:36Предложение, конечно, немного наивное, но, как мне кажется, лучше автору объяснить, что с идеей не так, чем забросать минусами с загадочным лицом.
aamonster
17.10.2024 23:36Поддержу, но это не на пять минут дело. Боюсь, его придётся учить, т.е. кому-то из нас потратить на него несколько дней своей жизни.
FragCounter Автор
17.10.2024 23:36Ну я не настолько безнадёжен. :-) Причём информацию и сам сейчас ищу. А ваши комментарии полезны. Они направляют меня в этом самостоятельном поиске. Ведь, когда не знаешь о какой-то проблеме, то и искать по теме ничего не будешь.
aamonster
17.10.2024 23:36Да дело не в безнадёжности, просто для того, чтобы реально разобраться – потребуется изучить довольно много всего (и не только про устройство протоколов, но и про нынешнее устройство сети). Разберётесь (неважно, сами или с наставником) – будет здорово.
Gansterito
17.10.2024 23:36Почему бы такому инициативному разработчику 1С и тимлиду не собирать рабочие группы в той отрасли, к которой он имеет более близкое отношение?
Например, перестать каждый квартал менять формы отчетности (или как там это у вас называется)? Вот Борис Георгиевич будет рад!
FragCounter Автор
17.10.2024 23:36Потому что я не робот и интересуюсь ещё и другими сферами жизни? Мне вот не понравилась ситуация с IPv6 и я перевёл обсуждение этой ситуации в публичную плоскость.
Не нравится ситуация с отчётностью в РФ? Попробуйте лично тоже что-нибудь сделать. Может быть чего-то и сможете добиться. Лично я рискнул выставить себя на посмешище, а не просто сидел и думал, как всё плохо у нас.
net_racoon
17.10.2024 23:36Есть след моменты:
1) Если делать через гос-во будет что-то из следующего: пообещают сделать к 2036, но нихрена не сделают, а только распилят бабла; РКН запретит IPv4; что-то сделают, но это уже никому не нужно;
3) Купите себе белый адрес, он стоит копейки;
4) Допустим даже решили это внедрять. А оборудование вы для этого где брать будете?
promka
17.10.2024 23:36Щас вы статью поднимете себе за дискредитацию ipv4! Извините, не смог сдержаться. Наверное, кмк, почти все российские решения не умеют в ipv6.
lexore
17.10.2024 23:36Попробую ответить в виде некоторого ликбеза. Я здесь вижу три тезиса:
Как у всего мира с переходом на IPv6.
Как у РФ с переходом на IPv6.
Как у автора лично с переходом на IPv6.
Итак,
Как у всего мира с переходом на IPv6.
У всего мира с переходом на IPv6 все не так уж и плохо. У google есть график "ipv6 adoption". Если мысленно продолжить график, то к 80-100% мы доберемся лет через 10. И это еще хороший результат. Главная проблема IPv6 в том, что он сам по себе никому не нужен. Людям нужен просто интернет. И он отлично работает на IPv4, пока адреса не кончатся. Когда начинаешь переходить на IPv6, вылезают следующие проблемы:
Провайдерам нужно перейти на оборудование с безглючной поддержкой IPv6.
Провайдерам нужно настроить маршрутизацию IPv6.
Веб сайты (и прочие интернет сервисы) должны поддерживать IPv6.
Операционные системы должны поддерживать IPv6.
Роутеры должны поддерживать IPv6.
Браузеры (и прочие клиенты) должны поддерживать IPv6.
С клиентским софтом уже все хорошо. Похоже, что сейчас (в 2024 году) мы дождались, что софт умеет в IPv6. А вот обновление железа во всем мире - это огромные расходы денег и времени. Меньше всего желания у тех, кто построил инфраструктуру давно, вложил кучу денег и не очень хочет инвестировать в неё деньги еще раз. Особенно, если у них еще есть пулы IPv4 адресов.
Главным драйвером перехода на IPv6 я бы назвал деньги. Сейчас пулы IPv4 доступны, но стоят дорого. А будут стоить еще дороже. В связи с этим, можно выделить два класса стран, которые быстро переходят на IPv6:
Развивающиеся страны строят инфраструктуру с нуля, поэтому берут современное железо и сразу закладываются в IPv6.
Развитые страны, которые посчитали и поняли, что переделать инфраструктуру под IPv6 выйдет дешевле, чем оставаться на IPv4.
Теперь, вы понимаете, почему особый вклад в переход на IPv6 проявляют Китай и Индия. Пара миллиардов IPv4 адресов сейчас может стоить куда больше, чем стоимость перехода на IPv6. В любом случае, переход на IPv6 во всем мире происходит методов пинков, шантажа и чуть ли не угроз.
Как у РФ с переходом на IPv6.
Возьмите все, что я указал в первом пункте, добавьте сюда очень странное финансовое планирование у провайдеров (огромные долги). А теперь еще добавьте проблемы с закупкой иностранного оборудования. То есть, это даже более высокий уровень сложности, по сравнению с остальным миром. И вы получите уровень внедрения IPv6 в РФ на уровне 10%.
Как у автора лично с переходом на IPv6.
Попробуйте настроить IPv6 у себя дома, на всех устройствах. На работе. У родных. Думаю, к этому моменту вы сами станете экспертом и сможете самому себе ответить на многие вопросы, которые вы подняли. Тогда, кстати, сможете сами написать инициативу на roi. Если, конечно, еще захотите.
FragCounter Автор
17.10.2024 23:36Спасибо за ликбез. Очень ценно, жаль не могу плюсики ставить.
В любом случае, переход на IPv6 во всем мире происходит методов пинков, шантажа и чуть ли не угроз.
Вот я и попытался сделать хоть какой-то пинок посредством инициативы на РОИ :-)
Попробуйте настроить IPv6 у себя дома, на всех устройствах. На работе. У родных. Думаю, к этому моменту вы сами станете экспертом и сможете самому себе ответить на многие вопросы, которые вы подняли. Тогда, кстати, сможете сами написать инициативу на roi. Если, конечно, еще захотите.
Именно этим сейчас и занимаюсь :-) Но это идёт через костыли, т.к. провайдер не очень то готов к этому переходу. Сейчас упёрся в то, что провайдер выделяет префиксы динамически.
lexore
17.10.2024 23:36Сейчас упёрся в то, что провайдер выделяет префиксы динамически.
А вы попробуйте сначала настроить локальную сеть с использованием локальных IPv6 адресов (аналогов 192.168.). link-local или Unique Local IPv6 Address. Гугл в помощь.
inkelyad
17.10.2024 23:36Оказалось, что провайдер выдаёт префиксы подсети динамически.
Если речь идет про внешний порт маршрутизатора - это это нормально. Более того, этот адрес вообще никого, кроме оператора интересовать не должен и пусть он меняет его как хочет. Но дополнительно к этому - он должен на этот динамический адрес маршрутизировать какую-нибудь постоянную /56 или /48 которую клиент и использует для всех своих нужд.
FragCounter Автор
17.10.2024 23:36К сожалению, он этого не делает. На случай если я всё-таки заблуждаюсь, то как можно это проверить, чтобы однозначно убедиться в этом?
Я пришел к такому выводу после того, как увидел, что после перезагрузки роутера адрес моего компа изменился начиная с третьей точки. Плюс техподдержка об этом говорила
inkelyad
17.10.2024 23:36К сожалению, он этого не делает. На случай если я всё-таки заблуждаюсь, то как можно это проверить, чтобы однозначно убедиться в этом?
Проверить таблицу маршрутизации на маршрутизаторе. Но, вообще, должны бы говорить, какую подсетку выдали.
aamonster
"Можно ненадо..." (c)
Очень, очень плохая идея внедрять его посредством государственного регулирования. Особенно – на основе рекомендаций от непрофессионалов. Вы бы хоть задумались: если ipv6 так хорош – почему он не внедрён повсеместно?
Пункты 1, 2, 5 – ровно наоборот. Медленнее, дороже, сложнее. За расширение диапазона адресов приходится платить.
FragCounter Автор
Так прежде чем писать инициативу, я обратился именно к экспертам за рекомендациями.
Доля трафика IPv6 постоянно растет. Может быть проблема только в инертности среды, а не в минусах протокола?
У меня сложилось впечатление, что IPv6 провайдеры не внедряют не из-за доп.расходов, а из-за "отсутствия спроса". А спроса нет из-за сопротивления среды.
randomsimplenumber
Рынок,
сэрбарин. А вы хотите решить свою проблему (чем-то там поправлять) за счёт других.FragCounter Автор
Для любых изменений, будь то хорошие или плохие, требуется политическая воля. Да, я хочу решить свою личную проблему, попутно решив целый класс проблем других людей. Что в этом плохого? Понятно, что своим решением я могу создать целый класс новых проблем. И мне неизвестно что будет хуже. Поэтому я и обратился за помощью к экспертам на Хабре.
saboteur_kiev
Но вы даже не уверены, есть ли у других людей ваша проблема, и какие новые проблемы, с которыми будет сложнее справится принесет ваше решение.
FragCounter Автор
Насчёт того, есть ли проблема у других - уверен. Она есть. Пляски с белыми IP адресами не только моя проблема.
aamonster
Не "попутно решив целый класс проблем других людей", а "попутно создав проблемы другим людям". Держите в голове: переход на ipv6 стоит денег (замена оборудования и перенастройка роутинга) и создаёт проблемы, иначе бы на него давно все перешли, ибо он решает конкретную и хорошо известную проблему.
ammo
Проблема не в вашей цели, а в методах. За последние лет 12 каждый раз, когда родному государству что-то нужно было от интернета - в итоге становилось только хуже.
ultraElephant
>если ipv6 так хорош – почему он не внедрён повсеместно?
Так в общем то внедрён. Почти половина траффика в интернете с ipv6 генерируется
https://www.google.com/intl/en/ipv6/statistics.html#tab=ipv6-adoption
aamonster
Ага. 28 лет с момента создания, 12 с того момента, как его с помпой официально запустили, решает важную проблему (нехватка ipv4 адресов). И всё ещё "почти половина". Может быть, всё-таки есть какие-то проблемы, мешающие повсеместному переходу на него, как думаете? ;-)
Aelliari
Уж точно не потому что он «плох», или хотя бы хуже IPv4
П.1: почему медленнее? В худшем случае не изменится, в лучшем - станет выше за счёт улучшения связности сети. А «поломать сеть можно и на v4
П.2: NAT - зло, консьюмерское железо умеет v6 уже давно. Проблема в операторском железе. И даже в 2024 году не столько в железе, сколько в желании.
П.5: Да с какого перепугу сложнее? Не тащите свои привычки из v4 в v6.
Да и RIPE вроде выдает LIR-ам v6 бесплатно