Недавно прочитал заметку, смысл которой сводится к тому, что не мешало бы проверить, вдруг вы уже используете IPv6 и ничего не замечаете. Следствием этого, на мой взгляд, является другой смысл, что для подавляющего большинства IPv6 ничего нового не принесёт: сайты будут так же открываться, а телефоны так же звонить.

Последнее время IPv6 перестал быть новым, возможно это относится только к моей среде общения, но говорить об IPv6 как о новом протоколе — перестали. Читать о том как здорово поднимать туннели ради доступа к заветному и недоступному уже совсем неинтересно. IPv6 стал одним из… Казалось бы, наконец-то, можно кричать «Ура!», но став одним из, он потерял драйвер роста, превратившись в заурядный. Доказать потребителю что ему надо именно это стало сложнее, потребитель не готов платить за один из…

Под катом продолжение истории, о том, как мы купили билеты на поезд IPv6 и остались на перроне, в общем смысле история провала, надеюсь, не окончательного. Это именно история, как работает IPv6, я думаю, уже все знают, минимум технических деталей и настроек, максимум личных впечатлений.

Примерно чуть больше года назад было решено отдать IPv6 нашим абонентам. После первых экспериментов прошло достаточно времени, мы смотрели на график Google и хотели не опоздать. Абоненты для нас это пользователи услуг регионального провайдера интернет, классический tirple play: доступ к интернет (без PPPoE и VPN), телевидение (мультикаст) и телефония. Предпосылки, если ссылаться на приведённый график очевидны — туннельные протоколы почти ушли, родного контента стало больше, все большие сайты и хостинги включили IPv6 по умолчанию, магистральные операторы не берут дополнительную плату за dualstack адрес на стыках. Фактически пользоваться интернет в IPv6 стало можно, а быть первым в регионе и перетащить к себе под крыло ещё чуть-чуть абонентов — заманчивая идея.

Начало


Сначала получили адреса с префиксом /32, совершенно свободно обычным для провайдера способом через RIPE или LIR. Предполагалось, что на время тестов хватит и /48, но потом во время проектирования стало понятно, что /32 самый раз.

С аплинками было чуть посложнее (сейчас, наверное, уже нет), но такой магистральный провайдер нашёлся, подняли BGP в IPv6 обменялись префиксами. На текущий момент BGP fullview в IPv6 порядка 22000 префиксов, что очень мало если сравнивать с IPv4 где их больше 500000. Нашёлся даже пиринг партнёр, который был не против поднять с нами IPv6 сессию.

Если вы строите сети хотя бы пять лет, у вас должно было смениться пару поколений устройств, если вы строите сети больше 10 лет, даже используя одного вендора, в сети должен был образоваться некоторый сумбур из устройств, которые исправно работают, но которые совершенно не подходят под новые реалии. Определённо было известно, что если на маршрутизаторе не заявлена поддержка IPv6, то IPv6 там не будет, никакого подвоха от коммутаторов мы не ожидали. Предполагаемая зона охвата на чистом IPv6 составляла примерно 30%, без замены оборудования.

Абонентские оконечные устройства. Здесь как оказалось совершенно неизведанная территория. Если с операционными системами всё более или менее ясно, то с домашними маршрутизаторами кто во что горазд. Решено было разбираться по ходу дела, главным казалось, настроить магистральную сеть.

Контроль доступа, биллинг, полисинг — прикладное программное обеспечение самая проблемная часть если верить обзорам IPv6 и литературе которая была изучена. Но и здесь не виделось больших проблем, что сложного заменить один адрес на другой, тем более железо нам бодро рапортовало что всё это умеет.

Проект


Если на секунду покажется что /32 это много, следует отогнать от себя эти мысли — /32 это впритык. С таким количеством адресов появляется соблазн сделать всё правильно и структурно и на всю жизнь:
  • /60 — абоненту. Можно и /64, конечно, но /60 это же навсегда, и не надо будет что-то отдельно придумывать для тех кому надо будет побольше;
  • /52 — на узел, из расчёта 256 абонентов;
  • /40 — на район, из расчёта 4096 узлов, по количеству виланов на устройство;
  • остальное это районы, максимум 256 минус служебные сети.

Итого 256*4096*256 = 2^28 ~ около 268 миллионов абонентов у каждого из которых, ну очень много адресов. С этим всё в порядке.

Так как изначально было очевидно, что всем не получится отдать родной IPv6, то тем, кому не повезло, IPv6 решено было отдавать в туннелях. Хотелось чтобы всё происходило автоматически без дополнительной настройки. Идеальным вариантом мог бы стать teredo, но у него не было поддержки наших IPv6 адресов, только зарезервированный диапазон. Это касается и 6to4, реализация которого подразумевает наличие публичного IPv4 на интерфейсе. Поэтому основным туннельным протоколом был выбран чистый туннель, как в туннельных брокерах. Пусть это и требовало некоторой настройки, но однократной, и поддержка на устройствах была гораздо шире.

Реализация


Магистральные маршрутизаторы. Тут почти всё хорошо. Всё, что новее 5-ти лет и заявлено как маршрутизатор, или если это L3 коммутатор не самый младший в линейке, имеет поддержку IPv6. В разной степени проработанности, но базовые функции OSPFv3, ACL, ND, DHCPv6 включая snooping, диагностические утилиты, обычно присутствуют.

Конечно, некоторые устройства подвержены детским болезням:
  • Повышенная нагрузка на CPU (особенно это касается OSPFv3), хотя IPv6 как раз и должен был решить проблему недостатка вычислительной мощности;
  • Некоторые производители придумывают совершенно жуткие синтаксические конструкции, чтобы вписать настройку IPv6 в существующий интерфейс;
  • Базовые команды диагностики не всегда корректно работают. Даже попытка проверить что-то ping может завершиться печально.

Но это всё проходит и починится в ближайшее время, как я думаю. Единственно чего вдруг не стало хватать это wildcard mask, иногда было бы полезно, но такого не будет никогда — IPv6 другой протокол.

Коммутаторы удивили своим избирательным подходом. Возможно, если вы не используете мультикаст в своей сети и различные варианты его фильтрации, то всё будет хорошо. Но если используете, то с большой вероятностью мультикаст трафик IPv6 зафильтруется как неизвестный. Поэтому для коммутаторов также надо явно смотреть поддержку IPv6, чтобы не было сюрпризов. Зона охвата после этого открытия немного уменьшилась.

Туннели. Как ни странно, самое простое и самое эффективное решение. Поднятие серверов и настройка не отняла много времени. Поднимаем sit интерфейс и запоминаем маршруты на подключенных абонентов через него. Был написан интерфейс для абонентов позволяющий понять, пользуетесь ли вы туннелем, и если нет, что надо сделать, чтобы его настроить.

Дополнительно подняли teredo relay на miredo. Teredo сам по себе очень интересный протокол, даже если у вас только IPv6 сеть, но вы не забываете об обделённых вынужденных пользоваться teredo, поднятие teredo relay в вашей сети очень сильно улучшит им жизнь. Раз в 10, если судить по пингам. Конечно, это касается только ваших серверов, никакого транзитного трафика бежать через ваш релей не будет.

Устройства абонентов повели себя по-разному. Фактически Windows и Linux не принесли сюрпризов. В разных системах и версиях имеются разные приоритеты для IPv6, где-то на первом плане DHCPv6, где-то, даже если все адреса IPv6 получены, всё равно работаем через IPv4. Так как IPv4 выключать не собирались, то здесь решено было действовать по факту, если не работает чиним. Многие роутеры в свою очередь порадовали наличием возможности включения механизмов туннелирования и также достаточно умным поведением, даже без запроса DHCPv6-PD они смогли распределить выделенный им префикс /64 на свою локальную сеть.

А вот железный полисер нас подвёл. При всём своём авторитете марки и расписанном функционале, не смог переварить наши требования, просто отказался применять новые адреса. Но не всегда, а через раз, как бы я могу как и обещал, но не буду. Поэтому временно была пересмотрена стратегия выделения адреса, только /64 на абонента.

Заработало


Когда были готовы настройки магистральных узлов и серверы туннелей, мы разрешили абонентам пользоваться IPv6. Разрешили пользоваться, но самим абонентам не сказали. Таким образом у кого устройства были настроены на автоматическое получение IPv6 (все современные ОС), те должны были получить адреса и начать использовать новый протокол по назначению. Для всех тех, кто каким-то образом узнал об IPv6, но не смог настроить нативно, тем предлагалось перейти на сервер туннелей для настройки.

Так работало 3 месяца, за которые:
  • Нативный трафик IPv6 линейно рос и добрался примерно до отметки 1-2% от общего трафика;
  • Структурно: в основном web и видео через web, никакого торрента;
  • Количество абонентов тоже линейно росло до примерно такой же величины;
  • На сервере туннелей зарегистрировалось порядка 1000 абонентов, которые генерировали трафик сравнимый с нативным;
  • Даже трафик через teredo relay составил 50 Кбит/c.

А потом мы всем сказали что у нас есть IPv6. И вместо ожидаемого перехода к взрывному росту показателей, получили довольно странную картину. К нам стали звонить абоненты и просить им всё настроить не понимая зачем это надо, совсем не понимая, вообще. А мы внезапно для себя не смогли объяснить:

  • Много адресов. В среднем активных устройств на абонента, которым требуется доступ в интернет 2-3, может, побольше — гаджетомания побеждает. Но даже сейчас это покрывается с лихвой частным адресным пространством без IPv6. Хоть каждому абоненту до 2^24, хотя на всех абонентов 2^24 — сейчас этого более чем достаточно;
  • Каждый адрес публичный. Сейчас у нас все адреса при доступе к интернет получают уникальный публичный адрес через NAT. Да через NAT, но с точки зрения конечного абонента NAT как первичный фильтр очень хорош. IPv6 подставляет под удар каждое подключенное устройство;
  • IPv4 кончаются. Если перейти от NAT к PAT(NAPT) при мультиплексировании 1 к 2, экономия 2 раза — в два раза больше подключенных абонентов. Такое мультиплексирование незаметно вообще, никому, 1 к 10 более реальные значения. А для тех кому действительно нужны публичные адреса после такого перехода они легко найдутся. Это не отменяет того факта что IPv4 кончаются, но провайдеры с полностью понятной технологией NAT это заметят самые последние. Многие наверняка уже использую NAPT или уже cgNAT, но IPv4 ещё можно купить или арендовать, причём достаточно свободно. Цены выросли, список предложений сократился, но до ситуации «нету ничего» ещё минимум пару лет;
  • Автоматические настройки. Для провайдера stateless технологии ужасны, тотальный контроль залог успеха. Гигантское количество IPv6 адресов разных типов на одном интерфейсе, гигантские возможности потенциальной ошибки. Если не следить за адресами, большая часть сети превратится в ботнет и уже будет поздно что-то менять;
  • Multicast против Broadcast. Коммутаторам всё равно, даже иногда плохо, логика начинает сбоить при использовании различных фильтров. На сетевом уровне, вместо 192.168.0.255/24 такой же FF02::1, т.е. тоже всё равно.


Итого


Оставили работать только сервер туннелей, последняя регистрация на котором была 9 марта, через 7 месяцев как убрали новость об IPv6. Остальное выключили через пару дней после объявления, поняв что единственным результатом это больше звонков от тех кто хочет что-то сделать, но не знает зачем, и почти полную неготовность даже в ближайшей перспективе софтверной обвязки. Те, кто знал зачем, сделал это сам. Сейчас доделываем биллинг, обновляем прошивки и оборудование и приходим к понимаю что IPv6 такой же протокол как и IPv4, интернет к этому стал готов и поэтому сам по себе «новый» протокол стал неинтересен. Спешить никуда не надо. Ни один конкурент за это время не предложил ничего, хотя почти все зарезервировали себе IPv6 префиксы.

Для всех тех, кто думает что у его провайдера нет IPv6, попробуйте поискать — может быть, уже есть, просто вам это не нужно?

Комментарии (119)


  1. Ivan_83
    04.05.2015 21:21
    +1

    «Коммутаторы удивили своим избирательным подходом. Возможно, если вы не используете мультикаст в своей сети и различные варианты его фильтрации то всё будет хорошо. Но если используете, то с большой вероятностью мультикаст трафик IPv6 зафильтруется как неизвестный. Поэтому для коммутаторов также надо явно смотреть поддержку IPv6, чтобы не было сюрпризов. Зона охвата после этого открытия немного уменьшилась.» —
    Нарвался на это на своём домашнем DGS-1210 (ревизия A) — если включить IGMP Snooping + Filter Unregistred groups то труба — RA и прочее что через мультикаст v6 перестаёт работать и через некоторое время адреса теряются.
    Ещё одна фишка которую я совсем не могу понять: ACL для Ether type = ipv6 совсем не работают. Длинк катает вату в ответ. Ладно, ещё понимаю что для мультикаста он таких маков не знает, но какая разница для ipv6 при фильтрации уровнем ниже!?

    «Для всех тех кто думает что у его провайдера нет IPv6, попробуйте поискать — может быть уже есть, просто вам это не нужно? » — иногда можно сделать проще: «эй! а у нас уже есть IPv6?» :)


    1. Borz
      04.05.2015 22:26
      +4

      и в ответ: «да, есть! Но только с нашим роутером (купите или в аренду) и только за доп. бабки. Что? Просто дать настройки, а вы свой сами настроете? Нет, ваш роутер однозначно не будет работать! Да нам пофиг какой у вас роутер — он не будет работать так, как наш! Почему? Просто в наш вкорячена наша кастомизированная прошивка специально для IPv6»


      1. Loiqig Автор
        04.05.2015 22:40

        А в этом и есть суть провала. Если мы попробовали и выключили, то в случае кастомной прошивки сделали чтобы работало, но только для галочки, ибо вроде надо, но не нужно (в этом случае не нужно провайдеру).


      1. Ivan_83
        04.05.2015 23:40
        +1

        Подразумевался контекст: [повернутся на стуле/написать/позвонить и] спросить у коллег/знакомых кто работает в ISP. :)

        Свой роутер могут позволить себе далеко не все провайдеры, даже просто прошивку.

        Так то у меня IPv6 уже несколько лет, через HE.
        В свете последних событий думаю это даже лучше, чем от провайдера.


  1. istui
    04.05.2015 22:00

    А о каком городе речь?


    1. Loiqig Автор
      04.05.2015 22:29

      Волгоград. Но вообще мне представляется что ситуация очень типичная, в целом, как минимум по России.


  1. k0ldbl00d
    04.05.2015 22:31
    +4

    А это ничего. Когда через пару лет RIR'ы раздадут то последнее из IPv4, что у них осталось, кроме IPv6 вариантов не будет. Либо за бешеные деньги арендовать/выкупать IP у других (что не очень вяжется с политикой RIR'ов), либо двигаться в сторону v6.


    1. equand
      05.05.2015 00:45
      +1

      Тут проблема в том, что это хлеб/соль для RIRов.

      Так что я думаю биржу откроют. А ipv6 застопорится пока не будут поправлены баги (а то вышло то, для чего разрабатывали, все дырявое, SLAAC только дома можно использовать, большее адресное пространство в принципе с текущими технологиями идет во вред, раздавать их надо было как v4 в 90х).


      1. k0ldbl00d
        05.05.2015 06:11
        +1

        Для RIR'ов хлеб-соль (если я правильно понял что вы имели в виду) — это членские взносы, которые платят LIR'ы, а LIR'ы никуда не денутся. Когда будут существовать популярные сервисы, работающие IPv6-only, то проблемы вида «D-Link глючит при работе с IPv6 со включенным IGMP Snooping» будут решаться заменой D-Link'ов на более современные.


    1. amarao
      05.05.2015 06:27
      +6

      RIR'ы уже, считай, раздали. last /8 уже фиг знает сколько. А 1000 адресов per LIR — это детский лепет и никакой роли не играет.

      Сейчас заканчивается этап проедания нахапанного и начинает выходить на передний план первичный вторичный рынок.

      Поясняю насчёт «первичного вторичного рынка». Это когда адреса покупаются на вторичном рынке у компаний, которые их получали пока адреса раздавались легко и свободно, и которые ничего такого особого не думали. Всякие хостеры-неудачники, у которых из активов только IP, крупные конторы, которые адреса получали «под задел», который не пригодился и т.д. То есть сейчас пылесосят «завалявшееся».

      Когда этот ресурс закончится (а он весьма ощутим, на самом деле), то в дело пойдёт уже «коммерческий вторичный рынок». Когда будут не «завалявшееся» собирать, а резать наименее интересные проекты ради адресов — они будут весьма и весьма ценными на рынке.


    1. derwin
      05.05.2015 10:20
      +1

      вспоминается песня «хоронили тёщу — порвали три бояна».
      Уже лет 5 слышу, что кончается IPv4. Всё никак не кончится.
      В моём городе один не безывестный федеральный провайдер стал сажать всех за NAT-ы. На разные ресурсы ходим под разными белыми IP адресами. Называется технология carrier grade nat


      1. k0ldbl00d
        05.05.2015 11:04

        Провайдеры меньше всего заинтересованы в том чтобы прямо сейчас развивать IPv6. Это ж нужно апгрейдить сети, дополнительно обучать саппорт и еще много-много других затрат. Они это всё сделают конечно, но только тогда, когда прижмёт. А прижмёт когда появится ощутимый процент важных сервисов, работающих только по v6.


  1. Disasm
    04.05.2015 22:55
    +2

    Я давно хочу подключить IPv6, но не подключаю потому что лень. Лень настраивать защиту локальной сети, когда с IPv4 и NAT она уже есть. Лень думать, где же я могу налажать с настройками. Лень разбираться во всей этой кухне типов адресов. Обычные пользователи лишь дополняют картину, не понимая, зачем им может быть нужен IPv6. Нужно готовое устройство, которое пользователь может поставить у себя вместо роутера/за роутером, которое просто «сделает хорошо».


    1. TrueBers
      05.05.2015 09:38
      +7

      Проблема надумана.

      В начале нулевых разве не то же самое было? Когда диалап выдавал реальные адреса, у рядового пользователя не было фаерволла, всё было открыто наружу, кулхацкеры лазили по шарам, делали что хотели. До сих пор помню спам и ASCI-art-картинки сомнительного содержания, приходящие через виндовую службу сообщений, которая net send, пока не поставил Outpost.

      Когда люди со временем более-менее поймут, что такое внешний адрес, они просто перестанут выключать, повсеместно рекомендуемый, «этот ненужный дурацкий брандмауер, из-за которого ничего не работает». Его блокировки входящих по умолчанию вполне хватит оградиться от внешнего мира для рядового пользователя. В юзерских дистрибутивах линукс тоже разрешено только NEW,RELATED в iptables на вход.


      1. navion
        05.05.2015 14:34

        Да не нужно ничего включать или выключать, в роутерах есть свой файрвол, разрешающий входящий трафик только при наличии правила или запроса через UPnP/NAT-PMP от приложения.
        Хотя у настройщиков всякое может быть, ведь они даже не отличают NAT от FW.


      1. grossws
        05.05.2015 15:14

        NEW,RELATED
        Сильно. А ESTABLISHED — нафиг?


        1. TrueBers
          05.05.2015 16:16
          +2

          Кому надо, те поняли, что я опечатался.


  1. AYrm
    04.05.2015 23:09

    Вот это сильно смущает. "Да через NAT, но с точки зрения конечного абонента NAT как первичный фильтр очень хорош. IPv6 подставляет под удар каждое подключенное устройство"

    Мне проще noip.me платить копейку, чем думать о том, что все моё домашнее хозяйство нараспашку всему миру только потому, что я хочу время от времени заглядывать на свою ip-камеру.


    1. equand
      05.05.2015 00:47

      Действительно, все в инете не настолько важно, вот on-demand NAT был бы удобен да и для человека с мини устройствами настроить порт проброс — не проблема.


  1. Goodkat
    04.05.2015 23:54
    +4

    Для всех тех, кто думает что у его провайдера нет IPv6, попробуйте поискать — может быть, уже есть, просто вам это не нужно?
    Надо же, оказывается есть у моего провайдера IPv6, ещё с 2013-го года.
    Сейчас нашёл в модеме галочку для активирования IPv6. Результат теста на сайте test-ipv6.com — 10/10.
    Модем получил префикс /56, вся эпловская техника и Synology NAS получили по нескольку IPv6-адресов (зачем одному устройству 6 IPv6-адресов?), и только андроид и Windows-Phone остались на IPv4.

    Вопрос только — зачем оно мне и как всё вернуть обратно? ;-)


    1. TrueBers
      05.05.2015 09:55
      +4

      Насчёт 6 адресов на устройстве.

      Один из этих адресов локальный, для работы протоколов настройки и для общения внутри локальной сети. Один статический для входящих соединений. А остальные, скорее всего, временные — для исходящих.

      В IPv6 есть такая штука, как временный адрес для исходящих соединений. Они могут ротироваться по времени или по количеству соединений для предотвращения сканирования портов.

      Суть в том, что адрес меняется, а старые соединения остаются висеть на предыдущем адресе, и чтобы не разрывать их, этот адрес объявляется как устаревший, и новые соединения его уже не будут использовать. Соответственно, когда отвалится последний коннект от старого адреса, он просто удалится с интерфейса.


  1. nikitasius
    05.05.2015 00:11
    +1

    На самом деле траффика по ipv6 очень мало. Например, проекты ориентированные на европу и западную аудиторию — 1.35% IPv6 в 2014 году, и в текущем 2015 всего 0.75% на 4 полных месяца.


    1. khim
      05.05.2015 01:39
      +6

      А это смотря с какой стороны смотреть. Я не знаю чего ожидал топикстартер, но вся статья — просто показатель того, что люди плохо умеют «работать» с экспонентой.

      График Google показывает не только то, что IPv6 пользователей мало, но и что их количество растёт примерно раза в два за год. То есть через 3-4 года их будет половина. А ещё через 2-3 года вы обнаружите, что разные программы просто-напросто не работают без IPv6 (при значительном перевесе в пользу людей с IPv6 окажется выгоднее работать с ними, чем мучиться с поддержкой клиентов без IPv6). Что, я уверен, окажется «неожиданностью» для многих провайдеров. Как неожиданностью оказалось отключение Java через несколько лет после первого звоночка.

      Собственно все новые технологии через это проходят. Много народу в 2002м году купились на поддержку 3G? А лет через 10 операторы без 3G просто начали тихо терять клиентов и, в общем, практически кончились. Экзотика типа сетей 2G/4G от Tele2 в Туле не в счёт — это всего лишь способ как-то выжить в ситуации, когда 3G уже «нужен позарез», а его нету.


      1. MaxxxZ
        05.05.2015 08:13

        Оффтоп конечно, но «Экзотика типа сетей 2G/4G от Tele2 в Туле не в счёт — это всего лишь способ как-то выжить в ситуации, когда 3G уже «нужен позарез», а его нету.» Зачем нужен 3Г при развёрнутом 4Г? Телефоны служат недолго. Через 3-4 года о 3Г уже и не вспомнят.
        Вот с 2Г — засада, пока в 4Г нет и не предвидится голосвоых каналов — непонятно, как дальше пойдёт развитие классической телефонии.


        1. dmitrmax
          05.05.2015 10:03

          предвидется в LTEA


        1. Goodkat
          05.05.2015 10:36

          Есть же Voice over LTE. У моего опсоса, например, есть, но скорее теоретически.
          На практике это работает только с некоторыми брендированными смартфонами Самсунга и Сони, и не со всеми симкартами. Так что хотя у моего айфона передача данных по 4G теоретически до 100 мбит/с (реальных я видел 45 мбит/с), но для звонков он переключается в 2G/3G.


          1. MaxxxZ
            05.05.2015 10:42

            В том-то и прелесь классической телефонии, что она не брендирована и хорошо стандартизирована. Была. А звонить через ИП и через скайп можно.


        1. khim
          05.05.2015 11:49

          Оффтоп конечно, но «Экзотика типа сетей 2G/4G от Tele2 в Туле не в счёт — это всего лишь способ как-то выжить в ситуации, когда 3G уже «нужен позарез», а его нету.» Зачем нужен 3Г при развёрнутом 4Г?
          Там нет развёрнутого 4G. Там не получилось запустить 3G сеть (частот не досталось) и у Tele2 начали уходить клиенты. В качестве решения была форсированно запущена сеть 4G. Которая пока что работает по принципу «тут густо, тут пусто». Хотя когда покрытие будет нормальное без 3G уже можно будет и обойтись, конечно.


        1. navion
          05.05.2015 14:43
          +1

          Мегафон активно переводит абонентов на 4G, вероятно, для освобождения 3G под голос. А VoLTE уже работает у T-Mobile, наши тоже тестируют.


  1. MaxFactor
    05.05.2015 02:51

    IP6 не пользуюсь, хотя возможность есть, для дома арендую статический IP уже 4 года 30 рублей в месяц. И честно говоря не вижу проблем. Но принудительный переход на IP6 меня бы взбудоражил.

    Я вообще считаю, что принудительно делать такие вещи не предупредив пользователя — просто издевательство.

    Недавно Ростелеком прошил удаленно мне прошивку на IP/TV не спросив меня — и меня это бесит, т.к. теперь телевизор каждые 30 минут предлагает прочитать какое то сообщение когда я смотрю «важную телепрограмму».

    ЗЫ: У меня такое ощущение, что роутеры Ростелекома, которые ставят пользователям дома следят за нами.


    1. impowski
      05.05.2015 07:46
      -2

      Ростелеком — самый худший интернет провайдер в России.


    1. FSA
      05.05.2015 11:22

      Приставки IPTV как минимум собирают статистику по просматриваемым каналам и передачам.
      Тоже пользуюсь Ростелекомом, во-первых, потому что это единственный доступный провайдер. Но и даже если придут другие, то отзывы о них не лучше. Да и, в принципе, всё устраивает и на Ростелекоме. Кроме сабжа. Нет у нас до сих пор IPv6. Только через 6to4 настроил… но это костыль.


    1. derwin
      06.05.2015 05:26

      >>Недавно Ростелеком прошил удаленно мне прошивку на IP/TV не спросив меня
      это называется TR069


  1. ValdikSS
    05.05.2015 07:38
    +5

    Сейчас у нас все адреса при доступе к интернет получают уникальный публичный адрес через NAT.
    Не совсем понял. Т.е. У вас NAT, но с выделением личного IP каждому клиенту, но это не Full Cone? А почему? Есть какие-то технические выигрыши от такого подхода?

    AYrm, Disasm, в некоторых роутерах, фильтр входящих соединений включается одной галкой или выбором в комбобоксе. Мне больно видеть, что в 2015 кто-то может оправдывать NAT, да еще и говорить, что это удобно.


    1. MaxxxZ
      05.05.2015 07:58
      +3

      Фильтр входящих соединений хитрая штука. Для большинства устройств в изначальном исполнении он включает кучу исключений для разных видов трафика. Надо каждый раз следить, чтобы прошивка не посчитала, что «запрещено всё», кроме SMB, например… С NATом же сложнее обратиться к узлу, который не имеет глобального адреса.

      В теории — да, межсетевой экран может заменить нат и быть лучше ната. Но на практике никто среди домашних пользователей этим заморачиваться не будет. Нет адреса — нет проблем.

      Есть разница — надо приложить услилия, чтобы разрешить входящие из вне и надо приложить усилия, чтобы такие подключения запретить.


    1. Loiqig Автор
      05.05.2015 08:09

      Да, именно так. Технически это очень помогает в работе с органами. В своё время этим решали проблемы гиков при переходе/отказе от подключения абонентов по VPN, когда мы посчитали что заменить публичный IP на интерфейсе на частный да ещё и за PAT, было бы не комильфо.


      1. ValdikSS
        05.05.2015 12:39

        Прошу прощения, что-то я недопонимаю. У вас отдается статический серый IP клиенту, который каждый раз мапится в разные белые IP-адреса, при этом нет PAT, и это не Full Cone NAT? А в чем смысл тогда? Почему не просто firewall с запретом входящих соединений?


        1. Loiqig Автор
          05.05.2015 12:57
          +3

          Мы отдаём не один IP, а некоторую частную статическую сеть абоненту. Как только устройство из этой сети хочет попасть в интернет оно мапится Full Clone в разные публичные адреса (при активном использовании интернет, публичный адрес не меняется), каждое устройство в свой IP.
          Смысл — каждый абонент имеет публичный адрес, максимально столько сколько мы ему отдали сеть. Мы эти самые публичные адреса экономим, потому что имеем общий пул адресов меньше общего количества всех наших абонентов и тем более в несколько раз меньше чем всего у абонента возможных устройств. Здесь вопрос не безопасности, вопрос выгоды.
          На границе сети мы не запрещаем ничего, кроме того что явно представляется злонамеренным. Некоторые абоненты активно используют возможность именно внешних соединений на свои устройства. И не у каждого нашего абонента есть дома роутер, у некоторых только коммутаторы.


          1. ValdikSS
            05.05.2015 13:08
            +2

            А, теперь понял, у вас Full Cone. Это здорово, на самом деле, молодцы!


    1. AYrm
      05.05.2015 10:25

      Для меня сети — это не проф.занятие. По мере необходимости. Выбрать себе хороший роутер и поставить на него DD-WRT у меня знаний и мотивации хватит. Процентов 30 настроек (я надеюсь) я могу понять. Остальное просто стараюсь не трогать.

      Так вот я примерно понимаю, как это работает и чем отличается выделенный IP от локального IP в моей локальной сети. И что попасть ко мне внутрь не так просто хотябы шкодным детишкам моего уровня знания сети. Если я не хочу, чтобы эту камеру было видно — её не будет «снаружи» видно. А вот как поступать в ситуации IP6 мне не понятно. И что самое противное — мне не 25 лет и море времени впереди когда я кидался разбираться с 3dmax только потому, что мне надо было сделать разовую работу. Так что становиться сисадмином для личного пользования не вариант.


      1. dmitrmax
        05.05.2015 16:45
        +3

        NAT, который у вас на роутере настроен по дефолту вместе со всеми костылями к нему и благодаря которому у вас есть это некоторое чувство защищённости — это далеко не самая простая вещь в настройке и работе. И то, что для вас это выглядит просто, является лишь тем, что эти настройки вшиты и по дефолту включены. Ничего не стоит сделать то же самое на роутере с IPv6, за исключением того, что сам механизм работы этой защиты архитектурно сильно проще.

        То есть это некоторый вопрос времени, пока не появятся т.н. Best Practices и производители роутеров не начнут это делать в каждом роутере (если уже не начали)


        1. navion
          05.05.2015 18:07
          -2

          У Apple нормальная поддержка IPv6 давно есть, а с китайцами всё как обычно.


          1. ivlad
            05.05.2015 18:19

            У Apple до недавнего времени не было IPv6 на 3G интерфейсе.


            1. navion
              05.05.2015 18:28
              -3

              Я про роутеры.


              1. ivlad
                05.05.2015 19:23
                +5

                Могу ошибаться, но по–моему, на рынке роутеров Apple — не слишком значимый игрок.


    1. mayorovp
      05.05.2015 10:36
      +3

      Зачем внешний адрес устройству, к которому обращений из инета не должно быть в принципе? Зачем сначала решать проблему «как сделать устройство доступным снаружи» — а потом решать «как же этот доступ теперь перекрыть»?

      И по поводу настроек роутера. Я попросту не знаю, где фильтр входящих соединений включается. В веб-интерфейсе роутера есть три таблицы правил, и я не знаю, какая из них за что отвечает. Ни то маркетологи, ни то дизайнеры сильно постарались, чтобы названия тех страниц были совершенно непонятными.

      Можно, конечно же, провести серию экспериментов и понять, какая таблица за что отвечает — но зачем, если можно включить NAT нажатием одной кнопки?


  1. MaxxxZ
    05.05.2015 07:53
    +1

    Больше всего в IPv6 я не понимаю отказ от ната. Да, адресов дофига и в теории всем хватит. Но нат из механизма решения проблемы дефицита адресов давно превратился в механизм безопасности. Всё-таки это сложно через интернет обратиться к немаршрутизируемой глобально сети.
    Кто мешал сохранить нат? Я понимаю, что он ломает концепцию условно неограниченного количества адресов для каждой вещи. Но разве все устройства IoT должны быть видны из всей глобальной сети?


    1. ValdikSS
      05.05.2015 08:04

      Ну, по крайней мере, реализации-то в том же линуксе есть, но NAT, в целом, нужен редко, если только для удобства какой-нибудь адрес короткий замапить.
      И да, NAT никогда не был средством безопасности.


      1. MaxxxZ
        05.05.2015 08:09
        +10

        Он не разрабатывался как средство безопасности, но он им является де-факто.
        Миллионы пользователей ставят домашние роутеры не заморачиваясь за настройки межсетевого экрана, но при этом их домашние устройства достаточно надёжно экранированы от внешней сети. Для того, чтобы сделать их видимыми — необходимы доп. настройки. А по-умолчанию их даже не просканировать.
        Или вы считаете, что отсутствие возможности обращения к устройству из глобальной сети никак не влияет на безопасность?
        Да, можно нат заменить фаерволом. Но фактически сейчас на миллионах точек присоединения к сети интернет нат заменяет правила классической пакетной фильтрации. И это факт.


        1. FSA
          05.05.2015 11:29
          +4

          Не находите логичным, что вместо механизма NAT можно будет просто строчку в Firewall добавить? И всё, прощай проблемы с FTP, SIP и т.п.


          1. MaxxxZ
            05.05.2015 11:45
            +2

            Я себе настрою как надо. Но есть миллионы домашних пользователей, с которыми вы задолбаетесь работать и вести разъяснительные беседы по поводу фаервола. В статье о пользовательских проблемах сказано явно и недвусмысленно.


            1. FSA
              05.05.2015 11:50
              +3

              А что мешает необходимые правила по умолчанию предоставлять в маршрутизаторах, которые будут заточены под IPv6? По моему сейчас большинство железок по умолчанию предлагают включить глухой файвервол для запросов из интернета.


              1. MaxxxZ
                05.05.2015 12:15
                +3

                Мешает огромная масса устройств уже существующих и огромная масса людей, имеющих инертность мышления.

                Вы за прогресс для людей или за людей для прогресса? Именно игнорирование технической подготовки большинства пользователей и ставит пока крест на масштабном переходе.


                1. FSA
                  05.05.2015 12:25
                  +1

                  Вы меня заинтриговали. Я в два клика настроил 6to4 туннель (Ростелеком не выдаёт IPv6, как минимум, у меня в городе). Про Firewall даже не задумывался, ибо IPv6 только на Linux машинках внутри и не так страшно их наружу выставлять. Зашёл, проверил. У меня по умолчанию Firewall включен для IPv6. При желании можно создать правила для того, чтобы из внешки в локалку впустить.


                  1. MaxxxZ
                    05.05.2015 12:36
                    +1

                    Неужели к вам никогда не прходили люди с квалификацией «а чё у меня тут выскочило», «а как скачать интернет» и пр.? Подавляющему большинству пользователей «в два клика» это сложно. Но если у вас не было опыта с домашними пользователями в своей массе — то мне вам в рамках комментария эти непередаваемые ощущения не пересказать.


                    1. FSA
                      05.05.2015 12:40

                      Я же объясняю, что для того, чтобы мой маршрутизатор пустил кого-то в локалку по IPv6, то его нужно специальным образом настроить. По умолчанию он играет в глухую оборну.
                      Кстати, у меня маршрутизатор фирмы Asus.


                      1. MaxxxZ
                        05.05.2015 12:46
                        -3

                        Правильный маршрутизатор. Что тут ещё сказать? Но это, к сожалению, скорее частный случай.


        1. sunafajro
          05.05.2015 11:31
          +5

          в ipv6 есть специальный диапазон «приватных» адресов для таких случаев. вы хоть стандарт почитайте, прежде чем панику разводить.


          1. MaxxxZ
            05.05.2015 11:42
            -4

            Есть, однако NAT это не только диапазон адресов, но и согласованный алгоритм. Этот алгоритм для IPv6 не разработан. Можно конечно применять механизмы от IPv4, но это идеологически неверно.


        1. ValdikSS
          05.05.2015 12:57
          +2

          А как же UPnP? Любое приложение может пробросить себе порт, если нужно. Многие приложения его поддерживают. Он включен на большинстве роутеров по умолчанию.


          1. AYrm
            05.05.2015 13:35
            -4

            Там хоть список посмотреть можно. Я сунулся туда, обнаружил некий teredo, слегка прифигел от непонятно чего, что наплодило себе портов и о чем я не подозревал вообще. Начал разбираться… Понял для чего оно и вырубил от греха за не надобностью.


      1. Showvars
        05.05.2015 11:06
        -4

        А что придется делать средним и большим организациям (да и не только организациям), в которых обустроена довольно обширная локальная сеть с десятками рабочих станций, мобильных клиентов, принтеров, IP-телефонов и т.п.? Неужели каждая телефонная трубка на столе менеджера «должна» будет смотреть в мир напрямую? Честно говоря, эта проблема меня больше всего пугает. Может я что то недопонимаю и есть какое нибудь решение этой проблемы?


        1. sunafajro
          05.05.2015 11:36

          мой комментарий выше. извините, промазал.


        1. ValdikSS
          05.05.2015 12:21
          +6

          Я не понимаю, от чего такая паника. NAT (тот, что в линуксе и на всех домашних маршрутизаторах) выполняет только замену IP, порта, и добавляет запись в conntrack об этом. Если на файрволле запретить forward новых соединений в локальную сеть, то вы добьетесь точно того же поведения, которые так жаждите добиться от NAT, но только без NAT, и с нормальным белым IP.

          И да, я не вижу ничего плохого, когда все устройства имеют белый IP. У меня все устройства дома имеют IPv6, я могу к ним всегда обратиться из интернета (еще и по динамическому доменному имени!), у меня нет проблем с протоколами, которым, по хорошему, нужен белый IP: FTP, SIP, передача файлов через XMPP, XDCC (да, я часто передаю файлы через XDCC, это единственный верный способ скачать некоторые старые релизы аниме, для которых нет сидов в торренте).

          А то, что Loiqig не нашел, что сказать клиентам, как-то просто недальновидно. Раздача торрентов по IPv6 (внезапно, у меня 10-15% торрент-трафика по IPv6), хостинг игр, требующих белого адреса, без проблем, возможность поднятия серверов.

          Ну и как сказал sunafajro, если вы уж так хотите, вы можете использовать внутренние немаршрутизируемые адреса, и, прости господи, использовать NAT на IPv6. А можете просто иметь множество IPv6-адресов на интерфейсе и биндить сервисы к нужному, чтобы они работали только во внутренней сети, к примеру. У меня, например, в среднем 5 IPv6-адресов на интерфейс: link-local, ULA (1), ULA (2), белый SLAAC и белый DHCPv6.


          1. Loiqig Автор
            05.05.2015 13:02

            И да, я не вижу ничего плохого, когда все устройства имеют белый IP.

            До некоторой степени у нас так и реализовано, только в IPv4, и конечно не для 100500 устройств, но реализовано.


        1. navion
          05.05.2015 14:55

          Радоваться, как тем у кого публичные адреса были изначально (тот же HP).


    1. dmitrmax
      05.05.2015 10:12
      +4

      Когда-то компьютер можно было убить пингом. Переход на ipv6 просто обострит проблему безопасности и подтолкнет к ее купированию, что в любом случае полезно, ибо сейчас некоторые производители вещей для интернет наплевательски относятся к этим вопросам, полагая, что 99% юзеров будут юзать их за натом


      1. MaxxxZ
        05.05.2015 10:40
        +1

        Т.е. чтобы решить проблему безопасности её надо создать? Устройства IoT бывают очень примитивными. Например датчики температуры. Надо туда SSL впихивать, сертификаты и т.п. менять? Зачем, если можно защитить периметр сети.


        1. Nicknnn
          05.05.2015 11:34
          +3

          Немного перефразирую. Необходимо (и часто достаточно), настроить фаервол на роутере, через который ходит ipv6 трафик. И это не сложнее NAT.


          1. MaxxxZ
            05.05.2015 11:54
            -1

            Во-первых сложнее. Двусмысленностей в работе чистого нат намного меньше, чем в фаерволе. Нат он примерно одинаковый для всех, а вот фаерволы бывают очень разные с разной логикой функционирования. Понятие входящий трафик очень размыто и трактуется по разному. Кто-то любой трафик считает входящим, кто-то вешает логику распознавания сессий и не считает рефлексивный трафик входящим, у кого-то разные правила для самого фаервола и устройств за ним, кто-то смешивает логику форварда с логикой непосредственного обращения к узлу и т.д. Хотя эта проблема решаемая. Но не факт, что малой кровью.

            А во-вторых подавляющая масса людей действует «по-умолчанию». Есть множество исследований на эту тему. Так вот, нат как раз и обеспечивает безопасное состояние «по-умолчанию». С фаерволом — не так однозначно. Можно сколько угодно рассуждать, что в теории простое экранирование правильнее. Но есть практика и эта практика говорит — у IPv6 проблемы с внедрением. В том числе из-за отсутствия ната. Пускай даже это психологические проблемы.


            1. Nicknnn
              05.05.2015 12:07

              Если рассматривать типичный сферический роутер в вакууме, то это будет коробочка с линуксом внутри. Для организации защиты, аналогичной NAT достаточно по одному правилу для iptables и ip6tables. Что -то вроде --state ESTABLISHED,RELATED -j ACCEPT для input.

              Но вообще я воспринял ваш коммент как защиту ipv6 а не критику :)


              1. MaxxxZ
                05.05.2015 12:20
                -2

                Я и не критикую IPv6 в целом, но с натом явная промашка и она в т.ч. тормозит его внедрение, так как люди НЕ ПОНИМАЮТ. Ну был бы такой механизм рекомендован стандартом — переход был бы более плавным. Потом бы нат умер за ненадобностью сам.

                А интерфейс iptables это не аргумент. В любом андроиде его можно разлочить. Сколько % пользхователей и производителей софта это делают? Не путайте «можно» и «каждый может».


              1. mayorovp
                05.05.2015 12:21
                +1

                Покажите мне роутер, который позволяет прописать это самое правило именно в таком виде из коробки (т.е. без перепрошивки). В моем домашнем я так и не нашел доступных для редактирования скриптов инициализации.


                1. dmitrmax
                  05.05.2015 13:35
                  +2

                  Перед праздниками было два поста про то, что D-Link со штатной прошивкой и в хвост, и в гриву имели. Уверен, что D-Link не исключение. О какой вы там безопасности с IPv6? ))


            1. dmitrmax
              05.05.2015 13:47

              > Двусмысленностей в работе чистого нат намного меньше, чем в фаерволе. Нат он примерно одинаковый для всех, а вот фаерволы бывают очень разные с разной логикой функционирования.

              А вы, батенька, давно сидели за «чистым» натом? Подозреваю, что за чистым натом и без UPnP не работала бы и половина достойных применения протоколов. Взять хотя бы SIP и IPsec — первое, что всплывает в голове. Вот уж NAT — действительно то место, где созданные проблемы были героически решены.


              1. MaxxxZ
                05.05.2015 19:30
                +1

                У меня лично UPnP отключен, а протоколы прописаны вручную.
                IPSec — да, действительно создан скорее для соединений сеть-сеть. Но как раз таки у корпоративных пользователей всё настроят админы, так что не проблема.
                Но есть же миллионы домохозяйств, где с безопасностью из рук вон плохо.


        1. khim
          05.05.2015 11:57
          -1

          Надо туда SSL впихивать, сертификаты и т.п. менять?
          Да, надо.

          Зачем, если можно защитить периметр сети.
          Вы уж определитесь — у вас IoT или один датчик и один комп. Идея «защитить только периметр сети и напихать внутрь оной сети 100500 потенциальных троянов» здравой ну никак назвать не получится. Достаточно одного хакнутого фитнесс-браслета (который, как и всё остальное, сделан в рассчёте на «защиту на периметре сети» и потому получает команды через HTTP без аутентификации с сервера производителя) и всё: все ваши датчики «работают на дядю».


          1. MaxxxZ
            05.05.2015 12:21

            Если устройство не пограничное, а внутреннее — никто его удалённо не хакнет. А если пограничное — оно нуждается в защите хоть с натом, хоть без.


        1. dmitrmax
          05.05.2015 13:32
          +1

          > Т.е. чтобы решить проблему безопасности её надо создать?

          Я бы сказал более общо: «чтобы решить проблему её надо создать». И это правда для всего )

          > Устройства IoT бывают очень примитивными. Например датчики температуры. Зачем, если можно защитить периметр сети.

          Я не слежу за IPv6 особенно, но когда я этим интересовался, там были LinkLocal адреса. Разве нельзя их использовать для таких устройств, если их не отменили?

          > Надо туда SSL впихивать, сертификаты и т.п. менять?

          В принципе, если там реализован Web, то сделать TLS — это уже вобщем-то не такая уж сложная задача.


          1. mayorovp
            05.05.2015 14:10
            +1

            В принципе, если там реализован Web, то сделать TLS — это уже вобщем-то не такая уж сложная задача.
            Ну да, а потом предупреждение браузера при каждом соединении, ибо сертификат не валиден. Учитывая, что пользователь должен иметь возможность поменять как доменное имя (если оно вообще есть), так и ip-адрес во избежании конфликтов — получаем необходимость домашнего доверенного центра сертификации…


            1. dmitrmax
              05.05.2015 14:21

              > предупреждение браузера при каждом соединении

              Не поверите, но у меня так ругался роутер LinkSys, пока я его не вылечил с помощью DD-WRT.

              Но вообще, если эта сферическая IoT-железяка измеряет влажность в вашей квартире, то, наверное, особой нужды закрывать её TLS'ом нет. А вот тем, чтобы её не убили детишки-какеры, если вам важно знать влажность, находясь за пределами квартиры, озаботиться всегда полезно.

              > получаем необходимость домашнего доверенного центра сертификации…

              А у вас его ещё нету?! :-o


            1. Nicknnn
              05.05.2015 14:23

              А что не так с домашним доверенным центром сертификации? TinyCA на флешке отлично для этого подходит.


              1. dmitrmax
                05.05.2015 14:30

                Плохо тем, что обычному пользователю — это uber ) Увы. Надеюсь со временем, такие вещи будут рассказывать в школе на уроках информатики вместо изучения Word. Не на уровне математики, которая задействована в ассиметричном шифровании, а на уровне концепций (Алиса, Боб, Ева, одностороннее преобразование и т.д.) хотя бы. Сейчас с этим всё грустно: в лучшем случае определение зеленой и красной строки ссылки в браузере.


                1. 0xd34df00d
                  06.05.2015 15:29
                  +2

                  Вот забавно ведь, математику ассиметричного шифрования я представляю довольно неплохо, а про домашние центры сертификации слышу в первый раз.

                  Почитал комментарии тут, и поймал себя на плохой, почти стариковской в плохом смысле мысли: ну уж больно лень этим всем заниматься, оно всё вне моей зоны интересов, работы и ответственности, нет времени, пусть оно там само как-нибудь, со всеми этими домашними центрами сертификации и разными видами NAT, а я лучше пойду код попишу и почитаю статьи по математике.


    1. tgz
      05.05.2015 12:12
      +1

      Firewall решает проблему с безопасностью. А проблемы из-за NAT'а не решаются никак. Так зачем из двух зол выбирать большее?


      1. mayorovp
        05.05.2015 12:18

        Я сижу за натом. Расскажите мне о моих проблемах, а то вдруг я и не знаю…


        1. tgz
          05.05.2015 12:39

          Извините, бисер закончился.


      1. FSA
        05.05.2015 12:49
        +2

        Проблемы из-за NAT решаются костылями. Самый яркий пример на моей памяти — это как я на FreeBSD поднимал ftp-proxy, иначе FTP клиенты не могли ходить в активном режиме на сервера.


        1. mayorovp
          05.05.2015 12:51

          Хм, а почему FTP в пассивном режиме как вариант не рассматривался?


          1. FSA
            05.05.2015 12:55

            Из-за слабого знания пользователем что и как работает. Их задача была просто вовремя положить отчёт в определённое место. Да и для собственного удобства, чтобы каждый раз не проверять наличие/отсутствие галки.


            1. mayorovp
              05.05.2015 14:14

              А что, есть какие-то FTP-клиенты, которые не поддерживают пассивный режим по умолчанию? Блин, как страшно жить…


              1. FSA
                05.05.2015 14:22
                +3

                В то время я пользовался Total Commander. Там точно нужно указывать, что используется пассивный режим. Хорошо, когда знаешь что это. А вот как быть тем, кто не знает?


        1. tgz
          05.05.2015 13:00
          +4

          Что значит решаются? Каждый новый протокол, сигнализирующий где-то внутри себя IP будет нуждаться в поддержке на ALG. А это дохера ресурсов, да и сам NAT операция очень недешевая. Connection tracking для firewall'а по сравнению с этим дешевле в сотни раз.
          А дебилам с УМВР надо с полгодика поработать в саппорте оператора от 100к абонентов. Пусть там рассказывают какой-нибудь бухгалтерше про «пассивный режим как вариант».


          1. FSA
            05.05.2015 13:09
            +1

            Вы, похоже, солидарны со мной. Проблемы с NAT можно решить, но для каждой проблемы нужно создавать свой костыль. И для каждого костыля нужно выделять дополнительные мощности оборудования. Грех не воспользоваться элегантным решением, имеющимся в IPv6, чтобы убрать самый главный костыль для локалок — NAT.


            1. tgz
              05.05.2015 13:17

              Похоже, солидарен.
              Некоторые операторы включают IPv6 что бы хотя бы часть трафика пустить в обход своих CGN и снизить нагрузку на них.
              А CGN и так почти золотые, а при условии дальнейшего роста трафика будут оставлять серьезную брешь в экономике оператора.


    1. Alexeyslav
      06.05.2015 10:28

      Костыльный это механизм безопасности. Там где возможен NAT там возможно включить фаервол с аналогичной функцией. И всё, никаких костылей. Вот только если в случае NAT открыть полный доступ устройству в сеть проблема не тривиальная(особенно когда не один конкретный порт или даже протокол, ICMP например пробросить или собственный протокол) то в случае с IPv6 и фаерволом то это дело лишь пары правил — и ваше новое устройство в сети имеет полный доступ извне.


  1. Envek
    05.05.2015 12:01

    Не всё пока гладко с IPv6. Вчера настроил на роутере туннель к Hurricane Electric и ура — IPv6 появился, я хожу на некоторые сервисы через него. А другие через IPv6 отвалились — отвалился Вконтакт, отвалились сайт-тестировщики IPv6 (что особо доставляет). Причём отвалились хитро — браузер не открывает по таймауту, а curl спокойно грузит. Мистика какая-то…


    1. mayorovp
      05.05.2015 12:17

      Не мистика, а либо кэш DNS, либо сетевая недоступность хостов через IPv6. (curl может втихую по IPv4 продолжить работать, вы не проверяли?)

      В первом случае на винде поможет ipconfig /flushdns, во втором туннель попросту оказался «не для всех сервисов».


      1. Envek
        05.05.2015 12:59

        Проверял:

        curl -v -6 vk.com                                                                                                                   12:50:01* Rebuilt URL to: vk.com/
        * Hostname was NOT found in DNS cache
        *   Trying 2a00:bdc0:3:103:1::403:900...
        * Connected to vk.com (2a00:bdc0:3:103:1::403:900) port 80 (#0)
        > GET / HTTP/1.1
        > User-Agent: curl/7.37.1
        > Host: vk.com
        > Accept: */*
        >
        < HTTP/1.1 302 Found
        < …ну и так далее…
        


        Почистил кэш и в системе sudo discoveryutil udnsflushcaches (OS X) и в хроме chrome://net-internals/#dns. Но без успеха.

        Заметил я, что и curl не всегда грузит. Остаётся грешить на Hurricane Electric.


        1. Envek
          05.05.2015 13:11

          Впрочем, ни один браузер не открывает тот же вконтакт. Так что есть проблема и где-то в районе браузеров или операционки. Браузеры в своих инструментах разработчика не кажут, на какой IP пытаются подключиться (Chrome показывает только если коннект был успешным). ipv6.google.com открывается влёт.


    1. MaxxxZ
      05.05.2015 12:22

      Ваершарком посмотрите. Вдруг у вас из тонеля что-то выпало.


    1. stychos
      05.05.2015 12:36

      Я месяца три пользовался HE, потом такое же началось. Да и скорость соединения с ресурсами была, мягко говоря, аховая. Так что, забил я на эту идею и настроил 6to4.


  1. achekalin
    05.05.2015 12:38
    +8

    А вспомните время, когда провайдеры тупо фильтровали порты клиентов (25/tcp, 69/udp и многие другие), и не «корысти ради», а именно для ограничения вреда для «хомячков». Времена были модемные (да-да, v.34, v.90, v.92), клиент получал в зубы адрес, и никакого файрволла на рутере у него не было.

    С тех пор пришел быстрый инет, пришел wifi и роутеры, раздающие трафик на несколько устройств, пришли (даже иногда и неплохо) файрволлы с принципом «все что юзер прямо не разрешил на вход, до него не дойдет» — жизнь хомячков облегчилась. Они, конечно, как не знали, так и не знают о грядущих опасностях, но чужие злые дяди получают доступ к их компам путем сканирования портов и эксплуатацией уязвимости куда реже. Я не говорю сейчас о троянах/вирусах в стиле «вам письмо, тут exe, его надо обязательно запустить» и «я знала, что нельзя, но я никогда вирусов не получала — решила проверить, что будет, и я не виновата, что с нашего клиент-банка был перевод в 500К руб в сторону левой фирмы»…

    А теперь мы получаем «необходимость» посадить людей на ipv6. Они а) не имеют мотивов это делать, б) не знают, что это за зверь, в) не поймут без бутылки, что это за зверь, без двухчасовой лекции — а по окончанию лекции даже с бутылкой все благополучно забудут. Роутер в схеме будет присутствовать почти наверняка, но, увы, тут его уже надо будет настраивать, причем неплохо понимая, что и как.

    Не забудем также зоопарк роутеров и софта к ним (тот же Д-Линк с их бесконечными называниями разных устройств одним названием с припиской пары букв или даже суффиксов «rev. B», «rev. C» — т.е. даже техподдержка, посоветовав человеку взять какой-нибудь DIR-615, не может быть уверена, что «DIR-615 rev. B» вообще будет работать, и сумеет осилить ipv6 в принципе.

    Мне кажется, при таком затяжном вхождении в ipv6, при таком кол-ве багов и проблем в его внедрении, при таком числе заморочек на каждом этапе (от самого бзерского компа и на каждом хопе вплоть до сервера, плюс на самом сервере) — это, простите не «хорошо известный протокол», это плохо сделанная рулетка в стиле «мы включим и посмотрим, вдруг нам повезет».

    И, да, разговоры, что «проблемы решаются заменой оборудования» — это все хорошо, но нереалистично. Если я вчера (хорошо, полгода назад) заплатил хотя бы 1000 руб за роутер, зачем я его буду менять-настраивать-устанавливать, и кто мне заплатит за новый? Провайдер платить не будет (у провайдера вообще вопрос пока только в «запуске перспективной технологии», а вовсе не «без ipv6 мы завтра закроемся»), юзеру — не с руки. Что характерно, те же D-Link-и, TP-Link-и и прочее домашнее железо можно бы, почти наверняка, снабдить прошивками с ipv6, но никакого резона и для производителей поддержать «революцию» таким образом (написать прошивки под все старые устройства и бесплатно их раздать) — нет.

    P.S. Да что там ходить, у D-Link-а было устройство, на коробке которого были написаны некие характеристики железки, а по факту из-за софта часть функций не работала. Люди чуть не подавали в суд на вендора за обман! Решилось просто — прошивку китайского производства заменили следующей версией, написанной в Питере, и железка стала отлично работать (железо-то было неплохое). Это, заметьте, на ipv4, а уж какой там кошмар с поддержкой ipv6…


    1. easyman
      05.05.2015 20:17

      Парадокс.
      Ну если пользователь купил роутер за 1000р и через некоторое время роутер устарел морально, это караул.
      Однако, почему-то никто не жалуется, что А-66 бензин не купить.


      1. MaxxxZ
        06.05.2015 08:36

        Во-первых жалуются. Если вы ездите на современном седане, вам могут быть неведомы проблемы тех, кому нужен А-66 и А-76. А я таких людей видел))
        Ну и потом — сколько лет А-76 был на рынке? Десятки.
        Пример не корректный.
        А роутеры D-Link это отдельная песня и дело вовсе не в IPv6 или их устаревании, а в каком-то несистемном подходе к версионности железа и ПО.


    1. Ivan_83
      05.05.2015 22:39

      Увы и ах, но видео 4к уже есть, но посмотреть на стареньком — бодреньком коредуо его не выйдет, придётся хотя бы видюху и монитор апгрейдить.
      Я вот так когда то вынужденно перехал с пень 3 на коредуо — видео 720P старый пень не тянул.

      Менять старый роутер никто не заставляет, если вам хватает IPv4 only интернета то пусть так и будет.
      Лет через 5 он всё равно сломается, или скорости перестанет хватать, купите новый.

      Удачные модели роутеров (типа Asus RT-N56U 2011 года) — вполне себе поддерживаются (в основном энтузиастами) и IPv6 там появился.
      Для дешман моделей тоже можно часто найти прошивки энтузиастов с IPv6.

      А касательно проблем, они бывают даже там где не ждёшь, и где ломаться нечему.
      Вчера обнаружил что у меня дома порт на домашнем коммутаторе периодически down-up делает, обжал, почистил — прошло.


      1. achekalin
        06.05.2015 11:03
        -2

        Да, Вы правы, НО — во-первых, видео 4k этак 70% (а то и 90%) смотрящих «ящик» без надобности — у них нет ни оборудования, ни зрения, чтобы увидеть эту «красоту». Во-вторых, контента в этом качестве не так чтобы и много. Ну, даже не 10% от мировой коллекции фильмов, и даже не 5. Но, конечно, это технология, это то, что можно продать как фичу, и это кому-то очень даже нравится. Но менять все телевизоры мира?..

        То же и с ipv6 — идея хороша, теория зубодробительна (но как утверждают адепты, логичная и внутренне красивая), практическая реализация у разных вендоров хромает до невозможности использовать…

        Вы же не думаете, что все юзеры всех провайдеров — такие же гики, как аудитория Хабра? 99% населения вообще не в курсе, какой у них «протокол интернета», или какой тип линии они используют. Но интернет работающим надежно видеть хотят все, это раз. Менять даже забесплатно устройства захотят далеко не все, а за деньги — почти никто, это два. Что «сидеть ретроградам с ipv4-сайтами в обнимку» — это тоже, извините, ерунда. Если сайт хочет посетителей, он будет подстраиваться под их требования, а не наоборот.

        Ну и, давайте по чести, имеем мы, скажем, с Вами сайт с посещением 1М в день, и сайт этот ipv4. Подняли дуалстек, стало сначала 1.1М, а потом упало до 0.99М — потом что, как оказалось, у части юзеров ipv6 показывает сайт с глюками, и они от его посещения отказались. Как думаете, что мы как владельцы сайта (и как люди, желающие, чтобы сайт имел все большую аудиторию, ибо это — реклама и вообще наш доход), сделаем — будем тысячам людей решать вопросы с их ipv6-подключением, или просто дуалстек отключим и вернемся к схеме ipv4-only?

        Да, через два-три года мы вернемся к этой теме. Но только если оно окажется не в ущерб бизнесу. Другими словами — только когда провайдеры вылижут у себя все и вся. А они не вылизывают (причин тому много), и вряд ли завершат работы в обозримое время.

        Замкнутый круг, да. Но технология ради технологии тут не при чем. Должно реально припечь, чтобы все забегали как ужаленные — но это другая история, пока же ситуация напоминает варку лягушки в холодной воде :(

        Но я бы ругань начинал с вендоров железа. Пока поддержка протокола не станет работающей нормой в soho-железках (а вовсе не в гиковских прошивках — никто из «просто пользователей» себе их ставить не станет, тем более что они порой идут со своими глюками, а подбирать себе версию прошивки, чтобы более-менее все работало — это занятие не для «обычных пользователей», как ни крути), мы никуда не придем. Пока «гранды» шрот-железа типа длинка не запилят поддержку ipv6 строго работающую, а не просто номинально указанную — провайдеры не двинутся, а за ними не шелохнутся и сайты (см. выше), и юзеры…


        1. Ivan_83
          06.05.2015 21:39
          +2

          99% пользующихся интернетом пофиг что там IPv4, IPv6 или IPX.
          Честно говоря мне тоже особой разницы нет, хотя я пишу не только софт который через апи работает с адресами но и сам разбирает/собирает пакеты в ядре. Подумаешь, ну будет другая структура с другими значениями и смыслами.

          IPv4 по началу был ещё хуже. Намного.
          Скажите спасибо что в IPv6 нет всех детских болезней из IPv4.

          Остальным просто включат. А когда уж они начнут пользоваться — их личное дело.

          Про сайты ничего не скажу, скорее всего нужно более аккуратно реализовывать.

          У провайдеров хватает своих проблем, многие будут тянуть до последнего ибо не могут.

          Дети, когда подрастут, скорее всего уже не поймут шутки про ужастик и письмо с адреса 192.168.0.66, придётся менять на fe80::dead — так даже круче )


          1. achekalin
            07.05.2015 10:43
            +1

            Вот про сайты и внешние сервисы, увы, как раз засада и получается. Поскольку нет уверенности, каковы приоритеты в использовании протокола клиентами («сначала работаем по ipv4 либо ipv6»), получаем неприятную картину, когда человек с поломанным производителей ОСи и провайдером стеком протоколов ломится на ipv6, скажем не получает контент, из-за чего весь таймаут ОСи ждет и видит белую страницу. Затем, после таймаута, ПО клиента решает попробовать по ipv4, и страница прилетает. Получаем неприятную паузу — клиент как человек недоволен, и видит своим врагом не провайдера и не коннективность от него и до сайта, а, удивительным делом, сам сайт. Выше Envek приводит пример — а в примере, заметьте, самый большой генератор трафика всея Руси!

            Парой ответов ниже MaxxxZ верно пишет, что времена, когда гикская технология «интернет» работала не у всех, и настроить его нужны были мозги (FIDO, кстати, такой же пример) — прошли. Сегодня интернет уже вполне норма жизни, и отдавать клиенту кабель с «не то чтобы поломанным инетом, просто он будет или нет успешно работать, в зависимости от вашей ОСи» уже несколько рисково. Все равно что в гостинице не будет воды в кране — вроде жить и можно, и постояльцы тут же ропщут.

            Практический вывод: грабли в реализациях аппаратуры, управляющего софта и в ПО прикладного уровня еще долго будут подкидывать сюрпризы. Увы. Идти в ту сторону — надо, тут вариантов мало. Но сколько милых граблей (как с полноразмерной, так и отпиленной на половину высоты ручкой) на пути мы еще найдем — можно только догадываться. И, таки да, вендоры оборудования могли бы сильно облегчить переход для всего мира, выпустив для уже проданных устройств новые прошивки с нормально работающей поддержкой IPv6.

            P.S. А дети, да, не поймут. Правда, я ее и то не помню, разве что только последний октет на 666 поменять? :)


    1. Goodkat
      08.05.2015 13:56
      +1

      Времена были модемные (да-да, v.34, v.90, v.92), клиент получал в зубы адрес, и никакого файрволла на рутере у него не было.
      Золотые были времена — нагрубил тебе кто-нибудь в чате, а ты его по айпи пробил нюкнул :) Или даже просто FAR-ом кинул ему произвольный текстовый файлик на адрес вида \\комп-жертвы\имя-трубы-уже-не-упомню — у него винда намертво и зависла :)

      А теперь мы получаем «необходимость» посадить людей на ipv6. Они а) не имеют мотивов это делать, б) не знают, что это за зверь, в) не поймут без бутылки, что это за зверь, без двухчасовой лекции — а по окончанию лекции даже с бутылкой все благополучно забудут. Роутер в схеме будет присутствовать почти наверняка, но, увы, тут его уже надо будет настраивать, причем неплохо понимая, что и как.
      Да не нужно людям ничего знать или иметь мотивы.

      Как сейчас подключается интернет*?

      Человек идёт в офис провайдера или звонит ему по телефону, или заказывает через интернет.

      Через пару дней почтальон приносит коробку, человек достаёт оттуда модем (который одновременно NAS, рутер, точка доступа вайфай, DLNA-сервер, VPN-сервер, сервер печати и бог его знает, что ещё), какие-то разноцветные провода и большой буклет формата А2-А1, на котором картинками, как в инструкции от IKEA, показано, провода какого цвета в какой последовательности куда втыкать, а внизу номер, по которому звонить, если всё же не удалось подключиться.

      Клиент подключает модем к электричеству, втыкает один конец DSL-кабеля в модем, другой в телефонную розетку, и через пару минут у него есть стомегабитный интернет. SSID и пароль к вайфаю написаны на задней стороне модема и продублированы куар-кодом, ещё есть кнопочка WPS — как ими пользоваться, нарисовано в инструкции.

      Всё, интернет подключен.

      За кадром остаются настройка модема, рутера, вайфая и физическое подключение линии — всё предельно автоматизировано и заранее настроено провайдером, ибо конкуренция.

      Пользователю не нужно разбираться в настройке сетей. Никаких настроек NAT-а, ввода пользовательского пароля и т.п. Разбираться понадобится, если потребуется что-нибудь нестандартное — например, прокинуть порт к домашнему серверу или камере наблюдения. Всё стандартное работает из коробки.

      В моём модеме, как оказалось, IPv6 был по умолчанию деактивирован.

      Вполне возможно, что когда через год истечёт мой контракт на интернет, и я продлю его или сменю провайдера, мне придёт следующий модем с активированным IPv6 (и IPv4 в DualStack для обратной совместимости с древним оборудованием) и настроенным файрфолом, как в нынешнем модеме был уже настроен NAT со всеми этими UPnP и другими буквосочетаниями.

      Когда-нибудь уже IPv4 будет по умолчания деактивирован, и его придётся активировать отдельно, если у вас вдруг остался старый сетевой принтер или другие древние устройства.
      А потом IPv4 останется только через туннели для антикваров.
      *Так подключал интернет у себя дома я последние лет семь. Возможно, в вашем случае процедура несколько отличается, но главное — суть: за клиента думает и настраивает провайдер.


  1. ivlad
    05.05.2015 16:43

    А вы на каких-нибудь IX присутствуете? Давайте проверим, что у нас с вами IPv6 связанность работает нормально?


    1. Loiqig Автор
      05.05.2015 18:19

      ivlad на IX нас нет. Если я правильно понимаю то Yandex от нас выглядит вот так:

      show bgp route ipv6 unicast  2a02:6b8::3
         Network            Next Hop                Metric  LocPrf  Weight Path
      >  2a02:6b8::/32      2a03:d000:2420::9            0     90     100 31133 13238 i

      Мы сами AS51032.


  1. Ivan_83
    05.05.2015 20:33
    +5

    Сколько теоретиков в комментах :)

    1. IPv4 заканчиваются. Реально.
    Утверждать обратное равносильно тому что говорить будто спида нет.
    У некоторых провайдеров адресов всё ещё больше чем абонентов, а некоторые уже покупают на вторичке или арендуют, и стоит оно не дёшево.

    2. В плане безопасности — всё то же самое: если мозгов нет — безопасности нет.
    Если есть, то одна строчка в правилах фаервола на роутере убивает все удобства IPv6 и превращает работу в подобие сидения за NAT.

    3. Никуда вы не денетесь, IPv6 у вас будет или будете сидеть со своими тёплыми ламповыми сайтами и читать новости 2009 года.
    Начинайте привыкать к этой мысли, а потом и всему что есть в IPv6.

    4. Учите историю!
    В IPv4 как раз и планировали изначально каждому устройству по адресу давать, и давали. До 1994 года NAT и серых сетей не было!
    Вот тут чуток истории, глазами писателя проксей: www.eserv.ru/NAT — осторожно! читать только людям с окрепшей психикой :)

    5. Для админа на удалёнке это просто подарок: к любому хосту в сети можно подключится на любой порт, без секса с пробросом портов и впн.

    6. Интересно как будет реализован UPnP IGD: будет разрешать IPv6:proto:port или просто IPv6 :)


    1. MaxxxZ
      06.05.2015 08:56
      +2

      1. А кто-то утверждает обратное? IPv4 умер. Но нельзя исключать, что IPv6 так и не разовьётся, а его доработают до какого-нибудь IPv6.5. Всё-равно не с проста у него проблемы со внедрением. Есть неприятные моменты и не только нат.

      2. У подовляющего большинства пользователей, в вашей терминологии, именно «мозгов нет». Интернет это раньше было для гиков и инженеров. Теперь это для всех и это факт. Нужен какой-нибудь публичный станадарт безопасности, который будет явно указывать на правила фаервола для домашних устройств, чтобы на домашних железках всё было просто и однозначно, а не на усмотрение вендора. Раньше де-факто таким механизмом был нат — подовляющее число устройств шло с включенной трансляцией, которая не подразумевала двоякого толкования. Нужна замена. Например, что бы на коробке любого вендора красовался какой-нибудь логотип Protected Home Network, который бы гарантировал конечному потребителю однозначную настройку правил. У всех домашних роутеров разные итнерфейсы фаерволов, а до iptables не каждый доползёт.

      3. Никуда не деться, но только впервые камент аналогичного содержания я читал в 2007 году. К мысли уже все привыкли. А вот с практикой — главный вопрос — когда? Раньше OSI была не эталонной моделью, а стеком протоколов, но пока теоретики её пилили IPv4 захватил мир.

      4. Раньше концепции интернета были другими и де-юре нат не был механизмом безопасности. Но де-факто им стал, позволив пользователю домашней сети не знать, что такое фаервол и его правила. Вспомните эпидемию RPC уязвимости виндовс XP — черви плодились тысячами. Через пару лет такое стало почти нереально из-за того, что домашние машинки стали подключаться через наты куда как с более разнообразным ПО.

      5. Всё, что подарок для админа — подрок и злоумышленнику. В коммерческом применении, думаю, никаких проблем. Настроят фаерволы. С абонентскими устройствами, коих в тысячи раз больше проблемы есть и будут. Тут скорее надо ждать, пока все нужные частным лицам сервисы не уплывут в публичные облака и понятие домашней сети как закрытого периметра в котором есть критичные данные исчезнет. Или, Как я жуе сказал, нужен публичный стандарт домашней безопасности, которому будут следовать вендоры. Пока этого не будет можно сколько угодно сетовать на непродвинутый народ, который боится новой супер-технологии.


      1. Ivan_83
        06.05.2015 14:37
        +1

        1. IPv4 вообще то тоже меняли. Там ещё были всякие классы сетей и прочая херь.
        Так что IPv4 это v1.xx а не изначальная реализация.

        2. Стандарт не нужен с практической точки зрения, только маркетологам для лейбла.

        3. Процесс идёт.

        4. Проблему решил фаервол который появился в ХР сп1.

        5. Домашняя сеть — линк локал.


  1. MaxxxZ
    06.05.2015 09:00
    -1

    Кстати, в свете унификации сетей — телефония, телевиденье и интернет всё больше срастаются, но происходит полная неразбериха с идентификаторами. В идеале телефонные номера должный уйти в прошлое, а адресация должна быть единой. Ведь уже действительно не важно, куда звонить — не телефон, планшет или ПК? Но идентификаторы IPv6 явно не подходят для того, чтобы их спрашивать у девушки… каие-то они монструозные, поэтому многие их побаиваются.


    1. karabanov
      06.05.2015 09:13
      +2

      Зачем спрашивать у девушке IPv6 адрес, если есть DNS и можно спросить короткое, легко запоминающееся доменное имя? :-)


      1. MaxxxZ
        06.05.2015 09:26
        -1

        Просто вспомнилось, что в одной из очень давних презентаций IPv6, помоему от Cisco, высказывался концепт со звонками по IPv6 адресу. Но я надеюсь этот концепт устарел.


        1. ivlad
          06.05.2015 10:19
          +1

          Это тоже звонки по доменному имени. Не надо переживать.