Количество IP-адресов для устройств, доступных в глобальной сети по протоколу IPv4, достигло порядка 4,3 млрд и уже практически исчерпано из-за длины IP-адреса в 32 бита. В адресном пространстве IPv6 задействовано 128 бит, что делает практически бесконечным количество адресуемых устройств. Прямой и простой совместимости друг с другом у протоколов IPv4 и IPv6 нет. Именно из-за этого быстрого и дешевого перехода на IPv6 only не будет. Страшно? Да нет. Просто нужно вступить на эту дорогу — и рано или поздно мы войдем в эру «чистого» IPv6. Хорошо это или плохо?
Недавно у абонентов МТС Центрального федерального округа появилась возможность опробовать выход в интернет с использованием IPv6. За одну сессию по этому протоколу абоненту выдается адресация сразу в двух стандартах: IPv4 и IPv6. Такой режим называется Dual-Stack. Для того, чтобы ваше устройство работало с IPv6, необходимо подключить бесплатную услугу «Доступ к IPv6», а также произвести некоторые настройки на абонентском терминале. В этом посте подробнее о новой услуге расскажет наш специалист Олег Ермаков, его ник на Хабрхаб — eov. Передаем ему слово.
Всем привет! Мой рассказ будет состоять из двух частей. Первая описывает пользовательские настройки и способы контроля, что все у вас идет по плану. Вторая — уже дает краткий экскурс в технологию: как это сделано на сети сотового оператора в поле «3GPP-access». Сегмент «non-3GPP» затрагиваться не будет. Это тема для отдельной статьи.
Часть I
В результате перехода на новый протокол абонент имеет следующее:
1. Сервисы, которые работают с IPv6 адресацией, будут получать и передавать трафик БЕЗ использования NAT. Не знаю, все ли сталкивались с тем, что на поисковый запрос в Google иногда требуется ввести Captcha-код, или Google вообще отказывает в поиске. Причина в том, что Google считает, что с одного public IP идет слишком много запросов, и это воспринимается им как роботизированный опрос.
2. Абонент получит public IPv6 адрес, и на него будет доступен «входящий» трафик из интернета. Сейчас же из-за применения NAT сделать это не просто.
3. Абонент, который «раздает» интернет, получит возможность на каждое устройство, которое находится за «раздающим», иметь свой IPv6 адрес. Предлагаю обсудить плюсы и минусы этого в комментариях…
Не скрою, что от перехода на IPv6 выигрываем и мы (оператор): чем больше абонентов перейдет на IPv6, тем меньше потребуется IPv4 адресов для NAT/PAT трансляций. Уверен, что 99% абонентов не задумывается о том, что в итоге финансовые затраты на закупку дополнительного пространства IPv4 понесут именно они.
Предвижу вопрос: «Когда данная услуга станет доступна абонентам всей страны»? Отвечаю. Мы работаем над этим и постараемся запустить на большей части сети доступ до конца лета этого года.
На нашем сайте есть инструкция настройки, там расписаны общие положения. Дополнительно хочу пояснить несколько моментов:
1. Пока Dual-Stack работает только на устройствах с ОС Android, Windows и на некоторых роутерах. В ближайшее время IPv6 можно будет включить и на мобильных устройствах Apple. Однако, для обеспечения работоспособности с устройствами на iOS нам нужно пройти ряд дополнительных тестов. Прошу отнестись к этому с пониманием и набраться терпения. Пока получить IPv6 на устройствах Apple можно путем подключения к «мобильной точке доступа» с работающей услугой IPv6 через Wi-Fi.
2. На текущем этапе услуга ориентирована в первую очередь на продвинутых пользователей, которые понимают, что и зачем делают. Вы приобщаетесь к высоким технологиям, а мы изучаем ваш клиентский опыт, что на данном этапе крайне важно. Мы рассчитываем получить отзыв пользователей, доработать и усовершенствовать услугу. В дальнейшем мы планируем упростить подключение и отказаться от «услуги» как таковой и сделать функционал IPv6 доступным в настройках телефонов по умолчанию «из коробки». В идеале переход на IPv6 в мобильных сетях МТС планируется бесшовным.
3. В настройках подключения в ОБЯЗАТЕЛЬНОМ порядке нужно указать APN internet.mts.ru и тип протокола IPv4v6 (это ВАЖНО). Основным признаком верного указания APN является то, что абоненту выдается IPv4 адрес из диапазона 10.0.0.0/8 RFC1918, а не из диапазона 100.64.0.0/10 RFC6598. Если же в настройках телефона выбран протокол IPv4 или IPv6, то сеть выдаст ровно то, что и запрошено (IPv4 ИЛИ IPv6). В первом случае все будет работать по IPv4, а во втором — бОльшая часть интернет-ресурсов станет недоступна просто потому, что далеко не все перешли на IPv6. Если все сделано правильно, то будет выдано два адреса IPv4 и IPv6 (Dual-Stack). Мы пока намеренно не планируем распространять решение на «неверные настройки» (с неверным APN). Поступая таким образом, мы исходим из принципа «не навреди».
4. Для доступа к интернет-ресурсам в IPv6-адресации необходимо, чтобы и система DNS работала как положено. Для абонентских сессий с IPv4v6 выдается и IPv6 DNS сервер. Наличие IPv6 DNS серверов не обязательно, потому что и IPv4 сервера успешно резолвят AAAA записи. При подключении к сети мы выдаем оба сервера исключительно для того, чтобы все было «по фэншую».
5. Обратите особое внимание на то, что абоненту выдается public IPv6 адрес (на самом деле блок адресов /64), который доступен из сети интернет! Не стоит пренебрегать элементарными мерами безопасности. Крайне желательно установить антивирус и Firewall.
Таким образом, абоненты имеют IPv4 и IPv6 адрес. Резолвинг интернет-ресурсов осуществляется и по IPv4, и по IPv6. Дело за приложениями. По нашему опыту, браузер Google Chrome в первую очередь использует протокол IPv6 для ресурсов, которые имеют возможность работать по IPv6. Например, такие популярные ресурсы как Yandex и Google уже давно работают по IPv6.
Для проверки можно использовать ресурс test-ipv6.com. Если все настроено верно, то тест покажет оценку 10 из 10.
Если это не так, то нужно убедиться в том, что выключены оптимизаторы трафика в настройках браузера.
Часть II
Здесь мы углубимся в профессиональную область. Те, кто предпочтет ограничиться прикладной частью повествования, прошу комментировать или писать в личку свои вопросы. Сразу скажу, что не смогу помочь всем, но готов рассмотреть особо интересные случаи. Спасибо за понимание.
IPv6 как таковой появился в 1998 году и описан в RFC2460, поддержка IPv6 в мобильных сетях появилась в рекомендациях 3GPP Rel99 (2000 г). Широкого распространения технология не получила. Вероятно, тогда мало кто в мире знал, что такое IPv6, а недостатка в IPv4 адресах не предвиделось. Спустя 10 лет острой необходимости так и не возникло, поэтому мы проводили внутреннее тестирование, но внедрять не стали.
Начиная с 3GPP Rel8 для сетей LTE возникает эпоха Dual-Stack. Преимущества — налицо. Dual-Stack делает ненужными такие технологии как NAT64 и DNS64, при сохранении «обратной совместимости» с сетями на IPv4, по сути, делая плавный переход между технологиями.
Стало лучше, и это уже можно было использовать. К сожалению, при установлении соединения сеть поднимает два PDP контекста и неэффективно использует ресурсы сети.
Дальнейшее развитие Dual-Stack получило в 3GPP Rel9. В нем появилась поддержка для сетей 2G/3G и в нем же появилась возможность выдавать IPv4 и IPv6 адрес в рамках одного PDP контекста (bearer-а). Именно эта технология и применяется на сети МТС.
Если заглянуть чуть глубже, можно сказать, что 3GPP Rel10 описывает технологию DHCPv6 Prefix Delegation (DHCPv6-PD). Сейчас необходимость ее использования в мобильной сети неочевидна. Если есть конкретные предложения — пишите в комментариях или в личку.
Для того чтобы технология заработала, была включена поддержка необходимого функционала на сетевых элементах HLR/HSS, SGSN/MME, GGSN/PGW, PCRF, OCS, CDR-коллектор, ну и, конечно, на транспортной сети.
HLR/HSS
Подключение услуги приводит к тому, что в HLR и в HSS меняется тип протокола в настройках APN-а с IPv4 на IPv4v6 (или both). В спецификации TS 29.272 (Rel9) дословно говорится следующее:
Как Вы уже догадались, мы используем опцию 2.
SGSN/MME
Настройка этих устройств для поддержки IPv6 несложная, она, по сути, ограничивается активацией соответствующей лицензии и включением поддержки dual-address-pdp для сервисов SGSN и MME, а также в настройках RNC, подключенных к SGSN.
PGW/GGSN
Уже не все так просто. Модернизации подвергаются:
— интерфейсы в сторону транспортной сети (поднимается address-family ipv6), и прописывается IP маршрутизация;
— прописываются ip-pool, из которых абонентам выдаются адреса;
— активируется поддержка IPv6 на APN;
— прописывается IPv6 DNS, который будет выдаваться абоненту при подключении.
PCRF/OCS
Обмен PGW c PCRF и OCS производится по протоколу Diameter (интерфейсы Gx и Gy соответственно). Особенность активации IPv6 только в том, что в этом сигнальном обмене появляется AVP Framed-IPv6-Prefix и добавляется еще одна AVP PDP-Address c IPv6 адресом. Соответственно, PCRF и OCS должны их принимать и учитывать (сохранять).
CDR-коллектор
Ожидаемо, что изменился формат CDR записей. Абонентский IPv4 адрес переместился в новое поле servedPDPPDNAddressExt, а IPv6 адрес будет записываться в servedPDPPDNAddress (это поле изначально поддерживало и IPv4 и IPv6).
Транспортная сеть
Поднимается address-family ipv6 и прописывается маршрутизация.
В заключение я хочу задать вам вопрос.
Недавно у абонентов МТС Центрального федерального округа появилась возможность опробовать выход в интернет с использованием IPv6. За одну сессию по этому протоколу абоненту выдается адресация сразу в двух стандартах: IPv4 и IPv6. Такой режим называется Dual-Stack. Для того, чтобы ваше устройство работало с IPv6, необходимо подключить бесплатную услугу «Доступ к IPv6», а также произвести некоторые настройки на абонентском терминале. В этом посте подробнее о новой услуге расскажет наш специалист Олег Ермаков, его ник на Хабрхаб — eov. Передаем ему слово.
Всем привет! Мой рассказ будет состоять из двух частей. Первая описывает пользовательские настройки и способы контроля, что все у вас идет по плану. Вторая — уже дает краткий экскурс в технологию: как это сделано на сети сотового оператора в поле «3GPP-access». Сегмент «non-3GPP» затрагиваться не будет. Это тема для отдельной статьи.
Часть I
В результате перехода на новый протокол абонент имеет следующее:
1. Сервисы, которые работают с IPv6 адресацией, будут получать и передавать трафик БЕЗ использования NAT. Не знаю, все ли сталкивались с тем, что на поисковый запрос в Google иногда требуется ввести Captcha-код, или Google вообще отказывает в поиске. Причина в том, что Google считает, что с одного public IP идет слишком много запросов, и это воспринимается им как роботизированный опрос.
2. Абонент получит public IPv6 адрес, и на него будет доступен «входящий» трафик из интернета. Сейчас же из-за применения NAT сделать это не просто.
3. Абонент, который «раздает» интернет, получит возможность на каждое устройство, которое находится за «раздающим», иметь свой IPv6 адрес. Предлагаю обсудить плюсы и минусы этого в комментариях…
Не скрою, что от перехода на IPv6 выигрываем и мы (оператор): чем больше абонентов перейдет на IPv6, тем меньше потребуется IPv4 адресов для NAT/PAT трансляций. Уверен, что 99% абонентов не задумывается о том, что в итоге финансовые затраты на закупку дополнительного пространства IPv4 понесут именно они.
Предвижу вопрос: «Когда данная услуга станет доступна абонентам всей страны»? Отвечаю. Мы работаем над этим и постараемся запустить на большей части сети доступ до конца лета этого года.
На нашем сайте есть инструкция настройки, там расписаны общие положения. Дополнительно хочу пояснить несколько моментов:
1. Пока Dual-Stack работает только на устройствах с ОС Android, Windows и на некоторых роутерах. В ближайшее время IPv6 можно будет включить и на мобильных устройствах Apple. Однако, для обеспечения работоспособности с устройствами на iOS нам нужно пройти ряд дополнительных тестов. Прошу отнестись к этому с пониманием и набраться терпения. Пока получить IPv6 на устройствах Apple можно путем подключения к «мобильной точке доступа» с работающей услугой IPv6 через Wi-Fi.
2. На текущем этапе услуга ориентирована в первую очередь на продвинутых пользователей, которые понимают, что и зачем делают. Вы приобщаетесь к высоким технологиям, а мы изучаем ваш клиентский опыт, что на данном этапе крайне важно. Мы рассчитываем получить отзыв пользователей, доработать и усовершенствовать услугу. В дальнейшем мы планируем упростить подключение и отказаться от «услуги» как таковой и сделать функционал IPv6 доступным в настройках телефонов по умолчанию «из коробки». В идеале переход на IPv6 в мобильных сетях МТС планируется бесшовным.
3. В настройках подключения в ОБЯЗАТЕЛЬНОМ порядке нужно указать APN internet.mts.ru и тип протокола IPv4v6 (это ВАЖНО). Основным признаком верного указания APN является то, что абоненту выдается IPv4 адрес из диапазона 10.0.0.0/8 RFC1918, а не из диапазона 100.64.0.0/10 RFC6598. Если же в настройках телефона выбран протокол IPv4 или IPv6, то сеть выдаст ровно то, что и запрошено (IPv4 ИЛИ IPv6). В первом случае все будет работать по IPv4, а во втором — бОльшая часть интернет-ресурсов станет недоступна просто потому, что далеко не все перешли на IPv6. Если все сделано правильно, то будет выдано два адреса IPv4 и IPv6 (Dual-Stack). Мы пока намеренно не планируем распространять решение на «неверные настройки» (с неверным APN). Поступая таким образом, мы исходим из принципа «не навреди».
4. Для доступа к интернет-ресурсам в IPv6-адресации необходимо, чтобы и система DNS работала как положено. Для абонентских сессий с IPv4v6 выдается и IPv6 DNS сервер. Наличие IPv6 DNS серверов не обязательно, потому что и IPv4 сервера успешно резолвят AAAA записи. При подключении к сети мы выдаем оба сервера исключительно для того, чтобы все было «по фэншую».
5. Обратите особое внимание на то, что абоненту выдается public IPv6 адрес (на самом деле блок адресов /64), который доступен из сети интернет! Не стоит пренебрегать элементарными мерами безопасности. Крайне желательно установить антивирус и Firewall.
Таким образом, абоненты имеют IPv4 и IPv6 адрес. Резолвинг интернет-ресурсов осуществляется и по IPv4, и по IPv6. Дело за приложениями. По нашему опыту, браузер Google Chrome в первую очередь использует протокол IPv6 для ресурсов, которые имеют возможность работать по IPv6. Например, такие популярные ресурсы как Yandex и Google уже давно работают по IPv6.
Для проверки можно использовать ресурс test-ipv6.com. Если все настроено верно, то тест покажет оценку 10 из 10.
Если это не так, то нужно убедиться в том, что выключены оптимизаторы трафика в настройках браузера.
Часть II
Здесь мы углубимся в профессиональную область. Те, кто предпочтет ограничиться прикладной частью повествования, прошу комментировать или писать в личку свои вопросы. Сразу скажу, что не смогу помочь всем, но готов рассмотреть особо интересные случаи. Спасибо за понимание.
IPv6 как таковой появился в 1998 году и описан в RFC2460, поддержка IPv6 в мобильных сетях появилась в рекомендациях 3GPP Rel99 (2000 г). Широкого распространения технология не получила. Вероятно, тогда мало кто в мире знал, что такое IPv6, а недостатка в IPv4 адресах не предвиделось. Спустя 10 лет острой необходимости так и не возникло, поэтому мы проводили внутреннее тестирование, но внедрять не стали.
Начиная с 3GPP Rel8 для сетей LTE возникает эпоха Dual-Stack. Преимущества — налицо. Dual-Stack делает ненужными такие технологии как NAT64 и DNS64, при сохранении «обратной совместимости» с сетями на IPv4, по сути, делая плавный переход между технологиями.
Стало лучше, и это уже можно было использовать. К сожалению, при установлении соединения сеть поднимает два PDP контекста и неэффективно использует ресурсы сети.
Дальнейшее развитие Dual-Stack получило в 3GPP Rel9. В нем появилась поддержка для сетей 2G/3G и в нем же появилась возможность выдавать IPv4 и IPv6 адрес в рамках одного PDP контекста (bearer-а). Именно эта технология и применяется на сети МТС.
Если заглянуть чуть глубже, можно сказать, что 3GPP Rel10 описывает технологию DHCPv6 Prefix Delegation (DHCPv6-PD). Сейчас необходимость ее использования в мобильной сети неочевидна. Если есть конкретные предложения — пишите в комментариях или в личку.
Для того чтобы технология заработала, была включена поддержка необходимого функционала на сетевых элементах HLR/HSS, SGSN/MME, GGSN/PGW, PCRF, OCS, CDR-коллектор, ну и, конечно, на транспортной сети.
HLR/HSS
Подключение услуги приводит к тому, что в HLR и в HSS меняется тип протокола в настройках APN-а с IPv4 на IPv4v6 (или both). В спецификации TS 29.272 (Rel9) дословно говорится следующее:
7.3.62 PDN-Type...
7.3.62 PDN-Type
The PDN-Type AVP is of type Enumerated and indicates the address type of PDN. The following values are defined:
IPv4 (0)
This value shall be used to indicate that the PDN can be accessed only in
IPv4 mode.
IPv6 (1)
This value shall be used to indicate that the PDN can be accessed only in IPv6 mode.
IPv4v6 (2)
This value shall be used to indicate that the PDN can be accessed both in IPv4 mode, in IPv6 mode, and also from UEs supporting dualstack IPv4v6.
IPv4_OR_IPv6 (3)
This value shall be used to indicate that the PDN can be accessed either in IPv4 mode, or in IPv6 mode, but not from UEs supporting dualstack IPv4v6. It should be noted that this value will never be used as a requested PDN Type from the UE, since UEs will only use one of their supported PDN Types, i.e., IPv4 only, IPv6 only or IPv4v6 (dualstack). This value is only used as part of the APN subscription context, as an authorization mechanism between HSS and MME.
The PDN-Type AVP is of type Enumerated and indicates the address type of PDN. The following values are defined:
IPv4 (0)
This value shall be used to indicate that the PDN can be accessed only in
IPv4 mode.
IPv6 (1)
This value shall be used to indicate that the PDN can be accessed only in IPv6 mode.
IPv4v6 (2)
This value shall be used to indicate that the PDN can be accessed both in IPv4 mode, in IPv6 mode, and also from UEs supporting dualstack IPv4v6.
IPv4_OR_IPv6 (3)
This value shall be used to indicate that the PDN can be accessed either in IPv4 mode, or in IPv6 mode, but not from UEs supporting dualstack IPv4v6. It should be noted that this value will never be used as a requested PDN Type from the UE, since UEs will only use one of their supported PDN Types, i.e., IPv4 only, IPv6 only or IPv4v6 (dualstack). This value is only used as part of the APN subscription context, as an authorization mechanism between HSS and MME.
Как Вы уже догадались, мы используем опцию 2.
SGSN/MME
Настройка этих устройств для поддержки IPv6 несложная, она, по сути, ограничивается активацией соответствующей лицензии и включением поддержки dual-address-pdp для сервисов SGSN и MME, а также в настройках RNC, подключенных к SGSN.
PGW/GGSN
Уже не все так просто. Модернизации подвергаются:
— интерфейсы в сторону транспортной сети (поднимается address-family ipv6), и прописывается IP маршрутизация;
— прописываются ip-pool, из которых абонентам выдаются адреса;
— активируется поддержка IPv6 на APN;
— прописывается IPv6 DNS, который будет выдаваться абоненту при подключении.
PCRF/OCS
Обмен PGW c PCRF и OCS производится по протоколу Diameter (интерфейсы Gx и Gy соответственно). Особенность активации IPv6 только в том, что в этом сигнальном обмене появляется AVP Framed-IPv6-Prefix и добавляется еще одна AVP PDP-Address c IPv6 адресом. Соответственно, PCRF и OCS должны их принимать и учитывать (сохранять).
CDR-коллектор
Ожидаемо, что изменился формат CDR записей. Абонентский IPv4 адрес переместился в новое поле servedPDPPDNAddressExt, а IPv6 адрес будет записываться в servedPDPPDNAddress (это поле изначально поддерживало и IPv4 и IPv6).
recordType...
recordType PGWRECORD
servedIMSI 25001**********
p-GWAddress 213.87.x.x
chargingID 15934348563
servingNodeAddress 213.87.x.x
accessPointNameNI internet.mts.ru
pdpPDNType IPV4+IPV6
servedPDPPDNAddress 2a00:1fa0:800::5c:7ef:201
servedPDPPDNAddressExt 10.21.12.11
servinggNodePLMNIdentifier 250, 01
servedIMEISV 35915***********
rATType eUTRAN
mSTimeZone +03:00,
servedIMSI 25001**********
p-GWAddress 213.87.x.x
chargingID 15934348563
servingNodeAddress 213.87.x.x
accessPointNameNI internet.mts.ru
pdpPDNType IPV4+IPV6
servedPDPPDNAddress 2a00:1fa0:800::5c:7ef:201
servedPDPPDNAddressExt 10.21.12.11
servinggNodePLMNIdentifier 250, 01
servedIMEISV 35915***********
rATType eUTRAN
mSTimeZone +03:00,
Транспортная сеть
Поднимается address-family ipv6 и прописывается маршрутизация.
Полезные ссылки на нашу тему
В заключение я хочу задать вам вопрос.
bopoh13
eov
По этому поводу много статей на хабре. Причина понятна. В данном конкретном случае, я запршу безопасность о возможности внести этот сайт в исключения блок-системы.
eov
Попробовал со своего мобильного устройства. Вышел без проблем.
По иронии судьбы, у меня с домашнего провайдера, достаточно долго был заблокирован habrahabr и geektimes. Я даже писал об этом администрации хабра. На мой запрос провайдер ответил, что в DNS-е есть их IP адреса. Не ограничивать доступ к ним доступ оснований нет. DPI-я по анализу SNI у них нет.
square
А в Поволжье когда ждать ipv6?
eov
В Поволжье и Северо-Западе мы протестировали без влияния на коммерческий трафик. На боевой контрукции планируем завершить тесты на слудующй неделе. Запуск, как я и писал, мы планируем в ближайшее время.
DeLuxis
Клево, но:
Услуга «Доступ к IPv6» может быть подключена только при наличии услуги «Мобильный интернет».
Когда появится у пользователей домашнего интернета?
Будет ли адрес IPv6 статичным?
dark_snow
Конечно нет — это же очередная статья дохода, зачем убивать курицу с золотыми яйцами.
eov
Возможность подключения абонентам фиксированной сети в данной статье не обсуждался. Я сделаю запрос в профильное подразделение и, по возможности, отвечу.
Статичный адрес (префикс /64) для мобильных абонентов пока тоже не доступен. Если мы поймем, что это востребовано, сделаем. Тут сложность в том, что абонентов со статическими IP (не важно v4 или v6) нужно «приземлять» в «домашем» регионе. В случае, если мы говорим про APN internet.mts.ru, то «приземление» осуществляется по кротчайшему маршруту (так проще и нам и лучше сервис абонентам) вне зависимости от того где реально находится абонент. Соответственно, мы можем говорить про услуги “Real IP” или корп. APN.
DeLuxis
Статичный ipv6 адрес позволит бесплатно держать дома VPN и другие клевые штуки без шаманства. Буду ждать, так как являюсь абонентом МТС.
Envek
Попробуйте Dynamic DNS для этих целей. Я пользовался русским сервисом DNS Master для этого (он приятно недорогой), когда я жил в доме, где был провайдер с IPv6 и даже написал скрипт для поддержания актуальности DNS-записей: https://gist.github.com/Envek/9aa53b06e7df369626a9
ivan386
Пинганите 192.88.99.1 и если ответит то попробуйте 6to4. Если внешний IP постоянный.
Dageron
Нужно, и очень востребовано. И не для пресловутых «юрлиц», а всем.
Зачем «приземлять» абонента в домашнем регионе?
Пользовался корпоративным Мегафоном со статикой на имеющейся в наличии карте: выдавались ip-адреса Москвы и Санкт-Петербурга, в зависимости от точки доступа. Yota без статики: абсолютно все ip-адреса выдаются из Москвы. И это при том, что находился вообще в Екатеринбурге.
У Мегафона apn-ы прописывались через FixedIP.nw и еще через aems.msk.
Можете как-либо прокомментировать, как реализуется схожая вещь у МТС?
И, наконец самый серьезный вопрос: почему услуга статики традиционно доступна только для корпоративных клиентов? Позицию ряда других операторов я уже слышал, теперь интересна позиция МТС.
eov
У нас APN internet.mts.ru "приземляется" на ближайший узел. К примеру, если абонент переместился из Москвы в Ижевск, то точка приземления изменится с Москвы на Н.Новгород.
Корпоративные APN-ы (с префиксами msk, sib и др.) жестко "прибиты" к узлам в соответствующих регионах. При этом куда бы не перемещался абонент, его трафик будет затягиваться именно в этот регион. К примеру, абонент с APN-ом с префиксом sib переместился из Сибири на Дальний Восток. В этом случае трафик все равно будет дотягиваться до Новосибирска.
По поводу статики я скажу, что мы и корпоративных абонентов отговариваем себе ее включать. Это накладно и для абонента и для нас. В большинстве случаев, спасает корпоративный APN с приватными статическими адресами.
Dageron
В общем и целом, не вижу ничего сильно плохого в том, что трафик приземляется в другом регионе. Накладки разве что с пингом могут быть. Или тут затруднения с созданием чрезмерной нагрузки на сеть?
И почему же вы все-таки отговариваете людей от статики? В основном ведь она нужна для доступа к удаленной сети (например, серверу с видеонаблюдением).
И все-таки любопытно, почему ее не предоставляют физическим лицам! Во всяком случае, официально. Это очень, ОЧЕНЬ досадный факт. И я правильно понимаю, что при сугубо большом желании можно и как физлицо получить оформление как корпоративного клиента?
eov
С учетом того, что у нас 99% трафика APN internet.mts.ru "приземляется" на ближайший узел, проблем с пробросом трафика "префиксованных" APN-ов по месту их приписки нет. Да, задержка Москва — Владивосток 110ms — 120ms, но с этим ничего не поделаешь...
Мы планируем завершить настройки для APN internet.mts.ru, а чуть позже распространить на услугу "Real IP" (на этих APN-ах будет выдаваться динамические public IPv4 и public IPv6 адреса).
Public IPv4 адреса в последнее время покупаются на "свободном рынке" и за живые деньги. Закупочные процедуры в больших компаниях не простые и довольно длительные. Один IP адрес в NAT-пуле используется значительно эффективнее. А если кратко, то "Да, мы экономим IPv4 адреса".
Как тут уже было предложено, можно использовать DynDNS.
lomnev
<s-m>
Как же нам не хватает реестра пожизненных статичных IP адресов
</s-m>
ivan386
Вместе с пожизненными статичными провайдерами?
Marwin
по поводу опроса… ну я бы не был так радикален в ответе НЕТ. Учитывая кучи легаси оборудования безовсяких файрволлов, светить им в мир тоже не айс.
Может имеет смысл таки включить блок по умолчанию с галочкой в личном кабинете "отключить фильтрацию"? Для тех, кто понимает что делает.
eov
Эту позицию я услышал. Спасибо!
ValdikSS
Это самый адекватный вариант, и не только для портов до 1024, а можно вообще для всех портов.
Скажем, на современном и продвинутом портативном LTE-роутере Netgear 810s по умолчанию включен adbd (ADB-сервер Android) на порту 5555, который доступен из WAN, без пароля и подтверждений со стороны пользователя. Подключившись к этому серверу, вы получаете shell-доступ от имени root на устройстве — большая дыра безопасности.
Я за то, чтобы ограничивать все новые входящие соединения для клиентов по умолчанию, с возможностью отключения этой функции. Или, не знаю, какой-нибудь upnp/NAT-PMP можно установить в сеть.
wizard_s
Главное, чтобы галочка, открывающая доступ к портам, не превратилась в очередную платную услугу
lexore
Я надеюсь, все понимают, что даже в случае "НЕТ" такие порты, как 135-139 и 445 все равно должны быть закрыты в обе стороны?
eov
Тут я бы сказал и «да» и «нет». На основном APN internet.mts.ru у нас закрыт доступ с приватного ip на приватный. Отчасти, это было сделано потому, что были случаи когда абоненты «шарились» по открытым «шарам» windows машин. Чего там только не встречалось (от проектов сайтов, до бухгалтерских документов)… В случае с приватным IPv4 закрыли и ладно. Никто сильно не пострадал. IPv6 изначально паблик адреса и формальной причины закрывать к ним доступ у нас нет. Они должны быть доступны из интернет. Если общественность за закрыте, не вопрос — закроем. Именно то этой причина и был организован опрос.
lexore
Ну, вообще-то общественность о этом говорит с 2003 года.
Netbios порты windows уязвимы уже больше 20 лет, с момента своего появления в windows 9x и остаются уязвимы по текущий день.
Эти порты использовались для распространения WannaCry.
И эти порты — первое, что закрывают все провайдеры, точки обмена трафика и магистральные операторы, которые хоть как-то хотят защититься от ботнетов в сетях клиентов.
Я рекомендую посмотреть статьи про эти порты, самая частая рекомендация — просто закрывать их.
И если этого вам будет недостаточно, вы можете создать опрос "закрыть ли netbios порты клиентов или оставить открытыми миру".
Я думаю, общественность хабра недвусмысленно подскажет правильный ответ :)
eov
Да, я услышал. Завтра обсужу это с "коллегами по цеху".
ValdikSS
Не все используют Windows-реализации CIFS. Я долгое время держал Samba-сервер с анонимным доступом из интернета с медиаконтентом, и это было удобно. В Samba значительно меньше уязвимостей, по сравнению с Windows-версией, и закрывать доступ к какому-то конкретному сервису провайдеру, по моему мнению, глупо. Сейчас так делают считанные провайдеры, и я о них не высокого мнения.
Почему тогда не закрыть, например, порт 161 или 23?
lexore
Им очень далеко до netbios по величине уже нанесенного урона.
Просто на одного крутого эксперта — вас, есть тысячи обычных win пользователей, которые три месяца назад пострадали (в том числе финансово) от WannaCry, просто потому, что у них были открыт порт 445.
Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar, через который загружается и запускается исполняемый код программы WannaCry.
eov
Все верно. Только для IPv6 даже зная /64 префикс потенциальной жертвы еще нужно найти конкретный /128 адрес, чтобы "стукнуться" к нему по TCP/445.
В любом случае, firewall на конечном устройстве лишним не будет.
grey_rat
В своё время, когда строились пионерлокалки, мне один админ такой же локалки сделал прогу настройки компа для работы сети. По сути скрипт. Прога автоматом отрубала службы связанные с Netbios, Обозреватель компьютеров и ещё что-то. Юзер запускал у себя на компе эту прогу.
В итоге:
1. широковещалки в сети становилось меньше (знаю, знаю, сейчас оборудование режет его за портом юзера, но всё же)
2. комп работал быстрее
3. безопасность лучше
А если закрыть все порты, то лишите народ торрента. Сейчас и так мало кто пробрасывает порт.
Пусть лучше юзер сам решает свои проблемы. Если он попросит IPv6, значит и подумать ему заранее как оно будет работать так же нужно.
ivan386
А на этих портах по IPv6 что нибудь есть? Поскольку это другой протокол программы и драйвера отдельно открывают порт для ipv4 и ipv6. А скорей всего для ipv6 вообще не открывают если специально не настроить.
grumbler66rus
Если программа поддерживает стек IPv6, порт она биндит. Практически всё ПО, скопилированное со стандартными библиотеками, поддерживает IPv6 даже без специального желания авторов
ivan386
Естественно. Если в программе прописали открытие порта по ipv6 то она естественно сможет его открыть. А если нет то нет. Даже если ОС и стандартные библиотеки ipv6 поддерживают. Но я про Windows и C++.
nonnenmacher
Уже 8-й год, как минимум, слышу эти прохладные истории про IPv6. А воз и ныне там.
eov
Мы стараемся сдвинуть воз. Надеемся на конструктивное содействие.
ValdikSS
10% пользователей антизапрета используют IPv6 — не такая и малая цифра.
3 из 9 российских домашних проводных провайдеров, опрошенных мной, поддерживают IPv6.
Мобильный оператор T-Mobile в США раздает клиентам (не всем, но многим) доступ только в IPv6 с 2014 года. Доступ в IPv4 осуществляется через протокол 464XLAT.
rogoz
То, что в России по мнению гугла(и видимо по вашему) 1.16% пользователей IPv6 не значит, что в мире так.
Expelliamus
Закрытие портов (всех) лучше оформить как услугу (подключена по умолчанию), чтобы можно было открыть при необходимости.
Стоит ли ждать абонентам домашнего проводного интернета от МТС такое благо?
eov
Ответил чуть выше.
Evgenss
Подключил, но test-ip6.com при проверке выдает на втором тесте:
«Внимание! IPv6 работает, но большие пакеты, видимо, теряются. Это даже может выглядеть так, как будто сайт сломан......»
Итого 1/10 тестов пройдено.
eov
Можно скриншот и номер для связи в личку?
Evgenss
Отправил.
eov
В итоге, по данному кейсу я склоняюсь к тому, что на телефоне стоит что-то, что мешает прохождению пакета ICMPv6, type 2 (Packet Too Big) от сети. По логам обмена телефона с сетью видно, что в сторону трубки пакеты ушли. Подробное описание вот здесь.
tankistua
Есть еще одна неучтенная деталь — маршрутизация ipv6 требует больше ресурсов маршрутизатора.
ValdikSS
Для сетей без белых IP-адресов, с Carrier-grade NAT, ситуация обратная — NAT заметно затратнее маршрутизации IPv6.
eov
+1
Да, CGNAT масштаба мобильного оператора — весьма затратная штука. Тут даже дело не столько в количестве белых адресов… Основное отличие мобильного оператора от фиксированного в том, что при сравнимом количестве трафика, мобильный оператор одновременно обслуживает бОльшее количество абонентов (сетевых устройств). Они создают бОльшую нагрузку на NAT (количество одновременных трансляций) и DNS (количество запросов на различные (ключевое слово)) ресурсов.
eov
Доля трафика IPv6 пока крайне мала. В настоящий момент проблем с этим не вижу.
Куда бОльшую нагрузку создают технические средства блокировки по спискам РКН.
dmitry_ch
Вы, наверное, меня не поймете, но после долгих лет общения с сотовыми провайдерами читать текст после слов «необходимо подключить бесплатную услугу» уже не хочется. Прямо аллергия именно на эти слова.
А новость — отличная. Не знаю, каков ваш опыт, сколько мобильных телефонов у народа на руках со сломанных IPv6-стеком, и каково поведение устройств, если вдруг на вашей стороне IPv6 перестанет работать (как скоро трафик попробует пробраться через IPv4, если вообще попробует), но я очень рад, что всего через 11 лет с момента изобретения IPv6 его начинают более-менее массово внедрять в крупных сетях. Еще бы Билайны с Мегой подтянулись, там, глядишь, и IPv6-адреса на стороне сервисов окажутся более востребованными.
Но, пожалуйста, как-то поменяйте текст, уж очень глаз режет выражение «услуга IPv6»! Прямо как «услуга воздух для дыхания»!
eov
Прошу прощение. Я тоже был против такого названия, но, к сожалению, она называется как называется…
По поводу того, что пока это именно услуга я писал как раз в части того, что если что-то перестанет работать, то услугу можно отключить и вернуть все как было. На самом деле я изначально выступал и по-прежнему выступаю за то, чтобы это не было услугой и включалось бы только в настройках телефона. В этой битве с маркетингом я пока проиграл, но надежду, естественно, не потерял. Просто, как мы все знаем, разные производители устройств и ОС к ним, дают разные возможности "ручной" настройки. Сравните настройки точек доступа в Android и в iOS. Так вот в последней крайне мало вариантов что-то руками "подкрутить", а возможностей со стороны оператора выслать правильные настройки тоже крайне скудны. А во времена, когда большинство телефонов поддерживало настройки "по воздуху", большая часть абонентов не соглашалась получить и применить настройки.
Chupaka
Всего через 21 год ведь :) Написал и взгрустнул...
BiTHacK
Быть может я не заметил в статье указания, в каких регионах эта услуга уже доступна?
eov
Москва, Ярославль, Тверь, Кострома, Калуга, Смоленск, Рязань, Тамбов, Тула, Владимир, Иваново, Липецк, Орел, Курск, Воронеж, Брянск, Белгород.
Stanislavvv
Когда будет доступна в других городах (интересует Екатеринбург)? И будет ли доступна частным лицам (судя по ссылке — только корпоративные клиенты)?
eov
Во всех регионах, кроме регионов Дальнего Востока, целевой срок запуска — август (повторюсь, что прошу не сильно "бить" если не чуток задержимся). Вся техника готова (завершаем тесты).
Дальний Восток начнем делать осенью этого года.
Услуга будет доступна всем абонентам.
grumbler66rus
В Е провайдер «Планета» по умолчанию даёт IPv6.
Привет!
pansa
> появилась возможность опробовать выход в интернет с использованием IPv6
Если уж хочется попробовать, то элементарно поднять бесплатный тунель 6in4 от тех же HE или прокинув socks5 на какой-нибудь VPS.
Да, трафик будет ходить через какой-нибудь Стокгольм (для кого-то это плюс =), зато без подключения бесплатных услуг.
Хотя нормальный v6 хочется давно и везде, но провайдеры чешутся медленно.
eov
Это можно опробовать и через whonix… Мы стараемся сделать "нативный" выход в сеть без дополнительных "приколов".
Envek
HE давно уже посылают
в леспинать своего провайдера включить IPv6 и новые регистрации не принимают. :sad_trombone:lolipop
А можно только ipv6, без ipv4?
eov
Можно, но бОльшая часть интернет ресурсов будет недоступна. У них просто нет IPv6 адресов и адресоваться к ним без дополнительных приколов будет не просто...
lolipop
я в курсе ограничиений ipv6, так как это сделать?
eov
подключенная услуга + IPv6 (не IPv4v6) в настройках APN.
ValdikSS
Планируете ли вы 464XLAT для Android-устройств? Такие IPv6-only-сети с выходом в IPv4 работают в T-Mobile и SK Telecom.
eov
не планируем
ValdikSS
МТС продает стационарные LTE-роутеры, что подразумевает использование мобильного интернета в качестве основного канала дома или в офисе. Для полноценного использования, даже домашнего, вполне может потребоваться 3 /64-подсети для корректной настройки: одна для проводного интернета, вторая для гостевой сети Wi-Fi, третья для VPN. Продвинутый пользователь может выделить отдельную /64 в качестве подсети для виртуальных машин, например.
Даже для раздачи интернета по Wi-Fi с телефона может использоваться отдельная /64.
Посмотрите в сторону Mobile IPv6. Я до конца не разбирался, как он работает, но мне кажется, что он сделан именно для этого, и позволит вам корректно «приземлять» статические подсети, не гоняя трафик в другой регион.
Пожалуйста, не раздавайте клиентам только одну /64. Вы большие молодцы, что занялись вредрением IPv6 первыми, но хочется, чтобы все было по уму, а не тяп-ляп. Я готов помогать вам советами и тестами, если они вам нужны: у меня есть Android-телефон, на который можно установить почти любую версию ОС (от 2.3.5 до 6.1), есть Blackberry, есть несколько LTE-модемов и роутеров разных производителей.
Пожалуйста, добавьте пост в хаб IPv6.
eov
Услышал, спасибо!
С mobile ip предвижу проблемы с СОРМом. Подумаем на эту тему.
Про префикс делегейшн для cpe поже возьму в проработку.
eov
добавили в хаб IPv6
Envek
Вот это я понимаю: конкурентное преимущество одного оператора перед другим.
P.S> Включайте ещё IPv6 для домашнего интернета и подключайте мой дом. Пожалуйста!
grey_rat
eov, у нас в Беларуси МТС так же недавно запустил IPv6. Вот обсуждение его и попытка настройки со стороны юзеров http://forum.onliner.by/viewtopic.php?t=4356152&start=34220#p96677100
Хочу вам перенести некоторые цитаты-вопросы из той темы, если можно
P.S Так же у нас есть один Ethernet провайдер, который продаёт пользователям локальные дополнительные IP адреса вида 10… по цене 0,3 $ в месяц.
eov
Можно номер для связи в личку? Наши Белорусские коллеги свяжутся и помогут.
grey_rat
Я пока на другом провайдере. Но если можно, попросите их просто зайти в ту ветку обсуждения, раньше иногда они там появлялись и отписывались.
eov
попросил
grey_rat
Спасибо
ramax
Поддержку / СММ бы просветили. Они мне с апреля на слова «на iOS не работает» твердили «проверьте настройки».
eov
Я не понял первое предложение. Если речь идет про IPv4v6 на iOS, то скажу, что мы работаем с Apple. Поддержка IPv4v6 (и не только) включается так называемым Carrier Bundle, который вшивается в прошивку. Перед тем, как CB появляется в новом релизе ПО, производится его тестирование и оператором и самим Apple. Повторюсь, что мы работаем над этим.
ramax
Это я прочитал, что вы с Эппл работаете. Поддержка ваших (МТС) абонентов (и соцсетей) не умеет говорит «на iOS услуга Ipv6 сейчас недоступна». Я их с апреля терзал — ничего конкретного мне ответить не могли.
eov
Надеюсь, все встало на свои места. Я сам использую устройства с iOS и MacOS и, поверьте, лично заинтересован...
CrazyHackGUT
Когда в Удмуртии можно ждать? Конкретно Ижевск интересует.
eov
Постараемся запуститься в августе. Не "бейте" сильно если чуток задержимся.
urrasi
Подключил, с настройками APN IPv4+IPv6 сайт test-ipv6.com работает, показывает 10 из 10.
Если поставить исключительно IPv6 — сайт даже не открывается. :)
ValdikSS
Предполагаю, что выдается только IPv4 DNS, и если отключить IPv4, DNS работать не будет.
eov
Если запрошен IPv6 only, то сеть выдает только IPv6 DNS.
Выдавать IPv4 DNS абоненту у которого нет IPv4 адреса смысла нет.
urrasi
нет, выдаются так, какие опции запрашиваются, проверено.
адрес IPv6 доступен снаружи, проверял запуском веб-сервера.
eov
Я перед тем как написать предыдущий пост, специально проверил. Вот выдержка из сигнального обмена.
Адресную часть я подзатер, чтобы не было лишних соблазнов...
[PGW-S5/S2a/S2b]GTPv2C Tx PDU, from 213.87.xx.xx:2123 to 213.87.xx.xx:30512 (135)
TEID: 0x81900020, Message type: EGTP_CREATE_SESSION_RESPONSE (0x21)
Sequence Number: 0x4EA420 (5154336)
GTP HEADER
Version number: 2
TEID flag: Present
Piggybacking flag: Not present
Message Length: 0x0083 (131)
INFORMATION ELEMENTS
CAUSE:
Value:
Cause: EGTP_CAUSE_REQ_ACCEPTED (0x10)
PCE: 0
BCE: 0
CS: 0
greenpanic
Блокировать или не блокировать — слишком категорично.
Разумно будет блокировать по-умолчанию, чтобы оградить рядовых пользователей, которым это и не нужно, но предоставить возможность убрать эту меру защиты по инициативе пользователя. Если есть, конечно, такая техническая возможность.