Количество IP-адресов для устройств, доступных в глобальной сети по протоколу IPv4, достигло порядка 4,3 млрд и уже практически исчерпано из-за длины IP-адреса в 32 бита. В адресном пространстве IPv6 задействовано 128 бит, что делает практически бесконечным количество адресуемых устройств. Прямой и простой совместимости друг с другом у протоколов IPv4 и IPv6 нет. Именно из-за этого быстрого и дешевого перехода на IPv6 only не будет. Страшно? Да нет. Просто нужно вступить на эту дорогу — и рано или поздно мы войдем в эру «чистого» IPv6. Хорошо это или плохо?

image

Недавно у абонентов МТС Центрального федерального округа появилась возможность опробовать выход в интернет с использованием IPv6. За одну сессию по этому протоколу абоненту выдается адресация сразу в двух стандартах: IPv4 и IPv6. Такой режим называется Dual-Stack. Для того, чтобы ваше устройство работало с IPv6, необходимо подключить бесплатную услугу «Доступ к IPv6», а также произвести некоторые настройки на абонентском терминале. В этом посте подробнее о новой услуге расскажет наш специалист Олег Ермаков, его ник на Хабрхаб — eov. Передаем ему слово.

Всем привет! Мой рассказ будет состоять из двух частей. Первая описывает пользовательские настройки и способы контроля, что все у вас идет по плану. Вторая — уже дает краткий экскурс в технологию: как это сделано на сети сотового оператора в поле «3GPP-access». Сегмент «non-3GPP» затрагиваться не будет. Это тема для отдельной статьи.

Часть I

В результате перехода на новый протокол абонент имеет следующее:

1. Сервисы, которые работают с IPv6 адресацией, будут получать и передавать трафик БЕЗ использования NAT. Не знаю, все ли сталкивались с тем, что на поисковый запрос в Google иногда требуется ввести Captcha-код, или Google вообще отказывает в поиске. Причина в том, что Google считает, что с одного public IP идет слишком много запросов, и это воспринимается им как роботизированный опрос.

image image

2. Абонент получит public IPv6 адрес, и на него будет доступен «входящий» трафик из интернета. Сейчас же из-за применения NAT сделать это не просто.

3. Абонент, который «раздает» интернет, получит возможность на каждое устройство, которое находится за «раздающим», иметь свой IPv6 адрес. Предлагаю обсудить плюсы и минусы этого в комментариях…

Не скрою, что от перехода на IPv6 выигрываем и мы (оператор): чем больше абонентов перейдет на IPv6, тем меньше потребуется IPv4 адресов для NAT/PAT трансляций. Уверен, что 99% абонентов не задумывается о том, что в итоге финансовые затраты на закупку дополнительного пространства IPv4 понесут именно они.

Предвижу вопрос: «Когда данная услуга станет доступна абонентам всей страны»? Отвечаю. Мы работаем над этим и постараемся запустить на большей части сети доступ до конца лета этого года.

На нашем сайте есть инструкция настройки, там расписаны общие положения. Дополнительно хочу пояснить несколько моментов:

1. Пока Dual-Stack работает только на устройствах с ОС Android, Windows и на некоторых роутерах. В ближайшее время IPv6 можно будет включить и на мобильных устройствах Apple. Однако, для обеспечения работоспособности с устройствами на iOS нам нужно пройти ряд дополнительных тестов. Прошу отнестись к этому с пониманием и набраться терпения. Пока получить IPv6 на устройствах Apple можно путем подключения к «мобильной точке доступа» с работающей услугой IPv6 через Wi-Fi.

2. На текущем этапе услуга ориентирована в первую очередь на продвинутых пользователей, которые понимают, что и зачем делают. Вы приобщаетесь к высоким технологиям, а мы изучаем ваш клиентский опыт, что на данном этапе крайне важно. Мы рассчитываем получить отзыв пользователей, доработать и усовершенствовать услугу. В дальнейшем мы планируем упростить подключение и отказаться от «услуги» как таковой и сделать функционал IPv6 доступным в настройках телефонов по умолчанию «из коробки». В идеале переход на IPv6 в мобильных сетях МТС планируется бесшовным.

3. В настройках подключения в ОБЯЗАТЕЛЬНОМ порядке нужно указать APN internet.mts.ru и тип протокола IPv4v6 (это ВАЖНО). Основным признаком верного указания APN является то, что абоненту выдается IPv4 адрес из диапазона 10.0.0.0/8 RFC1918, а не из диапазона 100.64.0.0/10 RFC6598. Если же в настройках телефона выбран протокол IPv4 или IPv6, то сеть выдаст ровно то, что и запрошено (IPv4 ИЛИ IPv6). В первом случае все будет работать по IPv4, а во втором — бОльшая часть интернет-ресурсов станет недоступна просто потому, что далеко не все перешли на IPv6. Если все сделано правильно, то будет выдано два адреса IPv4 и IPv6 (Dual-Stack). Мы пока намеренно не планируем распространять решение на «неверные настройки» (с неверным APN). Поступая таким образом, мы исходим из принципа «не навреди».

4. Для доступа к интернет-ресурсам в IPv6-адресации необходимо, чтобы и система DNS работала как положено. Для абонентских сессий с IPv4v6 выдается и IPv6 DNS сервер. Наличие IPv6 DNS серверов не обязательно, потому что и IPv4 сервера успешно резолвят AAAA записи. При подключении к сети мы выдаем оба сервера исключительно для того, чтобы все было «по фэншую».

5. Обратите особое внимание на то, что абоненту выдается public IPv6 адрес (на самом деле блок адресов /64), который доступен из сети интернет! Не стоит пренебрегать элементарными мерами безопасности. Крайне желательно установить антивирус и Firewall.

Таким образом, абоненты имеют IPv4 и IPv6 адрес. Резолвинг интернет-ресурсов осуществляется и по IPv4, и по IPv6. Дело за приложениями. По нашему опыту, браузер Google Chrome в первую очередь использует протокол IPv6 для ресурсов, которые имеют возможность работать по IPv6. Например, такие популярные ресурсы как Yandex и Google уже давно работают по IPv6.

Для проверки можно использовать ресурс test-ipv6.com. Если все настроено верно, то тест покажет оценку 10 из 10.

Если это не так, то нужно убедиться в том, что выключены оптимизаторы трафика в настройках браузера.

image

Часть II

Здесь мы углубимся в профессиональную область. Те, кто предпочтет ограничиться прикладной частью повествования, прошу комментировать или писать в личку свои вопросы. Сразу скажу, что не смогу помочь всем, но готов рассмотреть особо интересные случаи. Спасибо за понимание.

IPv6 как таковой появился в 1998 году и описан в RFC2460, поддержка IPv6 в мобильных сетях появилась в рекомендациях 3GPP Rel99 (2000 г). Широкого распространения технология не получила. Вероятно, тогда мало кто в мире знал, что такое IPv6, а недостатка в IPv4 адресах не предвиделось. Спустя 10 лет острой необходимости так и не возникло, поэтому мы проводили внутреннее тестирование, но внедрять не стали.

Начиная с 3GPP Rel8 для сетей LTE возникает эпоха Dual-Stack. Преимущества — налицо. Dual-Stack делает ненужными такие технологии как NAT64 и DNS64, при сохранении «обратной совместимости» с сетями на IPv4, по сути, делая плавный переход между технологиями.

Стало лучше, и это уже можно было использовать. К сожалению, при установлении соединения сеть поднимает два PDP контекста и неэффективно использует ресурсы сети.

image

Дальнейшее развитие Dual-Stack получило в 3GPP Rel9. В нем появилась поддержка для сетей 2G/3G и в нем же появилась возможность выдавать IPv4 и IPv6 адрес в рамках одного PDP контекста (bearer-а). Именно эта технология и применяется на сети МТС.

image

Если заглянуть чуть глубже, можно сказать, что 3GPP Rel10 описывает технологию DHCPv6 Prefix Delegation (DHCPv6-PD). Сейчас необходимость ее использования в мобильной сети неочевидна. Если есть конкретные предложения — пишите в комментариях или в личку.

Для того чтобы технология заработала, была включена поддержка необходимого функционала на сетевых элементах HLR/HSS, SGSN/MME, GGSN/PGW, PCRF, OCS, CDR-коллектор, ну и, конечно, на транспортной сети.

image

HLR/HSS
Подключение услуги приводит к тому, что в HLR и в HSS меняется тип протокола в настройках APN-а с IPv4 на IPv4v6 (или both). В спецификации TS 29.272 (Rel9) дословно говорится следующее:

7.3.62 PDN-Type...
7.3.62 PDN-Type
The PDN-Type AVP is of type Enumerated and indicates the address type of PDN. The following values are defined:

IPv4 (0)
This value shall be used to indicate that the PDN can be accessed only in
IPv4 mode.

IPv6 (1)
This value shall be used to indicate that the PDN can be accessed only in IPv6 mode.

IPv4v6 (2)
This value shall be used to indicate that the PDN can be accessed both in IPv4 mode, in IPv6 mode, and also from UEs supporting dualstack IPv4v6.

IPv4_OR_IPv6 (3)
This value shall be used to indicate that the PDN can be accessed either in IPv4 mode, or in IPv6 mode, but not from UEs supporting dualstack IPv4v6. It should be noted that this value will never be used as a requested PDN Type from the UE, since UEs will only use one of their supported PDN Types, i.e., IPv4 only, IPv6 only or IPv4v6 (dualstack). This value is only used as part of the APN subscription context, as an authorization mechanism between HSS and MME.

Как Вы уже догадались, мы используем опцию 2.

SGSN/MME
Настройка этих устройств для поддержки IPv6 несложная, она, по сути, ограничивается активацией соответствующей лицензии и включением поддержки dual-address-pdp для сервисов SGSN и MME, а также в настройках RNC, подключенных к SGSN.

PGW/GGSN
Уже не все так просто. Модернизации подвергаются:
— интерфейсы в сторону транспортной сети (поднимается address-family ipv6), и прописывается IP маршрутизация;
— прописываются ip-pool, из которых абонентам выдаются адреса;
— активируется поддержка IPv6 на APN;
— прописывается IPv6 DNS, который будет выдаваться абоненту при подключении.

PCRF/OCS
Обмен PGW c PCRF и OCS производится по протоколу Diameter (интерфейсы Gx и Gy соответственно). Особенность активации IPv6 только в том, что в этом сигнальном обмене появляется AVP Framed-IPv6-Prefix и добавляется еще одна AVP PDP-Address c IPv6 адресом. Соответственно, PCRF и OCS должны их принимать и учитывать (сохранять).

CDR-коллектор
Ожидаемо, что изменился формат CDR записей. Абонентский IPv4 адрес переместился в новое поле servedPDPPDNAddressExt, а IPv6 адрес будет записываться в servedPDPPDNAddress (это поле изначально поддерживало и IPv4 и IPv6).

recordType...
recordType PGWRECORD
servedIMSI 25001**********
p-GWAddress 213.87.x.x
chargingID 15934348563
servingNodeAddress 213.87.x.x
accessPointNameNI internet.mts.ru
pdpPDNType IPV4+IPV6
servedPDPPDNAddress 2a00:1fa0:800::5c:7ef:201
servedPDPPDNAddressExt 10.21.12.11
servinggNodePLMNIdentifier 250, 01
servedIMEISV 35915***********
rATType eUTRAN
mSTimeZone +03:00,

Транспортная сеть
Поднимается address-family ipv6 и прописывается маршрутизация.


В заключение я хочу задать вам вопрос.

Комментарии (88)


  1. bopoh13
    09.08.2017 14:43
    +5

    Когда перестанут блокировать незапрещённые сайты?
    image


    1. eov
      09.08.2017 20:34

      По этому поводу много статей на хабре. Причина понятна. В данном конкретном случае, я запршу безопасность о возможности внести этот сайт в исключения блок-системы.


    1. eov
      09.08.2017 21:29

      Попробовал со своего мобильного устройства. Вышел без проблем.
      По иронии судьбы, у меня с домашнего провайдера, достаточно долго был заблокирован habrahabr и geektimes. Я даже писал об этом администрации хабра. На мой запрос провайдер ответил, что в DNS-е есть их IP адреса. Не ограничивать доступ к ним доступ оснований нет. DPI-я по анализу SNI у них нет.


  1. square
    09.08.2017 14:44

    А в Поволжье когда ждать ipv6?


    1. eov
      09.08.2017 20:18

      В Поволжье и Северо-Западе мы протестировали без влияния на коммерческий трафик. На боевой контрукции планируем завершить тесты на слудующй неделе. Запуск, как я и писал, мы планируем в ближайшее время.


  1. DeLuxis
    09.08.2017 14:58

    Клево, но:

    Услуга «Доступ к IPv6» может быть подключена только при наличии услуги «Мобильный интернет».

    Когда появится у пользователей домашнего интернета?

    Будет ли адрес IPv6 статичным?


    1. dark_snow
      09.08.2017 19:36

      Конечно нет — это же очередная статья дохода, зачем убивать курицу с золотыми яйцами.


    1. eov
      09.08.2017 20:18
      +2

      Возможность подключения абонентам фиксированной сети в данной статье не обсуждался. Я сделаю запрос в профильное подразделение и, по возможности, отвечу.
      Статичный адрес (префикс /64) для мобильных абонентов пока тоже не доступен. Если мы поймем, что это востребовано, сделаем. Тут сложность в том, что абонентов со статическими IP (не важно v4 или v6) нужно «приземлять» в «домашем» регионе. В случае, если мы говорим про APN internet.mts.ru, то «приземление» осуществляется по кротчайшему маршруту (так проще и нам и лучше сервис абонентам) вне зависимости от того где реально находится абонент. Соответственно, мы можем говорить про услуги “Real IP” или корп. APN.


      1. DeLuxis
        10.08.2017 07:23

        Статичный ipv6 адрес позволит бесплатно держать дома VPN и другие клевые штуки без шаманства. Буду ждать, так как являюсь абонентом МТС.


        1. Envek
          10.08.2017 07:46

          Попробуйте Dynamic DNS для этих целей. Я пользовался русским сервисом DNS Master для этого (он приятно недорогой), когда я жил в доме, где был провайдер с IPv6 и даже написал скрипт для поддержания актуальности DNS-записей: https://gist.github.com/Envek/9aa53b06e7df369626a9


        1. ivan386
          10.08.2017 14:19

          Пинганите 192.88.99.1 и если ответит то попробуйте 6to4. Если внешний IP постоянный.


      1. Dageron
        10.08.2017 09:39

        Нужно, и очень востребовано. И не для пресловутых «юрлиц», а всем.
        Зачем «приземлять» абонента в домашнем регионе?

        Пользовался корпоративным Мегафоном со статикой на имеющейся в наличии карте: выдавались ip-адреса Москвы и Санкт-Петербурга, в зависимости от точки доступа. Yota без статики: абсолютно все ip-адреса выдаются из Москвы. И это при том, что находился вообще в Екатеринбурге.

        У Мегафона apn-ы прописывались через FixedIP.nw и еще через aems.msk.
        Можете как-либо прокомментировать, как реализуется схожая вещь у МТС?

        И, наконец самый серьезный вопрос: почему услуга статики традиционно доступна только для корпоративных клиентов? Позицию ряда других операторов я уже слышал, теперь интересна позиция МТС.


        1. eov
          10.08.2017 11:02

          У нас APN internet.mts.ru "приземляется" на ближайший узел. К примеру, если абонент переместился из Москвы в Ижевск, то точка приземления изменится с Москвы на Н.Новгород.
          Корпоративные APN-ы (с префиксами msk, sib и др.) жестко "прибиты" к узлам в соответствующих регионах. При этом куда бы не перемещался абонент, его трафик будет затягиваться именно в этот регион. К примеру, абонент с APN-ом с префиксом sib переместился из Сибири на Дальний Восток. В этом случае трафик все равно будет дотягиваться до Новосибирска.
          По поводу статики я скажу, что мы и корпоративных абонентов отговариваем себе ее включать. Это накладно и для абонента и для нас. В большинстве случаев, спасает корпоративный APN с приватными статическими адресами.


          1. Dageron
            10.08.2017 15:12

            В общем и целом, не вижу ничего сильно плохого в том, что трафик приземляется в другом регионе. Накладки разве что с пингом могут быть. Или тут затруднения с созданием чрезмерной нагрузки на сеть?

            И почему же вы все-таки отговариваете людей от статики? В основном ведь она нужна для доступа к удаленной сети (например, серверу с видеонаблюдением).

            И все-таки любопытно, почему ее не предоставляют физическим лицам! Во всяком случае, официально. Это очень, ОЧЕНЬ досадный факт. И я правильно понимаю, что при сугубо большом желании можно и как физлицо получить оформление как корпоративного клиента?


            1. eov
              10.08.2017 16:05

              С учетом того, что у нас 99% трафика APN internet.mts.ru "приземляется" на ближайший узел, проблем с пробросом трафика "префиксованных" APN-ов по месту их приписки нет. Да, задержка Москва — Владивосток 110ms — 120ms, но с этим ничего не поделаешь...


              Мы планируем завершить настройки для APN internet.mts.ru, а чуть позже распространить на услугу "Real IP" (на этих APN-ах будет выдаваться динамические public IPv4 и public IPv6 адреса).


              Public IPv4 адреса в последнее время покупаются на "свободном рынке" и за живые деньги. Закупочные процедуры в больших компаниях не простые и довольно длительные. Один IP адрес в NAT-пуле используется значительно эффективнее. А если кратко, то "Да, мы экономим IPv4 адреса".


              Как тут уже было предложено, можно использовать DynDNS.


    1. lomnev
      09.08.2017 20:26

      <s-m>
      Как же нам не хватает реестра пожизненных статичных IP адресов
      </s-m>


      1. ivan386
        10.08.2017 14:24

        Вместе с пожизненными статичными провайдерами?


  1. Marwin
    09.08.2017 16:14
    +9

    по поводу опроса… ну я бы не был так радикален в ответе НЕТ. Учитывая кучи легаси оборудования безовсяких файрволлов, светить им в мир тоже не айс.
    Может имеет смысл таки включить блок по умолчанию с галочкой в личном кабинете "отключить фильтрацию"? Для тех, кто понимает что делает.


    1. eov
      09.08.2017 20:19

      Эту позицию я услышал. Спасибо!


    1. ValdikSS
      10.08.2017 00:27
      +1

      Это самый адекватный вариант, и не только для портов до 1024, а можно вообще для всех портов.

      Скажем, на современном и продвинутом портативном LTE-роутере Netgear 810s по умолчанию включен adbd (ADB-сервер Android) на порту 5555, который доступен из WAN, без пароля и подтверждений со стороны пользователя. Подключившись к этому серверу, вы получаете shell-доступ от имени root на устройстве ­— большая дыра безопасности.

      Я за то, чтобы ограничивать все новые входящие соединения для клиентов по умолчанию, с возможностью отключения этой функции. Или, не знаю, какой-нибудь upnp/NAT-PMP можно установить в сеть.


    1. wizard_s
      10.08.2017 15:07

      Главное, чтобы галочка, открывающая доступ к портам, не превратилась в очередную платную услугу


  1. lexore
    09.08.2017 19:05

    Я надеюсь, все понимают, что даже в случае "НЕТ" такие порты, как 135-139 и 445 все равно должны быть закрыты в обе стороны?


    1. eov
      09.08.2017 20:28

      Тут я бы сказал и «да» и «нет». На основном APN internet.mts.ru у нас закрыт доступ с приватного ip на приватный. Отчасти, это было сделано потому, что были случаи когда абоненты «шарились» по открытым «шарам» windows машин. Чего там только не встречалось (от проектов сайтов, до бухгалтерских документов)… В случае с приватным IPv4 закрыли и ладно. Никто сильно не пострадал. IPv6 изначально паблик адреса и формальной причины закрывать к ним доступ у нас нет. Они должны быть доступны из интернет. Если общественность за закрыте, не вопрос — закроем. Именно то этой причина и был организован опрос.


      1. lexore
        09.08.2017 23:45

        Если общественность за закрыте, не вопрос — закроем.

        Ну, вообще-то общественность о этом говорит с 2003 года.
        Netbios порты windows уязвимы уже больше 20 лет, с момента своего появления в windows 9x и остаются уязвимы по текущий день.
        Эти порты использовались для распространения WannaCry.
        И эти порты — первое, что закрывают все провайдеры, точки обмена трафика и магистральные операторы, которые хоть как-то хотят защититься от ботнетов в сетях клиентов.


        Я рекомендую посмотреть статьи про эти порты, самая частая рекомендация — просто закрывать их.
        И если этого вам будет недостаточно, вы можете создать опрос "закрыть ли netbios порты клиентов или оставить открытыми миру".
        Я думаю, общественность хабра недвусмысленно подскажет правильный ответ :)


        1. eov
          10.08.2017 00:09

          Да, я услышал. Завтра обсужу это с "коллегами по цеху".


        1. ValdikSS
          10.08.2017 00:29

          Не все используют Windows-реализации CIFS. Я долгое время держал Samba-сервер с анонимным доступом из интернета с медиаконтентом, и это было удобно. В Samba значительно меньше уязвимостей, по сравнению с Windows-версией, и закрывать доступ к какому-то конкретному сервису провайдеру, по моему мнению, глупо. Сейчас так делают считанные провайдеры, и я о них не высокого мнения.
          Почему тогда не закрыть, например, порт 161 или 23?


          1. lexore
            10.08.2017 02:06

            Почему тогда не закрыть, например, порт 161 или 23?

            Им очень далеко до netbios по величине уже нанесенного урона.


            Просто на одного крутого эксперта — вас, есть тысячи обычных win пользователей, которые три месяца назад пострадали (в том числе финансово) от WannaCry, просто потому, что у них были открыт порт 445.


            Алгоритм распространения WannaCry

            Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar, через который загружается и запускается исполняемый код программы WannaCry.


            1. eov
              10.08.2017 03:42
              +1

              Все верно. Только для IPv6 даже зная /64 префикс потенциальной жертвы еще нужно найти конкретный /128 адрес, чтобы "стукнуться" к нему по TCP/445.
              В любом случае, firewall на конечном устройстве лишним не будет.


      1. grey_rat
        10.08.2017 09:02

        В своё время, когда строились пионерлокалки, мне один админ такой же локалки сделал прогу настройки компа для работы сети. По сути скрипт. Прога автоматом отрубала службы связанные с Netbios, Обозреватель компьютеров и ещё что-то. Юзер запускал у себя на компе эту прогу.
        В итоге:
        1. широковещалки в сети становилось меньше (знаю, знаю, сейчас оборудование режет его за портом юзера, но всё же)
        2. комп работал быстрее
        3. безопасность лучше
        А если закрыть все порты, то лишите народ торрента. Сейчас и так мало кто пробрасывает порт.
        Пусть лучше юзер сам решает свои проблемы. Если он попросит IPv6, значит и подумать ему заранее как оно будет работать так же нужно.


    1. ivan386
      10.08.2017 14:30

      А на этих портах по IPv6 что нибудь есть? Поскольку это другой протокол программы и драйвера отдельно открывают порт для ipv4 и ipv6. А скорей всего для ipv6 вообще не открывают если специально не настроить.


      1. grumbler66rus
        11.08.2017 11:05

        Если программа поддерживает стек IPv6, порт она биндит. Практически всё ПО, скопилированное со стандартными библиотеками, поддерживает IPv6 даже без специального желания авторов


        1. ivan386
          11.08.2017 13:17

          Естественно. Если в программе прописали открытие порта по ipv6 то она естественно сможет его открыть. А если нет то нет. Даже если ОС и стандартные библиотеки ipv6 поддерживают. Но я про Windows и C++.


  1. nonnenmacher
    09.08.2017 19:29

    Уже 8-й год, как минимум, слышу эти прохладные истории про IPv6. А воз и ныне там.


    1. eov
      09.08.2017 20:30
      +3

      Мы стараемся сдвинуть воз. Надеемся на конструктивное содействие.


    1. ValdikSS
      10.08.2017 00:35

      10% пользователей антизапрета используют IPv6 — не такая и малая цифра.
      3 из 9 российских домашних проводных провайдеров, опрошенных мной, поддерживают IPv6.
      Мобильный оператор T-Mobile в США раздает клиентам (не всем, но многим) доступ только в IPv6 с 2014 года. Доступ в IPv4 осуществляется через протокол 464XLAT.


    1. rogoz
      10.08.2017 15:34

      То, что в России по мнению гугла(и видимо по вашему) 1.16% пользователей IPv6 не значит, что в мире так.


  1. Expelliamus
    09.08.2017 19:29
    +1

    Закрытие портов (всех) лучше оформить как услугу (подключена по умолчанию), чтобы можно было открыть при необходимости.

    Стоит ли ждать абонентам домашнего проводного интернета от МТС такое благо?


    1. eov
      09.08.2017 20:31

      Ответил чуть выше.


  1. Evgenss
    09.08.2017 19:29
    +1

    Подключил, но test-ip6.com при проверке выдает на втором тесте:
    «Внимание! IPv6 работает, но большие пакеты, видимо, теряются. Это даже может выглядеть так, как будто сайт сломан......»
    Итого 1/10 тестов пройдено.


    1. eov
      09.08.2017 20:31
      +1

      Можно скриншот и номер для связи в личку?


      1. Evgenss
        10.08.2017 10:11

        Отправил.


        1. eov
          10.08.2017 23:46

          В итоге, по данному кейсу я склоняюсь к тому, что на телефоне стоит что-то, что мешает прохождению пакета ICMPv6, type 2 (Packet Too Big) от сети. По логам обмена телефона с сетью видно, что в сторону трубки пакеты ушли. Подробное описание вот здесь.


  1. tankistua
    09.08.2017 21:59

    Есть еще одна неучтенная деталь — маршрутизация ipv6 требует больше ресурсов маршрутизатора.


    1. ValdikSS
      10.08.2017 00:36

      Для сетей без белых IP-адресов, с Carrier-grade NAT, ситуация обратная — NAT заметно затратнее маршрутизации IPv6.


      1. eov
        10.08.2017 00:45

        +1
        Да, CGNAT масштаба мобильного оператора — весьма затратная штука. Тут даже дело не столько в количестве белых адресов… Основное отличие мобильного оператора от фиксированного в том, что при сравнимом количестве трафика, мобильный оператор одновременно обслуживает бОльшее количество абонентов (сетевых устройств). Они создают бОльшую нагрузку на NAT (количество одновременных трансляций) и DNS (количество запросов на различные (ключевое слово)) ресурсов.


  1. eov
    09.08.2017 22:05

    Доля трафика IPv6 пока крайне мала. В настоящий момент проблем с этим не вижу.
    Куда бОльшую нагрузку создают технические средства блокировки по спискам РКН.


  1. dmitry_ch
    09.08.2017 23:29

    Вы, наверное, меня не поймете, но после долгих лет общения с сотовыми провайдерами читать текст после слов «необходимо подключить бесплатную услугу» уже не хочется. Прямо аллергия именно на эти слова.

    А новость — отличная. Не знаю, каков ваш опыт, сколько мобильных телефонов у народа на руках со сломанных IPv6-стеком, и каково поведение устройств, если вдруг на вашей стороне IPv6 перестанет работать (как скоро трафик попробует пробраться через IPv4, если вообще попробует), но я очень рад, что всего через 11 лет с момента изобретения IPv6 его начинают более-менее массово внедрять в крупных сетях. Еще бы Билайны с Мегой подтянулись, там, глядишь, и IPv6-адреса на стороне сервисов окажутся более востребованными.

    Но, пожалуйста, как-то поменяйте текст, уж очень глаз режет выражение «услуга IPv6»! Прямо как «услуга воздух для дыхания»!


    1. eov
      09.08.2017 23:57

      Прошу прощение. Я тоже был против такого названия, но, к сожалению, она называется как называется…
      По поводу того, что пока это именно услуга я писал как раз в части того, что если что-то перестанет работать, то услугу можно отключить и вернуть все как было. На самом деле я изначально выступал и по-прежнему выступаю за то, чтобы это не было услугой и включалось бы только в настройках телефона. В этой битве с маркетингом я пока проиграл, но надежду, естественно, не потерял. Просто, как мы все знаем, разные производители устройств и ОС к ним, дают разные возможности "ручной" настройки. Сравните настройки точек доступа в Android и в iOS. Так вот в последней крайне мало вариантов что-то руками "подкрутить", а возможностей со стороны оператора выслать правильные настройки тоже крайне скудны. А во времена, когда большинство телефонов поддерживало настройки "по воздуху", большая часть абонентов не соглашалась получить и применить настройки.


    1. Chupaka
      11.08.2017 00:42

      Всего через 21 год ведь :) Написал и взгрустнул...


  1. BiTHacK
    10.08.2017 00:08

    Быть может я не заметил в статье указания, в каких регионах эта услуга уже доступна?


    1. eov
      10.08.2017 00:16

      Москва, Ярославль, Тверь, Кострома, Калуга, Смоленск, Рязань, Тамбов, Тула, Владимир, Иваново, Липецк, Орел, Курск, Воронеж, Брянск, Белгород.


      1. Stanislavvv
        11.08.2017 10:08

        Когда будет доступна в других городах (интересует Екатеринбург)? И будет ли доступна частным лицам (судя по ссылке — только корпоративные клиенты)?


        1. eov
          11.08.2017 10:38

          Во всех регионах, кроме регионов Дальнего Востока, целевой срок запуска — август (повторюсь, что прошу не сильно "бить" если не чуток задержимся). Вся техника готова (завершаем тесты).
          Дальний Восток начнем делать осенью этого года.


          Услуга будет доступна всем абонентам.


        1. grumbler66rus
          11.08.2017 11:10

          В Е провайдер «Планета» по умолчанию даёт IPv6.

          Привет!


  1. pansa
    10.08.2017 00:17

    > появилась возможность опробовать выход в интернет с использованием IPv6

    Если уж хочется попробовать, то элементарно поднять бесплатный тунель 6in4 от тех же HE или прокинув socks5 на какой-нибудь VPS.
    Да, трафик будет ходить через какой-нибудь Стокгольм (для кого-то это плюс =), зато без подключения бесплатных услуг.
    Хотя нормальный v6 хочется давно и везде, но провайдеры чешутся медленно.


    1. eov
      10.08.2017 00:22
      +1

      Это можно опробовать и через whonix… Мы стараемся сделать "нативный" выход в сеть без дополнительных "приколов".


    1. Envek
      10.08.2017 03:56

      HE давно уже посылают в лес пинать своего провайдера включить IPv6 и новые регистрации не принимают. :sad_trombone:


  1. lolipop
    10.08.2017 00:37

    А можно только ipv6, без ipv4?


    1. eov
      10.08.2017 00:47

      Можно, но бОльшая часть интернет ресурсов будет недоступна. У них просто нет IPv6 адресов и адресоваться к ним без дополнительных приколов будет не просто...


      1. lolipop
        10.08.2017 01:00

        я в курсе ограничиений ipv6, так как это сделать?


        1. eov
          10.08.2017 02:17

          подключенная услуга + IPv6 (не IPv4v6) в настройках APN.


      1. ValdikSS
        10.08.2017 01:56

        Планируете ли вы 464XLAT для Android-устройств? Такие IPv6-only-сети с выходом в IPv4 работают в T-Mobile и SK Telecom.


        1. eov
          10.08.2017 02:18

          не планируем


  1. ValdikSS
    10.08.2017 01:54
    +6

    Если заглянуть чуть глубже, можно сказать, что 3GPP Rel10 описывает технологию DHCPv6 Prefix Delegation (DHCPv6-PD). Сейчас необходимость ее использования в мобильной сети неочевидна. Если есть конкретные предложения — пишите в комментариях или в личку.
    Раздавать пользователям префикс меньше /64, например, /56. RFC 6177 настоятельно рекомендует выдавать от /48 до /56 конечному клиенту.

    МТС продает стационарные LTE-роутеры, что подразумевает использование мобильного интернета в качестве основного канала дома или в офисе. Для полноценного использования, даже домашнего, вполне может потребоваться 3 /64-подсети для корректной настройки: одна для проводного интернета, вторая для гостевой сети Wi-Fi, третья для VPN. Продвинутый пользователь может выделить отдельную /64 в качестве подсети для виртуальных машин, например.
    Даже для раздачи интернета по Wi-Fi с телефона может использоваться отдельная /64.

    Статичный адрес (префикс /64) для мобильных абонентов пока тоже не доступен. Если мы поймем, что это востребовано, сделаем. Тут сложность в том, что абонентов со статическими IP (не важно v4 или v6) нужно «приземлять» в «домашем» регионе. В случае, если мы говорим про APN internet.mts.ru, то «приземление» осуществляется по кротчайшему маршруту (так проще и нам и лучше сервис абонентам) вне зависимости от того где реально находится абонент. Соответственно, мы можем говорить про услуги “Real IP” или корп. APN.
    Посмотрите в сторону Mobile IPv6. Я до конца не разбирался, как он работает, но мне кажется, что он сделан именно для этого, и позволит вам корректно «приземлять» статические подсети, не гоняя трафик в другой регион.

    Пожалуйста, не раздавайте клиентам только одну /64. Вы большие молодцы, что занялись вредрением IPv6 первыми, но хочется, чтобы все было по уму, а не тяп-ляп. Я готов помогать вам советами и тестами, если они вам нужны: у меня есть Android-телефон, на который можно установить почти любую версию ОС (от 2.3.5 до 6.1), есть Blackberry, есть несколько LTE-модемов и роутеров разных производителей.

    Пожалуйста, добавьте пост в хаб IPv6.


    1. eov
      10.08.2017 06:48
      +1

      Услышал, спасибо!
      С mobile ip предвижу проблемы с СОРМом. Подумаем на эту тему.
      Про префикс делегейшн для cpe поже возьму в проработку.


    1. eov
      10.08.2017 12:54

      добавили в хаб IPv6


  1. Envek
    10.08.2017 06:24
    +1

    Вот это я понимаю: конкурентное преимущество одного оператора перед другим.


    P.S> Включайте ещё IPv6 для домашнего интернета и подключайте мой дом. Пожалуйста!


  1. grey_rat
    10.08.2017 09:42

    eov, у нас в Беларуси МТС так же недавно запустил IPv6. Вот обсуждение его и попытка настройки со стороны юзеров http://forum.onliner.by/viewtopic.php?t=4356152&start=34220#p96677100
    Хочу вам перенести некоторые цитаты-вопросы из той темы, если можно

    тестировали ipv6 от мтс и натив в дц, трафик в минск пошел через he немецкий на минск

    Проблема заключается в том, что многие SOHO устройства поддерживают IPv6 для галочки. Шаг влево или вправо — не работает. Да и у самого МТС бывают проблемы в зависимости от области подключения

    если вставить кабель мтс в сетевую карту компа, в свойствах сетевухи отключить ипв4, то никаково ипв6 я не получаю


    P.S Так же у нас есть один Ethernet провайдер, который продаёт пользователям локальные дополнительные IP адреса вида 10… по цене 0,3 $ в месяц.


    1. eov
      10.08.2017 10:13

      Можно номер для связи в личку? Наши Белорусские коллеги свяжутся и помогут.


      1. grey_rat
        10.08.2017 10:26

        Я пока на другом провайдере. Но если можно, попросите их просто зайти в ту ветку обсуждения, раньше иногда они там появлялись и отписывались.


        1. eov
          10.08.2017 10:33

          попросил


          1. grey_rat
            10.08.2017 10:49

            Спасибо


  1. ramax
    10.08.2017 09:56

    Поддержку / СММ бы просветили. Они мне с апреля на слова «на iOS не работает» твердили «проверьте настройки».


    1. eov
      10.08.2017 10:20

      Я не понял первое предложение. Если речь идет про IPv4v6 на iOS, то скажу, что мы работаем с Apple. Поддержка IPv4v6 (и не только) включается так называемым Carrier Bundle, который вшивается в прошивку. Перед тем, как CB появляется в новом релизе ПО, производится его тестирование и оператором и самим Apple. Повторюсь, что мы работаем над этим.


      1. ramax
        10.08.2017 17:23

        Это я прочитал, что вы с Эппл работаете. Поддержка ваших (МТС) абонентов (и соцсетей) не умеет говорит «на iOS услуга Ipv6 сейчас недоступна». Я их с апреля терзал — ничего конкретного мне ответить не могли.


        1. eov
          10.08.2017 17:42

          Надеюсь, все встало на свои места. Я сам использую устройства с iOS и MacOS и, поверьте, лично заинтересован...


  1. CrazyHackGUT
    10.08.2017 10:32

    Когда в Удмуртии можно ждать? Конкретно Ижевск интересует.


    1. eov
      10.08.2017 10:40

      Постараемся запуститься в августе. Не "бейте" сильно если чуток задержимся.


  1. urrasi
    10.08.2017 10:32

    Подключил, с настройками APN IPv4+IPv6 сайт test-ipv6.com работает, показывает 10 из 10.
    Если поставить исключительно IPv6 — сайт даже не открывается. :)


    1. ValdikSS
      10.08.2017 13:18

      Предполагаю, что выдается только IPv4 DNS, и если отключить IPv4, DNS работать не будет.


      1. eov
        10.08.2017 13:38

        Если запрошен IPv6 only, то сеть выдает только IPv6 DNS.
        Выдавать IPv4 DNS абоненту у которого нет IPv4 адреса смысла нет.


      1. urrasi
        10.08.2017 15:42

        нет, выдаются так, какие опции запрашиваются, проверено.
        адрес IPv6 доступен снаружи, проверял запуском веб-сервера.


        1. eov
          10.08.2017 16:15

          Я перед тем как написать предыдущий пост, специально проверил. Вот выдержка из сигнального обмена.
          Адресную часть я подзатер, чтобы не было лишних соблазнов...


          CREATE_SESSION_RESPONSE

          [PGW-S5/S2a/S2b]GTPv2C Tx PDU, from 213.87.xx.xx:2123 to 213.87.xx.xx:30512 (135)
          TEID: 0x81900020, Message type: EGTP_CREATE_SESSION_RESPONSE (0x21)
          Sequence Number: 0x4EA420 (5154336)
          GTP HEADER
          Version number: 2
          TEID flag: Present
          Piggybacking flag: Not present
          Message Length: 0x0083 (131)


          INFORMATION ELEMENTS
          CAUSE:
          Value:
          Cause: EGTP_CAUSE_REQ_ACCEPTED (0x10)
          PCE: 0
          BCE: 0
          CS: 0


              PGW-CONTROL FTEID:
                  Value:
                      Interface: PGW S5/S8-C
                      IPv4 Flag: 1
                      IPv6 Flag: 0
                      Teid: 0x83242121
                      IPV4 Addr: 213.87.xx.xx
          
              PDN ADDRESS ALLOC:
                  Value:
                      PDN Type: IPV6
                      IPV6 Addr: 2a00:1fa0:4680:bbbb:cccc:dddd:eeee:ffff
          
              APN RESTRICTION:
                  Value: 0
          
              AGGREGATE MAX BIT RATE:
                  Value:
                      Uplk AMBR: 314573 kbps
                      Dnlk AMBR: 314573 kbps
          
              PCO:
                  Container id: 0x0003 (IPv6-DNS-Server)
                  Container length: 0x10 (16)
                  Container content:
                       IPv6 DNS Address: 2a02:28:2:3::116
                  Container id: 0x0010 (Link MTU)
                  Container length: 0x02 (2)
                  Container content:
                      Link MTU: 1500
          
              BEARER CONTEXT CREATED:
                  Value:
                      EPS BEARER ID:
                          Value: 5
          
                      CAUSE:
                          Value:
                              Cause: EGTP_CAUSE_REQ_ACCEPTED (0x10)
                              PCE: 0
                              BCE: 0
                              CS: 0
          
                      PGW-DATA FTEID:
                          Value:
                              Interface: PGW S5/S8-U
                              IPv4 Flag: 1
                              IPv6 Flag: 0
                              Teid: 0x814DC1221
                              IPV4 Addr: 213.87.xx.xx
          
                      CHARGING ID:
                          Value: 0x0A5489FE


  1. greenpanic
    10.08.2017 22:44

    Блокировать или не блокировать — слишком категорично.
    Разумно будет блокировать по-умолчанию, чтобы оградить рядовых пользователей, которым это и не нужно, но предоставить возможность убрать эту меру защиты по инициативе пользователя. Если есть, конечно, такая техническая возможность.