Názory k článku
IPv6 NAT – chceme ho?

Otázka je, zda ten domácí NAT vám nevadí proto, že byste veřejné IP adresy opravdu nijak nevyužil, ani kdyby byly doma běžné; nebo zda teď nemáte potřebu to řešit, ale pokud by bylo normální mít doma veřejné IP, využil byste to.

Já se přikláním spíš k druhé variantě, tedy že až bude rozšířené IPv6 a tím pádem veřejné IP adresy, začnou se rozšiřovat služby, že si třeba na dálku spustíte svůj domácí počítač, stáhnete dokument a počítač zase vypnete, nebo si mobilní telefon budete přes internet synchronizovat a ovládat z domácího počítače atd.

Nemůžu si pomoci, já bych NAT přivítal i pro IPv6. Jeho reálné přínosy jsou možná jen drobné, ale pořád to jsou přínosy - a protože mi nevadí jeho nevýhody, znamená pro mě čistý zisk.

To je usmevne. Vas prispevek by sel zkratit do jedne vety. "Mam zkriplenou wifi kartu, proto potrebuju IPv6 nat". Pro IPv6 reseni samozrejme je. Pouzivat nezkriplnej HW.

Až na to, že WiFi klienti se takhle chovají *z principu*, z definice, toto chování je dáno standardem. Paket ve WiFi síti nese MAC adresu "remote endpointu" komunikace, MAC adresu APčka, ale na lokálním konci jedinou MAC adresu klienta (nepočítá se s tím, ze klient WiFi sítě by nemusel být "endpointem" ethernetového rámce). Tento tzv. 3-address mode sice neni jediný možný, možný je i 4-address mode typický pro WDS rezim, ale WDS na klientovi se jaksi nevyskytuje :-) WDS režim kromě toho, že potřebuje v každém paketu 4 MAC adresy, navíc znamená bridging mezi "WDS relacemi", které lze navazovat mezi APčky dynamicky, nebo nějak explicitně správcovat - prostě WDS není věc, kterou byste chtěl na klientu paušálně podporovat... Viděl jsem nějaká APčka s proprietárním firmwarem, která uměla používat 4-address mode i v klientském režimu (bridge na metaliku), ale ta byla nekompatibilní se zbytkem světa...

ja si normalne naklikal bridge ze sitovkou co ma ipv6 a bezi to
pokud ipv6 adresu chcete mit vsude stejneou, tak od toho je pak ipv6 mobility.

tak od toho je pak ipv6 mobility.

Jenže to musí buď podporovat ISP - a kolik z nich bude, aspoň u základních "konzumních" služeb typu ADSL nebo WiFi za 500 Kč / měsíc. Nebo musím mít nějaký svůj router / server, což nic neřeší - ten můžu mít už pro IPv4 a používat nějakou VPN. Viděl jste IPv6 Mobility v provozu, že tak poučujete? Na každý problém existuje technologie, která "je přímo do toho". Velice často ji ale nelze použít z důvodů administrativních, ekonomických, byrokratických apod.

Mám pocit, že správce firemní sítě, který je zodpovědný za její chod stabilitu a bezpečnost se na věc bude dívat trochu odlišně než spráce akademické sítě.
"...navíc jsou uživatelé kreativní a zkoušejí nejrůznější síťové služby" - toto je např. ve fiemní síti téměř vyloučené.

To platí pouze do doby, než si někdo přitáhne do firmy nějaké hodně specializované zařízení za mnoho milionů, které prostě do té sitě připojit musí a používá nějaké obskurní protokoly. Jen tak z fleku mne napadají videokonferenční zařízení, mikroskopy nebo medicínské systémy využívající protokol DICOM.

A je takový problém nechat si od ISP naroutovat do sítě subnet veřejných adres a odchozí provoz do netu z privátní sítě NATovat? Nahodil bych veřejnou tam kde je potřeba a provoz mezi veřejnými a privátními IP se jednoduše routuje. Ale odchozí traffic z privátních subnetů do netu se proNATuje.

Jsem si vědom toho, že se tím eliminuje jistá forma "zabezpečení" privátních subnetů řadových zaměstnanců, ale výhody NATu mi přijdou naprosto zřejmé. Jako příklad uvedu povolení přístupu na zařízení, nebo třeba k určitým službám pouze z určitých IP. Pracuji pro jednoho menšího operátora (provoz do NIXu kolem 500Mbps), takže se s tímhle potýkám velmi často. Tato forma zabezpečení je velmi účinná a když si představím, ža bych měl povolit přístup do našeho dohledového systému z několika stovek IP (z různých subnetů), tak mi běhá mráz po zádech.

To, co popisujete jako výhodu NATu, nemá s NATem vůbec nic společného – popisujete totiž firewall, ne NAT. NATovat odchozí provoz do internetu samozřejmě možné je, ale je to zbytečné, nepřináší to žádné výhody, jen komplikace.

„Mám pocit, že správce firemní sítě, který je zodpovědný za její chod stabilitu a bezpečnost se na věc bude dívat trochu odlišně než spráce akademické sítě.“

Toto se (nejen) v IPv6 řeší firewallem.

Ano, firewallem to jde vyřešit. Hlavní výhoda NATu totiž je, že odděluje topologii vnitřní sítě od té vnější.
Problém s chybějícím NATem totiž začíná v době, kdy máte po celém světě stovky poboček (ono jich tačí i pár jednotek po republice) propojených přes VPN a každá je připojená přes providera s jinou veřejnou částí IP. S IPv4 a NATem to je jednoduché. Celá korporátní síť má lokální adresy třeba 10.* a routery na pobočkách pak ví, že všechno na 10.* mají posílat přes VPN do firemní sítě a všechno ostatní přes NAT (eventuelně proxy) do internetu. Jak se bude tohle řešit bez NATu a možnosti mít uvnitř vlastní soukromé IP? To si budou muset všechny firemní routery vyměňovat všechny adresy všechy firemních poskytovatelů aby věděli co je vnitřní a co vnější prostředí?

Tato věc je v podstatě nezávislá na překladu adres, to jste jenom smíchal dvě věci do jedné.

Nejjednodušší by mně v tomto případě přišlo si rozjet mezi těmi routery nějaký směrovací protokol (v rámci šifrovaného provozu mezi těmi routery). Tento směrovací protokol oznamuje pouze sítě patřící do firemní VPN, zbytek jde po defaultu ven, pokud tedy nechcete všechno směrovat přes jeden centrální prvek, kde to budete filtrovat.

Nebo to uděláte celé staticky, tak jak to děláte teď.

Ta situace se vůbec neliší od současného stavu.

Samozřejmě, není problém to udělat staticky i s IPv6, pokud bude podporovat NAT. Jinak nevím, jak by mohly ty PC komunikovat, když by ve firemní síti měli nějaké privátní adresy, které bych mohl mít třeba ve své domácí sítě. Vnitřní adresy ve firmě máme totiž organizované podle států, poboček a podsítí (10.stát.pobočka/podsíť.stanice). Pokud by totiž byla část IP adresy závislá na poskytovateli, tak potom nevím, kdo by mi přidělil adresu, když vypadne spojení (nyní to dělá DHCP na pobočce a v rámci pobočky můžu komunikovat i když připojení ven nefunguje), jak by se řešila změna poskytovatele, a jak by to fungovalo na vytíženějších VPN spojích, kde je propojení přes několik nezávislých poskytovatelů pro redundantní spojení?
Samozřejmě, tohle se dá řešit pomocí proxy, ale to je dobré tak maximálně na HTTP, ale ne na vzdálenou správu serverů u zákazníků, či velké datové přenosy.

Místo privátních IP adres jednoduše použijete veřejné. IP adresy v síti vám pořád bude přidělovat váš DHCP server, při změně poskytovatele jenom změníte prefix. Prostě pořád stejně jako dnes, akorát vynecháte ten NAT.

Věci, které popisujete nezávisí na NATu.

Ta věc s redundantními cestami jde opět řešit pomocí směrovacího protokolu běžícího mezi VPN uzly - stejně jako by se to řešilo v současné situaci.

Můžete to řešit úplně stejně, jako to teď řešíte s IPv4. To, co jste popsal, s NATem nijak nesouvisí – máte vnitřní síť s VPN, a vedle toho máte shodou okolností NAT. Když tam NAT mít nebudete, bude to fungovat dál pořád stejně.

No, podle mne to s NATem souvisí s tím, že ve firemní síti nyní používáme privátní IP adresy jejichž síťová část je přidělovaná podle regionů (států a poboček) a ne podle toho, kým jsme připojeni. Takhle víme podle IP, kde ty počítače jsou, a dá se jednoduše filtrovat kdo a kam může. Navíc se můžeme vždy spolehnout že IP adresy 10.* jsou 100% "naše".

Ano, toto firewallem to jde vyřešit. Ne však všechno.
Hlavní výhoda NATu ale je, že odděluje topologii vnitřní sítě od té vnější.
Problém s chybějícím NATem totiž začíná v době, kdy máte po celém světě stovky poboček (ono jich tačí i pár jednotek po republice) propojených přes VPN a každá je připojená přes providera s jinou veřejnou částí IP. S IPv4 a NATem to je jednoduché. Celá korporátní síť má lokální adresy třeba 10.* a routery na pobočkách pak ví, že všechno na 10.* mají posílat přes VPN do firemní sítě a všechno ostatní přes NAT (eventuelně proxy) do internetu. Jak se bude tohle řešit bez NATu a možnosti mít uvnitř vlastní soukromé IP? To si budou muset všechny firemní routery vyměňovat všechny adresy všechy firemních poskytovatelů aby věděli co je vnitřní a co vnější śíť?

To je falešný pocit bezpečí, zjistit a nebo odhadnout vnitřní IP adresy není zdaleka nemožné. NAT je peklo, zejména v době rozvoje služeb, které fungují P2P a to nemám na mysli "stahovače", ale např. věci jako VoIP. Ano, ono VoIP "funguje" i s NATem, ale často je k tomu potřeba server někde "venku" zatímco bez NATu mohou jít pakety pěkně nejkratší cestou, což třeba SIP umí zařídit (když má možnost).
Zkrátka NAT je z nouze ctnost řešení a není to řešení bezpečnostní - samotný firewall toto řeší lépe než samotný NAT (viz source routing útok).
Kromě toho při zakrytí rozsáhlejší sítě NATem vznikají další problémy: omezený počet portů. Je sice možné použít více vnějších IP adres, ale tím se vše zase jen zbytečně komplikuje.
Shrnuto: už aby by byl NAT minulostí.
Nebo jinak: už aby nutnost použití NATu byla minulostí, mám tím na mysli to, že poskytovatelé připojení dávají neveřejnou adresu, to je skoro zločin ;-)

A až bude mít každé PC, televize, pracovní stanice, notebook, telefon a kdoví co ještě veřejnou IP, má malware a státní šmírování konečnou technologickou zelenou. A šifrování? Tadyhle ten moc šifruje, vlítnem na něj. Prozradíš co to bylo? Poskytneš klíč? Ne? Jsi terorista (pedofil, nacista, doplňte si...) a půjdeš do želez.

IPv6 by mělo šifrovat standardně, takže "tady se moc šifruje" je mimo mísu. V podstatě by mělo být "tady se nějak málo šifruje, vlítneme tam"

"Šifrovat standartně" znamená co?

šifrovat standarTně nevím. Šifrovat standarDně je něco, co by IPv6 mělo podporovat jako svou nedílnou součást pomocí IPSec. Jsem přesvědčen že časem by se to mělo stát standardním řešením, spolu s tím, jak zavádíme DNSsec a podobné technologie. (tedy pokud si to někdo nebude komplikovat NATem)

Sorry za chybu, snad se toho tolik nestalo. IPsecu prostě nevěřím, četl jsem si o něm, a podle toho, co jsem pochopil, tak akorát sniffing stěžuje, ne zcela znemožňuje (pravda, utopie, nicméně šifrování např. pomocí X.509 a AES2 s důvěryhodnou nezávislou CA, tak jak je to na vyšší úrovni, mně pořád příjde bezpečnější, spoléhat se čistě na ipsec mi přijde naivní, ale jsem jenom lajk, nevěřím ničemu, o čem kdosi prohlásí "standardně je to v pořádku").A implementaci ipsecu Microsoftem nevěřím už vůbec.

IPSec samozřejmě umožňuje využívat všech možností certifikačních autorit a podobných věcí, včetně výměny klíčů a různých šifrovacích algoritmů. IPSec je standardní řešení už dnes a nevím o tom, že by existovalo něco zásadně bezpečnějšího.

„A až bude mít každé PC, televize, pracovní stanice, notebook, telefon a kdoví co ještě veřejnou IP, má malware a státní šmírování konečnou technologickou zelenou.“

A o firewallu, případně privacy extension jsi někdy slyšel?

„A šifrování? Tadyhle ten moc šifruje, vlítnem na něj. Prozradíš co to bylo? Poskytneš klíč? Ne? Jsi terorista (pedofil, nacista, doplňte si...) a půjdeš do želez.“

Jak se tato možnost liší od přenášení šifrovaných dat přes IPv4?

NAT může být klidně 1:1, takže topologii sítě zjistíte a dostanete se na každý počítač. Je asi jasné, že reálný NAT se pak nachází někde na škále od tohoto zcela otevřeného NATu 1:1 až po NAT, za kterým nelze další počítače žádným způsobem zjistit. Problém je v tom, že málokdo ví, jak je na tom jeho NAT doopravdy, myslí si, že je za NATem schovaný, a přitom to vůbec nemusí být pravda. Ostatně stačí si uvědomit, že Skype a další se dokáží úspěšně protunelovat kdejakým NATem.

Ó velký mágu, NATem 1:1 RFC myslí mapování jedné dané veřejné adresy portově 1:1 na jeden daný vnitřní počítač, tedy port 25 na veřejnou jde na 25 na onu vnitřní, to samé s 26 a 27 apod. Tedy blábol o přístupu natem 1:1 na každé vnitřní PC zůstává blábolem. Mimochodem ten plně hlídaný NAT (FCNAT ) realizuje již dnes už naprostá většina i malých routříků. Skype se protuneluje NATem proto,že ( díky běžně nastaveným výchozím pravidlům firewallu zevnitř ven ano, zvenku dovnitř ne , postaveným v pořadí ZA NAT ) je server Skype osloven ZEVNITŘ. Doporučuji prostudovat základy NATu.

Představte si NAT 1:1 pro každou IP adresu ve vnitřní síti, která se mapuje na právě jednu veřejnou IP adresu, a zároveň ona veřejná IP adresa se mapuje právě na jednu adresu ve vnitřní síti. Pak máte NAT a zároveň přístupné každé jednotlivé PC ve vnitřní síti.

To, že musí být komunikace zahájena zevnitř, není zrovna silná podmínka, protože z běžné sítě se zevnitř navazuje nějaká komunikace neustále a není velký problém někoho donutit, aby tu komunikaci zahájil.

Nevím z jaké terminologie vycházíte, ale NAT je NETWORK address translation. Vidíte tam někde zmínku o portu? To, co vy říkáte je ve standardní terminologii spíš PAT.

Ale jo. Neznám českou terminologii - takže asi vycházím z vyčtené terminologie v manuálech. NATem myslím to, co se anglicky označuje za port NAT ( občas jsem viděl termín SUA, tedy single user account ) tedy že mnoho vnitřních adres je maskováno za jednu veřejnou a spojení se rozlišují tabulkou portů, kterou si vede daný NAT ( zdrojový port je nahrazován a podle něj se pak také hlídá, komu zpětně patří. Stupeň kontroly souvislosti vysílaných a následně přijímaných paketů určuje kvalitu NATu. Nahrazují se pochopitelně např. při mapování i cílové porty atd. )

Pro pana Jirsáka - jo, jasně. Ale pak potřebuji tolik veřejných adres, co PC, ten port NAT ztrácí význam, víceméně jsme ho degradovali na jeden záznam v tabulce.
Co se týče podmínek odeslání startu komunikace - no, vidím to pořád jako lepší, než nic. V každém případě to má loupežník složitější.

Možná že někdo nemá omezený pohled a dívá se na síťové adresy jako celek, nejen na adresy L3.

Porty jsou úplně běžnou součástí adresace síťových služeb.

Drobný problém je v tom, že tím směšujete dvě věci dohromady. NAT začínal jako technologie výrazně starší, když pouze překládal adresy 1:1, např. z důvodů přechodu uživatele k jinému poskytovateli (a uživatel současně neměl PI adresy) a nechtělo se mu přečíslovávat všechny počítače v síti.

PAT se objevilo později a jedná se imho o úplně jinou technologii. Při klasickém NAT není potřeba udržovat žádné tabulky s přemapovanými porty, protože NAT byl staticky určený (plus případně connection tracking).

Myslím že z tohoto důvodu není vhodné tyto dva termity slučovat do jednoho.

Ve výčtu výhod NATu chybí jedna z nejdůležitějších - NAT výrazně zjednodušuje správu připojených domácností a SOHO firem pro poskytovatele, protože se nemusí starat o vnitřní strukturu těchto sítí.

Proč by se měl poskytovatel starat o vnitřní strukturu sítě? On připojí jen router a směruje na něj příslušný rozsah IP adres.

A co je poskytovateli do vnitřní struktury sítě zákazníka? Prostě mu akorát staticky naroutuje správný rozsah a zbytek nemusí řešit.

to je sice možné, ale je to z bezpečnostního i provozního hlediska dost blbost.

Z pohledu ISP a IP adres je ovšem úplně jedno, zda je tam switch nebo router a jaká je topologie vnitřní sítě. ISP prostě přiděluje IP adresy z daného rozsahu, a o víc se nestará. Pokud to zákazníkovi vyhovuje, nic nemusí řešit, pokud chce řešit nějakou vnitřní strukturu sítě, prostě se vykašle na adresy přidělované ISP a přidělený rozsah si namapuje podle svého uvážení.

na IP V4 není NAT ( tedy pochopitelně Port NAT, tedy NAPT, míněno ve verzi Full Cone NAT - tedy plně hlídaný NAT ) vůbec špatná věc. Jednak mi to přináší výrazně vyšší zabezpečení - byť to není pochopitelně dokonalé, ale nějaké zabezpečení to je. Jednak mi to umožňuje - jak tu padlo - nezávislé adresování vnitřní sítě a to i v rozsahu internetových adres. Pak mi to velmi zjednodušuje práci s více linkami od více providerů. V malém prostředí ( myslím SMB segment, který je ale mejmasivnější - ( síť TU Liberec asi nepředstavuje masovou záležitost, že ? ) mi NAT nijak nepřekáží v publikování běžných prostředků do internetu - běžně ( denní chleba ) tedy mailservery, webservery, vzdálené přístupy a kamery. Nevidím v tom problém, naopak vzhledm k možnosti různého mapování více veřejných adres a různých provázaných vnitřně/vnějších smyček přes ně jdou dělat zajímavé kousky.

Ten Vámi prezentovaný - z mého pohledu extrémně primitivní - pohled na IPV6 totiž předpokládá, že mám jediného providera ( to nemám ani doma - normální člověk, jehož živnost je přímo závislá na konektivitě má i domů nejméně dvě různé linky, běžně na nich visí i doma dohledové kamery a různá ovládání, o malé firmě ani nemluvím ) jediné adresování a jednoduchý model routingu. Ani jedna z uvedených podmínek není splněna ani u mne doma, ani ve většině mnou spravovaných firem.
Další samostatnou kapitolou je obrana proti odposlechu ( jak konkurenčnímu, tak od "Velkého bratra" a určení koncové stanice a osoby. Tady NAT koná a konal a bude konat dokonalé služby.

Obecně na mne celkově - teď nejenom o NATu - působí návrh IPV6 jako megalomanský konstrukt, zaplacený ( Velkým bratrem ) za účelem zjednodušení dohledu provozu. Do tohoto obrazu mi zapadá i - až dementně legrační - snaha o naprostou nekompatibilitu IPV4/IPV6 a návrh omezených přechodů mezi těmito světy pomocí placených můstků u providerů ( zdravím VB u Telefonicy s návrhem výhradně IPV6 linek a routingu přes státně/Telefonické můstky )

V čem je problém, když máte víc poskytovatelů a nemáte NAT?

Jinak jestli si pletete NAT s firewallem, bezpečnosti vašich sítí to rozhodně nepomůže…

Ó velký mágu - v principu samozřejmě v ničem, pokud mohu mít své vnitřní adresy naroutované na dané vnější. Ale mně ze studia RFC a reálných dokumentů vyplynulo, že ty vnitřní bych měl dostat od poskytovatele a že se s tím víceméně automaticky počítá ( malé firmy budou "osvobozeny" od nunosti mít své DHCP a DNS - je častá formulace ), což je ta logika, na kterou si stěžuji a co pak zabraňuje spolupráci s multilinkem. Pokud si ale zvolím svůj vnitřní IPV6 rozsah ( tedy návazně rozjedu svoje IPV6 služby DHCP a DNS, protože psát to ručně nebude ono ), nevidím důvod, proč bych na to neměl aplikovat NAT, který mi přinese další vrstvičku zabezpečení ( no, abychom se nehádali o ten pojem, tak tato technologie přidělá potenciálnímu útočníkovi i zvědavci další problém při přístupu zvenku do mé sítě, což je to, co chci.)

Firewall a NAT rozlišuji již řadu let poměrně přesně, ale tyto technologie jsou s reálném použití natolik provázané ( resp bez vzájemného pečlivého nastavení není výsledek dobrý ). ( No, upřímně - na reálných routerech to ani spojovat nejde, nastavovací menu i příkazy jsou striktně odělené, takže i laik velmi rychle chápe. Ale Váš nápad o nerozlišování se mi líbí, je takový "profesorský", hi )

Mimochodem - tento pocit má zjevně i několik vývojářů,takže mám teď v ruce routřík, kde je jeden samostatný firewall ( packet filter ) aplikován rovnou do pravidel NATu a jiný "normální firewall" se nastavuje a aplikuje zvlášť. Díval jsem se na to napřed docela kysele, ale má to své praktické kouzlo, hi .

Takže abych to shrnul – když máte dva poskytovatele, od obou rozsah IPv6 adres, žádný NAT a ve vnitřní síti používáte rovnou ty přidělené rozsahy veřejných adres, není s tím žádný problém a je to to nejjednodušší použití. Ale je pravda, že se to dá NATem komplikovat.

Na tu mobilitu bych moc nespoléhal, je to z principu od základu kočkopes (rozumí se potažmo nakonec i z provozního hlediska) a nevěřím, že to bude jednoho dne reálně fungovat (kromě vybraných kombinací dvou konkrétních providerů, kteří se na tom mezi sebou domluví). Vidíte někdo na obzoru "IPv6 mobile roaming pool" na způsob dněšního NICu/NIXu?

tak staci aby to podporoval vas domaci router a bude vam to fungovat. Nic vic netreba. Zarizeni se jednoduse pripoji do libovolne dostupne site a ohlasi svemu domacimu routeru kde zrovna je a jakou ma lokalni IP.

Na to nepotřebuju IPv6 Mobility, takhle provozuju už 10 let VPN. Pravda, že s IPv6 je to integrováno přimo v IP stacku, takže to bude možná úspornější a celkově hezčí.

Je tu několik zásadních ALE: 1) musím vůbec nějaký domácí router mít, musí tuto technologii podporovat, a musí být pořád zapnutý. 2) i když splním všechno předchozí, tak si představte můj domácí router na ADSL s uploadem 200 kb/s, poteče-li přes něj veškerý provoz, to se budu mít krásně. Teoreticky by mohl ADSL router signalizovat mému ISP, aby to routoval přímo, a data netekla přes ADSL tam a zpět. Bude-li něco takového technicky možné, nechá si za to ISP řádně zaplatit, to si buďte jisti.

Ve firemním prostředí může být situace trochu jiná (vlastní slušná konektivita a HW pro Mobility GW), ale oni už dávno používají Cisco VPN, což poskytuje ještě nejaké výhody navrch, nebo jiné obdobné řešení.

Závěr je, že IPv6 v oblasti mobility nic přelomového nepřináší. Nebo ne?

Domácí agent může uzlu, který se s tebou snaží komunikovat, signalizovat „redirect“, že jsi dostupný přímo na té a té adrese a pokud tuto signalizaci ten uzel podporuje, tak s tebou potom bude komunikovat přímo.

Jestli to takhle fakt funguje tak si sypu popel na hlavu, moje neznalost. Pokud cílem toho redirectu je koncový uzel navazjící spojení, pak to je dobré, nezávisí to nijak na infrastruktuře ISP (leda by to blokoval). Mám ale strach, jak s takovou "redirect" zprávou budou zacházet výchozí konfigurace různých firewallů. Budu to muset prozkoumat, hlavně s výchozím nastavením FW na Windows 7. I když kdyby to hromadně podporovaly alespoň servery, byl by to úspěch. Nějak mi to ale připomíná IPv4 ICMP redirect...

Je mi jasné, že buď s redirectem počítá přímo koncový uzel (ideální stav), nebo to zpracuje nějaký router "cestou" (to nepředpokládám, že by mohlo být standardní chování), a nebo v nejhorším to bude všechno téct přes toho agenta (a to se bojím, že bude obvyklé chování).

A ještě něco: "IP Mobility Support for IPv4" tu máme od roku 2002, RFC3344. Nějak se to neuchytilo. Asi kvlůli všudypřítomnému NATu? OK.

Jak si ale Mobile IPv6 poradí s různými firewally? To je totiž taky část problému, kterou by to podle mě mělo řešit. Aby bylo "kouzlo" Mobile IP pro mě úplné, mělo by to fungovat v hotelu na WiFi, ve škola na Eduroamu, v cizí firmě, kde mi nechají připojit notebook. Je obvyklé, že na takových místech firewall blokuje příchozí spojení, případně i odchozí na určité porty (SMTP atd.). Poradí si s tím IPv6 Mobile (jako že ta omezení umí obejít)? A bude to pořád fungovat pomocí těch "redirect" zpráv? Nebude náhodou Mobile IP to první, co správci podobných sítí zablokují? Tohle ještě není otestováno in-the-wild, ale vidím tam mnoho prostoru pro různé podvody, útoky, potíže s diagnostikou sítě atd. Nebo je to vše vyřešeno a reálně otestováno?

a ve vnitřní síti používáte rovnou ty přidělené rozsahy veřejných adres

Takže všechna zařízení v síti budou mít 2 IPv6 adresy a 2 výchozí brány (s nějakou prioritou), vlastně ideálně ještě třetí "interní" IPv6 adresu a bránu + statické routy pro tuhle interná síť (ale ty jde myslím propagovat v rámcí RA), aby se při přepnutí konektivity nepřerušila komunikace uvnitř sítě.

Ona to takhle napsat jde hrozně snadno. Ale máte to tak někde v produkčním prostředí v provozu, že tak poučujete? Jak máte v síti třeba další 2 interní routery, musí se na ně nějak šířit informace o přeroutování (resp. aby přestaly propagoval bránu v rozsahu nefunkčního ISP) - je na to nějaký standardní protokol? Aspoň v linuxu?

Nemůžu si pomoct, ale celé tohle je na konfiguraci a údržbu řádově složitější než jedna "privání" IPv4 adresa na stroj v LAN + na edge routeru NAT na zrovna aktivního ISP, nebo klidně load-balancing podle hashe srcIP+dstIP+... přes 5 různých obyčejných připojení (třeba v Mikrotiku je konfigurace této funkcionality na pár minut, a funguje to dobře).

Čistá řešení naráží na administrativní překážky - třeba že ISP musí podporovat něco "navíc", co není součástí základních levných služeb, nebo musí dokonce něco individuálně nastavit na své straně. Už dnes není "žádný" problém mít plně redundantní konektivitu krásně řešenou přes BGP, ale nejde to s jedním ADSL přípojením za 500 Kč a jedním třeba optickým za obdobnou cenu.

Stačí 2 IPv6 adresy, přerušení konektivity nemá na vnitřní síť vliv. Protokoly na šíření routovacích informací samozřejmě existují a používají se i v IPv4. Na konfiguraci toho moc složitého nevidím, rozhodně je to jednodušší, než udržovat spoustu výjimek v NATu, řešit to, že servery mají zevnitř sítě jiné adresy než z venku atd. I kdybyste to nakonec chtěl řešit NATem, pořád bude mnohem jednodušší na bráně jenom přepsat prefix IPv6 adresy a přepočítat kontrolní součet, než udržovat tabulku spojení, pokoušet se vysledovat spojení v UDP, hlídat rozsahy portů atd.

Jde přes RA nebo jiným standardním zpsobem (který umí všichni klienti implementujícím minimální nutnou IPv6 fukcionalitu) říct "a od teď bude default gw z té druhé sítě než dosud, ale interní prefix té první sítě směruj na gw pořád". Bez toho aby to trvalo X minut? Pokud ano, tak uznávám, že se pletu.

Jinak ten uvažovaný NAT nemusí být 1:N, ale 1:1 tj. každá jedna "interní" adresa se může mapovat na samostatnou "externí".

Jinak ten uvažovaný NAT nemusí být 1:N, ale 1:1 tj. každá jedna "interní" adresa se může mapovat na samostatnou "externí".

Ano, to je myslím dobrý začátek. Pak se jednoho dne někdo zeptá: „Proč tam vlastně máme ten NAT? Není to k ničemu dobré a jenom jsou s tím problémy.“ A problém s NATem bude vyřešen…

„bez vzájemného pečlivého nastavení není výsledek dobrý“

Jak konkrétně se liší NAT a zakázání navazování TCP spojení zevnitř od zakázání navazování TCP spojení zevnitř?

„Další samostatnou kapitolou je obrana proti odposlechu ( jak konkurenčnímu, tak od "Velkého bratra" a určení koncové stanice a osoby. Tady NAT koná a konal a bude konat dokonalé služby. “

Tak to tedy nechápu, jak může NAT chránit proti odposlechu. Můžete to rozvést?

Jinak určení koncové stanice a osoby podle IP adresy - privacy extension.

„Do tohoto obrazu mi zapadá i - až dementně legrační - snaha o naprostou nekompatibilitu IPV4/IPV6“

Zvláštní je, že jsem ještě nikde nečetl žádný návrh, jak to udělat kompatibilně.

„zdravím VB u Telefonicy s návrhem výhradně IPV6 linek a routingu přes státně/Telefonické můstky“

ISP může směrovat přes Ministerstvo už teď, je úplně jedno, jestli jde o IPv4 nebo IPv6.

1. Firemne prostredie - ako sa tu uz spominalo, aj po stranke pridavku k bezpecnosti (uzavretost siete pred okolim, nikoho vonku nema co zaujimat, kolko a akych PC je v mojej sieti a kto konkretne kam konkretne chodi) aj po stranke praktickej (presuvanie podsieti, zmena providera a podobne).

2. Domaca siet - ja osobne som rad, ze mam DHCPkom nahodne pridelovanu IPcku od providera, takze moje paranoidne ja nenechava po sebe na kazdom serveri zaznamy s tou istou klientskou IPckou. Rovnako som rad, ze ani len moj provider nevie, kolko mam doma interneteniaschopnych zariadeni (PC, NB, mobily, cierne hracie skrinky...), kedy ktore z nich zapinam a podobne....

NAT nez firewalu nema smysl, ale jak bez NATu udelate aby nebylo poznat kdy je ktere zarizeni ve vnitrni siti zapnute?

IPv6 má tzv. privacy extensions a komunikující zařízení si ty adresy mění rychlej než ponožky, takže jediné co poznáte je to, že zevnitř něco komunikuje, ale to je asi tak všechno.

Ano, ale to ve vnitrni siti nelze pouzit! Proste proto, ze pak je daleko vetsi problem nalezt, kdo uvnitr zabezpecene site dela co by nemel. Pozadavek je mit co nejvyssi kontrolu ve vnitrni siti a zaroven co nejmene vykecat ven. S IPv^ bez NAT muzet mit jedno nebo druhe, ale ne oboji.

Na to stačí logovat změny ND cache - pak se to dá dohledat z MAC adresy.

Vdaka, aspon som to nemusel pisat ja. Skratka a dobre, kopec uplne zbytocnej roboty navyse. Nehladiac na to, ze prave z tychto dovodov ma kopec firiem sice DHCP, ale s pevne pridelovanymi adresami per MAC.

Zajímalo by mne třeba, jak s NATem zjistíte, který počítač ve vaší vnitřní síti šíří viry, když vám přijde hlášení od postiženého nebo nějakého firemního bezpečnostního týmu.

Vacsinou zavireny PC robi na sieti paseku, ktoru si vsimne nejake IPS/IDS a upozorni, ktora IP robi neplechu. (teda podla mojej osobnej skusenosti vacsinou lezie von na SMTP alebo botacke adresy a to uz upozorni rovno firewall) Co mi v pripade velmi castej zmeny IP klienta vobec nepomoze.

Takže budu mít ve své domácí síti ještě IPS/IDS?

Častá změna IP adresy přece není problém, pokud dostanu hlášení s přesným časem (a nakonec ani nemusím s přesným časem, protože dvě zařízení se stejnou adresou se patrně v síti neobjeví)

Asi mate velky prebytok casu v praci. ja napriklad tolko casu nemam, aby som kvoli sledovaniu podozrivej prevadzky na sieti este prehladaval tabulky zmien ipciek. ak zistim, ze sa z 500 roznych ipciek posielaju von emaily a bude mi trvat 15 minut, kym zistim, ze ide o to iste PC, len sa mu medzitym 499x zmenila IP adresa, tak si asi nasadim bryle a modre sluchatka....

Kdežto s NAT to nezjistíte vůbec a vykoledujete si pravidlo na firewallu. Pro všechny počítače ve vaší síti.

Tam bude nejake hlboke nedorozumenie. Vacsina dnesnych implementacii NAT preklada adresy na VYSTUPNEJ strane brany. Takze IP adresy vsetkych klientov su povodne.

Tím jsem měl na mysli vaši síť za NATem a blokující firewall na straně serveru, kam chcete přistupovat.

logujeme, co treba. napriklad outgoing smtp urcite. uz sme na tom odchytili par zavirenych nb.

Rovnako som rad, ze ani len moj provider nevie, kolko mam doma interneteniaschopnych zariadeni (PC, NB, mobily, cierne hracie skrinky...), kedy ktore z nich zapinam a podobne.... Hm, a bez NATu je v tom snad nějaký rozdíl? Máte-li tam firewall, nedozví se to provider ani potom. A naopak -- i teď s NATem a IPv4 není problém sledováním provozu zjistit že k té vaší jediné veřejné IP adrese evidentně není připojení jen jediné zařízení ... Pořád to samý dokola a dokola -- "my máme NAT, my jsme v bezpečí. Ach jo :/

Jenomze tady nejde o to nalhavat providerovy ze mate pripojeny jen jeden pocitac. Tady jde o to ze mate ve vnitrni siti zarizeni kteres se pripojuje ven a nechcete vytrubovat kazdemu, kdy je vas napriklad mobil doma = vy jste doma. To bez NATu neudelate, firewal nestaci.

To nechápu. Jak provider pozná, že se jedná o telefon a ne o pračku s připojením k internetu?

nepozna. Ale pozna, ze nejaka IP ma nejaky pravidelny rezim.

Jaká IP? Ta s privacy extensions?

To je uplne skvela hromada harampadia a debilnych workeroundov navyse len kvoli tomu, ze aj designerom IPv6 je uplne jasne, ake prinosy NAT ma, len ich treba niecim nahradit nasilu s vynechanim samotneho NAT.

Privacy extensions jsou právě celkem nezbytné, pokud chcete zachovat anonymitu počítače i v jiných sítích.

Já žádné výhody NAT nevidím, ale možná to bude tím, že nejsem designerem IPv6.

To je prave omyl, pretoze ked ste sucastou akejkolvek (aj kvazi-virtualnej) siete, vzdy ostatne pocitace, ktore s vami komunikuju nakoniec musia byt stavovo spojeni. Tusite, ako napriklad chcete kulturnym sposobom (t.j. bez stahovania 1000000 malych kuskov + neskutocna rezia okolo toho) stahovat instalacky debianu na DVD, ak chcete pritom kazdu chvilu menit IPcku?

Ono to funguje tak, že ty adresy se mění postupně s nějakým překryvem, přičemž preferovaná pro nové spojení je ta nově vytvořená. Časem ty staré adresy mizí.

Tak tomu mobilu přiřadí váš router pokaždé jinou IP adresu z vašeho rozsahu. Stejně to váš ISP daleko snáz pozná podle typu komunikace, pokud by tedy neměl na práci nic jiného, než sledovat, jestli je váš mobil už doma nebo ještě ne.

NAT je len pridavok k bezpecnosti, sice maly, ale nie zanedbatelny. Firewall nemaskuje rozne IP, ktore pristupuju z mojej siete von, to robi prave NAT. Pokial teda nemate pod pojmom "firewall" na mysli tu ciernu krabicku, ktora nepotrebuje NAT, len "riesi pristup" na internet (pravidla, preklad adries, zmeny TTL a okien kvoli stazeniu identifikacie OS a podobne.) :-)
Ako chcete z vonka zistit, ze dnu evidentne je pripojenych viac PC napriklad s WinXP? :-)

Asi záleží na typu provozu, jde třeba odchytávat hlavičky HTTP a tam v případě jednoho počítače bývá obvykle jedna identifikace user agenta.

Nuz neviem. Moja aktualna vzorka:

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.2.11) Gecko/20101012 Firefox/3.6.11 (.NET CLR 3.5.30729)


Z kazdeho PC, kde je rovnaky OS + browser a extensions (co je vo firme bezne) ide to iste v uvedenom headeri.

A bavíme se teď o firmě, nebo o domácnosti?

Vy znáte providera, který by omezoval připojení pouze na jeden fyzický počítač?

1. na slovensku sa taki najdu (neuveritelne, vsak?), kedysi to robilo konkretne UPC - preto som ich obchadzal z dialky, robi sa to aj teraz
2. a bavime sa predsa aj o tom, ze NAT dokaze pohodlne skryt topologiu domacej/firemnej siete. jednducho viem na urovni PC (instalacia rovnakych OS a vybavenia) a firewallu zabezpecit, aby sa tvarili totozne, takze ak budu maskovane na jednu IP, je z vonka sakra problem rozlisit, co vnutri siete je.

jednducho viem na urovni PC (instalacia rovnakych OS a vybavenia) a firewallu zabezpecit, aby sa tvarili totozne, takze ak budu maskovane na jednu IP, je z vonka sakra problem rozlisit, co vnutri siete je.

To je velmi naivní představa.

Mozete ju prosim trocha odnaivnit?

Můžete sledovat třeba HTTP komunikaci nebo e-maily, kromě přímé analýzy hlaviček (cookies, jména a hesla) je pak můžete vyhodnocovat statisticky a podle toho od sebe odlišit jednotlivé uživatele podle vzorců chování.

OK, to uz je skor socialna analyza, ktora ale neposkytne exaktne data. Napriklad od nas z firmy si maily von nepozera nikto. Nemoze. Jedine cez HTTP(S) na svoje sukromne konta. Browsery rovnake, OS rovnake. Pripadny snifovac sice ma data, ale vacsina ludi ma aj tak konta typu bubulak99@seznam.cz a podobne, takze je problem zistit aj to, ide vobec o chlapa alebo zenu. Dalej ludia mozu mat adries viacero, takze odchytenie toho, ze si dakto cita maily seznam.cz pre adresu bubulak99@seznam.cz a bubulak98@seznam.cz moze znamenat aj dva rozne PC, alebo jen jedneho cloveka s 2 kontami. Ak to dakomu za to stoji, tak si moze s partiou ludi urobit za tyzden-dva daku analyzu aj s odhadmi (otazne, ako presnymi). Ale je to neporovnetelne s IPv6, kde ma celu mapu internej siete zadarmo rovno na papieri do 60 minut po tom, ako pusti na daktorom vacsom spravodajskom serveri, kam vacsina ludi v kazdej firme hned z rana zabludi.
Takze ak IPv6 bez NAT, tak potom povinne proxy. A napriamo von nic. A zasa mame v haji vsetky tie slavne "vyhody" IPv6.

Ale jistě, pokud chce někdo mít velmi restriktivní firewall a přístup ven jen přes proxy, v tom mu přece IPv6 nijak nebrání. podstatné je to, že když bude chtít jeden či více počítačů zpřístupnit z internetu, udělá to snadno.

Na tu mapu sítě vytvořenou ze zpravodajského serveru úplně stačí JavaScript a cookies, a NAT vám v tom nijak nepomůže.

Minimalne na ITcku u nas vacsina ludi pouziva NoScript a ma zakazane cookies + dake tie haluze proti flash cookies. Povolujeme si to akurat pri internetbankingu a podobnych veciach.

Ako som uz pisal pred chvilou. Netvrdim, ze to nejde vobec aspon ako tak odhadnut, aku asi mame velku siet a podobne. Ale pristup von bez NAT poskytne kazdemu s minimalnymi nakladmi uplne presnu mapu siete. A tie naklady byvaju velmi podstatne pri rozhodovani, ci sa o mna zacne dakto blizsie zaujimat.

Bez NATu poskytnete maximálně seznam aktivních IP adres, žádnou mapu. K čemu je takový seznam někomu dobrý?

„Dalej ludia mozu mat adries viacero, takze odchytenie toho, ze si dakto cita maily seznam.cz pre adresu bubulak99@seznam.cz a bubulak98@seznam.cz moze znamenat aj dva rozne PC, alebo jen jedneho cloveka s 2 kontami.“

Jako že třeba jeden člověk používá dvě konta najednou ze dvou instancí prohlížeče a stíhá v tom webmailu klikat taky najednou, že jo.

Samozrejme. Nie som samovrah browsovat bez noscriptu.

Jak bez NATu vyřešit restrikci providera na 1 MAC adresu (jinak řečeno 1 fyzické zařízení)? No IPv6 bez NATu to určitě neřeší. Z mého pohledu BFU je nejjednodušším řešením, koupě routeru, který se připojí na přípojku od providera. Sám se nakonfiguruje a za router si pak BFU připojuje kdy chce, co chce a kolik se mu zachce. Žádné další problémy s přidělováním adres, registrací nějakého abstraktního a pro BFU nepochopitelného /48 prefixu ( Co to je /48 prefix? Kolik toho musí BFU nastudovat, i když ho to vůbec nezajímá, protože je to třeba zedník...).

A vy jste ten zedník? Usuzuju tak podle vašich znalostí. V tom případě je vhodné použít služeb poskytovatele a nechat si to profesionálně nainstalovat.

To stojí peníze (za více zařízení -> více peněz), za instalaci peníze...
Přidává se tiskárna? Další peníze? (Domácí uspořádání řeší dle rady provider...) A co ztráta soukromí? Co je providerovi do toho co mám doma?

víte, já třeba na stavbu zdi zavolám toho zmiňovaného zedníka, protože učit se, jak míchat maltu a udělat rovnou zeď není úplně triviální. Taky mně to stojí peníze. A to ani nehovořím o ztrátě soukromí, když mi ten zedník bude courat po baráku.

No a pokud tam teda dám nějakou inteligentní krabičku, tak nevím, proč by ke mně měl běhat provider instalovat přípojku pro síťovou tiskárnu. To si asi s něčím pletete.

Jakou inteligentní krabičku?

Nemyslím, že zedník je zrovna dobré přirovnání. Pokud tedy chceme přirovnávat zedníka k providerovi, pak zedník postaví zeď v prázdné místnosti a nevím, proč by měl courat po bytě. Má postavit příčku(namontuje cable-modem) a sbohem. Zedníka taky nevolám abych si na zeď pověsil obrázek (zapojil router) a už je zedníkovi úplně jedno co na tom obrázku je či jak je velký... K pověšení obrázku stačí naklepnou hřebíček (zapojit kabely do routeru) a je to. Na to nepotřebuji zedníka ani providera...

Inteligentní krabičku? Router+integrovaný switch+WiFi?

No vidíte, a to vaše nejjednodušší řešení bezezměny funguje i s IPv6.

Jak bez NATu vyřešit restrikci providera na 1 MAC adresu (jinak řečeno 1 fyzické zařízení)? No IPv6 bez NATu to určitě neřeší.

Řešením je zrušení té restrikce.

Tato odpoved asi najlepsie demonstruje nas rozdielny pohlad na svet. Poniektori snivame o tom, aky bol krasny svet svet bez problemov a o tom, ako by sa malo dat urobit toto a tamto (keby sa na to dakto nasiel) a niektori zasa mame na krku riesenie problemov, ktore sa realne vyskytuju.

Podobne ako v tom starom matfyzackom ftipku....

1. elektrikar/itckar rozmysla, ako sa vysporiadat s obmedzenim na MAC
2. matematik zacne svoju uvahu slovami: "nech obmedzenie na MAC nejestvuje..."

:-)

Prostě někteří lidé se nechají dobrovolně omezovat a pak jsou omezení. Je to jejich volba.

No někdy to prostě jinak nejde, protože prostě neexistuje alternativa ( nepočítám extrémní možnost "bez připojení" ), která by byla finančně rozumná...

Vypořádat se s problémem omezení na 1 MAC je omezení zrušit. NAT není řešení tohoto problému, NAT je vytvoření dalšího problému – uživatel má problém, protože jeho zařízení nejsou dostupná z internetu, a poskytovatel má problém, protože jeho omezení nefunguje. Navíc IPv6 tenhle problém asi celkem elegantně vyřeší, protože počet poskytnutých IPv6 adres bude určitě pěkné marketingové lákadlo, takže poskytnout koncovému uživateli jen jednu nepůjde. A ISP by pak těžko obhajoval, proč vám přidělil tisíce IP adres, ale smíte připojit jen jedno zařízení.

Uživatel je rád, protože jeho zařízení nejsou dostupná z internetu.
Poskytovatel je rád, protože jeho "omezení" mu usnadňuje správu ( 1 MAC = 1 zákazník ).

bavíme se o vztahu domácnost - poskytovatel internetu

Stále nevím jak to bude v případech, kdy si do domácnosti opatřím tiskárnu, VoIP router, připojím si k internetu DVB-T,S,C televizi případně HDD recorder..... Co na to provider a jak na tom bude uživatel?

Uživatel je rád, protože jeho zařízení nejsou dostupná z internetu.

Co má uživatel z toho, že útočník se na jeho zařízení z internetu dostane, ale on sám ne?

Stále nevím jak to bude v případech, kdy si do domácnosti opatřím tiskárnu, VoIP router, připojím si k internetu DVB-T,S,C televizi případně HDD recorder..... Co na to provider a jak na tom bude uživatel?

Jak by to bylo? Provider na to nic, uživatel do toho zapojí kabel a bude mu to fungovat. Na telefon se normálně dovolá bez prostředníků, nahrávání pořadu si bude moci nastavit odkudkoli z internetu, a uživatel se bude divit, proč to takhle jednoduše nefungovalo už dávno.

je zakázáno vše co není výslovně povoleno

To ovšem neřeší NAT, ale firewall. Jinak ať si samozřejmě každý nasadí NAT na IPv6 dle vlastního uvážení, on na to časem přijde, že mu to akorát komplikuje život :-)

S IPv6 přichází prakticky nevyčerpatelný počet adres pro každého člověka. Dle mého názoru má každý člověk na světě nárok na nespočetně mnoho veřejných IPv6 adres, aby si mohl připojit cokoliv jen bude chtít a potřebovat. Bavím se o domácnostech. Firma je něco jiného, tam o nějaké mojí síti nemůžeme rozhodovat, neboť celá topologie patří firmě.
Už jen to, že mám na to - řekněme morálně - nárok, znamená, že by mi měl operátor přidělit a naroutovat nějaký segment, zpravidla to bývá /64, pokud je tam jen jedna podsíť (subnet). Pokud poskytovatel připojení použije NAT, třeba z ekonomických nebo technologických důvodů, pak chci nejhůře NAT 1:1, nikoliv nyní nejčastěji používaný NAPT. Prostě každá IPv6 adresa musí mít k dispozici všechny porty, aby libovolné zažízení v domácnosti mohlo využít libovolné služby.
Poskytovateli připojení není vůbec nic do mé domácí sítě. A to platí v IPv4 i IPv6.
NAT způsobuje to, že některé služby na Internetu nefungují jak by měly, protože prostě nefungují skrze NAT. To, že Skype funguje skrze NAT, ještě není fungující Internet. Je řada jiných služeb pro třeba právě pro VoIP telefonii, které mají s NATem problémy. A žádný operátor podle mě nemá právo mi odepírat jakékoliv služby tím, že použije NAPT.
Bezpečnost obstarávají firewally, nikoliv NAT, tak proč nemít /64 pro každou domácnost, abych měl každý dostupné cokoliv si povolí odkudkoliv. NAT či NAPT navíc způsobují složitější zpracování, tedy zbytečné zpomalení, což bude u budoucích služeb čím dál více důležitější. Je dobré držet se známého pravidla: "Keep is simple, stupid." a jen routovat, bez NAT či NAPT.

Jsem zásadně proti jakémukoliv NATu. Skutečně denně mi NAPT, ale i NAT, přináší soukromě i pracovně jen potíže. Užitek jsem z nich ještě neviděl, neboť chranu stejně musím řešit jinak, než pomocí NAT či NAPT, musím ji řešit firewallem.

Já nat na IPv6 prostě CHCI a BUDU mít a Vám je do toho kulový!
Vadí Vám to? Můžete si leda ;-)
Důvody? To je fuk, to je moje věc a Vám je do toho ještě kulovější kulový!