Názory k článku
IPv6 v domácích směrovačích

"Jinými slovy se předpokládá, že tato zařízení, podobně jako jejich současné IPv4 protějšky, budou volně prostupná jen směrem zevnitř. Tato asymetrie, původně vynucená vytvářením tabulky pro překlad IPv4 adres v NATu, se prosadila jako dodatečný bezpečnostní mechanismus a v této podobě už s námi zřejmě zůstane. Aplikacím se plete pod nohy, nicméně je už dnes vnímána jako součást každodenní reality a vývojáři se s ní musí nějak vyrovnat."

Proč mám jako zákazník chtít IPv6, když jedinou věc navíc, kterou nabízí vlastně domácí směrovač blokuje. Tak proč to všechno?

Ve výchozím stavu blokuje.

No právě. A teď zkus nějakému Pepíčkovi nebo Mařence poslat soubor přes ICQ/Jabber. Stále stejný problém - minimálně v 50 % to nefunguje.

Navrhovatelé těch dokumentů si zjevně tu samou otázku položili taky, jen ji rozšířili: "Je lepší, když uživateli půjde samo od sebe posílání souborů přes ICQ, nebo je lepší, když mu samo od sebe nepůjde sdílení Windowsovských disků přes internet?"

No, sdílení disku snad samo do sebe nejde. Po defaultní instlalaci Windows je nahozený windowsí firewall a na něm je zapnutá rule, že se můžou sdílet disky jen v rámci stejné podsítě. Bez ohledu na nastavení routeru.

XP zas nemají ve výchozím stavu IPv6.

No, já takle defaultně nastený na XP měl. Pravda, byl to předinstalovaný OEM a ne krabicová verze, takže to možná výrobce sčotu změnil. Ale divil bych se.

Já to vnímám tak, že nemáme na výběr. Další IP4 v brzké době nebudou. Takže nás čeká soužití IP4 a IP6. Problém pro všechny bude, jak toto "manželství" z nutnosti bude fungovat a jak se dotkne běžných uživatelů.

Rozdíl je v jednoduchosti případné konfigurace. Pokud chcete "otevřít" port na routeru s NATem, musíte zajistit přesměrování z routeru na nějaký cílový počítač. Nejde jednoduše zařídit otevření portu na všech vnitřních počítačích. S IPv6, protože cílová adresa je opravdu cílová, jenom povolíte port. Pokud chcete povolit konkrétní počítač, prostě vyplníte jeho IP a číslo portu. S NATem potřebujete porty mapovat, tedy musíte nastavit kombinaci veřejná IP, veřejný port, lokální IP, lokální port. Jeden port můžete mapovat na jeden počítač, minimálně současně. S IPv6 prostě port povolíte a může chodit všem zaráz. Pravda je, že tohle stejně musí řešit autoři aplikací a nějak se s tím poprat, takže dost možná zjednodušení vůbec nebude poznat.

A co chudák ISP, který si za jednu pevnou veřejnou adresu nechá platit 200 měsíčně?

Myslite spatne:

http://www.ripe.net/info/faq/rs/isp.html#13

It is reasonable, however, for an LIR to charge a fee for administering the address space that they assign to you.

Což se ovšem všeobecně vykládá jako jednorázový poplatek (zřízení whois handle, záznamu, nastavení směrování). Nikoliv jako opakující se platba za pronájem adresy.

obávám se, že je to spíš na libovůli ISP. Nakonec ten záznam musí udržovat pořád :-) (jo, je to směšný argument, ale klidně použitelný)

Jak uz psal predpisatel, administering address space neni platba za jednu IP adresu.

Doporucuju zastavit se na nejblizsim RIPE meetingu, ktery bude v Praze a tam tu diskusi klidne zvednout. Nebude to poprve.

hm, jen skoda ze za vstup chtej takovy nekrestansky penize :-/

PPPoA a PPPoE vyuzivane pro vytvoreni IP tunelu u xDSL pripojeni nemohou nest dual-stack (podle me z principu navrhu protokolu to je nemozne). Jak to maji poskytovatele resit? Jedine co me napada je otevrit druhou PPP session a tim padem i dalsi ATM PVC, podobne jako to dela ted O2 s IPTV... Jenze tam se podle me zacne vyskytovat problem s rizenim provozu - uzivatel zacne prenaset vetsi mnozstvi dat po obou konektivitach a jakym zpusobem se pote ma limitovat jeho tok? Limitovat v tomhle pripade ctyrku a sestku v souctu bude na soucasnym HW docela problem, takze uzivatel ziska teoreticky dvojnasobnou rychlost, coz ale neni v zajmu ISP. A pokud by tedy nasazeni sestky slo proti zajmum ISP nikdy se nenasadi.

Co brání poskytovateli obě rychlosti sčítat? Nebo snad nyní O2 při IPTV tohle nedělá? (Takže zákazník, který vypne televizní okruh, si k vyšší rychlosti Internetu nepomůže?)

Pokud u nekoho dochazi ke zpomaleni pristupu k Internetu po zapnuti IPTV u O2, je to pusobeno omezenim fyzicke prenosove vrstvy k zakaznikovi a ne zabrzdenim u O2.

Tak ne, že bych úplně rozumněl PPPoA, ale PPP samo o sobě dokáže přenášet různé protokoly, nejen IPv4, takže přidání IPv6 do PPP znamená pouze další NCP. Nebo se pletu?

Můj názor je, že adopce IPv6 půjde relativně rychle. Vzhledem k tomu, že IPv4 adresy kriticky chybí hlavně tam, kde počet uživatelů Internetu roste nejrychleji, tj. v Asii, přijde impuls odtamtud. Bude stačit jeden velký tender od někoho jako je China Telecom apod a s levnými krabičkami s podporou IPv6 se roztrhne pytel.
Velkých výrobců SOHO routerů je asi tak 5 (nemyslím nalepovače log jako je Zyxel nebo Asus, spíše lidi jako Arcadyan nebo Askey) a samotní výrobci hledají další impuls, který by vedl k masivní obnově krabiček u uživatelů. Právě skončily dostihy s 801.11n, takže další feature se jen hodí. Aktuálně není na trhu žádná vlastnost, která by se dala vzít a obecně implementovat takže lidi nemají moc důvodů ke změnám. První tender, který zaplatí vývoj a dostatečné množství krabiček v první objednávce (pár milionů), bude zároveň znamenat i obnovení marketingových dostihů, které nám vysvětlí, že bez IPv6 nelze žít. A odtud je pak už jen krátká cesta aby to do svých sítí začali požadovat i normální správci podnikových sítí a nejen ti osvícení jako dnes.
Já tomu dávám tak 2 roky. Za tu dobu bude na trhu minimálně 5 typů krabiček kolem 1000,- až 1500,-

Další domácí routery, které umí routovat IPv6, jsou Airport Extreme a Airport Express od Applu. Možnosti filtrování jsou jednoduché - lze buď povolit všechno oběma směry nebo jen spojení zevnitř ven.
A perlička - používá IPv6 jako defaultní protokol při vlastní konfiguraci (při komunikaci s konfigurační utilitou běžící na stolním pc).

Neznam sice detailne UPnP specifikace, ale videl jsem to uz dneska pouzivat na otevreni firewallu v SOHO routeru a asi neni duvod, proc by to nemohlo byt v budoucnu masivne pouzivane. Takze budu mit SOHO router s IPv6 a vychozim blokovanim nove komunikace. Na stanici si pustim jabber klienta a ten posle na router, hele ja potrebuju prenos souboru, mam IP XXX a port YYY, povol mi prichozi komunikaci.

Asi nejvetsi problem je poresit, jak zamezit nejake zaskodnicke aplikaci, aby vam nevystrcila pocitac jen tak do internetu, nicmene to zvladaji i za natem, takze to neni dramaticky rozdil.

Otázka je, proč by se měla o tom dohadovat stanice s hraničním směrovačem, když to samé může udělat operační systém stanice při zavolání služby listen() přímo sám na sobě. Tím by také odpadlo přidávání UPnP klientů do každé aplikace.

Podle mě je přístup UPnP zvrácený. Buďto stanici nevěřím (hloupý uživatel nebo nezkonfigurovatelný software) a všechno filtrování provádím autoritativně na hraničním firewallu, nebo stanici věřím a pustím na ni všechno.

S tim v obecne rovine souhlasim, ale v siti, kde se mixuji stanice duveryhodne a neduveryhodne mi prijde smysluplne pouzivat nejakou ochranu na hranicnim smerovaci a povolovat spojeni jen na ty duveryhodne. A na to by to chtelo nejaky mechanizmus, ktery bude dostatecne univerzalni, aby byl obecne popsatelny a bylo mozne poskytnout obecny navod, jak koncovy uzivatel takovou komunikaci muze povolit.

A jak si to představujete? Jako UAC ve Vistách, které podle křišťálové koule rozhodne, že je na čase udělat krok stranou, zeptat se uživatele, jestli nechce sušenku, provést jeho psychologické vyšetření, jestli je způsobilý kvalifikovaně problém rozhodnout, a pak se nějak zařídit?

Tohle není bezpečnost, ale lhaní si do kapsy.

Pro WiFi se pomalu prosazuje Wi-Fi Protected Setup(tm), kde se na zarizeni zmackne tlacitko a dve minuty se vsechna zarizeni v dosahu domlouvaji a nakonec se nastavi sit s WPA2 a silnym/nahodnym sifrovacim klicem. Takze pro konfiguraci firewallu by klidne mohlo platit neco podobneho. Takovych veci se da vymyslet fura. Obtezujici uzivatele asi budou, bezpecnost neni nikdy zadarmo a snadna.

Neverim, ze kterykoliv z velkych hracu nakoupi a bude svym uzivatelum distribuovat zarizeni, ktere umozni neomezenou end to end konektivitu ve vychozi konfiguraci.

Je jasny, ze bez IPv6 to do budoucna nepude a produkty pro domaci pouziti uz jsou na svete, nejen Mikrotik.
V utery jsem byl na skoleni IPv6 od i4wifi, ktery tam domaci routery ukazalo - http://www.skoleni-mikrotik.cz/skoleni-detail-probehle.php?id=131.
Vlastni skoleni sice delal konkurent, ale ve svy siti uz na IPv6 jede, takze zajimavy informace...

nemuzu si pomoct, ale absence NAT mne stve.

Co mi ma kdo kecat do cislovani site, jakou chci doma, nebo ve firme.

Uvedomuju si, ze NAT ma sve stinne stranky... ale predstava ze kazde zarizeni bude potencialne spojene s kazdym (ala ipv6 jestli ho dobre chapu) mne neoslovuje, ale znechucuje.

Však můžeš používat ten ekvivalent site-local a pro komunikaci s vnějším světem se použije přidělený prefix.

NAT je znouzectnost protokolu IPv4.

V IPv6 lze to samé řešit daleko elegantněji pomocí firewallu, tedy pokud má někdo zájem skrýt všechny stroje ve své síti, jednoduše použijte firewall.

Nesouhlasim s obema.

Maskarada se objevila jeste pred ipv4, studenti si chteli pripojit neco co nemeli. Ale krome adresovani vlastne nic nebranilo...

U ipv6 maskarade taky nic nebrani (zanedbame ipsec). Takze at si ji kdo chce provozuje. Napr linux to umi uz dva roky. Smysluplnost by byla jina debata.

a co treba tohle...

mame VPN boxy... nedelaji router, jsou jenom pichnute do switche.

Zvenci je na ne presmerovan jeden port... jakmile se nekdo pripoji, pouzijeme NAT aby se komunikace vuci ostatnim strojum na LAN (treba tem, u kterych NELZE nastavit gw) tvarila jakoze je iniciovana v ramci LAN.

IMHO osvedcene, elegantni, fcni...

u IPV6 bych musel prekonfigurovavat staticke smerovani na routeru, coz treba u hloupejsich DSL routeromodemu delam nerad.

toz tak.

mam si koupit tricko s Che Guevarou? :))

dobre, doufam vydelavate dost, abyste utahnul mne i kolegy az budeme na podpore :)