Názory k článku EU slavnostně spouští IPv6

Nechápu proč by se měla mikrovlnná trouba připojovat k internetu. A když ano tak proč platnou internetovou adresou ? Vždyť by měla být za firewallem a připojovat se přes jednu IP adresu jako to dnes dělají firmy s pomocí NATu (alias IP maškarády). Vždyť je to celé nesmysl. Navíc se 4 číslicovou IP adresou se lépe manipuluje a snadněji se pamatuje. Je to celé nesmysl.

Ale to víš, že jo. Až někoho napadne patentovat si recepty, převést je do el. podoby a použít DRM, pak bude nutné, aby každá mw trouba měla unikátní IP adresu, protože z každého ohřátého jídla budeš platit license fee :-) A trouba si před ohřívíním zjistí, jestli nedlužíš a pokud ano, dojde k znehodnocení potravin uvnitř.

Ty "marketingove" reci o miliardach adres, ktere pripadaji na kazdeho cloveka sice zneji hezky, ale skutecnost je takova, ze v soucasne dobe se IPv6 adresami celkem plytva. Netvrdim, ze se to v budoucnu nemuze zmenit, nicmene soucasny system je tento: 128 bitu celkem, z toho 64 bitu je adresa site a druhych 64b je adresa zarizeni v te siti. Prakticky to znamena, ze na kazdem segmentu muzete mit 2^64 pocitacu. Adresa site se navic obvykle deli takto: 32b je adresa providera, 16b urcuje zakaznika toho ktereho providera a 16b ma zakaznik pro vnitrni strukturovani sve site.

Takze zatimco kazdy zakaznik ma k dispozici 2^80 adres (ovsem muze je rozdelit jen do 2^16 subnetu), techto zakazniku muze teoreticky byt pouze 2^48, coz zase neni tolik (jen zhruba 50.000x vic nez je lidi na zemi :-)

Dobry den,

muzim priznat, ze nevim jak souvisi unikatni IP adresa s prosazovanim DRM. Muzete to trochu rozvest?

jeeee, Michale, ty taky jeste zijes? :) ja stale na FELu ;]

jinak k clanku - pred nedavnem jsem cetl temer stejny text v anglictine.. kde to jen mohlo byt?

tenhle clanek: http://www.technologyreview.com/articles/wo_garfinkel010704.asp

a ono to zas tak stejne neni, ne ze bych chtel pana Peterku podezirat, ze neco nekde pajcuje (na to mame jine lidi :), jen mi ten popis ipv6 tohle pripomnel. no to je fuk, doporucuju precist, kdyz uz jsem se s tim hledal

Protože tady nejde o to, abyste si na mikrovlnné troubě pouštěl webový prohlížeč, zatímco budete čekat, než se ohřeje jídlo. Pro některé aplikace potřebujete, aby zařízení bylo adresovatelné - např. budete v obchodě a nemůžete si vzpomenout, kolik máte doma másla. Tak spustíte aplikaci na svém PDA, ta se spojí s ledničkou, v ledničce se rozsvítí a pošle se vám obrázek obsahu ledničky. Samozřejmě je to jen fantazie, ale za nějakých 5-10 let by to mohla být běžná záležitost.

Mno tak to si dovedu predstavit uz nyni a to nejen v USA ;-). Za 5-10 let si to predstavuji jinak: lednicka si sama vede seznam co je v ni pomoci RFID, PDA se mi automaticky synchronizuje kdyz odchazim ven, lednicka sama objednava podle nastaveneho programu dochazejici suroviny. No a nakonec je tu i ta moznost se spojit pres net a vyzadat si primo ten aktualni seznam :-)

Hmm, ale k tomu nepotrebuju mit lednicce unikatni adresu. Pripojim se domu pres vpn a moje pdacko bude mit privatni adresu stejne jako lednicka.

Kdo Vam tu VPN bude spravovat?

Kdo Vam tu VPN (respektive aktivni prvky, ktere ji budou zabezpecovat) bude spravovat?

Odpovim protiotazkou. Kdo bude spravovat ty pocitace ktere budou mit ipv6 unikatni adresu?

A nejen pocitace, ale i ty lednicky, zachody, topeni... ;-)

Což o to, také si to dokážu představit už dnes - a ten HW/SW do ledničky by nestál nějak astronomické částky. Jen ta nabídka permanentního připojení s dostatkem skutečných IP adres (nejde jen o ledničku - co třeba když se někde zdržím a chci si nahrát film, který nestihnu?) zatím poněkud kulhá...

Ze by ten, kdo je prodal? :-)

Kdo Vam dneska "spravuje" lednici nebo mobilni telefon?

Kdo vám dnes spravuje ty počítače, které máte ve videu, televizi, autě, ...? On je přeci jen rozdíl mezi jednoúčelovým embedded počítačem, který nemusíte ani nijak konfigurovat, a security gateway pro VPN.

Nebude mít privátní adresu, takhle to nefunguje. Samozřejmě je možné nějakým podobným způsobem zařídit přístup do té "schované" sítě, ale je to zbytečná komplikace a navíc to není příliš univerzální.

IMHO to lze automatizovat. Doma bude jeden DHCP server (s rozumnym default nastavenim) a od toho so lednicka necha pridelit interni adresu a pote mu oznami, ze je typ=lednicka. DHCP aktualizuje DNS se jmenem lednicka (lednicka2, ...). Ja se pripojim na domaci sit (musim znat jeji adresu ale to pro primo adresovatelnou lednicku taky a tady pak tech adresu bude vice) a domaci server mi nabidne seznam domacich zarizeni popr. mam uchovany odkaz primo na tu lednicku. Autorizace na ten domaci server prez prukaz totoznosti (obsahujici klice pro asymetrickou kryptografii). Ostatne i pri primem pristupu k lednicce bych chtel mit pristup zabezpeceny a v tomto modelu je vyhoda ze zabezpeceni nastavuju jen na jednom miste (domaci server) a ne samostatne na lednicce, vytapeni, zabezpeceni, druhe lednicce, ... . Ano toto lze i pri prime adresovatelnosti ale ta prima adresovatelnost je vpodstate zbytecna.

Co treba kerberos? Tam mate take autorizaci na jednom miste a presto nemusi byt zarizeni nijak skryta.

Navic nikde neni receno, ze nemuzete mit na ipv6 stejny firewall jako je NAT, akorat mnohem jednoduseji implementovately a ten nebude poustet k zarizenim pakety ke kterym neexistuje odchozi spojeni. Ale soucasne odpadnou stresna problemy s protokoly u kterych je potreba na firewallu vevnitr paketu prepisovat adresy.

Navic IPv6 zadny DHCP server nepouziva/nepotrebuje. Ma lepsi metody.

Aha, takze prodejce se mi bude starat o bezpecnost moji domaci site zadarmo? Lednici spravuje opravar ;-) U mobilu pokud se vyskytne chyba v softweru tak zajdu do servisu kde mi to opravi bud zadarmo v zarucni lhute nebo za penize. Deje se tohle dnes napriklad u wifi prvku, ktere take maji plno chyb? Myslite, ze takova sofistikovana lednicka bude mit naprosto bezchybny os? A co ten zbytek zarizeni?

Ano muze to byt i na ipv6, ale otazka znela potrebujeme nutne ipv6, kdyz mame ipv4 a kde to lze take udelat? :-)

Takhle to funguje :-) Potrebujete jen verejnou adresu brany a verejnou adresu na tom klientu z ktereho se pripojujete na tu branu.

Neni pocitac jako pocitac :-) Ani jedna z tech veci ktere jste jmenoval nema bezne ip stack a uzivatelsky vstup je velmi omezen.

rekl bych (ale nejsem odbornik) ze hodne zalezi na cinnostech co po lednicce budete chtit. S tim sovusi rezimy a zpusoby komunikace a "kdo" bude vlastne server a kdo klient (zda-li lednicka, vy, nejaky centralni app u vas doma - jakysi majordomus). Na zaklade techto parametru je vhodne zvolit pouzitelny zpusob komunikace vcetne smeru a urceni roli (klient, server, peer).
Prislo mne, ze puvodni prispevek, na ktery jsem reagoval, spise uvazoval scenar, kdy si mikrovlnka/lednicka - obstara recept/konwhow co je potreba pro pripravu vybrane krme, a za tyto data posleze(az dojde k cinu = priprave pokrmu) zaplati. Napada mne analogie ze soucasneho sveta - s klasickym predplacenym kontentem. kontent je zde recept. mikrovlnka pak vystupuje jako client = nepotrebuje unikatni IP. autentizace kliena/autorizace plaby se prece i v dnesnim svete neresi pomoci IP, ale o mnoho vrstev vyse.

Nejsem odbornik na DRM, ale ale stale nevidim duvod (v tomto scenari) a potrebu mit unikatni IP pro prosazeni DRM.

s pozdravem
nezn

Ano, potřebujeme. Zkuste se podívat, jak vypadá třeba taková komunikace pomocí ICQ. Nepřipadá vám to trochu postavené na hlavu? Jak chcete provozovat internetovou telefonii bez veřejných adres? A tak by se dalo pokračovat.

Dobry argument.
Ted jeste aby ten internet byl take tak cenove i fyzicky dostupny jako telefon.

Bude-li lednička (mikrovlnka, video, ...) klientem, pak veřejnou adresu obvykle nepotřebuje. Proto jsem nastínil jednu z mnoha situcí, kdy má smysl uvažovat o tom, že komunikace bude iniciována z druhé strany. A samozřejmě je i mnoho dalších. Třeba technik v servisu by si mohl na dálku provést diagnostiku a v mnoha případech už by pak mohl jít na opravu už se znalostí toho, co se děje (a vzít si odpovídající náhradní díly).

Ovsem nejsou tu jenom ti hodni, ze ;-)

Troufam si tvrdit, ze Internet je fyzicky dostupnejsi nez telefon :-)

A s cenou to taky neni tak hrozne.

... a uzivatelsky vstup do lednice neni velmi omezen ?

Kdo se Vam o bezpecnost Vasi lokalni site stara dnes?

Troufam si tvrdit, ze pokud si vyberete seriozniho prodejce aktivniho prvku, udela Vam stejny servis jako ten prodejce mobilu.

Ajajaj :-)
Zijete urcite v Praze, ze? :-) Ale svet neni jen Praha a ostatni staty na zapad. A cena slusne linky s pasmem na telefonovani take neni levna.

Ano ted je a dokonce i u modelu s vestavenym pocitacem :-) Ale funkcne to asi jeste neni to prave orechove. Proto tam vlastne chceme pripojit ten internet nebo ne? ;-)

O bezpecnost svoji site se staram sam. Ovsem pri pohledu jak jsou na tom site o ktere se nikdo nestara = nikdo tomu tam nerozumi a nechce platit za udrzbu me jima hruza kdyby ti sami lide dostali moznost pripojit si k internetu pulku domacnosti :-)

Jiste udela, ale za penize a ty muzu rovnou pouzit na zaplaceni konfigurace te vpn.

Jistě. Proto je také třeba omezit přístup k těmto zařízením jen na oprávněné klienty. A věřte nebo ne, fakt, že se mnoho klientů skrývá za NATy, autentizaci/autorizaci neusnadňuje, naopak ji velmi komplikuje.

Ziju stridave v Praze a ve Velvetech.

Troufam si tvrdit, ze Internet je dostupny vsude, kde je dostupny telefon (ale i na dalsich mistech).

Ano komplikuje, ale uvazuji o pripadu kdy je lednicka nebo server ve vnitrni siti doma serverem a klientem je pocitac jinde na siti.

No ja od lednice ocekavam, ze v ni budu skladovat potraviny (a z hlediska uzivatelskeho IO je to skutecne velmi omezena funkcionalita). Vy mozna cekate, ze z lednice budete surfovat. To pak ale neni lednice, ale plnohodnotny pocitac zabudovany do chassis lednice (a to je neco kapku jineho).

No vidim, ze zakladni paradigma Internetu (logika je na koncich a uprostred je hloupa sit a umoznuje ji end-to-end konektivita) Vam nic nerika. No jen houst a vetsi kapky. Neni nad to, kdyz budu do Internetu pristupovat pres deset prekladu adres a tucet firewallu.

Je na kazdem uzivateli, aby si zvolil takovou bezpecnost, jaka se mu zda primerena. Tato bezpecnost ale NESMI byt na ukor funkcnosti.

V opacnem pripade vytvarime zadni vratka pro man-in-the-middle utoky. Jako priklad muzu uvest treba aplikacni brany pro H.323 - to je dira jako vrata.

Pak ovsem nepotrebujete mit v lednici ip stack ;-) Ja ostatne take ne :-)

No jo, ale dotycny bude pravdepodobne vyzadovat konektivu 768 kbit/s s neomezenym prenosem dat za 29,90 EUR jako to maji v Ettlingenu pripadne minimalne jako to cetl v diskuznich skupinach.

Rekneme, ze bych rad, kdyby mi lednice dala vedet, ze necemu prosla trvanlivost nebo ze neco chybi. To uz patri k tomu skladovani :-)

Ale ani na to nepotrebuju slozite uzivatelske IO. Zato IP stack by se mi hodil.

Ovsem za cenu ktera je vetsi nez za telefon :-)
To se muze hodit nekomu kdo vola tak masivne, ze se mu vyplati voip na neomezenem lince :-)

Leckde nikoliv. Srovnejte ceny za VSATy a satelitni telefony :-)

A pridam dalsi? V dnesnim NATovem IPv4 svete bezne funguje komplexni skala ICQ sluzeb? Realitu znate sami.

Pridam vsak jeste jeden argument, ktery jsem nezaznamenal - pujdu oklikou - proc myslite, ze po IPv6 vyrazne pasou "mobilni" operatori? Modri jiz vedi a ostatnim to nelze jednoduse vysvetlit/popsat...

Skutecne je Michal In... - ja bych rekl, ze zrovna "bezpecnost" H.323 je prave intenzivne propirana jak CERTem, tak na BugTraqu...

Mam jednu verejnou IP a potrebuju adresovat vice stejnych sluzeb v lokalni siti na ruznych mistech? Jak to provedete? Navic, dokazete si predstavit, ze lokalnich sluzeb muze byt vice jak 65535? Ja ano a nemusi to byt az tak velka sit, co pak? Pak uz Vam ani NAT nepomuze...

No nez se zavedlo classless adresovani, tak se plytvalo i v IPv4 a nikoho ve sve dobe nenapadlo, ze tech 2^32 adres nebude stacit... bacha na slova, historie Vam je vrati...:-)

Jinak k tomu poctu, aby to nedopadlo jako s aplikacemi a rokem 2000... - hovorim o tom, ze je treba jiz nyni potreba adresovat nejen aplikace na Zemi (a zacneme-li znackovat nase vesmirne souputniky, rychle se nam krati mozny adresni prostor)... to quli tomu budeme menit globalni komunikacni infrastrukturu za nepredstavitelne hory penez?

Nefunguje. Ten počítač venku má pořád svou reálnou IP adresu. Teprve security gateway to může v případě potřeby pro vnitřní síť přeNATovat, aby to pro schované počítače vypadalo, jako by měl privátní adresu. Možná vám to připadá, že zbytečně slovíčkařím, ale není to jedno a v konkrétních případech vám ty rozdíly mohou hodně znepříjemnit život.

Pripada mi, ze zijete odtrzene od reality. I kdyz je mi to divne, protoze problematice rozumite velmi dobre.

Problem je v te volbe bezpecnosti a tu druhou vetu muzete pouzit treba v jaderne elektrarne :-) Jak jiste vite zabezpeceni pocitace je pro vetsinu domacich uzivatelu neco absolutne nepodstatneho. Nutnost aktivniho pristupu k udrzovani systemu up-to-date je proste odrazuje a vety typu: "Jen at me nabori, stejne tam nemam nic cenneho" jasne ukazuji, ze lide si ani neuvedomuji ze nejde jen o sbirani dat prave z toho jejich pocitace. Pokud by ip stack dostali veci typu lednicky, tak si jiste dovede predstavit jak by to vypadalo. Nebo jste opravdu presvedcen, ze budou ridici programy techto zarizeni bez fatalnich chyb? Ja myslim, ze nikoliv. Teoreticky je mozne navrhout takova neprustrelna zarizeni, ovsem praxe a zvlaste ta levna je nekde jinde. Lide nebudou chtit kupovat drahe veci. A to souvisi i s voip. Mel byste obcas zabrousit do obycejne spolecnosti(a treba i mimo Prahu) kde jsou lide zijici z vyplaty do vyplaty. Vas i me internet zivi a proto mi take pripada cena za linku a konektivitu normalni (ale muze byt i lepsi, ze :-), ale pro obycejne lidi je internet hlavne zabava za kterou musi platit, pro ne internet neni prioritni. ipv6 je zcela jiste dobra vec a necht se prosadi, otazkou ale zustava jestli to potrebujeme hned a za kazdou cenu.
Jiz jsem daval priklad s wifi zarizenimi, kde kvalita os (v odolnosti vuci chybam) v techto prvcich (a nejen v tech levnych) je tristni. U pocitacu jsme take zvykli, ze jejich spolehlivost neni rovna spolehlivosti jednodusich zarizeni. Jiz dnes se da setkat s tim, ze zarizeni vybavane slozitejsim softwarem proste obcas nefunguje (napr. DVD prehravace). Jako uzivatel mate vetsinou jen jednu moznost on/off a zkusit to znova a pak to odnest do servisu. Jenze to on/off se jaksi stalo standardem pro cokoliv co v sobe ma slozitejsi program a je to konzumni zbozi. A jeste neco. Lide si dnes casto ani neumi naladit kanaly na televizi a ted by jeste meli neco nastavovat na lednicce? :-)
Pokud na to koukam svym pohledem tak jsem pro to aby mela adresu kazda zarovka (navic obsahujici i kameru) u me doma. A jsem ochoten s tim experimentovat a experimentuji se zarizenimi ktere nejsou pro masovy trh at uz z duvodu ceny nebo pro svou slozitost.

Ze začátku musím poznamenat, že nejsem žádný odborník a budu vycházet jen ze článku.

Bavíte se o tom zda potřebuje lednička nebo jiné zařízení v domácnosti svou IP adresu. Ale když někde na druhém konci světa adresy docházejí tak si myslím, že když jich bude víc, nic se nestane. Nikdo nikoho nenutí aby měl ledničku, natož aby byla připojena k netu. A když už je v síti a má svou IP adresu a vy to tak nechcete, tak ji dejte přes ten firewall (ačkoliv nevím pořádně co to je a zda to při IPv6 půjde).
Osobně si myslím, že je lepší mít nějaký ten milion adres v zásobě než když dvě pochybí.

A domnívám se že mít ledničku, která ví co chybí nebo co je prošlé v domácnosti je zbytečnost. Totiž každá dobrá hospodyňka nejen pro pírko přes plod skočí :-), ale ví co v domácnosti chybí. Možná že někde v menzách a restauracích by se taková lednice (sklad surovin) hodil, ale domácnost asi ne.
Já třeba osobně vím, že v ní teď nic nemám. Menza je zavřená a já mám hlad. Takže musím vyrazit do obchdu - a nepotřebuju ani internet. :-)

S přáním hezkého dne hladový student :-)

Myslim, ze ty vety plati univerzalne. I v jaderne elektrarne nesmi byt bezpecnost na ukor funkcionality. A ostatne, v jaderne elektrarne nebuduji Internet (buduji, a to ne vsude, jenom internety).

Kazdy program obsahuje chyby (vcetne firewallu, IDS systemu a dalsich bezpecnostnich komponent). Nicmene jejich dopad na funkcnost muze byt minimalizovan.

IPv6 hned nepotrebujeme. IPv6 potrebuji "hned" hlavne cinani a vetsina ostatnich asiatu, kde naroky na adresni prostor presahuji ochotu RIRu jim ho pridelit. Pro nas evropany jsou (podle meho) dulezitejsi dalsi veci (treba mobilita) - ktere dnes nejsou v prvcich implementovany.

Jinak ja si nemyslim, ze migrace vetsiny Internetu na IPv6 probehne driv nez nekdy v letech 2006-2010 a soubezny provoz IPv4 a IPv6 bude otazkou jeste nekolika desitek let.

Pokud se tyce reseni problemu metodou on/off, verim, ze je to resitelne (napriklad updatem firmware ze site vyrobce pri "hard resetu"). A IPv6 tomu muze pomoci treba autokonfiguraci.

Jen poznamka:

> Navic IPv6 zadny DHCP server nepouziva/nepotrebuje. Ma lepsi metody.

Ma lepsi metody, ale bezstavova autokonfigurace ma taky svoje musky. DHCPv6 jiz existuje a nevypada to, ze by se nemel pouzivat :)

Nechci prudit, ale neni jen Cckova privatni sit. Jsou A a B :-)

A samozřejmě i jakékoli jiné s délkou prefixu od 8 do 30. Jenže to číslo 65535 s tím nijak nesouvisí, to je počet portů, které můžete použít pro maškarádu/portforwarding. A s tím nehnete...

Dekuji nacelniku, ze ses mne zastal a vykonal spinavou praci (modre jsem uz jmenoval...:-]])...

Ftip je v tom, ze to cislo 2^16 - 1 se nam take vyrazne zmensuje, protoze ne vsechny rozsahy lze pouzit diky nutnosti pouzit NATovani - kazda odchozi session/konexe si uzme jednu, takze realne vyuzitelnych portu je podstatne mene a na realna omezeni se muzete dostat snadno i dnes, zbytek uz jsem psal...

Vsak ja s kolegou Kubeckem taky - server je lednice - vyrizuje pozadavek, klient je technik - zada diagnostiku. Kdyby nebyl po ceste NAT a byl nasazen bezny bezpecny (z hlediska kryptologickeho - existuji a jsou dostupne, ze se "bezne" nepouzivaji je podruzny problem, reps. problem tech, kteri sladne spi v nevedomosti) autentizacni mechanismus (kteremu svete div se IPv6 velmi chutna, naopak NAT jej vyrazuje ze hry), nevidim v tom vubec zadny problem a klidne spani pro zmenu budu mit ja...

vždy mne na podobných debatách fascinuje, jak se někteří debatující upnou na nějakou nepodstatnou kravinu a pak už jen mlátí kolem sebe hlava nehlava, jaká to je kravina a že celý nápad je chybný a vůbec - pozavírejte všechny, co to podporují. ;)

zkuste se odpoutat od lednic a mikrovlnek a podívejte se na domácnost jako celek. je zde mnoho zařízení, u kterých by vzdálená správa nebo alespoň monitoring přišly vhod. můžeme začít u zabezpečovacího systému přes otopnou soustavu (zatopte si hodinu před tím, než přijedete z dovolené - nebo hodinu před příjezdem na chalupu) a skončit klidně i v té kuchyni (už dnes se běžně využívají trouby, myčky či pračky s časovým spínačem - proč třeba u trouby nezačít s přípravou jídla až skutečně ve chvíli, kdy jste na cestě domů?). u mnoha zařízení navíc zjistíte, že nějakou formu dálkové správy umožňují už dnes (připojejí zabezpečovačky na PCO a monitoring přes mobil, připojejí elektroniky kotle na telefonní linku atd.) a IP komunikace by věc jen zjednodušila.

a to se pohybujeme zatím jen v rámci domácnosti. využití IPv6 je mnohem větší - málokdo zmínil mobilní zařízení a když už, tak se to zahrnulo jen pod IP telefonii. opět lze ale najít mnoho dalších způsobů, z nichž některé se realizují různými cestami už dnes a IPv6 by opět jen přineslo zjednodušení a vzájemnou kompatibilitu. můžeme začít opět od zabezpečení třeba automobilů či jiných objektů a pokračovat přes navigaci a monitoring dopravy, využití IPv6 pro plně elektronické platby, evidenci zboží a skončit kdekoliv vám fantazie dovolí.

je potřeba si totiž uvědomit, že IPv6 neznamená jen rozšíření adresního prostoru. to je podle mého názoru zrovna nejmenší přínos. zajímavější jsou jiné věci - pokud si dobře vybavuji (IP není mým oborem), tak tam najdeme nativní podporu streamingu s rozumnějším využíváním pásma, přechod jednotlivých zařízení mezi ruznými podsítěmi a další lahůdky, které se v současné době řeší relativně složitě různými nadstavbami s velmi spornou kompatibilitou a mnohdy i funkčností.

když nastupovala inovace téměř kterékoliv technolie, vždy se našly hlasy pokládající inovaci za zbytečnou. čas těmto lidem dal málokdy za pravdu. to, co si ani nedokázali představit v momentě představení technologie, se stalo po čase natolik běžnou součástí života, že už bez toho ani nedokážeme být (zbytečnost mobilních telefonů, spalovacích motorů, rychlých letadel, počítačů a další a další).

Koukam nekdo na stejne vlne... ano, je to nejaky patek, co se zacal teoreticky rozpracovavat HomeNet - ovladani topeni byl jen zacatek, bohuzel pokus zhybul jako hodne zajimavych napadu... Je dobre, ze jste zminil jine nativni IPv6 vlastnosti - patrite k modrym, kdyz jsem zminoval mobilni operatory...:-)

Jo jinak by mozna odpurcum pomohlo pri jejich omezene predstavivosti a fantasii predstava toho, co se dnes jiz bezne realizuje metalickymi vedenimi a telefonem (pevny/mobilni/satelitni) - monitoringem vsechno jen zacina... naopak zabavne to zacina byt az v okamziku, kdy nejste jen v pasivni (monitorovaci) pozici... aplikace budou/jsou, o to se veru nebojim...

Bohuzel stale pretrvava IPv4oidni uvazovavani o IPv6 adresach, lidem se nelibi rozdeleni 64-64, stezuji si na neefektivitu alokaci apod. Ovsem krom toho, ze to 64-64 rozdeleni s sebou nese spoustu pomerne zasadnich featur IPv6 (napriklad autokonfigurace), lide z v6ops to maji snad docela dobre spocitane. Jenom pocet moznych delegaci pro kombinaci provider a zakaznik je stejne velky, jako cely soucasny IPv4 prostor! Kazdopadne pokud se ukaze, ze soucasny styl adresace IPv6 nebude fungovat, nevadi. Je treba si uvedomit, ze vsechny soucasne alokace jdou ze zony 2000.. 3, ovsem mame jeste dalsich pet pokusu (jinak se pouziva 0.. 3 a f000.. 3, vsechny ostatni kombinace prvnich tri bitu jsou rezervovane, viz RFC3513), kde muzeme zacit znovu od zacatku a lepe. Omlouvam se za podivne formatovani etc, muze za to Lupa, ktere se marne pokousim ten prispevek do chrtanu a ona si ho stale nechce vzit...

Prechod na IPv6 je treba a taky je pravda ze prechod na nej nebude nic prijemneho a jednoducheho.

Opravdu mne pobavilo kdyz sem si tu ve foru precetl argumety proti a jaky to je cely nesmysl :-)) kdyz mame prece NAT. Skoro to vypada ze ne kazdej trouba potrebuje svoji verejnou IP :o))

Nazor, ze IPv4 adresy za dva roky dojdou je patrne to nejstalejsi, co se v oboru IT v poslednich letech vyskytlo. Stabilnejsi je snad uz jen Mooruv zakon. Co ja pamatuju, tak nazor, ze IPv4 adresy do dvou let dojdou se beze zmeny vyznaval zhruba od roku 1992 do, nejmene, roku 1998 - slo tedy o znacne konstatni nazor (a ne jako nektere jine nazory, ktere se meni kazdy tyden), coz by melo duveru spis vzbuzovat nez snizovat ... ;-)

Také souhlasím s názorem, že IPv4 adresy už ve skutečnosti došly. Problém ale vidím v tom, že tuto skutečnost se podařilo před většinou veřejnosti utajit. Potom není divu, že veřejnost necítí potřebu problém řešit, když ho vlastně nevidí.

Ano, de iure IPv4 adresy stále ještě nedošly a ještě dlouho nedojdou. Ale to je pohled, který je zkreslený zmíněnou epidemií maškarád. Kdyby došlo k deNATizaci Internetu, čísla by vypadala úplně jinak a vůbec bych se nedivil, kdyby v takovém případě bylo už pozdě.

Kdyby - chyby.

Proč myslíte, že k NATizaci Internetu došlo i přes to, že cena 1 IP adresy je cca 1 - 5 Kč/rok?

Protože je v mnoha případech přímá end-to-end konektivita nežádoucí z ryze praktických důvodů. A nakonec i zbytečná.

Jinak dalším výrazným vlivem je HTTP 1.1 a virtual hosts.

To, že není celá lokální síť schovaná za NATem, přeci neznamená, že musí být volně přístupná zvenku. Stačí, aby se firewall začal používat ve významu, jaký skutečně má mít. Tedy místo implementace NATu (a helperů pro (skoro) všechny protokoly, které přes NAT samy neprojdou) jako místo, kde se definuje, jaký provoz smí odkud a kam projít. Jedním z největších bezpečnostních problémů jsou dnes stejně trojští koně, šířící se chybami v MUA nebo webových prohlížečích (nebo rovnou hloupostí uživatelů), tedy věci, před kterými vás NAT tak jako tak neochrání.

Jo to s DHCP je pravda, mnohe distribuce maji DHCP server IPv6 jiz zahrnut, ale pro domaci sit je to asi moc velky kanon na vrabce.

Pojdme to vzit z jineho konce. Nikdo tu nezminil, ze cim dele budeme odkladat prechod, tim vice bude vyrobeno zarizeni, ktera IPv6 neumi a ktera po prechodu zahodite.

Takze trocha propagace neskodi. To mate jako treba s televizi s DVB tunerem. Kolik tisicu lidi si koupilo loni k vanocum televizi bez DVB tuneru, kdyz je digitalni vysilani natolik v dohledu, ze v dobe zivotnosti jejich televize jiste prijde. A jak by to asi dopadlo, kdyby stat pred vanocemi vylepil plakaty: "Pozor lidi, v Berline se vysila digitalne, u nas to do dvou let bude taky".

Jenze stat nic takoveho neudelal a lidi televize bud vyhodi, nebo si budou dokupovat set top boxy, cili dalsi kram co jim bude doma prekazet ;-) EU tohle udelala. Jasne rekla, drazi spravci rozmyslete si, co doporucite svym sefum k nakupu, protoze IPv6 prijde a kdyz to ted nakoupite zarizeni s zivotnosti 10 let tak si ho 10 let neuzijete. A rikame vam to dost vcas na to abyste se mohli rozhodnout, kdy zacina okamzik od ktereho uz nekoupite nic jineho. Mozna to bude za pet let, ale to uz to budete vedet 5 let a nebude to zadny sok.

Svou roli tu sehrálo nejspíš i to, že už někdy v roce 1992 se mezi odbornou veřejností odhadovalo, že IP adresy do dvou let dojdou. A jak roky ubíhaly a adresy stále ne a ne dojít, podlehli uživatelé (aspoň ta část, která ví, co je to IP adresa) falešnému pocitu, že to až tak horké nebude. A s nimi bohužel i značná část výrobců technologií. Jenže při tom přehlédli fakt, že pomineme-li CIDR (což byla poměrně logická změna - ovšem pouze krátkodobé řešení), je hlavní příčinou masové rozšíření NATů. Jenže to je jen dočasná berlička, která navíc přináší mnoho probémů a fakticky i degradaci Internetu.

To je ostatně vidět i na názorech (nejen) v této diskusi, kde je značná část diskutujících přesvědčena o přirozenosti maškarád a přímá end-to-end komunikace jim připadá nepřírozená (a nebezpečná), stejně jako firewall v podobě klasického paketového filtru. Takže svým způsobem bych řekl, že epidemie maškarád přinesla více škody než užitku, protože zpomalila vývoj a reálné nasazení IPv6.

Mimochodem ty adresy uz dosly. Jakou maji zakaznici Tmobile nebo Oscara na verejnou IP? Jakou sanci mate na sitich Tesmedie, na sitich CRa? Jakou sanci mate u spousty lokalnich provideru?

Vetsinou se to resi tim, ze ty adresy jsou drahe, treba Inway chce po sdruzeni KLfree.net platit 200 Kc/IP mesicne. Na jednu stranu je to dobry obchod, ale v pozadi je to, ze oni nedokazi zajistit pro vsechny zakazniky verejnou IP adresu tak z ni delaji tak drahy statek, aby pocet tech co si to koupi byl tak nizky, ze vyjdou s tim co maji. Pritom komunitni site ve vetsich mestech by s prehledem spotrebovaly cele C. My mame na 3000 obyvatel 1/4C a musime s nim setrit.

No, nemyslim si, ze jsi z faktu vyvodil spravne vysledky. Byl jsem zamestnanec ISP, o IP adresy jsme zadali tak, jak jsme je potrebovali, a nikdy se nestalo, ze bychom je nedostali. Cena, kterou za IP adresu plati ISP (i kdyz oficialne se vlastne za IP adresy nic neplati) je take pomerne jasne dana.

Domnivam se, ze Oskar, T-Mobile a dalsi nemaji verejne adresy proste proto, ze pridelovani "verejnych" adres je proste administrativne narocneji. Musite RIPE hlasit, komu jste je pridelili, musite pro ne vest a udrzovat reverzni zaznamy, nemuzete si vymyslet bloky jake chcete, ale muzete pouzivat jen ty pridelene a tak. To vysvetluje, proc jsou adresy U NEKOHO drahe - nekteri ISP se proste rozhodli, ze tohle vsechno je strasne moc prace, za kterou je treba si nechat zaplatit. Povsimni si, ze u jinych ISP dostanes verejnou adresu naprosto samozrejme a bez vlastniho priplatku - to samo o sobe ukazuje, ze kdo chce, adresy ma. Zrejme jde o ISP, kteri maji logistiku verejnych adres vyresenou, nepripada jim slozita, nebo jim to pripada jako samozrejmost (popravde receno, bez verejne IP adresy lze jen velmi tezko hovorit o tom, ze poskytuji pripojeni k Internetu - poskytuji pripojeni k nekterym jeho sluzbam, ale k Internetu rozhodne ne).

Nevim, za koho vlastne mluvis. Ale jestli tvuj ISP tvrdi, ze nemuzes mit vic adres, protoze on sam vic neziska, pak jsou moznosti jen dve - bud' lze, nebo prostorem plytva (t.j. dostal uz spoustu adres, u prilis velke casti z nich dosud neoznamil, ze by je nekomu pridelil a presto chce dalsi). A jestli ti je poskytnout chce, ale nemuzes si je dovolit financne ? Zkus najit jineho ISP - tenhle te musi strasne brat na hul ...

S tím zcela souhlasím. Před činností některých trojských koňů spočívající v připojování se do Internetu mě NAT ochrání, ale firewall nakonec taky.

Neni uplne neobvykle, ze v "bezne reci" se pouzivaji terminy shodne s nekterym oborem lidske cinnosti v jinem vyznamu, nez jak ho chapou odbornici na tento obor (ktery ten termin pouzivali daleko driv, nez se o nem "lid obecny" vubec poprve dozvedel). Tady jsme na pude casopisu, ktery se stavi byti odbornym - tak bychom snad mohli pouzivat pojmy predevsim tak, jak se chapou v tomto oboru a nikoli tak, jak je chape uzivatel znalostmi oboru celkem nedotceny ...

Jinak bude nutne prakticky ke kazdemu clanky vytvorit obrovsky vykladovy slovnik pouzitych pojmu ...

Ehm pres ploT :-)))

Podle http://www.ripe.net/rs/ipv4-ncc-20031030.html nejenže IPv4 adresy nedošly, ale vystačí na mnohem více než 2 roky.

Podle tohoto dokumentu je ještě k dispozici 91 bloků /8, přičemž za poslední 4 roky se přidělovaly IPv4 adresy tempem 5,5 bloku v roce 2001, 4,25 bloku v roce 2002 - při tomto tempu 5 bloků za rok by IPv4 adresy vystačily ještě na 18 let.

Výpočty na http://www.potaroo.net/ispcolumn/2003-07-v4-address-lifetime/ale.html ukazují na to, že IPv4 adresy vystačí do let 2019 - 2029.

RIPE přidělí ISP tolik IPv4 adres, kolik si zdůvodní, my jsme nikdy u žádného ISP neměli žádný problím se získáním 2xC.

Tady je popsáno, jak se IPv4 adresy přidělují:
http://www.ripe.net/ripe/docs/ripe-288.html

No a kolik IPv4 adresy stojí? Podle velikosti platí LIR ročně RIPE členský poplatek ročně:
EXTRA SMALL 2,000 EUR
SMALL 2,500 EUR
MEDIUM 3,500 EUR
LARGE 5,000 EUR
EXTRA LARGE 6,750 EUR

Kompletní přehled, který ISP spadá do jaké kategorie je na http://www.ripe.net/ripencc/mem-services/general/indices/CZ.html a třeba ten Inway je small, má 24576 IP adres, tedy cena 1 IP adresy placená RIPE vychází na nějakých 3,50 Kč ročně.

Jiná věc jsou ovšem ostatní náklady okolo, jak píše Dan Lukeš.

Dobry den,
NATizace Internetu je velmi hloupe spojeni. Internet zadnou NATizaci netrpi. Uzivatele, kteri nemaji globalne dostupnou IP adresu proste soucasti Internetu nejsou.

Koordinace Internetu neni zadny mrtvy system, jde o zivou strukturu, ktera je schopna na pozadavky reagovat. Paklize by doslo k enormnimu rustu pozadavku na IP adresy, zcela jiste by bylo nalezeno nekolik opatreni, ktera by umoznila problem vyresit. Krome zintenzivneni praci na IPv6 (nejvetsi momentalni deficit spatruji v mobilite), ktere by bylo v zajmu komunity i velkych vyrobcu, jde treba o prerozdeleni adresniho prostoru. Nekteri RIR dlouhodobe vyhrozuji, ze budou velmi tvrdi, ale pokud vim, tak treba drzitelu prefixu /8 se zatim zadna opatreni nedotkla.

Uzivatele, kteri nemaji globalne dostupnou IP adresu proste soucasti Internetu nejsou.

To je sice z určitého úhlu pohledu pravda, ale značná část veřejnosti ten pocit rozhodně nemá. Mnoho firem vám pod pojmem "připojení k Internetu" nabídne právě jen přístup zprostředkovaný přes NAT. To tedy v tom lepším případě, např. můj bratr je momentálně na studijním pobytu v Německu a liboval si, jak tam má skvělé připojení k Internetu. Teprve po chvíli vyptávání jsem zjistil, že ve skutečnosti má jen přístup na HTTP proxy a i s maily může pracovat jen přes webové rozhraní. A když tito uživatelé zatouží po něčem navíc, těžko se jim vysvětluje, že to jejich připojení není tak úplně připojení.

Protože je v mnoha případech přímá end-to-end konektivita nežádoucí z ryze praktických důvodů. A nakonec i zbytečná.

A z praxe vím naprosto spolehlivě, že ti, kdo považují end-to-end konektivitu za nežádoucí a zbytečnou, budou první, kdo za mnou přijdou s tím, že jim nefunguje ICQ/IRC/MSN/FTP/... Ve většině případů to jde více či méně sloužitě obejít, ale jsou to mnohdy dost krkolomné konstrukce, které platíme jako daň za to, že Internet už dnes nepropojuje jednotlivé počítače, ale menší či větší segmenty lokálních sítí.

Jinak dalším výrazným vlivem je HTTP 1.1 a virtual hosts.

To také (i když kvantitativně bych řekl, že je to výrazně menší faktor) a také to přínáší značné problémy. Kromě nekompatibility s původní verzí např. stačí od HTTP přejít k HTTPS a přestane to fungovat.

To je prostě kompromis mezi různými hledisky.

Přes nás je připojeno asi 20 firem a mají zcela plnohodnotný Internet s veřejnými IP adresami. Ze začátku chtěly skoro všechny firmy více veřejných adres pro svoje počítače. Všechny je dostaly a některé i takovou síť zprovoznily. Aniž bychom je jakkoliv ovlivňovali, tak dnes už včechny firmy mají pouze 1 veřejnou IP adresu + NAT.

A i s těmi veřejnými adresami je reálný bezpečnosní problém - mnohokrát už jsme řešili open relay na MS Exchange nebo Winroute, vyhackovaný stroj s linuxem, děravé IIS, přes které si nějaký hacker nainstaloval socks server a použil ho ke spammingu atd. To vede k zařazení celých bloků adres na blacklisty a problém s maily atd...

Jako reálně fungující řešení vidím přerušit onu end-to-end konektivitu a použít aplikační proxy - ne že by tam problém s bezpečností nebyl, ale alespoň je na jednom místě.

Teoretický ideál je správce v každé firmě, ale některé menší firmy si prostě nemůžou dovolit opravdu dobrého specialistu, který bude průběžně kontrolovat zabezpečení a updaty všech strojů.

Nepřu se o terminologii. Chci hlavně poukázat na to, že je tu obrovská skupina těch, kdo jsou přesvědčeni (a přesvědčováni), že jsou připojeni k Internetu, ale ve skutečnosti nejsou. A dokud se nepodaří této skupině jasně vysvětlit ten rozdíl, těžko očekávat, že veřejnost pochopí nutnost (nákladného a komplikovaného) přechodu na IPv6. Nevím jak ostatní, ale mne třeba děsí to, jak je nědo tak jednoduchého jako starý dobrý talk implementováno v dnešních programech tohoto typu. A ještě více mne děsí představa, že by se měl vývoj i nadále ubírat tímto směrem.

Proto je podle mne nutné jasně vysvětlovat, že to, co dnes mnoho firem (ať už je to kabelovka, ADSL nebo cokoli jiného) nabízí jako připojení k Internetu, jím ve skutečnosti není. Takže svým zjednodušeným (a nadsazeným) výrokem, že IPv4 adresy už ve skutečnosti došly, jen si toho nikdo nevšiml, jsem myslel to, že kdyby měli být skutečně připojeni všichni ti, kdo si myslí, že jsou, jsme už nějakou dobu v problému až po uši. A nebo ještě jinak: že NAT sice zabránil vyčerpání adresního prostoru IPv4, ale že je přinejmenším sporné, zda je to dobře.

Juj to jsem to hezky rozproudil.

Z bezpecnostniho hlediska nevidim, v bezne firme, rozdil mezi NAT a firewallem, ktery je postaveny tak, ze dovnitr pusti spojeni jen ve stavu ESTABLISHED a RELATED. Stejne i na tom NATu forwardujete dovnitr porty kvuli poste a podobnym vecem.

Nerikam, ze musite tem lidem dat verejne adresy, aby byli vystrceni na "holy" internet, pouze ze je mozne pouzivat ve vnitrni siti s vyhodou verejne adresy a tam kde je ted NAT mit firewall.

Aplikacni proxy je uz o necem jinem, ale NAT neni aplikacni proxy. Pouze nektere OS, resp. vetsina co umi NAT, ma specialni moduly, ktere osidi ruzne protokoly, aby sly NATovat a deNATovat.

Prichani nam VoIP, kteremu dost fandim, a uz jsem zvedavy, jak se na kazdy NATujici server bude instalovat VoIP barana, aby byli dosazitelni uzivatele vevnitr.

Cele je to do urcite miry blbost...
Kdyz byl strach, ze dojdou IP adresy, bylo nalezeno ucinne reseni v podobe NATu - koneckoncu vcelku logicky - ne vsude jsou treba unikatni adresy, je spousta a spousta mist (samozrejme, ze je treba zachovavat rozumnou miru), kde je zadouci pouzivat privatni adresovani a do Internetu chodit pres brany s NAT atd...
A tak hosi, co radi vzdycky rozvrtavaji neco, co funguje, dali hlavy dohromady a vymysleli novy duvod - aby i zachod mohl byt on-line, potrebujeme prechod na novy protokol, protoze zachodu je prece mnoho (!!) A opet probiha boj o to, zda se, zbytecne, vyhodi spousta penez a casu.
Nemam nic proti myslence a navrhu IPv6. Ale kdybych o tom mohl rozhodnout :-), budoval bych na jeho zaklade pouze nove site a vubec bych se nesr... do tech stavajicich.Jejich vzajemne propojeni (stavajicich + novych) prece neni problem. Vyvoj by pak sam rozhodl, zda by byly nove site pro uzivatele zajimave. Povazuji za blbost tlaky, aby jednou, presel na IPv6 kazdy. Nejen blbost, ale primo sabotaz...

Doufam, ze ten "prechod" bude trvat jeste hodne dlouho.

No, ze by ty tlaky byly na stavajici site nejak silne jsem si nevsiml. Jeden tam ale je a s tim budete jen tezko neco delat - pokud jste na IPv4-only siti tak proste nemate sanci zaadresovat obecny IPv6 stroj. V IPv4 proste neni dost adres, aby to slo. A tak muzete zustat IPv4-only siti - ale musite pocitat s tim, ze dostupne pro vas budou v obecnosti jen stroje, ktere se hodlaji specialne zabyvat tim, abyste na ne mohl. Jinam moct nebudete.

Na druhou stranu, nevypada to, ze by v dohledne dobe bezne vznikaly IPv6-only site, takze to nebezpeci vam nehrozi nijak akutne ...

Kazdopadne, je to pouze na vasem rozhodnuti a nikdo vas urcite nenuti (tedy, mozna, krome vaseho sefa a/nebo uzivatelu) ...