Je zajimave ze " kyslikaci" co jsem si vsimnul zatim ale nesetri ....
bezne adsl modem je na verejne IP adrese ikdzy dinamicky pridelovane...
pak nemaji mit spotrebu....
ano zarizeni pribejva tedy i spotreba adres
ale myslim ze jeste vetsi motivaci je aby " velky bratr " mel dokonalejsi prehled o lidech kde co se deje.... a kdo co....
Při překladu zdrojové adresy se dá překládat i zdrojový port, z toho plyne že je reálně možné realizovat mapování zdrojových privátních IP adres na zdrojové veřejné IP adresy tak aby se minimalizovala (v podstatě skoro k nule) pravděpodobnost změny zdrojové veřejné IP adresy přidělované spojením z konkrétní privátní IP adresy.
Co se týká logování, to je na úrovni ISP i u obvklého malého NATu s jedinou veřejnou IP adresou běžný požadavek už dnes, žádná novota.
Přidejme k tomu ještě zajištění "high availability" neboli více zařízení které se navzájem jsou schopné automaticky zastoupit v případě výpadku a máme probrané v podstatě všechno co se skrývá pod pojmem Carrier Grade NAT.
Chci videt, jak bude takovy provider pripadne resit to, ze vice uzivatelu chce pristupovat ze stejneho portu na stejny server, a ze uz zaroven maji otevrena nejaka spojeni z nejake IP na jine servery ... to potom bude kazdy interni stroj viditelny do netu pod 10+ Ipcky ... a jeste vetsi sranda nastane, az to bude po tom providerovi nekdo chtit logovat ... to se z toho po..re.
Co do toho pletou dalsiho operatora? jakou to s tim ma souvislost?
Pokud aukci o kmitocty vyhraji stavajici operatori, ti uz maji IPv4 adres dost, cili se jich problem netyka, NATovat budou dal jako doposud.
Pokud vyhraje ctvrty operator PPF, pak sam zadne bloky IP doposud nema a od RIPE uz je nedostane. Stejne ale bude muset nakoupit konektivitu od nejakeho velkeho prekupnika typu GTS, Dial nebo UPC/Sloane a ti mu k nakoupene konektivite nejaky slusny blok IPv4 daji.
Od RIPE mozna dostane onen nouzovy /22 blok, nicmene se ctyrma Ceckama opravdu sit nepostavi.
Stejne si myslim, ze RIPEakum ta jedna /8 dlouho nevydrzi, to bude fofrem rozebrany.
S webem jako takovým to nesouvisí nijak. Technicky to bylo rozebráno tady, bohužel stránka se mi jeví momentálně zcela nedostupná.
Docela fajn navod na reseni techto problemu je na https://www.ipv6.cz/Jak_vypnout_IPv6#Opera.C4.8Dn.C3.AD_syst.C3.A9my . Overeno, funguje spolehlive a jednou provzdy.
Samozřejmě, mám podezření, že neví, o čem mluví :)
To je v případě státní správy skoro jistota. :-)
Já nedostupnost řeším jinou úžasnou prasárnou, na firewallu mám pro DST IPv6 prefix webserverů Justice a SYN pakety nastaveno, aby se klientovi vracel TCP reset.
Hmmm, to taky nezní špatně, musím vyzkoušet.
(Opera mě vůbec netrápí, tu jsem kvůli IPv6 odepsal už dávno - viz toto zábavné vlákno s mnoha památnými výroky jakéhosi "vývojáře" Opery - příspěvky od Eirik Byrkjeflot Anonsen.)
Of course, over the years since we implemented ipv6 support in opera for linux (back in 2002 or 2003, I think) we have generally moved towards trying to avoid using it. Ipv4 works pretty much everywhere, ipv6 still works almost nowhere. ... It does help that we suddenly discovered that there is an RFC on this. Pretty damn stupid of us not to have thought of that ourselves...)
Zatím jsem neměl chuť se s nimi dál hádat. Není na ně přímý kontakt, takže to je docela boj. Samozřejmě, mám podezření, že neví, o čem mluví :)
Já nedostupnost řeším jinou úžasnou prasárnou, na firewallu mám pro DST IPv6 prefix webserverů Justice a SYN pakety nastaveno, aby se klientovi vracel TCP reset. Většina systémů se s tím popere, jen Opera potřebuje dva reloady stránky.
Navíc většina spojení míří na port 80, kam můžeme nacpat transparentní proxy, že.
No, a konečně by někdo mohl ocenit tu rozbitost PKI, díky které vlastně kdekdo může implementovat transparentní proxy i na HTTPS a tím je definitivně po problému, protože v "základní" verzi připojení ostatní porty poskytovány nebudou (leda za příplatek), a tak není ani potřeba nic NATovat...
Jen kdyby to nebylo tak reálné. :-(
Naše aktuální měření nevykazovalo výrazné zpomalení provozu, byť víme, že v minulosti nebyla dostupnost ideální.
Prosím vás, a řekl jste těm zoufalcům, že to musejí zkoušet ze stroje, který má IPv6 konektivitu? :-)
Používáte IPv6? Přistupujete na Justici? Jak její nedostupnost řešíte?
Vlastní zónou na DNS serveru. Úžasné, co? :/
Pocet portu hraje roli jen u nekterych typu NATu (varianty cone NATu). Implementace NATu v Linuxu je tzv. symmetric NAT, tam porty nehraji moc roli - spojeni je identifikovano ctverici [sIP, sport, dIP, dport], takze ruzna spojeni ruznych uzivatelu mohou sdilet port na NATu, pokud jsou smerovane na jinou cilovou IP, prakticky tedy neni problem mit pres jednou IP NATovano treba 100k spojeni.
Pod timto honosnym nazvem skryva jedine. Cisco prelepujici nalepkama linuxove masinky kterezto dokazou NATovat az 1Mpps/1M spojeni.
".. pak mu na to oněch 1024 veřejných IPv4 adres stačit nebude.."
Ale to je kec.
Z ceho tak soudim? V celku obycejne moderni PC zvlada 500kpps/500k spojeni, vcetne presmerovani tech co nemaji zaplaceno, pro segment Pilsfree kde je 3000 uzivatelu (operator o 15k uzivatelich, 3gb NIX, zhruba stejne zahranici). Neni problem takto protahnout 4gbps, ale to neni zrovna v tomto kontextu relevantni udaj.
Ano, to znamena ze drtiva vetsina z 15k lidi se schovava za jednim Cckem. A zdaleka v cechah nejsou jedini, czfree-like operatori maji v oblibe takto "prasit".
Nevidim problem v tom aby i "profi" operator mel takovych masin plne 2 rackove stojany pro svych 100k uzivatelu.
Pod timto honosnym nazvem skryva jedine. Cisco prelepujici nalepkama linuxove masinky kterezto dokazou NATovat az 1Mpps/1M spojeni.
".. pak mu na to oněch 1024 veřejných IPv4 adres stačit nebude.."
Ale to je kec.
Z ceho tak soudim? V celku obycejne moderni PC zvlada 500kpps/500k spojeni, vcetne presmerovani tech co nemaji zaplaceno, pro segment Pilsfree kde je 3000 uzivatelu (operator o 15k uzivatelich, 3gb NIX, zhruba stejne zahranici). Neni problem takto protahnout 4gbps, ale to neni zrovna v tomto kontextu relevantni udaj.
Ano, to znamena ze drtiva vetsina z 15k lidi se schovava za jednim Cckem. A zdaleka v cechah nejsou jedini, czfree-like operatori maji v oblibe takto "prasit".
Nevidim problem v tom aby i "profi" operator mel takovych masin plne 2 rackove stojany pro svych 100k uzivatelu.
Zajímalo by mě kolik apokalyps v souvislosti s docházením adres nás ještě čeká. Silně to připomína zprávy o konci světa : http://www.novinky.cz/koktejl/249174-prorok-konce-sveta-se-omluvil-za-chybne-predpovedi-a-odesel-do-duchodu.html.
Naštěsti po těch 16 letech "přechodu na IPv6" to většina lidí už nebere vážně.
Ještě je jedna kategorie veřejné správy, která má IPv6 "tak napůl" - tedy v DNS publikuje AAAA záznamy, ale přístup není funkční (např. není dostupná IPv6 síť, nebo cesta trpí MTU discovery problémem). Naštěstí takových služeb není moc a většina správců reaguje na upozornění rychlou opravou.
Výjimkou je Justice.cz: web ministerstva spravedlnosti, dostupný na portal.justice.cz, je po IPv6 nepoužitelný. Načítá se pomalu, nebo vůbec, a to nezávisle na autonomního systému a typu připojení, ze kterých na justici přistupujete.
Ministerstvo úplně ignoruje fakt, že tím službu už poměrně široké veřejnosti znepřístupňuje (IPv6 má podle některých měření cca 0,6 % uživatelů, tj. desítky tisíc českých internautů).
Oficiální vyjádření zástupce ministerstva (ředitel odboru informatiky) ve zkratce je "víme o tom, ale hotfix neuděláme, musíte si počkat na konečné řešení". Detailně, pro zájemce:
"V současnosti se již realizují kroky k nápravě situace s rychlostí načítání portálu Justice.cz na IPv6, avšak řešení Vámi zmiňovaného problému je jen těžko oddělitelná část plánované modernizace infrastruktury.
Vzhledem k tomuto faktu není oprava možná ihned, neboť musí být dodrženy zákonné lhůty pro výběr dodavatele a realizaci řešení.
Vámi navrhnuté opatření (vymazání AAAA záznamu z DNS) není pro nás východisko vzhledem k nutnosti garantovat dostupnost serveru i na IPv6 (opět definováno zákonem).
Naše aktuální měření nevykazovalo výrazné zpomalení provozu, byť víme, že v minulosti nebyla dostupnost ideální.
Ujišťuji Vás tedy, že řešením problému se zabýváme a předpokládáme jeho odstranění v co možná nejkratší době."
Používáte IPv6? Přistupujete na Justici? Jak její nedostupnost řešíte?
Podle mě zásadní brzdou jsou v tuto chvíli poskytovatelé internetu a to především ti největší jako UPC a aspol. Lidi se začnou ptát po ipv6 serverech až ve chvíli kdy jim ten server nepojede. Do té doby je to každému šumák. A dneska stále 99,9999% lidí jede na ipv4 tak co řešit že.