Hlavní navigace
Lupa.cz  »  Kde vzít IPv6 tunel

Kde vzít IPv6 tunel

Pavel Satrapa
27. 10. 2011
Doba čtení: 7 minut
10 nových názorů

Sdílet

Pokud by se vám zachtělo vyzkoušet nový internetový protokol na vlastní kůži, budete řešit ryze praktický problém: kde vzít připojení. Jelikož poskytovatel nabízející nativní IPv6 připojení je stále velmi vzácným zbožím, pravděpodobně budete muset svá data tunelovat IPv4 infrastrukturou. Podívejme se, jaké jsou v takovém případě vaše možnosti.

Základní myšlenka tunelování je jednoduchá: IPv6 paket se zabalí jako data do IPv4 paketu, ten se běžným IPv4 Internetem doručí na druhý konec tunelu, kde dojde k vybalení IPv6 a jeho odeslání dál – často nativní sítí, někdy však dalším tunelem. Tento princip se ovšem vyskytuje v celé řadě odrůd, lišících se jak svou podstatou, tak z ní plynoucími praktickými vlastnostmi. Pokusím se podat přehled těch nejpoužívanějších, jimiž lze počítač nebo síť připojit k IPv6 Internetu.

Teredo

Pokud se nechcete příliš namáhat a vaším záměrem je spíše nezávazné experimentování, bude asi nejlepší volbou Teredo. V modernějších odrůdách MS Windows je součástí systému, pro Linux či BSD stačí doinstalovatMi­redo. Pracuje obvykle způsobem plug&play. Ve Windows se spouští automaticky (takže ipconfig vám pravděpodobně ukáže běžící Teredo rozhraní), v ostatních systémech obvykle není potřeba nic konfigurovat, jen spustit Miredo.

Je navrženo zejména pro koncové stroje umístěné za NATem. Proto se snaží, aby NATem dokázalo co nejlépe projít. To ale zároveň vyžaduje vždy na začátku komunikace s novým cílem výměnu několika paketů otevírajících cestu v NATech, což rychlosti komunikace rozhodně nepřidá.

Výkon je obecně velkou slabinou Tereda. Pokud jej chcete o něco zlepšit, doporučuji změnit nastavení a používat Teredo server teredo.nic.cz provozovaný sdružením NIC.CZ, který je výrazně bližší, než implicitní servery. Objem provozu mezi klientem a serverem je sice malý, ale přesto nenulový. Ve Windows použijte příkaz netsh int ipv6 set teredo client teredo.nic.cz, pro Miredo upravte konfigurační soubor/etc/mi­redo.conf, konkrétně položku ServerAddress. Ani pak ale neočekávejte zázraky, měření obvykle ukazují přenosovou rychlost na úrovni 30–60 % rychlosti IPv4.

Další Achillovou patou je spolehlivost – podle měření geoffa Hustona téměř 40 % pokusů o navázání IPv6 spojení od Teredo klientů skončí neúspěšně. Operační systémy typicky berou Teredo jako poslední možnost a pokud jste připojeni touto technologií, obvykle preferují IPv4 před IPv6 (při nativním připojení to bývá naopak).

MS Windows jdou ale ještě o krok dál. Pokud váš stroj nemá nic lepšího než Teredo připojení, v DNS se nehledají IPv6 adresy (záznamy typu AAAA). Takže například pokus navštívit ipv6.google.com skončí chybou „pro jméno neexistuje adresa“. Připojení Teredem vám ve Windows doručí IPv6 sice zcela bezpracně, ovšem připojení funguje tak napůl – jen když dostane IPv6 adresu, nebo explicitně oznámíte, že chcete komunikovat po IPv6 (ping -6 funguje i se jménem). Toto chování se sice dá změnit (do registru HKEY_LOCAL_MAC­HINE\SYSTEM\Cu­rrentControlSet\ser­vices\Dnscache\Pa­rameters je třeba přidat DWORD AddrConfigControl s hodnotou 0), ale to už od slibované bezpracnosti sklouzáváme k lokálnímu šamanismu.

Shrnutí klíčových předností a nedostatků Tereda by vypadalo zhruba takto:

pro proti
nezávislé na ISP
široce dostupné
jednoduše použitelné		 pomalé
nespolehlivé
jen pro jednotlivý počítač
vážná omezení ve Windows

6to4

Podobně jako Teredo, také 6to4 nestaví na pevných tunelech, ale vytváří je automaticky podle potřeby. Přesněji řečeno tuneluje samostatně jednotlivé datagramy a žádné (ani dočasné) informace o tunelech si neuchovává. Slouží k tomu speciální formát IPv6 adres, jež v sobě obsahují IPv4 adresu pro druhý konec tunelu (viz náš starší článek).

Na rozdíl od Tereda však 6to4 směřuje k připojení celé koncové sítě, nikoli jen jednoho počítače. Typicky by mělo být implementováno v jejím přístupovém směrovači, vyžaduje pevnou IPv4 adresu (která se promítne do IPv6 prefixu místní sítě) a rozhodně se neobejde bez konfigurace.

Problémem 6to4 je jeho silný sklon k asymetrickému směrování při komunikaci s nativním IPv6 a opět nízká spolehlivost (selhává kolem 15 % pokusů o navázání TCP spojení).

pro proti
nezávislé na ISP
připojení celé sítě		 nespolehlivé
asymetrické směrování

6rd

6rd je ochočené 6to4. Základní myšlenka je de facto stejná, ale místo divokých serverů pobíhajících kdesi v Internetu se všechny důležité komponenty nacházejí v režii jednoho poskytovatele.

Ovšem právě závislost na poskytovateli z něj činí zatím spíše hypotetickou možnost. Když jsem zkoušel hledat 6rd v doméně cz, našel jsem několik článků o tomto přechodovém mechanismu, rodinné domy,plynový revolver či horizontální zakružovačku (ať už to je cokoli), ale nenašel jsem ani jednoho poskytovatele Internetu. Nevylučuji, že nějací existují. Ovšem zdaleka se nejedná o široce dostupnou možnost.

pro proti
konzistentní chování
poměrně spolehlivé
připojení celé sítě		 závisí na ISP
(a poskytovatelé nejsou)

Tunel servery a brokery

Nejklasičtější a nejstarší formou tunelování jsou statické tunely, propojující pevně danou dvojici adres. Jelikož je tunel neměnný, má sice předvídatelné chování, ovšem jen málokdy leží topologicky optimálně na cestě mezí vámi a druhou stranou komunikace. Statické tunely proto obecně inklinují k většímu zpoždění.

Jejich vytvoření se dá s někým dvoustranně dohodnout, pro veřejnost jsou ale nejzajímavější volně dostupné tunel servery a brokery, které umožňují snadno navázat tunel libovolnému zájemci. Pokud je mi známo, neexistuje žádná specificky domácí služba tohoto typu. Pro naše uživatele tedy přichází v úvahu nejspíše jeden ze tří zavedených globálních poskytovatelů:

  • Freenet6 původně vznikl samostatně, později byl ovšem zařazen do společné platformy označované jako gogo6. Nejsnadněji se připojíte prostřednictvím specializovaného programu gogoCLIENT, který vytvoří tunel pro váš počítač. Jako jediná ze zmiňovaných služeb nabízí i anonymní režim, kdy si nemusíte zřizovat uživatele a přihlašovat se, jednoduše spustíte gogoCLIENTa, ponecháte jej v implicitním anonymním nastavení a dostanete tunel. (Ovšem není to tak docela pravda, protože k získání klienta se musíte zaregistrovat do sítě gogoNET.) Po serióznější práci je záhodno si pořídit účet ve Freenet6 (tedy druhý účet), což vám umožní získat prefix délky 56 bitů pro svou síť a doménové jméno.

    Nevýhodou sítě Freenet6 je malý počet serverů. V našem případě budete připojeni přes Amsterdam, což neprospěje zejména komunikaci s místními zdroji.

  • SixXS má z našeho pohledu zcela zásadní výhodu – tato služba jako jediná nabízí tunel server v České republice (jeho provozovatelem je společnost IGNUM). Komunikace s uživatelem je ale nejméně příjemná ze všech tří alternativ. Pravděpodobně se jedná o úmysl, jehož cílem je odradit náhodné zvědavce a zabývat se jen vážnými zájemci. Vaše žádosti (pro začátek o vytvoření účtu a následné založení tunelu) proto nejsou posuzovány automatem, ale podléhají ručnímu schvalování. Vše se platí ve virtuální měně (ISK), kterou získáváte za své aktivity. Opět je k dispozici specializovaný klientský program nazvaný AICCU, obejdete se ale i bez něj.

    V kopřivovém kabátku ovšem dostáváte kvalitní jádro. Tunel server je velmi dobře dostupný z NIX.CZ, takže představuje jen minimální zajížďku v cestě datagramů k cíli. Z hlediska parametrů konektivity je SixXS jednoznačně nejlepší volbou, zejména při přístupu k domácím zdrojům, kdy vás ušetří okružní cesty přes půl Evropy.

  • Hurricane Electric je světovým poskytovatelem připojení a hostingových služeb. Provozuje vlastní globální infrastrukturu a pyšní se, že má největší IPv6 páteř na světě. Pokud se tunel serverů týče, nachází se někde mezi předchozími dvěma konkurenty. Jejich síť je hustší než v případě Freenet6, ale do České republiky nezasahuje. Také uživatelským komfortem představuje střední cestu: schvalování žádostí vyřizuje rychle robot a jste omezováni méně než virtuálními platbami SixXS, ovšem nepovolí vám vytvořit tunel, pokud vaše strana neodpovídá na ping (pokud váš poskytovatel blokuje či omezuje ICMP, může se jednat o těžko překonatelnou překážku). Nenabízí žádný uživatelský software, svůj konec tunelu si musíte nakonfigurovat pěkně sami (poradí vám, jakými příkazy to zajistit).

Jak vidíte, detaily se liší, nicméně statické tunely poskytované tunel servery mají obecně následující vlastnosti:

pro proti
konzistentní chování
poměrně spolehlivé
připojení počítače i sítě
nezávislé na ISP		 topologicky nebývají optimální
závislé na provozovateli služby

Co použít?

Jak už to v reálném světě bývá, neexistuje zcela bezproblémový tunelovací mechanismus, který by se dal doporučit všem bez výjimky. Vždy záleží na tom, jaké jsou vaše cíle a požadavky.

Pokud se chcete jen nezávazně porozhlédnout, lze doporučit anonymní režim u Freenet6, případně Teredo (zejména pro uživatele jiných systémů než MS Windows). Dá to jen malou práci, kvalita sice má rezervy, ale pro daný účel bude pravděpodobně dostačující.

Uvažujete-li o trvalejším připojení a váš poskytovatel připojení se k IPv6 nehlásí, je v našich podmínkách pravděpodobně nejlepší variantou připojení pevným tunelem prostřednictvím SixXS. Překousnete-li určitou uživatelskou nevstřícnost, odměnou vám bude spojení s parametry, jichž jiné alternativy nedosahují.

DT24

Mimochodem, pokud by vás ony parametry zajímaly, nejpřívětivější formu prověření a porovnání IPv4 a IPv6 připojení vašeho stroje nabízí ipv6-test.com a jeho „speed test“. Pro měření přístupu k domácím zdrojům pak doporučuji servery provozované CESNETem, které umožňují otestovat odděleně, nicméně srovnatelně IPv4 a IPv6.

Nativnímu připojení se jakékoli tunely samozřejmě rovnat nemohou, ale mohou posloužit jako provizorní řešení v situaci, kdy ryzí IPv6 není k mání.

Vstoupit do diskuse (10 názorů)
  • Našli jste v článku chybu?

Byl pro vás článek přínosný?

Líbí
Nelíbí

Autor článku

Pavel Satrapa

Autor dělá nepořádek v příslovích, protože sítě nejen dělá, ale i učí a dokonce také řídí. Působí na Ústavu nových technologií a aplikované informatiky na Technické univerzitě v Liberci. Píše knihy.

Témata:

V naší síti IPv6 používáme a podporujeme, takže u nás není vhodné vypnout IPv6 úplně. Třeba YouTube je přes IPv6 znatelně rychlejší. Pokud se někdo pohybuje mimo sítě s nativní podporou IPv6, tak s výjimkou experimentů s tunely nemá smysl mít zapnuto IPv6. Ale až se v některé z těchto sítí zprovozní IPv6, tak nevím kdo bude opět povolovat IPv6 na všech stanicích. Vypnutí pouze tunelovacích protokolů je elegantnější řešení.
lp
Digizone.cz

Komerční sdělení

Podcast

Mohlo by vás zajímat

Z našich webů

Dále u nás najdete

Microsoft oddělil dva populární programy

Tohle jsou věci, které nejspíš běžně děláte, a proto nehubnete

Za vším hledej síť

Přednostní přeočkování těhotných proti černému kašli vázne

Zrušte meetingy (dřív, než odrovnají vaši firmu)

Schopnost mluvit může zničit mrtvice i traumatický zážitek

„Papírové“ účetnictví zanikne do konce dekády

Bezpečnost je na prvním místě, ostatní priority pro IT se mění

Nové označení AI počítačů je (zatim) k smíchu

Psí spřežení neměla během covidu nárok na kompenzační bonus

Kofola, Pepsi, Vinea. Různí majitelé, ale stejné změny

Část lidí nedokáže říhat, po jídle nastávají hodiny bolesti. Léčba? Zatím jen experimentální

Čtvrtina Čechů na internetu riskuje a tvoří hesla z osobních informací

Microsoft zpoplatní aktualizace Windows 10. Cenovka není nízká

Oční červi, mozkožravé améby a další neobvyklí paraziti

Jste připraveni na firemní aplikace s podporou genAI?

Jaké změny přinese novela zákona v oblasti základních cílů a zásad?

Jsou drzí a neuznávají šéfa. Mýtus nebo pravda o generaci Z?

Lékaři budou dávat dětem s nadváhou fitness náramek

Vyražený dech vás nezadusí. Horší jsou jiné následky nárazu do břicha

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).