IPv4 и IPv6

Я правильно понимаю, что на один IPv4 приходится несколько определенных IPv6? или это не так? и Что для определенного IPv6, можно сказать какой один IPv4 ему соответствует?

Если, обобщённо ответить то «нет, да, нет». Разные адреса могут назначаться одному сетевому интерфейсу, но это не значит, что они связаны между собой.

Вот у меня есть сервер, на нем несколько сайтов, которые имеют один и тот же IPv4, Apache умеет для каждого сайта отдавать соответствующий контент через соответствующий VirtualHost прописанный в httpd.conf. Как при этом быть с IPv6?

Точно также? Протоколу HTTP не важно поверх чего работать: IPv4 или IPv6.

Те, кто сидят только на IPv6, смогут попасть на определенный сайт, у которого прописан только IPv4?

Судя из формулировки вопроса не смогут.

IPv6 клиенты не могут подключаться к IPv4 ресурсам и наоборот. Никак.
В стандарте лишь описаны возможные варианты отображения адресного пространства IPv4 на IPv6.
Но чтобы возможность соединения возникла, где-то в IPv6-сети должен быть специально обученный сервер/маршрутизатор, который будет разбирать IPv6 пакеты и собирать из них IPv4 пакеты, и, соответственно, наоборот. В 99% IPv6-сетей такого нет.

Тогда как сейчас работает IPv6 совместно IPv4? Я по логам вижу, что ко мне на сервер пришел посетитель, у которого апач определяет IPv6, который записывает в логи. Я даже не знаю, какой контент ему отдал апач. Или посетитель попадает ко мне на сайт через IPv4? но отдает свой IP, как IPv6?

Ведь для того, чтобы мой сервер отдал правильный контент для определенного сайта, то я должен прописать через VirtualHost не только IPV4, но и IPv6? Я попытался определить у своего сайта Ipv6, но не смог, видимо днс для данного домена настроен только на IP4. Также, попробовал определить IPv6 адрес гугла:

ping -6  google.com
ping: connect: Сеть недоступна

Причем тоже самое и на домашнем компе и на сервере, где ipv6 включен.

Стоит ли вообще переживать из-за неправильной настройки IPv6 сейчас или эту технологию еще нескоро все будут использовать?

Тогда как сейчас работает IPv6 совместно IPv4?

Список адресов в DNS прописывается. Там модно прописать несколько адресов одновременно IPv4 и IPv6.

Apache

Выкинь это старьё из 90-х, уже 15 лет как есть nginx.

Как при этом быть с IPv6?

Всё так же. Можно назначить хост ipv6-адресу.

Те, кто сидят только на IPv6, смогут попасть на определенный сайт, у которого прописан только IPv4?

Не смогут, но они не смогут ещё много всего другого. Если кратко, то те, у кого «только ipv6», считай, не имеют полноценного подключения к интернету, а только пародию на него. Поэтому забей на них. И вообще забей на ipv6, он не нужен.

Я понимаю, что сейчас промежуточная стадия, когда полностью на IPv6 не перешли, но и еще не отказались от IPv4

Нет. Сейчас стадия «адепты ipv6 пытаются его протолкнуть в массы, но ещё не бросили эту глупую затею». От ipv4 никто отказываться не собирается, это основной интернет-протокол как был так и останется.

Я правильно понимаю, что на один IPv4 приходится несколько определенных IPv6?

Нет. У компа может быть список ipv4 адресов и список ipv6 адресов. Друг с другом эти списки никак не связаны. Обычно у компа есть «список ipv4 адресов» из ровно одного адреса, и пустой список ipv6 (нет адресов).

Что для определенного IPv6, можно сказать какой один IPv4 ему соответствует?

Нет, см. выше. В общем случае никакого соответствия нет.

Например, если я отключу на своем сервере IPv6, то те, кто используют IPv6 смогут войти на мои сайты на моем сервере? или нет?

У всех нормальных людей есть ipv4, а на остальных забей.

Однако для 443 порта IPv6 остался:

Подозреваю что тут дело не в апаче а в линуксе, который 0.0.0.0 обобщает на оба вида адресов. Если хочешь только v4 то либо пропиши настоящий адрес, либо закрой v6 файрволлом.

Нет. Сейчас стадия «адепты ipv6 пытаются его протолкнуть в массы, но ещё не бросили эту глупую затею». От ipv4 никто отказываться не собирается, это основной интернет-протокол как был так и останется.

Спасибо большое, за развернутый ответ. Просто наткнулся сегодня на статью, что люди закрывают IPv6 на сервере, из-за возможных уязвимостей. Полностью отключать IPv6 я побоялся, т.к. вдруг после этого ssh работать не будет и потеряю доступ к серверу, и решил отключить приложения, которые используют IPv6

что люди закрывают IPv6 на сервере, из-за возможных уязвимостей

Чушь.

отключать IPv6 я побоялся, т.к. вдруг после этого ssh работать не будет и потеряю доступ к серверу,

Не боись, если нету цели поддержки ipv6 - выключай смело.

Просто наткнулся сегодня на статью, что люди закрывают IPv6 на сервере, из-за возможных уязвимостей.

Они пишут, эти люди, как они сканируют IPv6 на уязвимость?

И вообще забей на ipv6, он не нужен.

Ничё себе. А как же быть с тем, что IPv4 адреса закончились? И, в частности, Amazon уже подворовывает адреса из зареревированных диапазонов адресов?

Ничё себе. А как же быть с тем, что IPv4 адреса закончились?

А как ipv6 с этим поможет? О_о Это сработает, только когда ipv6 станет покрывать 100% интернетов, а ipv4 будет пережитком прошлого. Сейчас же ситуация строго наоборот, поэтому ipv6 адреса, пусть и бесконечной емкости никак не покрывают 100% доступности.

кстати, а что сообщество думает на счет вот этого поделия/костыля - http://www.litech.org/tayga/ ?

А как же быть с тем, что IPv4 адреса закончились?

NAT и HTTP hostname.

Костыль же это.

Ещё напомню что IPv6 угрожает приватности пользователей потому что с ним любого пользователя сети можно будет однозначно идентифицировать кем угодно безо всяких СОРМ.

NAT и динамические IPv4 адреса в значительной степени защищают приватность пользователей от недоброжелательных сайтов.

любого пользователя сети можно будет однозначно идентифицировать кем угодно… динамические IPv4 адреса … защищают приватность пользователей от недоброжелательных сайтов

А, сейчас, фингерпринтинг и с IPv4 работает.

«Интернет протокол» и не должен предоставлять приватность. Вася ты его с тором попутал.

А, сейчас, фингерпринтинг и с IPv4 работает.

Он по другим каналам работает, а не по IP адресу. Эти каналы закрываются если использовать правильные настройки браузера.

«Интернет протокол» и не должен предоставлять приватность.

IPv4 предоставляет приватность, а IPv6 – нет. Значит второй не нужен. Если IPv6 получит распространение, то всем людям могут выдать IPv6 адрес вместо номера паспорта и обязать в сеть заходить с него. Идеальный цифровой концлагерь.

Вася ты его с тором попутал.

Избыточные сущности понижающие скорость сети тоже не нужны.

Эти каналы закрываются если использовать правильные настройки браузера

Варианта не посещать недоброжелательные сайты нет? )

Идеальный цифровой концлагерь.

Интернет-Банк знает мой адрес регистрации, интернет-магазины, службы доставки и агрегаторы такси знают мой адрес проживания и т.д. и т.п. Зачем мне «приватный» IP-адрес?

Рассказы про закончившиеся адреса уже больше 10 лет слышны. Закончились бесплатные адреса (раньше их выдавали бессрочно и без какой-либо значимой оплаты, даже разово). Адреса по рыночной стоимости не закончились и не закончатся, просто стоимость аренды будет расти. Пока что она всё ещё очень мала.

И, в частности, Amazon уже подворовывает адреса из зареревированных диапазонов адресов?

Это как?

Варианта не посещать недоброжелательные сайты нет? )

Нет. На недоброжелатеньных сайтах может быть важная информация (Google и т.п.).

Интернет-Банк знает мой адрес регистрации, интернет-магазины, службы доставки и агрегаторы такси знают мой адрес проживания и т.д. и т.п.

Подавляющая часть сайтов которые я посещаю не знают кто я и где. И посещаю я их без логина.

Зачем мне «приватный» IP-адрес?

Чтобы на ЛОРе писать например. Или чтобы искать в Google, смотреть Youtube и т.п. без трекинга.

IPv4 предоставляет приватность, а IPv6 – нет.

ipv6 не исключает NAT и динамические адреса, немножко с андроидом только есть проблема из-за неподдержки DHCPv6.

ipv6 не исключает NAT и динамические адреса

Только у провайдера меньше мотивации делать NAT и динамические адреса, а в IPv4 это техническая необходимость.

IPv4 предоставляет приватность

Нет не предоставляет. Товарищ Майор идёт к твоему провайдеру и узнает кто и когда с данного IP-адреса:порта в данное время сидел. Провайдер всё знает, он может и на сторону чего сливать. Нужна приватность - используй «избыточные сущности понижающие скорость сети».

Не совсем аргумент. Технически, провайдеру достаточно 1го /64 + NAT. И вот у него уже рабочий ipv6. Не самая сложная задача.

Товарищ Майор идёт к твоему провайдеру и узнает кто и когда с данного IP-адреса:порта в данное время сидел.

Далеко не у всех сайтов есть доступ к товарищу майору и данным СОРМ. Скажем админ ЛОРа не имеет доступ к этой информации и не может узнать кто я и где.

Я всё понял, просто в гайке всё настолько печально, что проще заниматься отрицанием, чем разгребать сетевой стек.

Аргументы по существу кончились?

А какие могут быть аргументы против неуловимого джо? Я пользуюсь ipv6 и получаю все плюсы белого адреса. Быстрый коннект, меньший пинг, адекватно работающий пиртупир, в том числе и торренты качаются быстрее за счёт ipv6-пользователей. Могу хоть сервер у себя в сети поднять с белым адресом без использования васян-костылей. А адресов так много выдают что и века не хватит отсканировать мою подсеть.

PS у тебя фингерпринт больше за счёт того, что ты один из десяти неуловимых джо на гайке, тебе никакой айпи не поможет

PS у тебя фингерпринт больше за счёт того, что ты один из десяти неуловимых джо на гайке, тебе никакой айпи не поможет

Я в интернет выхожу в основном с планшета на Windows 10. Да и в Haiku можно настроить чтобы никто не узнал что зашли на сайт с Haiku.

В 99% IPv6-сетей такого нет.

Префикс 2002::/16 не анонсируется?

то апач не запускается с ошибкой:

Если 443 прописан в VirtualHost, то там и надо прописывать 0.0.0.0.

у которого апач определяет IPv6

Какой адрес? Может это localhost или localnet. Если вам не выделяли ipv6 адрес, то его у вас и нет, есть только локальные. Если вы не создавали AAAA запись в DNS, то вашего сайта и нет в ipv6 сети.

Я даже не знаю, какой контент ему отдал апач

В смысле? Ваш сервер не пишет в лог запрос совсем, или только для ipv6?

Ещё напомню, что это так называемый FUD.

Ничто не мешает провайдеру выдавать динамические префиксы IPv6 в отсутствие явного запроса от пользователя на иное поведение (мой так и делает, например, да и подавляющее большинство других провайдеров тоже). Ничто не мешает конечным ОС использовать IPv6 privacy extensions для рандомизации конечной части адреса. Результат с точки зрения прайваси неотличим от святого IPv4 NAT.

Ничто не мешает конечным ОС использовать IPv6 privacy extensions для рандомизации конечной части адреса.

Хорошо бы еще брандмауэры на конечных ОС научились фильтровать пакеты по типу ipv6 адреса, временный/постоянный, stateful/stateless и т.д. А тосейчас либо правило на интерфейс, либо на каждый конкретный адрес.

Результат с точки зрения прайваси неотличим от святого IPv4 NAT.

Случай так называемого вранья

1. Зачем?
2. Как минимум на первый взгляд технических препятствий не вижу: разные типы v6-адресов вполне себе можно отличить друг от друга просто по внешним признакам (fe80::/10? LLA. fc00::/7? ULA. 2000::/3? Global. С обратной стороны, interface identifier таким же образом разбирается)

Поясни.

О, привет. Поговорим о парадигмах?

всем людям могут выдать IPv6 адрес вместо номера паспорта и обязать в сеть заходить с него

Да скорее бы уже. Я давно мечтаю о возможности узнать, кто именно в моих интернетах пишет всю эту дикую хероту. «IPv4 предоставляет приватность», боже ж мой.

IPv4 NAT это когда за одним внешним IP-адресом сидит несколько устройств, абонентов, целый район, хоть вся деревня. Естественно, у майоров есть таблица соответствия ip:port внутренним адресам в заданный момент время, но для рандомного сайта это неотличимо.

Как Privacy Extensions в IPv6 поможет добиться такого же результата? Учитывая, что это вообще про другое - просто рандомизация правых 64 бит адреса, на которые смысла смотреть нет, ибо ISP выдаёт как минимум /64 префикс на абонента.
Разумеется, без этого в правой части будет в открытом виде MAC-адрес, это конечно дебилизм (расстрелять надо того, кто предложил этот стандарт), вот только не имеет никакого отношения ни к «аналогу» NAT, ни даже к аналогу динамического адреса (если провайдер выделяет /64 не динамические)

в правой части будет в открытом виде MAC-адрес, это конечно дебилизм

А ещё хост, к которому подключаешься, увидит в открытом виде твой IP. Дебилизм!

Я рассматриваю случай, в котором за одним IPv4 сидит, условно, одна квартира. Полным эквивалентом такого случая в IPv6 является /64 или больший префикс, выданный на ту же самую квартиру, из которого устройства забирают себе адреса. Так понятнее?

Carrier-grade NAT — это настолько огромное у5.1анство, что этот случай я даже не хочу рассматривать (т. к. по моему (не)скромному мнению огромнейшие недостатки сидения за неподконтрольным тебе NAT-ом не перевешивают и не могут перевешивать никакие побочные эффекты в сторону прайваси).

Я пользуюсь ipv6 и получаю все плюсы белого адреса.

А мог бы пользоваться ipv4 и получать все плюсы полноценного белого адреса.

Ну и каша в голове, читай про модель osi, dns, sni

А мог бы пользоваться ipv4 и получать все плюсы полноценного белого адреса.

Мог бы. Но IPv4 закончились и бесплатно такими богатствами как белый IPv4 никто делиться не хочет. Но даже в этом случае пир-ту-пир будет через одно место, т.к. подавляющее большинство ipv4 интернет-пользователей сидит за всеми любимыми CG-NAT.

Ничто не мешает провайдеру выдавать динамические префиксы IPv6 в отсутствие явного запроса от пользователя на иное поведение (мой так и делает, например, да и подавляющее большинство других провайдеров тоже).

Может выдавать, а может и не выдавать. Евангелисты IPv6 вроде выступают за статические адреса. Разница IPv4 в том, что провайдер чисто технически не может не выдавать динамические адреса просто потому что статических на всех не хватает (статические адреса за отдельную плату).

Ничто не мешает конечным ОС использовать IPv6 privacy extensions для рандомизации конечной части адреса.

Я вроде тут уже рассуждал что изменяющуюся часть суффикса можно алгоритмически идентифицировать и игнорировать потому что у пользователя префикс всегда тот же самый и ни у кого другого такого префикса нет.

Если провайдер выдал статический набор адресов, то уже ничего не сделаешь для анонимизации кроме подходов вроде TOR то есть пропускания трафика через чужие узлы с чужими адресами.

Я вроде тут уже рассуждал что изменяющуюся часть суффикса можно алгоритмически идентифицировать и игнорировать потому что у пользователя префикс всегда тот же самый и ни у кого другого такого префикса нет.

Почему нет? Префикс 0000:ffff ни о чем не говорит, когда суффикс, это 1,84456181995723E+19 + 4096 вариантов.

бесплатно

Ну всё ясно, будешь любым мусором пользоваться лишь бы нахаляву. IPv4 стоит какие-то копейки в месяц даже по розничным ценам.

А с твоей логикой стоит вместо покупки хорошей еды в магазинах побираться на помойках - там же бесплатно.

Может выдавать, а может и не выдавать <…>

Разница IPv4 в том, что провайдер чисто технически не может не выдавать динамические адреса <…>

Ты пытаешься решать административную задачу техническими средствами, а когда у тебя планомерно не выходит, начинаешь критиковать техническое средство. Не надо так.

Я вроде тут уже рассуждал что изменяющуюся часть суффикса можно алгоритмически идентифицировать и игнорировать потому что у пользователя префикс всегда тот же самый и ни у кого другого такого префикса нет

Читай мой ответ выше.