LINUX.ORG.RU
ФорумAdmin

ipv6-туннель. Что сейчас модно?

 ,


0

4

Sixxs - RIP.

HE требует, что б у меня был белый ipv4-адрес (геморройно получать его у моего провайдера).

Что еще модно сейчас? Желательно, vpn/sixxs-like, т.е. без наличия публичного v4-адреса (за двойным NAT'ом я)

P.S. Географически - Чехия (устраивает выходная точка в западной европе).

★★★★★

Ответ на: комментарий от post-factum

Провайдер в далекой деревне.

Выбор тут мелкий. У одного двойной нат, у другого одинарный. Я хочу не зависеть от глюков белых динамических IP (которые можно у них получить, впринципе)

AngryElf ★★★★★ ()
Ответ на: комментарий от pekmop1024

ipv6 для чего? Что б без туннелей ходить туда, куда мне надо.

21-й век, нах. Вопрос надо ставить «какого чёрта вы еще ipv4 юзаете до сих пор?»

AngryElf ★★★★★ ()
Ответ на: комментарий от AngryElf

Что это за мифическое место такое, куда по ipv6 пускают? Даже ЛОР ipv4-only. Признайся сразу, что тебе ipv6-торренты нужны.

anonymous ()
Ответ на: комментарий от AngryElf

21-й век, нах.

Этот ваш ipv6 - эпическая ненужность в силу совершенно инопланетной реализации. Вместо того, чтобы просто расширить адресное пространство ipv4, изобрели наркоманское чудо, которое толком не фильтруется и не роутится в управляемом виде, зато форсится всюду, включая IoT, в результате куча стремных необновляемых by design вещей торчат сервисами в глобальную сеть и периодически становятся участниками ботнетов, вызывая боль у всех, кто понимает, что ipv6 в текущем виде - эталонное ненужно.

pekmop1024 ★★★★★ ()
Ответ на: комментарий от anonymous

Что это за мифическое место такое, куда по ipv6 пускают? Даже ЛОР ipv4-only. Признайся сразу, что тебе ipv6-торренты нужны.

Мне нужно из офиса попадать домой, из дома в офис, с физических хостов на виртуальные (без v4-адресов) и всё это - без пляски с туннелями и порт-маппингом.

AngryElf ★★★★★ ()
Ответ на: комментарий от pekmop1024

Вместо того, чтобы просто расширить адресное пространство ipv4,

Ну-ну, и каким боком? Заюзать неиспользуемые поля в ip-пакете? А роутерам и апликациям это кто обьяснять будет?

AngryElf ★★★★★ ()
Ответ на: комментарий от anonymous

Даже ЛОР ipv4-only.

$ host linux.org.ru
linux.org.ru has address 178.248.233.6
linux.org.ru mail is handled by 10 donkey.linux.org.ru.
$ host donkey.linux.org.ru
donkey.linux.org.ru has address 178.62.241.22
donkey.linux.org.ru has IPv6 address 2a03:b0c0:2:d0::122:8001

Если шо.

AngryElf ★★★★★ ()
Ответ на: комментарий от pekmop1024

которое толком не фильтруется и не роутится в управляемом виде,

Ого, эпик стори не осилил мануал

зато форсится всюду, включая IoT, в результате куча стремных необновляемых by design вещей торчат сервисами в глобальную сеть и периодически становятся участниками ботнетов, вызывая боль у всех, кто понимает, что ipv6 в текущем виде - эталонное ненужно.

Эти «все» - неадекваты, если видят причину в ipv6, а не в криворуких хипстерах.

v4, на данный момент, нужен только древнему кривому железу. Всё что хотя бы с экраном и парой кнопок, давно умеет v6. Проблема только в провайдерах и только в них.

AngryElf ★★★★★ ()
Ответ на: комментарий от Pinkbyte

LOR не на v6, я так понимаю, потому что хостится у таких же криворуких ребят, не понимающих, зачем он нужен.

AngryElf ★★★★★ ()
Ответ на: комментарий от AngryElf
dig -t AAAA linux.org.ru

; <<>> DiG 9.10.3-P4-Ubuntu <<>> -t AAAA linux.org.ru
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 50961
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1280
;; QUESTION SECTION:
;linux.org.ru.			IN	AAAA

;; Query time: 1 msec
;; SERVER: 127.0.1.1#53(127.0.1.1)
;; WHEN: Wed Sep 06 15:09:37 MSK 2017
;; MSG SIZE  rcvd: 41

Что-то не заметно

anonymous ()
Ответ на: комментарий от AngryElf

Ну-ну, и каким боком? Заюзать неиспользуемые поля в ip-пакете? А роутерам и апликациям это кто обьяснять будет?

Я говорю не о том, что весь ipv4-софт внезапно должен прозреть и узнать о новом адресном пространстве, а о принципиально неверной идеологии ipv6.

pekmop1024 ★★★★★ ()
Ответ на: комментарий от AngryElf

Ого, эпик стори не осилил мануал

Да все осилил. Просто оно идеологически неверное (когда за администраторов и пользователей решают, какоее адресное пространство использовать - это неверно, т.к. бесконтрольно).

Эти «все» - неадекваты, если видят причину в ipv6, а не в криворуких хипстерах.

Никогда не будет 100% надежного софта. Потом надеяться на то, что дырки в торчащих наружу сервисами девайсах периодически не будут приводить к массовым эпидениям, могут только малолетние дурачки.

pekmop1024 ★★★★★ ()
Ответ на: комментарий от pekmop1024

принципиально неверной идеологии ipv6.

Можно хотя б пару неверных принципов?

AngryElf ★★★★★ ()
Ответ на: комментарий от pekmop1024

когда за администраторов и пользователей решают, какоее адресное пространство использовать - это неверно, т.к. бесконтрольно

Так неверно или бесконтрольно? Кроме того, странно было бы, если б инженеры не решали за админов. «Технари лучше профессоров знают, с какой стороны дифуры решаются».

Потом надеяться на то, что дырки в торчащих наружу сервисами девайсах периодически не будут приводить к массовым эпидениям, могут только малолетние дурачки.

Вот есть две беды - NAT и дыры наружу. Конечно, проще огородится NAT'ом от дыр и сидеть в своем огороде. А можно рискнуть и перейти на другой уровень - к нормальной глобальной связности.

NAT своим существованием обязан толпе кривых технологий и протоколов, которые бы никогда не появились, или не использовались так массово, если бы NAT'а не было. Уже за одно это от NAT стоит отказаться.

С теми же IoT, проблема, опять же, не в ipv6, а в том, что ipv6 слабо распространён. Был бы он распространён шире, проблем было бы _меньше_, а не больше - все проблемы и дыры были бы закрыты гораздо раньше.

AngryElf ★★★★★ ()
Ответ на: комментарий от AngryElf

С теми же IoT, проблема, опять же, не в ipv6, а в том, что ipv6 слабо распространён. Был бы он распространён шире, проблем было бы _меньше_, а не больше - все проблемы и дыры были бы закрыты гораздо раньше.

И вы предпочитаете идти первопроходцем по овнам ради светлого будущего?

vaddd ★☆ ()
Ответ на: комментарий от AngryElf

Так неверно или бесконтрольно? Кроме того, странно было бы, если б инженеры не решали за админов. «Технари лучше профессоров знают, с какой стороны дифуры решаются».

Бесконтрольно и есть неверно. А твоя аналогия ложна и притянута за уши, ее обсуждать смысла не вижу.

А можно рискнуть и перейти на другой уровень - к нормальной глобальной связности.

Глобальная связность в формате «каждому устройству по адресу, доступному отовсюду» - это и есть постоянная угроза создания ботнетов. Потому что не бывает абсолютно надежного софта и быть его не может в принципе.

Правда, бывают малолетние дурачки, которые считают, что «все дыры можно залатать». И не замечающие ни опыт человечества за последние несколько десятилетий, ни элементарную логику - среди малолетних дурачков принято напрочь игнорировать то, что мешает им выстраивать картинку мира, существующего в их воображении.

pekmop1024 ★★★★★ ()
Ответ на: комментарий от pekmop1024

Глобальная связность в формате «каждому устройству по адресу, доступному отовсюду» - это и есть постоянная угроза создания ботнетов. Потому что не бывает абсолютно надежного софта и быть его не может в принципе.

По твоей логике, интернет вообще не нужен.

К слову, ботнеты на домашних роутерах уже были. Надо отобрать белые адреса у них?

AngryElf ★★★★★ ()
Ответ на: комментарий от vaddd

И вы предпочитаете идти первопроходцем по овнам ради светлого будущего?

Постоянно это делаю.

AngryElf ★★★★★ ()
Ответ на: комментарий от pekmop1024

Да ню, куда фаерволлы то делись? Что-то за NAT все так держатся, как будто он что-то даёт. Это вот реальный технологический луддизм. Странно что этот аргумент всплывает постоянно, несмотря на его абсурдность.

slapin ★★★★★ ()
Ответ на: комментарий от AngryElf

По твоей логике, интернет вообще не нужен.

Предьяви причинно-соедственную связь, на основании которой ты сделал такой вывод - а то еще не весь контингент ржет.

К слову, ботнеты на домашних роутерах уже были. Надо отобрать белые адреса у них?

Снова попытка притянуть за уши совершенно неподходящую аналогию. Роутер по своей природе не обязан светить никакие сервисы наружу, и по умолчанию вообще все подряд дропает. Попробуй еще раз.

pekmop1024 ★★★★★ ()
Ответ на: комментарий от slapin

Да ню, куда фаерволлы то делись?

И что ты будешь делать со своим фаерволом, когда адрес ipv6 у девайса может оказаться из какой угодно зоны, в том числе из той, которую нужно пропускать, иначе весь твой ipv6 развалится нахрен?

Что-то за NAT все так держатся, как будто он что-то даёт

Он дает контроль над адресным пространством и возможность решать, кто будет светить наружу порты, а кто нет.

pekmop1024 ★★★★★ ()
Ответ на: комментарий от pekmop1024

В догонку: средства фильтрации трафика ipv6 по сравнению с ipv4 крайне ограничены и бедны, но это не вина ipv6, просто еще не допилен софт. Что не отменяет ущербность ipv6 by design, впрочем.

pekmop1024 ★★★★★ ()
Ответ на: комментарий от pekmop1024

По твоей логике, интернет вообще не нужен.

Предьяви причинно-соедственную связь, на основании которой ты сделал такой вывод - а то еще не весь контингент ржет.

Окей, смотри:

Глобальная связность в формате «каждому устройству по адресу, доступному отовсюду» - это и есть постоянная угроза создания ботнетов.

Глобальная связь ipv4 есть уже. Ботнеты на роутерах есть уже. Куча девайсов с дырами (вебкамеры, например) доступны глобально уже.

Что поменяется с ipv6 принципиально? Девайсов станет больше?

Инвертируя, если глобальная связность с ipv6 не нужна ради защиты кривых устроств, то можно и с глобальной связностью ipv4 подумать - потому что кривых устройств с белыми адресами полным-полно. Соответственно, приходим к запрету интернета как такового - что б было безопасно.

Снова попытка притянуть за уши совершенно неподходящую аналогию. Роутер по своей природе не обязан светить никакие сервисы наружу, и по умолчанию вообще все подряд дропает. Попробуй еще раз.

Блин, чё ты несёшь?.. Роутеры с дырами есть _уже_. Что они там наружу светят - я не знаю, но их ломают и юзают для ботнетов.

AngryElf ★★★★★ ()
Ответ на: комментарий от pekmop1024

В догонку: средства фильтрации трафика ipv6 по сравнению с ipv4 крайне ограничены и бедны

Тебе лично какого фильтра в ip6tables не хватает?

AngryElf ★★★★★ ()
Ответ на: комментарий от pekmop1024

Короче подкрепи пример деталями, а то выглядит как нытьё и бред. Какие зоны? Почему я должен что-то пропускать что я не хочу? tcp и udp остались те же, в icmp немножко больше, но по сути ничего не поменялось.

slapin ★★★★★ ()
Ответ на: комментарий от AngryElf

ломают как правило саботированные производителем (с бакдорами) и с дефолтными паролями на морде (эти ломают изнутри через злобный сайтец или .exe скачанные пользователем).

slapin ★★★★★ ()
Ответ на: комментарий от AngryElf

Что поменяется с ipv6 принципиально? Девайсов станет больше?

Разница в том, что в случае с ipv4 это мисконфиг сети, а в случае с ipv6 так задумано by design. Ничего не напрягает?

Инвертируя, если глобальная связность с ipv6 не нужна ради защиты кривых устроств, то можно и с глобальной связностью ipv4 подумать - потому что кривых устройств с белыми адресами полным-полно. Соответственно, приходим к запрету интернета как такового - что б было безопасно.

Вот теперь ржут все, спасибо. Свою плашку «малолетний дурачок» ты получаешь заслуженно.

Что они там наружу светят - я не знаю

Ну я и говорю - ты нихрена в теме не понимаешь, зато требуешь, чтобы все были такими же дурачками, как ты. А ты, часом, не за Овального там? Ну, уж больно тип мышления похож.

pekmop1024 ★★★★★ ()
Ответ на: комментарий от pekmop1024

Глобальная связность в формате «каждому устройству по адресу, доступному отовсюду» - это и есть постоянная угроза создания ботнетов. Потому что не бывает абсолютно надежного софта и быть его не может в принципе.

Ipv4 с натами - это прошлый век, локалка глобального масштаба. Взгляните на вопрос с помощью аналогии. Вы едите на авто, заезжаете на паромы, мосты для переправ, стоите в на светофорах и т.п. А тут вы садитесь в какой-то гиперлуп и шмаляете данные напрямую нужному адресу. А то, что там проблемы с безопасностью, то они в головах у тех, кому есть что терять, наверное. Зачем вообще кредитки вводить с домашней дырявой винды для покупки неизвестно чего и потом ещё за потери денег сажать русских хакеров.

poshat ★★ ()
Ответ на: комментарий от AngryElf

дык самое забавное что ipv6 без nat можно роутить совсем дешёвым железом, никакого стейта, просто форварди пакеты - благодать! гигов рамы на стейты не нужно, stateless firewall всё зарулит (да и у stateful табличка будет маленькой) в итоге железка за $20 роутит гигабиты с сетью на сотни хостов с торрентами. Радость же!

slapin ★★★★★ ()
Ответ на: комментарий от slapin

Короче подкрепи пример деталями, а то выглядит как нытьё и бред. Какие зоны? Почему я должен что-то пропускать что я не хочу? tcp и udp остались те же, в icmp немножко больше, но по сути ничего не поменялось.

То есть ты предлагаешь делать локалки с управлением по белым спискам, грубо говоря. Это, блин, прямо шаг вперед по сравнению с нынешним вариантом «воткнул и забыл» - ну, если у тебя не параноидально-корпоративная среда, где по умолчанию все по белым спискам.

То есть ты на голубому глазу тут всем заявляешь, что все пользователи должны разбираться в настройках фаерволлов на уровне среднего эникея как минимум, чтобы при включении нового девайса в сеть у них все работало. Подсказать тебе, на чем эту мысль вертели как сами пользователи, так и производители железа? В результате мы имеем то, что все ipv6-compatible роутеры выставляют все наружу голой жопой. Всю, мать ее, сеть.

pekmop1024 ★★★★★ ()
Ответ на: комментарий от pekmop1024

Разница в том, что в случае с ipv4 это мисконфиг сети

Кто мисконфиг? Дырявые девайсы с белыми адресами?

а в случае с ipv6 так задумано by design. Ничего не напрягает?

Что задумано? Дырявые девайсы в RFC прописаны?

Вот теперь ржут все, спасибо.

Точно все? Может кто-то не ржёт?

AngryElf ★★★★★ ()
Ответ на: комментарий от poshat

Взгляните на вопрос с помощью аналогии

Еще один с аналогиями пришел. :)

А то, что там проблемы с безопасностью, то они в головах у тех, кому есть что терять

Ну да, давай тогда всех изнасилованных тоже обвиним в том, что они сами спровоцировали. Эх, даже скучно как-то.

Как же подгорает у ipv6-фанбоев от нежелания признать простой факт, что ipv6 снижает безопасность сетей, ибо он именно так и задуман - не для снижения безопасности, разумеется, но для повышения связности в ущерб безопасности.

pekmop1024 ★★★★★ ()
Ответ на: комментарий от pekmop1024

В результате мы имеем то, что все ipv6-compatible роутеры выставляют все наружу голой жопой. Всю, мать ее, сеть.

Водички выпей, не нервничай. А то как это, всю сеть, да голой жопой, да в интернет.

Вот честно, я вот смотрю на заголовок сайта и понимаю, что что-то не так.

Вот лично мой домашний комп всю жизнь торчал жопой в интернет. И без фаервола. И как я только живу...

Просто, наверное, сетевые сервисы делались для того, что б быть доступными по сети. Поэтому ничего лишнего наружу никогда не смотрит и смотреть не должно. А то что должно смотреть - закрывать фаерволом и nat'ом немножко бесполезно. В итоге я вот лично вообще не понимаю, нахрена мне ipv4.

Если у кого-то на внешних интерфейсах висят небезопасные сервисы, они изначально ССЗБ и не важно, v4, v6, фаервол или NAT.

А в итоге получается, что из-за кучки криворуких хипстеров и тупых бородатых админов, я стою на обочине жизни и не могу пользоваться современными (20 лет, итить), технологиями на полную катушку.

AngryElf ★★★★★ ()
Ответ на: комментарий от pekmop1024

Как же подгорает у ipv6-фанбоев от нежелания признать простой факт, что ipv6 снижает безопасность сетей

А снижает? Можно пример?

AngryElf ★★★★★ ()
Ответ на: комментарий от AngryElf

производительность стека тоже ниже -20%

anonymous ()
Ответ на: комментарий от AngryElf

А снижает? Можно пример?

Наличие несанкционированно торчащего в сеть сервиса и есть снижение безопасности. Впрочем, об этом я уже писал, тут тупой троллинг пошел... Свободен. :)

pekmop1024 ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.