ipv6-туннель. Что сейчас модно?

Ты там ещё про фичи фаерволов ipv6 забыл ответить.

Наличие несанкционированно торчащего в сеть сервиса и есть снижение безопасности.

Не вижу корреляции с ipv6. В ipv4 это точно так же бывает.

Впрочем, об этом я уже писал, тут тупой троллинг пошел...

Ты не писал, ты ныл без фактов на руках.

Слился, так и зафиксируем.

я стою на обочине жизни и не могу пользоваться современными (20 лет, итить), технологиями на полную катушку

Новое ради нового.
За все хорошее, против всего плохого.

Эк ты раскрылся-то...

apt install miredo

Не вижу корреляции с ipv6. В ipv4 это точно так же бывает.

Не бывает. Потому что у девайсов в локалке НЕТ внешних адресов.

Новое ради нового.

Мне чё, цитировать фичи ipv6 из википедии?

Не бывает. Потому что у девайсов в локалке НЕТ внешних адресов.

Так я тебе говорю, уже сейчас полно дырявых девайсов вне локалки. И никто не умер, земля продолжает крутиться. Приплетать к этому ненужность ipv6 - старческий маразм.

Так я тебе говорю, уже сейчас полно дырявых девайсов вне локалки

Так я тебе тоже говорю, что это мисконфиг, а не дефолтное поведение.

Так я тебе тоже говорю, что это мисконфиг, а не дефолтное поведение.

Мисконфиг что? Пускать дырявый девайс в белую сеть? Выпускать дырявый девайс с фабрики? Уточни, плз.

Пускать дырявый девайс в белую сеть?

This. По дефолту в ipv4 сети девайс, воткнутый в роутер - имеет серый адрес и недоступен извне.

Окей, в ipv6 почему этому мисконфигу тогда быть нельзя?

Ну и про локалку я б поспорил.

Люди (а потребности людей - первичны) хотят, например, зайти на домашнюю вебкамеру из офиса, в дороге (с телефона), из заграницы (с телефона в роуминге, с гостиничного wifi) и так далее.

И нормальный вариант реализации в этой ситуации - публично доступное устройство с достаточным уровнем безопасности.

Достаточный уровень безопасности может быть обеспечен, вопрос только в прямых руках производителя.

Публичная доступность устройства не может быть обеспечена никак иначе, кроме как выдача устройству публичного доступного адреса. Все остальные вариаты, начиная с DMZ, туннелей и всяких реверсивных механизмов (типа камера субмитит картинку на левый сервис, а юзер смотрит картинку на этом сервисе) - кривые по определению.

ipv6 позволяет обеспечить публичную доступность девайса по принципу «включил, узнал адрес, юзаю отовсюду».

Достаточный уровень безопасности же, не может быть обеспечен ни ipv6, ни ipv4 как таковыми. ipv4 за счёт NAT может обеспечить только минимальный уровень безопасности.

В итоге вопрос - нахрена нам ipv4 и почему мы не юзаем ipv6?

А в итоге получается, что из-за кучки криворуких хипстеров и тупых бородатых админов, я стою на обочине жизни и не могу пользоваться современными (20 лет, итить), технологиями на полную катушку.

Вот он, главный тезис - пользоваться вы не можете. В теории оно хорошо, но это выставочные экземпляры без инфраструктуры. Пациент, залезший на ipv6, сейчас в таком же положении, что и человек, купивший ёмобиль. Красиво, перспективно, а по сути пользоваться нельзя. Пациент скорее мертв чем жив. Но лежит совсем как живой, аж блестит и сверкает всеми своими теоретическими возможностями.

Хотя и хочется верить, что сейчас встанет и побежит )

Окей, в ipv6 почему этому мисконфигу тогда быть нельзя?

Потому что в ipv6 дефолтное поведение - белый адрес у всех. Дефолтное поведение мисконфигом быть не может. В худшем случае, это ошибка разработчиков этого дефолта, что мы и имеем в случае ipv6.

например, зайти на домашнюю вебкамеру из офиса, в дороге (с телефона), из заграницы (с телефона в роуминге, с гостиничного wifi) и так далее

Кто-то воспользуется облаком, кто-то просунет порты - тут уже по желанию и умению. Однако остальные, кому это не нужно, останутся в безопасности по умолчанию в случае с ipv4. Чего не скажешь про ipv6.

В итоге вопрос - нахрена нам ipv4 и почему мы не юзаем ipv6?

Потому что ipv6 с такими дефолтами, заложенными в сам дизайн, оказался никому не нужен, кроме владельцев серверов и датацентров. И там он и помрет, скорее всего, а вместо него будет внедрено что-то более адекватно задизайненное, назовем его условно ipv10.

короче, по теме - he.net хорош, но требует постоянного IP. Использую его. teredo плох тем, что адрес меняется постоянно и часто бывает так что ты можешь коннектиться к ipv6-узлам, а они к тебе - нет. Если тебя устраивает, ставь miredo. Я на нём сидел какое-то время, качество к сожалению непредсказуемое. Сталкивался с блокировкой от провайдеров (из-за какой-то версии винды, которая включала ipv6 по умолчанию, а с фаерволом было туго).

Вообще, от провайдеров и рядом стоящих я очень часто слышу волны ненависти к ipv6 чаще всего вызванные крайне низкой квалификацией. И у нас такое и за бугром. Есть редкие исключения, их единицы. Они участвуют в разработке и улучшении работы как протокола так и узлов и оборудования. Но массово как правило хейт^2. Для нашей страны это сейчас хорошо - луддизм и непрофессионализм позволяет делать вещи, которые сложно контролировать и позволяют иметь некоторую свободу действий и не участвовать в общей очереди поклонения бумажкам (это я про все технологичные сферы) и всеобщего «контролировать или запретить». Но так будет не всегда, но пока хватит. Они быстро учатся, но не так быстро чтобы в какие-то разумные сроки начать подавать признаки разума. Если никакому рандомному чиновнику не придёт шальная мысля что хватит вести чёрные списки, надо вести белые, то жить будем.

Потому что в ipv6 дефолтное поведение - белый адрес у всех. Дефолтное поведение мисконфигом быть не может.

Странно было бы видеть в протоколе _связи_ понятие бессвязности.

Локальные адреса, кстати, в ipv6 есть, если что.

Ну и ты смешиваешь связность и безопасность, а так делать нельзя. Это ортогональные понятия.

Кто-то воспользуется облаком, кто-то просунет порты - тут уже по желанию и умению.

Это называется «мы вам тут чё-та настроили, а с остальным ***тесь как хотите. Молодец, друг. Ты не в микрософт работаешь? Похожая политика.

Однако остальные, кому это не нужно, останутся в безопасности по умолчанию в случае с ipv4. Чего не скажешь про ipv6.

И часто вообще не нужно платить за связь, но не иметь связь?

назовем его условно ipv10.

Со встроенным NAT'ом? :)

Можно список фич для ipv10?

Потому что в ipv6 дефолтное поведение - белый адрес у всех. Дефолтное поведение мисконфигом быть не может.

Дефолтное поведение ipv4 - белый адрес для всех, поздравляем вас. Решение этой проблемы здорового человека - firewall, по умолчанию настроенный на блокирование входящих подключений. Кстати, firewall иногда выполняется в виде отдельного устройства, а не программы на конечном устройстве.

Если никакому рандомному чиновнику не придёт шальная мысля что хватит вести чёрные списки, надо вести белые, то жить будем.

Так весь сыр-бор из-за того, что ТС и ты не осилили настроить связку vpn/tor+dnsmasq+ipset на роутере?

О, коммент по теме, внезапно.

Спасибо, попробую miredo

Так весь сыр-бор из-за того, что ТС и ты не осилили настроить связку vpn/tor+dnsmasq+ipset на роутере?

Мвахаха. «Ты не осилил xxxx, yyy, zzz? Сдай роутер и иди учиться». Логика замечательная. Узнаю админа freebsd. Свитер проглядывает через монитор.

Дефолтное поведение ipv4 - белый адрес для всех, поздравляем вас

Да ну? Объясни это любой коробочке за $20.

firewall иногда выполняется в виде отдельного устройства

Firewall всегда выполняется в виде программы, другой вопрос на чем и используются ли какие-то аппаратные ускорения отдельных участков.

Узнаю админа freebsd

Смеялся в голос. Нет, не угадал.

Виндузятник? Судя по боязни открытых сервисов.

Не, мне ipv6 нужен по работе. Плюс это ахрененно удобно.

Виндузятник?

Снова не угадал. Гадалка из тебя, как из меня китайская балерина :-D

Судя по боязни открытых сервисов

Открытые сервисы - это приглашению к взлому. Как-то думал, что это для всех само собой разумеется. но тут вспомнил, с кем имею дело...

Не, мне ipv6 нужен по работе. Плюс это ахрененно удобно.

А смысл? Там, куда нужно ходить по ipv6, всегда навалом белых ipv4 адресов. А там, где нет белых адресов, от ipv6 обычно один вред, за редким исключением.

Не, мне ipv6 нужен по работе. Плюс это ахрененно удобно.

Яростно плюсую.

Кстати, v6 у провайдеров иногда доступен. Например, если прийти и треснуть кулаком по столу.

Или вот был личный опыт. Просили v6-диапазон у местного LIR в Израиле (компания Netvision, местный провайдер). Они повертели пальцем у виска «нинужна, даже за бабки».

А через полгода (когда мы уже купили диапазон в другом месте), они прибежали к нам в панике «ну купите у нас ipv6, а то нам RIPE больше v4 не даёт, пока v6 не запустим». Очень было приятно послать их к чёрту.

В другой ситуации, два провайдера (местный мелкий и крупный) запросто подключили нам наш v6, с BGP, всё как у белых людей. Сами по себе они v6 юзерам не дают, но нам сделали (мы были для них достаточно крупным клиентом).

Открытые сервисы - это приглашению к взлому.

Апач на вебсервере? ssh c авторизацией только по ключам? Что вообще может слушать на внешних интерфейсах среднем десктопе? Чего вы там вообще боитесь-то?

Кстати, открою секрет про ЛОР.

Единственная причина, почему ЛОР без ipv6 - он прикрыт Qrator, у которых ipv6 нету (видимо такие же старпёры как ты, у CloudFlare, например, v6 из коробки для всех автоматом).

Да ну? Объясни это любой коробочке за $20.

Дефолтное поведение коробочки != дефолтное поведение протокола. Более того, подобное дефолтное поведение коробочек исторически связано с тем, что жадные провайдеры хотели отдельную оплату за каждое подключенное к сети устройство, даже если у них была возможность выдавать белые адреса не задумываясь, а вовсе не с заботой о безопасности пользователей. Ничто не мешает производителям тех же самых коробочек включить NAT для ipv6 (который предусмотрен в спецификации). Но зачем, там же firewall есть, который по дефолту, как правило, включен. Во всяком случае, я еще не видел коробочек с выключенным.

А там, где нет белых адресов, от ipv6 обычно один вред, за редким исключением.

Твоё редкое исключение - миллионы домашних сетей, в которые их владельцы хотят попадать снаружи, да не могут. Благодаря кривости дизайна v4, процветают компании типа Teamviewer

Дефолтное поведение коробочки != дефолтное поведение протокола

Де юре - так. Де факто - нет. Стандарты диктует массовый рынок, а не кучка фанатов.

Во всяком случае, я еще не видел коробочек с выключенным.

Оно просто не работает, как правило, в случае ipv6 все производители придерживаются дефолта самого ipv6 - ничто не блокируется, каждый девайс торчит наружу. Не будем брать ситуацию с перепрошивкой во что-нибудь вроде OpenWRT/LEDE, это отдельный случай.

миллионы домашних сетей, в которые их владельцы хотят попадать снаружи, да не могут

Я уже запасся попкорном, лет через несколько (думаю, до 5) вся эта ipv6-вакханалия уронит половину интернетов своими ботнетами, и его просто прекратят использовать, потому что накостылять в старые девайсы, от которых никто не захочет отказываться, адекватную защиту никто не сможет. И будут чесать репу и скрещивать ipv6 с идеологией ipv4, либо придумают что-нибудь не такое костыльное.

Да известная вещь - современным провам милее и приятнее когда есть глобальный NAT и от нового протокола они бы наоборот хотели отсутствие связности и изоляцию. Дать бы им волю - в один день бы всех закинули на 10.x.x.x и proxy с открытым 80-м портом и дампом всего трафика для чтения в свободное время. Это на самом деле не ново и это нормально. Просто мир строится на балансе сил - одним надо закрутить на максимум, другим открутить на полную. И эти противоположности борются. И если этот баланс нарушить - случаются очень плохие вещи. Поэтому люди и такие и такие нужны. Но их должно быть поровну с обеих сторон, иначе кирдык. То есть пров хочет всё завернуть, но клиенты уйдут к тому, который не завернул, и баланс соблюдён. Всё нарушается тогда, когда тот, кто завернул, чтобы клиентам некуда было уходить, пойдёт и забашляет за лоббирование закона, требующего чтобы все завернули. Вот это нарушает баланс. К счастью профессионально закрутить может мало кто, что пока спасает, но если профессионализм поднимется и отток специалистов уменьшится (запретят выезд), то тогда будет плохо, да. Надеюсь это не будет происходить слишком быстро.

Оно просто не работает, как правило, в случае ipv6 все производители придерживаются дефолта самого ipv6 - ничто не блокируется, каждый девайс торчит наружу.

Тогда давай сюда свой список коробок, на которых не работает. Я не видел такого «дефолтного» поведения, но если оно включено в настройках и при этом не работает, это явно некачественный товар, и надо насиловать производителя и разные инстанции.

Тогда давай сюда свой список коробок, на которых не работает.

Он диванный аналитик, на прямые вопросы не отвечает, ссылок не даёт, не трать время :)

Я уже запасся попкорном, лет через несколько (думаю, до 5) вся эта ipv6-вакханалия уронит половину интернетов своими ботнетами, и его просто прекратят использовать,

Назови хоть одну технологию, которая умерла таким способом.

Мне в Сан Хосе провайдер сразу дал сеточку и локальную AS с BGP, что позволило мне запилить глобальный VPN и пользовать адреса из того пула везде. Я вообще там был как частное лицо представлен. За бугром движуха есть, собака лает, караван идёт. Да и вендоры железок активно форсят это дело. Хотя если спросить у любого крупного прова, работающего с частными лицами / мелкими конторками - пошлют с ненавистью, и если настаивать, можно выслушать объяснение в стиле того, что pekmop1024 написал. Но если к провайдерскому инженегру пойти, может направить куда нужно и всё получится даже из дома. Вот у нас не получилось (причём известно что у прова внутри все возможности есть).

Он диванный аналитик, на прямые вопросы не отвечает, ссылок не даёт, не трать время :)

Я просто не веду переписи говнопрошивок.
С год назад этим страдали все попавшиеся мне tp-link и asus с поддержкой ipv6. Винить в этом производителей глупо, они всего лишь реализуют RFC. Ну а что стандарт ущербный - это к его разработчикам.

Назови хоть одну технологию, которая умерла таким способом.

Adobe Flash. Он как раз на той стадии, когда все уже поняли его ненужность и изобретают костыли для замены, параллельно форся выпиливание везде, где можно.

Глобальная связность в формате «каждому устройству по адресу, доступному отовсюду» - это и есть постоянная угроза создания ботнетов. Потому что не бывает абсолютно надежного софта и быть его не может в принципе.

Опаньки, т.е сейчас от ботнетов нас защищает v4 ? Ну и еще скажите nat. Офигеть, как же они страдают бедненькие... совсем без работы чахнут.

Что-то за NAT все так держатся, как будто он что-то даёт

Он дает контроль над адресным пространством и возможность решать, кто будет светить наружу порты, а кто нет.

...

NAT

И давно это в вашей вселенной так?

Узбагойся. И открою тебе секрет, что многие провы и так у себя блокируют по дефолту порты на fw. Если все тоже самое перенести на v6 разницы кроме того что к тебе сосед какир вася залезет не будет.

Не вижу корреляции с ipv6. В ipv4 это точно так же бывает.

Не бывает. Потому что у девайсов в локалке НЕТ внешних адресов.

Щито? А если найду? Вы вот тут весело про nat бухтели, однако не упомянули любимую многими хрень в виде «проброса портов», вот уж безопасность... стоит фигня внутри сети дырявая дальше некуда на нее проброшен порт и говорит «добро пожаловать». Безопасность... канечно...

ещё про uPNP если вспомнить :)

Потому что в ipv6 дефолтное поведение - белый адрес у всех.

Ну вообще-то у ipv4 также, вам разве мама про это не рассказывала?
И еще открою один секрет, только тссс... никому не говорите, у v6 тоже есть nat и глобально не маршрутиризируемые сети, только плиз ни-ко-му, это ОЧЕНЬ большой секрет.

Щито? А если найду?

Специально так сконфигурируешь - будет. По дефолту нет. Вся претензия к архитектуре, вынуждающей вводить пермиссивные дефолты.

«проброса портов»

Опять же, если настроишь. А по дефолту - нет.
Тут про upnp вспомнили ниже - да, представь, его тоже нужно настраивать. А по дефолту он выключен.

Ситуация простая:
сеть ipv4 надо сломать мисконфигом, чтобы она стала небезопасной
сеть ipv6 надо ковырять со знанием дела, чтобы она стала безопасной

у v6 тоже есть nat и глобально не маршрутиризируемые сети

только вот никто из производителей ими не пользуется, потому что «всем нужны белые адреса», на безопасность насрать.

Ну вообще-то у ipv4 также, вам разве мама про это не рассказывала?

Ты еще времена универских сетей ARPAnet'а вспомни.
Ни один бытовой роутер не раздает внешних ipv4 своим клиентам, зато все это делают с ipv6. Проблема-то именно здесь. Парадигма «каждому устройству по белому адресу» ущербна и небезопасна by design.

бытовой роутер не раздает внешних ipv4 своим клиентам

«d-link dfl/dsr» раздают

«d-link dfl/dsr» раздают

Микротики некоторые тоже умеют. Да что угодно можно так настроить.
«Специально так сконфигурируешь - будет. По дефолту нет. Вся претензия к архитектуре, вынуждающей вводить пермиссивные дефолты.» Сконфигурировать так можно любое говно, влив туда OpenWRT. Но это не дефолт, это нужно делать ручками.

Да ну? Объясни это любой коробочке за $20.

О! Кстати, а чей-то вы еще против wifi не выступили? А то знаете-ли покупает тетя маша коробочку, ставит на нее пароль 1234567 (если ставит), подключает к ней телевизор/микроволновку/стиралку/etc а сосед пятикласник миша все это пользует, но вот и мишу поломали... т.д. И вот за тетей машей приехал пативен, потому что ее стиралка цп раздавала.