ipv6-туннель. Что сейчас модно?

Teredo

Чехия
за двойным NAT'ом

Это кто так над тобой стебается?

https://tunnelbroker.net/

vps с vpn. самый модный вариант.

там внешний ipv4 ннада.

серый адрес у провайдера + нат на роутере.

Я и спрашиваю, какой провайдер так стебается.

А для чего? Ну, кое-кто использует для борьбы с роскомпозором, но в Чехии-то для чего?

Провайдер в далекой деревне.

Выбор тут мелкий. У одного двойной нат, у другого одинарный. Я хочу не зависеть от глюков белых динамических IP (которые можно у них получить, впринципе)

ipv6 для чего? Что б без туннелей ходить туда, куда мне надо.

21-й век, нах. Вопрос надо ставить «какого чёрта вы еще ipv4 юзаете до сих пор?»

Что это за мифическое место такое, куда по ipv6 пускают? Даже ЛОР ipv4-only. Признайся сразу, что тебе ipv6-торренты нужны.

21-й век, нах.

Этот ваш ipv6 - эпическая ненужность в силу совершенно инопланетной реализации. Вместо того, чтобы просто расширить адресное пространство ipv4, изобрели наркоманское чудо, которое толком не фильтруется и не роутится в управляемом виде, зато форсится всюду, включая IoT, в результате куча стремных необновляемых by design вещей торчат сервисами в глобальную сеть и периодически становятся участниками ботнетов, вызывая боль у всех, кто понимает, что ipv6 в текущем виде - эталонное ненужно.

apt install miredo

Что это за мифическое место такое, куда по ipv6 пускают? Даже ЛОР ipv4-only. Признайся сразу, что тебе ipv6-торренты нужны.

Мне нужно из офиса попадать домой, из дома в офис, с физических хостов на виртуальные (без v4-адресов) и всё это - без пляски с туннелями и порт-маппингом.

Вместо того, чтобы просто расширить адресное пространство ipv4,

Ну-ну, и каким боком? Заюзать неиспользуемые поля в ip-пакете? А роутерам и апликациям это кто обьяснять будет?

Даже ЛОР ipv4-only.

$ host linux.org.ru
linux.org.ru has address 178.248.233.6
linux.org.ru mail is handled by 10 donkey.linux.org.ru.
$ host donkey.linux.org.ru
donkey.linux.org.ru has address 178.62.241.22
donkey.linux.org.ru has IPv6 address 2a03:b0c0:2:d0::122:8001

Если шо.

которое толком не фильтруется и не роутится в управляемом виде,

Ого, эпик стори не осилил мануал

зато форсится всюду, включая IoT, в результате куча стремных необновляемых by design вещей торчат сервисами в глобальную сеть и периодически становятся участниками ботнетов, вызывая боль у всех, кто понимает, что ipv6 в текущем виде - эталонное ненужно.

Эти «все» - неадекваты, если видят причину в ipv6, а не в криворуких хипстерах.

v4, на данный момент, нужен только древнему кривому железу. Всё что хотя бы с экраном и парой кнопок, давно умеет v6. Проблема только в провайдерах и только в них.

MX запись ЛОРа != сам ЛОР. Как ты видишь доступ по HTTP к ЛОРу - пока ipv4-only.

Как ты сам говоришь - «пока» :)

LOR не на v6, я так понимаю, потому что хостится у таких же криворуких ребят, не понимающих, зачем он нужен.

dig -t AAAA linux.org.ru

; <<>> DiG 9.10.3-P4-Ubuntu <<>> -t AAAA linux.org.ru
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 50961
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1280
;; QUESTION SECTION:
;linux.org.ru.			IN	AAAA

;; Query time: 1 msec
;; SERVER: 127.0.1.1#53(127.0.1.1)
;; WHEN: Wed Sep 06 15:09:37 MSK 2017
;; MSG SIZE  rcvd: 41

Что-то не заметно

Чукча - не читатель, очевидно ж.

Ну-ну, и каким боком? Заюзать неиспользуемые поля в ip-пакете? А роутерам и апликациям это кто обьяснять будет?

Я говорю не о том, что весь ipv4-софт внезапно должен прозреть и узнать о новом адресном пространстве, а о принципиально неверной идеологии ipv6.

Ого, эпик стори не осилил мануал

Да все осилил. Просто оно идеологически неверное (когда за администраторов и пользователей решают, какоее адресное пространство использовать - это неверно, т.к. бесконтрольно).

Эти «все» - неадекваты, если видят причину в ipv6, а не в криворуких хипстерах.

Никогда не будет 100% надежного софта. Потом надеяться на то, что дырки в торчащих наружу сервисами девайсах периодически не будут приводить к массовым эпидениям, могут только малолетние дурачки.

принципиально неверной идеологии ipv6.

Можно хотя б пару неверных принципов?

когда за администраторов и пользователей решают, какоее адресное пространство использовать - это неверно, т.к. бесконтрольно

Так неверно или бесконтрольно? Кроме того, странно было бы, если б инженеры не решали за админов. «Технари лучше профессоров знают, с какой стороны дифуры решаются».

Потом надеяться на то, что дырки в торчащих наружу сервисами девайсах периодически не будут приводить к массовым эпидениям, могут только малолетние дурачки.

Вот есть две беды - NAT и дыры наружу. Конечно, проще огородится NAT'ом от дыр и сидеть в своем огороде. А можно рискнуть и перейти на другой уровень - к нормальной глобальной связности.

NAT своим существованием обязан толпе кривых технологий и протоколов, которые бы никогда не появились, или не использовались так массово, если бы NAT'а не было. Уже за одно это от NAT стоит отказаться.

С теми же IoT, проблема, опять же, не в ipv6, а в том, что ipv6 слабо распространён. Был бы он распространён шире, проблем было бы _меньше_, а не больше - все проблемы и дыры были бы закрыты гораздо раньше.

С теми же IoT, проблема, опять же, не в ipv6, а в том, что ipv6 слабо распространён. Был бы он распространён шире, проблем было бы _меньше_, а не больше - все проблемы и дыры были бы закрыты гораздо раньше.

И вы предпочитаете идти первопроходцем по овнам ради светлого будущего?

Так неверно или бесконтрольно? Кроме того, странно было бы, если б инженеры не решали за админов. «Технари лучше профессоров знают, с какой стороны дифуры решаются».

Бесконтрольно и есть неверно. А твоя аналогия ложна и притянута за уши, ее обсуждать смысла не вижу.

А можно рискнуть и перейти на другой уровень - к нормальной глобальной связности.

Глобальная связность в формате «каждому устройству по адресу, доступному отовсюду» - это и есть постоянная угроза создания ботнетов. Потому что не бывает абсолютно надежного софта и быть его не может в принципе.

Правда, бывают малолетние дурачки, которые считают, что «все дыры можно залатать». И не замечающие ни опыт человечества за последние несколько десятилетий, ни элементарную логику - среди малолетних дурачков принято напрочь игнорировать то, что мешает им выстраивать картинку мира, существующего в их воображении.

Глобальная связность в формате «каждому устройству по адресу, доступному отовсюду» - это и есть постоянная угроза создания ботнетов. Потому что не бывает абсолютно надежного софта и быть его не может в принципе.

По твоей логике, интернет вообще не нужен.

К слову, ботнеты на домашних роутерах уже были. Надо отобрать белые адреса у них?

И вы предпочитаете идти первопроходцем по овнам ради светлого будущего?

Постоянно это делаю.

Да ню, куда фаерволлы то делись? Что-то за NAT все так держатся, как будто он что-то даёт. Это вот реальный технологический луддизм. Странно что этот аргумент всплывает постоянно, несмотря на его абсурдность.

По твоей логике, интернет вообще не нужен.

Предьяви причинно-соедственную связь, на основании которой ты сделал такой вывод - а то еще не весь контингент ржет.

К слову, ботнеты на домашних роутерах уже были. Надо отобрать белые адреса у них?

Снова попытка притянуть за уши совершенно неподходящую аналогию. Роутер по своей природе не обязан светить никакие сервисы наружу, и по умолчанию вообще все подряд дропает. Попробуй еще раз.

Да ню, куда фаерволлы то делись?

И что ты будешь делать со своим фаерволом, когда адрес ipv6 у девайса может оказаться из какой угодно зоны, в том числе из той, которую нужно пропускать, иначе весь твой ipv6 развалится нахрен?

Что-то за NAT все так держатся, как будто он что-то даёт

Он дает контроль над адресным пространством и возможность решать, кто будет светить наружу порты, а кто нет.

В догонку: средства фильтрации трафика ipv6 по сравнению с ipv4 крайне ограничены и бедны, но это не вина ipv6, просто еще не допилен софт. Что не отменяет ущербность ipv6 by design, впрочем.

По твоей логике, интернет вообще не нужен.

Предьяви причинно-соедственную связь, на основании которой ты сделал такой вывод - а то еще не весь контингент ржет.

Окей, смотри:

Глобальная связность в формате «каждому устройству по адресу, доступному отовсюду» - это и есть постоянная угроза создания ботнетов.

Глобальная связь ipv4 есть уже. Ботнеты на роутерах есть уже. Куча девайсов с дырами (вебкамеры, например) доступны глобально уже.

Что поменяется с ipv6 принципиально? Девайсов станет больше?

Инвертируя, если глобальная связность с ipv6 не нужна ради защиты кривых устроств, то можно и с глобальной связностью ipv4 подумать - потому что кривых устройств с белыми адресами полным-полно. Соответственно, приходим к запрету интернета как такового - что б было безопасно.

Снова попытка притянуть за уши совершенно неподходящую аналогию. Роутер по своей природе не обязан светить никакие сервисы наружу, и по умолчанию вообще все подряд дропает. Попробуй еще раз.

Блин, чё ты несёшь?.. Роутеры с дырами есть _уже_. Что они там наружу светят - я не знаю, но их ломают и юзают для ботнетов.

В догонку: средства фильтрации трафика ipv6 по сравнению с ipv4 крайне ограничены и бедны

Тебе лично какого фильтра в ip6tables не хватает?

Короче подкрепи пример деталями, а то выглядит как нытьё и бред. Какие зоны? Почему я должен что-то пропускать что я не хочу? tcp и udp остались те же, в icmp немножко больше, но по сути ничего не поменялось.

ломают как правило саботированные производителем (с бакдорами) и с дефолтными паролями на морде (эти ломают изнутри через злобный сайтец или .exe скачанные пользователем).

то есть пофигу к этому ipv6, nat и прочее

Не расстраивай его, он верит в силу NAT :)

Что поменяется с ipv6 принципиально? Девайсов станет больше?

Разница в том, что в случае с ipv4 это мисконфиг сети, а в случае с ipv6 так задумано by design. Ничего не напрягает?

Инвертируя, если глобальная связность с ipv6 не нужна ради защиты кривых устроств, то можно и с глобальной связностью ipv4 подумать - потому что кривых устройств с белыми адресами полным-полно. Соответственно, приходим к запрету интернета как такового - что б было безопасно.

Вот теперь ржут все, спасибо. Свою плашку «малолетний дурачок» ты получаешь заслуженно.

Что они там наружу светят - я не знаю

Ну я и говорю - ты нихрена в теме не понимаешь, зато требуешь, чтобы все были такими же дурачками, как ты. А ты, часом, не за Овального там? Ну, уж больно тип мышления похож.

Глобальная связность в формате «каждому устройству по адресу, доступному отовсюду» - это и есть постоянная угроза создания ботнетов. Потому что не бывает абсолютно надежного софта и быть его не может в принципе.

Ipv4 с натами - это прошлый век, локалка глобального масштаба. Взгляните на вопрос с помощью аналогии. Вы едите на авто, заезжаете на паромы, мосты для переправ, стоите в на светофорах и т.п. А тут вы садитесь в какой-то гиперлуп и шмаляете данные напрямую нужному адресу. А то, что там проблемы с безопасностью, то они в головах у тех, кому есть что терять, наверное. Зачем вообще кредитки вводить с домашней дырявой винды для покупки неизвестно чего и потом ещё за потери денег сажать русских хакеров.

дык самое забавное что ipv6 без nat можно роутить совсем дешёвым железом, никакого стейта, просто форварди пакеты - благодать! гигов рамы на стейты не нужно, stateless firewall всё зарулит (да и у stateful табличка будет маленькой) в итоге железка за $20 роутит гигабиты с сетью на сотни хостов с торрентами. Радость же!

Короче подкрепи пример деталями, а то выглядит как нытьё и бред. Какие зоны? Почему я должен что-то пропускать что я не хочу? tcp и udp остались те же, в icmp немножко больше, но по сути ничего не поменялось.

То есть ты предлагаешь делать локалки с управлением по белым спискам, грубо говоря. Это, блин, прямо шаг вперед по сравнению с нынешним вариантом «воткнул и забыл» - ну, если у тебя не параноидально-корпоративная среда, где по умолчанию все по белым спискам.

То есть ты на голубому глазу тут всем заявляешь, что все пользователи должны разбираться в настройках фаерволлов на уровне среднего эникея как минимум, чтобы при включении нового девайса в сеть у них все работало. Подсказать тебе, на чем эту мысль вертели как сами пользователи, так и производители железа? В результате мы имеем то, что все ipv6-compatible роутеры выставляют все наружу голой жопой. Всю, мать ее, сеть.

Разница в том, что в случае с ipv4 это мисконфиг сети

Кто мисконфиг? Дырявые девайсы с белыми адресами?

а в случае с ipv6 так задумано by design. Ничего не напрягает?

Что задумано? Дырявые девайсы в RFC прописаны?

Вот теперь ржут все, спасибо.

Точно все? Может кто-то не ржёт?

Взгляните на вопрос с помощью аналогии

Еще один с аналогиями пришел. :)

А то, что там проблемы с безопасностью, то они в головах у тех, кому есть что терять

Ну да, давай тогда всех изнасилованных тоже обвиним в том, что они сами спровоцировали. Эх, даже скучно как-то.

Как же подгорает у ipv6-фанбоев от нежелания признать простой факт, что ipv6 снижает безопасность сетей, ибо он именно так и задуман - не для снижения безопасности, разумеется, но для повышения связности в ущерб безопасности.

В результате мы имеем то, что все ipv6-compatible роутеры выставляют все наружу голой жопой. Всю, мать ее, сеть.

Водички выпей, не нервничай. А то как это, всю сеть, да голой жопой, да в интернет.

Вот честно, я вот смотрю на заголовок сайта и понимаю, что что-то не так.

Вот лично мой домашний комп всю жизнь торчал жопой в интернет. И без фаервола. И как я только живу...

Просто, наверное, сетевые сервисы делались для того, что б быть доступными по сети. Поэтому ничего лишнего наружу никогда не смотрит и смотреть не должно. А то что должно смотреть - закрывать фаерволом и nat'ом немножко бесполезно. В итоге я вот лично вообще не понимаю, нахрена мне ipv4.

Если у кого-то на внешних интерфейсах висят небезопасные сервисы, они изначально ССЗБ и не важно, v4, v6, фаервол или NAT.

А в итоге получается, что из-за кучки криворуких хипстеров и тупых бородатых админов, я стою на обочине жизни и не могу пользоваться современными (20 лет, итить), технологиями на полную катушку.

Как же подгорает у ipv6-фанбоев от нежелания признать простой факт, что ipv6 снижает безопасность сетей

А снижает? Можно пример?

производительность стека тоже ниже -20%

А снижает? Можно пример?

Наличие несанкционированно торчащего в сеть сервиса и есть снижение безопасности. Впрочем, об этом я уже писал, тут тупой троллинг пошел... Свободен. :)