Так суть в другом

давно пора

Суровая правда жизни ((( Понятно, что со всякими там пакетами Яровой провайдерам сейчас не до внедрения IPv6, но, блин, NAT тоже не резиновый ... И перманентная капча на некоторых сайтах, это так, мелочь, по сравнению с невозможностью нормального удалённого доступа к своему компу и устройствам в локальной сети, например.

И пора в ipv6

Дык, давно уже пора... Но IPv6 куда сложнее в настройке, как минимум. То провайдеры не выдают нормальный /46-64 префикс, а вместо него выдают единственный /128 адрес (а IPv6 NAT ни в одном потребительском роутере не работает на штатных прошивках), то файрвол на роутере для подсетей ipv6 работает криво (или вообще не работает), то DHCPv6 или RADVD не работают как надо... В общем, одни сплошные проблемы с настройкой. И информации по сравнению с IPv4 куда меньше. А если хочешь сделать с конфигурацией IPv6 что-то действительно нестандартное - так инфы вообще ноль.

IPv6 NAT

Но это же worst of both worlds. Зачем тогда вообще IPv6, если ты всё равно собираешься сидеть за NAT’ом? Единственный возможный смысл IPv6 в том, что NAT наконец можно будет выкинуть.

Но это же worst of both worlds. Зачем тогда вообще IPv6, если ты всё равно собираешься сидеть за NAT’ом?

Дык, а куда деваться, если провайдер тебе выдал всего 1 /128 ipv6 ? Но вообще, по опыту реального применения ipv6 nat'а могу сказать - работает оно более чем прилично. Порты пробрасываются, файрфол работает.

Нужно только для внутренней сети выдавать «локальный» префикс не начинающийся с f* и не пересекающийся с глобальными адресами (я использую префиксы начинающиеся с d* - они ещё глобально не распределены), иначе современные ОС (венда) думают что внешнего IPV6 у системы нет и выбирать его по-умолчанию не будут.

Ну и ещё NAT можно использовать для организации вложенных подсетей (скажем, для виртуальных машин). Это бывает куда проще чем настраивать комп получать от роутера префикс (его часть) и потом распределять его уже для внутренней подсети. Опять-же не все роутеры нормально это умеют.

Так что NAT в IPv6, конечно, не желателен, но и не является чем-то ужасным - это распространенное заблуждение. Главное что-бы провайдеры его не юзали для клиентов.

А так-то да. Я обеими руками и ногами за нормальную адресацию ipv6 без NAT'ов. Но не все провайдеры горят желанием выдавать префиксы больше чем /64

Теперь IPv4-капец в очередной раз откладывается ещё на джвадцать лет.

Но не все провайдеры горят желанием выдавать префиксы больше чем /64

А зачем выдавать на абонента больше чем /64?

Почему нельзя раздать в локальную сеть, скажем, /112?
Не думаю, что у кого-то дома больше, чем 65536 устройств (даже с учётом IoT). Ну ладно, /96 - это уж наверняка, 4 миллиарда адресов.

Я понимаю, что IPv6 реально просто дохрена, дохренище. И сейчас можно раздавать хоть по 10 штук /48 каждому пользователю любого задрищенского провайдера.

Но зачем это так?
Сколько лет уже этому IPv6 и хайпу вокруг него, и почему не могут сделать нормальный DHCP, который бы работал во всех актуальных системах?

А зачем выдавать на абонента больше чем /64?

Для того, что-бы он без особого геморроя мог сконфигурировать несколько локальных подсетей /64

Почему нельзя раздать в локальную сеть, скажем, /112?

Раздать-то можно. Но, согласно RFC, для работы SLAAC, требуется подсеть /64. Конечно, можно использовать только stateful-конфигурацию. И если мы заходим получать от DHCP статическую конфигурацию для каждого клиента, то придётся немножко помучатся с определением\настройкой DUID клиента. Ну и не все роутеры, особенно, домашние, могут нормально работать с подсетями отличными от /64.

Я понимаю, что IPv6 реально просто дохрена, дохренище. И сейчас можно раздавать хоть по 10 штук /48 каждому пользователю любого задрищенского провайдера.

Именно. VPS провайдеры, вполне себе раздают /48. Не всегда по-умолчанию, правда.

Сколько лет уже этому IPv6 и хайпу вокруг него, и почему не могут сделать нормальный DHCP, который бы работал во всех актуальных системах?

Дык... Вот не могут производители роутеров (особенно домашних) нормальный софт делать. Отсюда и вся боль. IPv6 и так сложнее чем IPv4. Чего только стоит весь этот траходром с автоконфигурацией, NDP, и подобным...

Даже OpenWRT только сравнительно недавно научился «из коробки» нормально работать с IPv6 префиксами отличными от /64 (поправьте если не прав). Что уж говорить о других производителях...

Не нужно

Сколько лет уже этому IPv6 и хайпу вокруг него, и почему не могут сделать нормальный DHCP, который бы работал во всех актуальных системах?

Ответ по ссылке из стартпоста (хинт: квадрат Малевича).

Можно у африки половину адресов отобрать они и не заметят.

А зачем выдавать на абонента больше чем /64?

Потому что у абонента может быть несколько локальных сетей.

Почему нельзя раздать в локальную сеть, скажем, /112?

man SLAAC, man collision avoidance

Ну ладно, /96 - это уж наверняка, 4 миллиарда адресов.

man birthday paradox

Я понимаю, что IPv6 реально просто дохрена, дохренище. И сейчас можно раздавать хоть по 10 штук /48 каждому пользователю любого задрищенского провайдера.

Да.

Но зачем это так?

А почему тебя это так беспокоит? Тебя на работе заставляют зубрить IPv6-адреса? Пожалуйся на них в трудовую инспекцию.

почему не могут сделать нормальный DHCP

«не всем нужен DHCP»

Но вообще, по опыту реального применения ipv6 nat’а могу сказать - работает оно более чем прилично. Порты пробрасываются, файрфол работает.

Он может работать сколь угодно хорошо, у меня к нему претензии идейного характера.

NAT в IPv6, конечно, не желателен, но и не является чем-то ужасным - это распространенное заблуждение

Применение NAT в IPv6 аннулирует его основное и единственное преимущество, ради которого и затевался весь этот цирк долгострой. Если ты собираешься строить свои IPv6-сети на основе NAT, ты с тем же успехом можешь просто продолжать сидеть на IPv4.

... у меня к нему претензии идейного характера.

Фанатизм, это плохо. Выше я привёл примеры где NAT нужен.

Если ты собираешься строить свои IPv6-сети на основе NAT, ты с тем же успехом можешь просто продолжать сидеть на IPv4.

Дык, выше написал уже. Если есть выбор, то, конечно, я не выберу NAT. Так или иначе один внешний /128 IPv6 адрес + NAT в локальной сети, это лучше чем серый IPv4 или IPv4 через SNAT + ещё один NAT в моей сети, например.

несколько локальных сетей

Да по-хорошему, даже /112 можно поделить на 256 сетей по 256 адресов. А /96 - и подавно, куда больше-то?

man SLAAC, man collision avoidance

Так с DHCP, который stateful, тоже нет никаких коллизий.
Но гуглу будет удобнее, если id устройства будет тупо в правой части IP адреса. Видимо, поэтому android принципиально не умеет в dhcpv6

man birthday paradox

Ну это вообще гаубица! У нас тут адресация в сети, или криптографическая хэш-функция? Ну а даже коли так, 64 бита это очень слабый хэш.

не всем нужен DHCP

А в результате - не всем нужен ipv6.
Хотя DHCP правда нужен не всем, можно прописывать статически

куда деваться, если провайдер тебе выдал всего 1 /128 ipv6 ?

К адекватному провайдеру?

Ребят, объясните нубу, что значат вот эти /128, /64, и так далее?

Смысл в том что суровая реальность местячковых провайдеров в том, что клиенты сидят за двойным NAT-ом

Ребят, объясните нубу, что значат вот эти /128, /64, и так далее?

степень двойки

прочитал, ннп. в чем незаконность данного действа?

Понятнее не стало

Ясное дело, если выбор есть.

Маска сети.

Кто из провов выдает сейчас /64 хотя бы?

Аналог маски в IPv4 - выделение некоторой части адреса (в битах) для идентификации подсети. То есть, если провайдер выдал вам адрес с префиксом /64, это означает, что 64 бита слева - идентифицируют подсеть (управляемую провайдером), а оставшуюся часть адреса - вы можете распределять уже самостоятельно, в том числе дробить её на более мелкие подсети.

Адрес /128, как не сложно догадаться, уже не дробится на более мелкие подсети.

Спасибо!

Изначальная идея IPv6 как раз состоит в упрощении маршрутизации: провайдеры разных уровней должны выдавать нижестоящим провайдерам префиксы различных размеров.

А конечному пользователю провайдер должен давать префикс /64 (как минимум), из которого он уже сможет организовать себе свою локальную сеть.

Таким образом, в сети IPv6 здорового человека - NAT отсутствует, и все конечные устройства адресуются глобально. Пользователь, у которого все устройства имеют глобальный (внешний) IPv6 адрес - доволен, хакеры, которые могут ломануть любое устройство (если нет файрвола на пути) - довольны, провайдер, которому не надо мудрить со сложнейшими таблицами трансляции\маршрутизации - тоже доволен.

Это всё в идеальном мире. В реальном мире, бывают провайдеры выдающие один /128 адрес на клиента.

DHCP, который stateful

Вот именно, что DHCP, который stateful. Stateful — это плохо.

гуглу будет удобнее, если id устройства будет тупо в правой части IP адреса

man IPv6 privacy extensions

Видимо, поэтому android принципиально не умеет в dhcpv6

Android вообще-то включает их (privacy extensions) по умолчанию и принудительно, так что на него даже жалуются.

У нас тут адресация в сети, или криптографическая хэш-функция?

У нас тут адресация без коллизий.

64 бита это очень слабый хэш.

64 бита — это рандомное число, которое берётся за адрес.

можно прописывать статически

Протечка в криокамере №152! У нас тут 2019-й год, между делом.

Stateful — это плохо.

Звучит как культ карго

14 мая прокуратура Южной Каролины предъявила Амиру Голестану

Почему я не удивлен, что не Джону Смиту.

«Любая достаточно сложная технология на первый взгляд неотличима от магии»

Хорошо, давай так.

DHCPv6, который stateful, в сравнении с DHCPv4 примерно нафиг никому не нужен. Так понятнее?

Да, потому что DHCPv6 в сравнении с DHCPv4 обрубок, которым нельзя даже задать маску и маршрут

Разверни ты уже свою импликацию, ну.

Какую импликацию?
Если ставишь DHCPv6-сервер, клиент получает только адрес, прописывает его как /128, без нужного префикса и гейта. Всё равно надо пердолить RA.
Ну или это я неосилятор

Он может работать сколь угодно хорошо, у меня к нему претензии идейного характера.

Расскажи, как без NAT ты будешь скрывать внутреннюю структуру сети, скажем, предприятия, от внешнего наблюдателя?

Попробуй понять, что тебе (с вероятностью 99%) вообще не нужно ставить DHCPv6 сервер.

Так я и не ставлю, задаю всё вручную
fc00::1, fc00::2, fc00:3 - красота же!

Если внимательно глянуть на карту IPv4 адресов, то можно заметить, что нещястные 735k адресов – это ничто, по сравнению с целым конгламератом /8 сетей, на которых своими толстыми попами сидят крупные корпорации и практически совсем не используют их.

А если будет много адресов, можно будет на шлюзе настроить NAT 1:1, тогда вообще чётко будет

Так бы сразу и сказал, я б тебя тогда не кормил =/

Кстати реальная история, я не тролль.
На шлюзе стоит miredo, раздаёт ipv6 через NAT (обычный masquerade).

Секта свидетелей святого ната подтянулась. Пакеты дропает не нат, а стейтфул фильтр. А структуру сети скроет простейший стейтлес фильтр, не выпускающий наружу icmp expired in transit пакеты.

На карте 2018 года всё уже далеко не так однозначно.

Пакеты дропает не нат, а стейтфул фильтр. А структуру сети скроет простейший стейтлес фильтр, не выпускающий наружу icmp expired in transit пакеты.

+1

На карте 2018 года всё уже далеко не так однозначно.

Да нифига, синий цвет же тоже практически неиспользуемые?
Получается, используется очень мало. И если буржуев раскулачить, ipv4-капец будет отложен лет на 50

Синий цвет — значит, в подсети /24 кто-то есть, т. е. подсеть вполне используемая. А заставлять компании «уплотнять» сети и «эффективно использовать» свои адреса — это совсем другой разговор, нежели просто отнять незанятые /8 и /16. На договорном уровне это не провернуть. Тут разве что налог на адреса вводить, действительно. Но такой налог ударит ровно в обратную сторону: для больших компаний это в любом случае будут копейки, а у частных лиц белые адреса отожмутся в первую очередь.

(переформулирую: если сделать «налог на адрес» таким, чтобы компании и организации типа HP, Ford и DoD его заметили, для частных лиц он будет совершенно неподъёмным)

Ну так купи белый IP за 100 рублей или пробрось туннель через VPS.

На один ip можно повесить 60к сервисов, а стоит он копейки. А в локалке своя сеть и это вообще не проблема. Я думал что уже все поняли что проблема IPv4 высосана из пальца.

А вот доступ всех устройств по IPv6 без ната это проблема ибо 99% машин это дырявый IoT, камеры, NAS и винда. Получение белого IP сделает их частью ботнета.

свидетели святого ната[2]

99% машин

99% машин сидят за роутерами с файрволлами из коробки. NAT без файрволла, если что, тебя не спасёт.