Предоставляет ли вам провайдер IPv6-адреса?

Спасибо.

ipv6 видел только на работе. Работаю в провайдере.

ipv6 видел только на работе. Работаю в провайдере.

т.е. фразу «ipv6 работает у провайдера» надо понимать как «работает только у провайдера в офисе» ? :)

Сами пользуетесь, а клиентам не даёте?

anc

Может и дают, но я не могу быть уверен. Я тут не сетевик.

при подключении к вафле домохозяйку спросят о типе сети, где она жмакнет „Публичная сеть”, после чего у неё соответствующим образом настроится фаервол.

Тут то же самое - жмакнет «домашняя сеть» и соединения для определённых сервисов будут приниматься только из диапазона уже подключенной сети. А костыли, которыми обмазывают NAT на многих домашних роутерах бажные настолько, что позволяют прокидывать порты снаружи внутрь.

По уму и могут — это решение не для домохозяек. Домохозяйки не знают и знать не хотят что такое stateful firewall, IPv6 и локально маршрутизируемые адреса, им нужно так чтобы сразу после магазина воткнуть и зайти во вконтактик/тытрубку/etc.

Проблема производителей. Так же, как они вкрутили в роутеры относительную простую настройку и шифрование WPA2 - вкрутят и правильные настройки для телевизоров и кофеварок. Если производитель - дятел, то он и через UPnP вывесит сервис голой попой в интернет с паролем admin/admin. В сухом остатке имеем: костыль из-за недостатки адресов, который ломает адресацию и людей которые на этот недостаток полагаются чтобы обеспечивать безопасность и другой костыль, который придуман чтобы чинить поломаную адресацию, который спускает в унитаз эту «безопасность».

Одна из причин начала распространения IPv6 (каждой кофеварке по айпишнику, т.н. „интернет вещей”) противоречит этому высказыванию.

Т.е. по сути те же яйца только в профиль, кроме того что в любом роутере NAT (в отличие от IPv6) присутствует и работает без каких-либо дополнительных настроек изкоробки.

В тех роутерах, которые не умеют в IPv6 нат дохнет на средней закачке через торрент (исошку центоси, например) просто потому что они слеплены из того что было. И поменяется много чего. Аргумент «домохозяйкам не надо» оставьте, пожалуйста, при себе. Домохозяйкам вообще нужен телевизор и вконтакт, если на них ориентироваться, то вообще всё окончится стойлом и силосом.

Обращаю внимание на ключевое слово PING. А вы что еще хотели?

Так там человек и показывает, что хост резолвится с IPv4 и что гугл просто написал, что сайты с dual-stack не сломаны у человека (из-за кривых настроек, например) и он сможет и дальше заходить на них со своего IPv4.

Одна из причин начала распространения IPv6 (каждой кофеварке по айпишнику, т.н. „интернет вещей”) противоречит этому высказыванию.

Эта причина стоит где-то на предпоследнем месте. Больше всего проникновение IPv6 у мобильных операторов США. Почему? Рост числа абонентов, рост активности существующих, IP-шники у регистраторов закончились раньше всех. Это в России и Африке сетки можно раздавать направо и налево, а так уже поджимает, carrier-grade NAT получается дороже и хуже для клиентов, в итоге оказывается выгодно выдавать клиентам dual-stack, в итоге основные монстры вроде ютуба с нетфликсом и p2p свою нагрузку пускают через IPv6, NAT разгружается, profit.

Интернет вещей же, по сути - раздутый мыльный пузырь и там как раз NAT вполне всех устраивает, потому что во влажных мечтах каждого вендора каждое устройство стучится на центральный сервер и управляется оттуда и по желанию левой пятки превращается в тыкву и юзер зажав в потном кулачке бумажки бежит в магазин покупать новый девайс, потому что старый не поддерживается.

А вы что еще хотели?

хотю в ответ на пинг, айпишник v6 услышать, не судьба?

Нынешний провайдер (Onlime) предоставляет в тестовом режиме, бывший (Билайн) предоставлял, но позже прекратил (потому и бывший)

ping6 тогда же.

Аргумент «домохозяйкам не надо» оставьте, пожалуйста, при себе

Проблема не только в самих домохозяйках, проблема также в том что из этих домохозяек можно будет собрать некислый ботнет и уронить какой-либо более-менее серьёзный ресурс.

таки да, спасибо

Проблема не только в самих домохозяйках, проблема также в том что из этих домохозяек можно будет собрать некислый ботнет и уронить какой-либо более-менее серьёзный ресурс.

Их и так собирают и роняют и, внезапно IPv6 тут не при чём. Ломают, что самое характерное, не через открытые порты, а черед админки роутеров вывешенные наружу, через drive-by и флеш. И NAT тут совершенно не мешает.

ipv4 заканчиваются, кококо. мы все умрем. ipv6 вперде.

Ну не надо так паниковать. В Бельгии и США заканчиваются - там проникновение IPv6 под 50%. При чём в том же США у проводных провайдеров отхапаны достаточно жирные блоки - они не так торопятся, а вот мобильные прокукарекали, пока крупные блоки раздавали, зато теперь впереди планеты всей по внедрению IPv6.

В России пока что IPшников хватает, операторам не стыдно и за NAT всех запихать, так что внедрять никто не торопится.

Что значит зачем ?

То и значит.

Если тебе не нужна связность интернета,

Какого ещё Интернета ? Ты понимаешь словосочетание «локальная сеть» ? Но, бывает, что из неё надо сходить наружу.

Затем что это - его задача. Если ты пытаешься использовать NAT только ради его побочных эффектов

Как меня веселят такие криворучки. А, потому, у них оказываются в публичной сети сервера, управляющие ядерными реакторами. Ага...

Как меня веселят такие криворучки.

Каждый день перед зеркалом веселишься?

А, потому, у них оказываются в публичной сети сервера, управляющие ядерными реакторами. Ага...

Если у тебя эти сервера за NAT, то скажи пожалуйста приблизительный район, чтобы люди хотя бы покинуть территорию успели. Всё к чему не должно быть доступа из сети - должно быть от сети отделено физически. В крайнем случае (если сервис не критический, вроде кофеварки) - прикрыто нормальным файерволлом с правилами написаными человеком, понимающим чем отличается NAT от firewall'а.

А то такие вот альтернативно одарённые умудряются одновременно и рассказывать о том как NAT их защищает и как все неудобства немаршрутизируемости у них решает UPnP.

Какого ещё Интернета ? Ты понимаешь словосочетание «локальная сеть»? Но, бывает, что из неё надо сходить наружу.

Такого интернета, обыкновенного, в котором с компьютера на комьютер передают данные и не хотят для этого использовать сервера третьей стороны или танцевать с бубном чтобы как-то обеспечить прокол двухстороннего NAT. Но тем для кого интернет - это вконтакт и пикабу не понять, да. Если из локальной сети нужно сходить наружу - ходи. Если не хочешь чтобы был доступ ко всем машинам - прикрой stateful firewall и сиди дальше довольный, ничего не поменяется. Зато все те, кому нужно прямое соединение между компьютерами не придётся вспоминать ругательные слова вроде STUN server, NAT piercing, symmetric NAT traversal и иже с ними.

Админы кофеварок и телевизоров могут включить stateful firewall и спать и дальше спокойно, все их устройства будут абсолютно в той же «безопасности», что и за NAT. На всё том же роутере с вывешенной в интернет админкой c дефолтным паролем.

Да ладно? Зачем строить внутреннюю сеть на публично маршрутизируемых IP-адресах?

З.Ы. Никто не мешает строить на local-only адресах и в IPv6. Ключевая разница что в NAT выбора и нет, а в IPv6 - есть.

Если у тебя эти сервера за NAT

Так у таких, как ты, они вовсе в публичной сети.

hint: stateful firewall - это штука, которая может отключиться.

Так у таких, как ты, они вовсе в публичной сети.

Тили-тилипат? А у тебя вообще ботинки грязные и сопля из носа торчит.

hint: stateful firewall - это штука, которая может отключиться.

И тогда движения в сети вообще не будет. У тех же, у кого firewall отключается и сеть остаётся без защиты - у тех и NAT работает в обе стороны: https://securityledger.com/2014/10/youre-doing-nat-wrong-one-million-soho-rou... и позволяет. Читай, просвещайся, потом уже свои hint-ы тут раскладывай.

И тогда движения в сети вообще не будет.

Правда ? Расскажи мне, как роутинг зависит от файрвола.

Читай, просвещайся, потом уже свои hint-ы тут раскладывай.

Я думаю, что читал это тогда, когда ты ещё не родился. Да и автор этого текста тоже. :-)

Правда ? Расскажи мне, как роутинг зависит от файрвола.

Если процесс осуществляющий фильтрование свалился или ещё по каким причинам забил панику, то нормальное поведение - остановка роутинга, а не продолжение работы. Если же кто-то просто ручками отключил файерволл - то тут поможет только эвтаназия. Роутеры где файерволл может сам отключиться, скорее всего и прокидывание портов поддерживают в обе стороны и админку вешают наружу с захардкоженными логин/паролями и дальше их обсуждать вообще смысла нет, они безопасны будут только если будут переплавлены.

Я думаю, что читал это тогда, когда ты ещё не родился. Да и автор этого текста тоже. :-)

Машина времени в треде? Статью опубликовали в 2014, модели роутеров там разбирают тоже явно не 80-ых.

Очень странным образом он это показал. Если провести аналогию с ya.ru, то при рабочем ipv6 будет тоже:
PING ya.ru (213.180.204.3): 56 data bytes
Подчеркиваю здесь ключевое слово «PING»

Если процесс осуществляющий фильтрование свалился или ещё по
каким причинам забил панику, то нормальное поведение - остановка
роутинга

Это - совершенно несвязанные между собой процессы. Связь можно сделать искусственно, но и только.

Статью опубликовали в 2014, модели роутеров там разбирают тоже явно не 80-ых.

Только принципы вовсе не 2014-ого.

ping6 а не ping

и, внезапно IPv6 тут не при чём

IPv6 еще как причем - ff02::1 же

таки да, спасибо

IPv6 еще как причем - ff02::1 же

Линк-локал же, ну. ping 192.168.1.255 даёт тот же эффект (для конкретной сети) и ARP запросы тоже.

Не совсем тот же.
Так вот soho роутеры (да и локалхост админы) частенько забывают об ipv6 т.е. на ipv4 fw работает, а на ipv6 нет. Оочень забавная ситуевина получается... Я про fe80 адреса.

Так вот soho роутеры (да и локалхост админы) частенько забывают об ipv6 т.е. на ipv4 fw работает, а на ipv6 нет.

SOHO роутеры нередко и захардкоженные логин/пароль в вывешенной наружу админке забывают. Так что тут только выбирать нормальных вендоров, у которых можно перепрошить на нормальный openwrt или производные. В противном случае хоть IPv4, хоть IPv6, хоть IPX - будет роутер работать в ботнете.

Так что тут только выбирать нормальных вендоров, у которых можно перепрошить на нормальный openwrt или производные.

Это вы для домохозяек предлагаете? Серьезно?

Серьезно ничего перепрошивать чисто для v6 не нужно, даже говнолинки уже его поддерживают, не говоря уже о нормальных netgear & linksys.

Это вы для домохозяек предлагаете? Серьезно?

Я думал, что это ресурс не для домохозяек. Домохозяйкам вообще ортогонально до протоколов адресации, если бы при вводе IPv4 спрашивали что домохозяйкам надо, то сейчас бы отправляли сетевые пакеты пневмопочтой по адресам вроде «Улица Строителей, Дом 3/4, квартира 15», а роутером называли бы человека в переднике, который бы перекладывал бы капсулы из трубки в трубку.

Если мы всё таки о них вспоминаем - то им просто нужно брать роутеры у нормальных производителей, у которых не кладут огромный болт на безопасность и пол-кило троянов в прошивку. Если о безопасности подумали - то будет работать и на IPv6 и на IPv4, если положили - NAT поможет не больше припарок.

им просто нужно брать роутеры у нормальных производителей

А что есть щас в продаже роутеры общего назначения без поддержки ipv6?

У меня вот был этак 6 летний netgear, его уже с продаж сняли давненько, нищебродный (1000 рублей), глючный, но поддерживал ipv6.

А что есть щас в продаже роутеры общего назначения без поддержки ipv6?

Там выше началась дискуссия не о том «что брать домохозяйкам, чтобы у них был IPv6», а «что брать домохозяйкам, чтобы их дом не превратился в ботнет». А то некоторые тут считают, что NAT == security и наличие его в дешёвой мыльнице делаёт её дико секьюрной, а IPv6 - страх-беда, ведь там все адреса доступны извне по умолчанию, видать крутят старый sendmail на кофеварке.

А то некоторые тут считают, что NAT == security и наличие его в дешёвой мыльнице делаёт

Ты бредешь.

её дико секьюрной, а IPv6 - страх-беда, ведь там все адреса доступны извне по умолчанию

То есть, ты не понимаешь, что далеко не всегда следует использовать публичные адреса. Что ж...

Ты бредешь.

К логопеду.

То есть, ты не понимаешь, что далеко не всегда следует использовать публичные адреса. Что ж...

«Шарик, ты - балбес». То что адрес глобально маршрутизируется - не значит что к нему можно подосединиться откуда угодно. Тебе тут жуют за то что пора переходить на IPv6 чтобы была возможность создавать сети по-нормальному с globally routable адресами. Потому что, на секундочку, на этом и строился интернет и это необходимо для нормальной и шустрой работы всего p2p без выдумывания леденящих кровь костылей.

Если тебе нужны только локальные адреса - в IPv6 есть unique local address. Если тебе нужно запретить соединения извне - stateful firewall. Разница в том что если тебе понадобится добавить глобально маршрутизируемые адреса - это можно и легко. А если ты сидишь за провайдерским NATом и ещё за NATом своей консервной банки, то твой удел - смотреть котиков на тытрубе.

Типичный, в общем-то, пример «а Ватсон без трубки уже не мог». Но если лично ты уже не представляешь построение сетки без NAT - это не значит что все остальные такие же криворукие и мечтают плясать с бубном и прокидыванием портов извне внутрь (в лучшем случае) или со STUN серверами (в худшем).

Ага, ага. У меня в домашней сети как раз где-то netgear с ipv6 и дэфолтным паролем откликается (по ipv4 все закрыто) так что не надо про «нормальность».

напомню что речь шла о «Проблема не только в самих домохозяйках, проблема также в том что из этих домохозяек можно будет собрать некислый ботнет и уронить какой-либо более-менее серьёзный ресурс.» как написал h578b1bde и я с ним согласен.
Так вот с routable адресами шансов на это гораздо больше. Хотя бы просто из-за тупой «физики», т.к. написание всяких «полезных» программ существенно упрощается и организовать действительно децентрализованный ботнет становиться весьма легко. Напомню что еще в 90-е подобные гадости практиковались полным ходом, это потом адресов становилось все меньше а ната все больше.

«Шарик, ты - балбес». То что адрес глобально маршрутизируется - не значит что к нему можно подосединиться откуда угодно. Тебе тут жуют за то что пора переходить на IPv6 чтобы была возможность создавать сети по-нормальному с globally routable адресами. Потому что, на секундочку, на этом и строился интернет и это необходимо для нормальной и шустрой работы всего p2p без выдумывания леденящих кровь костылей.

Да нет «Шарик» это ты «балбес»

То что адрес глобально маршрутизируется - не значит что к нему можно подосединиться откуда угодно.

...

и это необходимо для нормальной и шустрой работы всего p2p без выдумывания леденящих кровь костылей.

Мне одному показалось что вот эти два пункта противоречат друг другу?
Вот смотрите, с одной стороны вы говорите о том что должет быть настроен fw на роутере, а с другой активно рассуждаете о доступности всех устройств отовсюду так вот эти пункты противоречат друг другу. Если у меня на роутере запрещен forward для syn внутрь моей сети (что собственно правильно) то без разницы что у меня там белый ipv4 или ipv6 или nat, результат один - доступа не будет. И мы возвращаемся к тому же «или со STUN серверами (в худшем).»

т.к. написание всяких «полезных» программ существенно упрощается и организовать действительно децентрализованный ботнет становиться весьма легко.

Поскольку центр управления всё равно нужен и именно в него запрашиваются команды, то упрощается не так чтобы очень сильно.

И современным ботнетам NAT совершенно не мешает, особенно учитывая что распространяются они через уязвимости в браузерах, а не выискивая уязвимые сервисы на портах. Особенно учитывая что сейчас даже форточки раздуплились на достаточный для домашних применений файерволл.

С 90-ых как раз объёмы ботнетов подросли ощутимо, а CG-NAT ещё и не позволяет отфильтровывать DDoS адресно, вынуждая прикрывать всех, кто сидит за одним IP-шником.

Мне одному показалось что вот эти два пункта противоречат друг другу?

Не противоречат потому что ты сам решаешь разрешаешь ты доступ или нет. Если же тебя засунули за NAT, то выбора у тебя нет от слова совсем.

За своим домашним роутером каждый сам может извращаться как хочет, хоть вообще запретить всё, включая исходящие.

Если у меня на роутере запрещен forward для syn внутрь моей сети (что собственно правильно) то без разницы что у меня там белый ipv4 или ipv6 или nat, результат один - доступа не будет. И мы возвращаемся к тому же «или со STUN серверами (в худшем).»

Ты разрешаешь доступ для конкретной машины, для конкретного порта и этим случай исчерпывается. В случе же если ты сидишь за NATом, то и двойным, то тебе приходится танцевать с бубном.

Ещё раз - в случае с IPv6 тебе дают подсеть \64 и ты делаешь с ней что хочешь. Хочешь - разрешаешь инициировать соединения только исходящими и получаешь абсолютно то же, что и в случае с NAT.

С точки зрения пользователя IPv6 означает, что если он (пользователь) захочет с кем-то соединиться и тот «кто-то» будет не против - то он это сможет легко сделать. С точки срения провайдера IPv6 означает, что не придётся платить олимпиарды за установку CG-NAT из-за того что белые IPv4 стоят денег, а то и вообще их не достать.

Роутеры наконец-то перестают заниматься фигнёй в виде парсинга пакетов, хранения в памяти маппингов портов на каждое открытое соединение изнутри, перестают пересчитывать контрольную сумму пакетов на каждом хопе, и начинают просто маршрутизировать, как и задумывалось изначально.

Поскольку центр управления всё равно нужен и именно в него запрашиваются команды, то упрощается не так чтобы очень сильно.

Как раз не нужен, команды можно отдавать понимаете в чем разница? А уж локацию откуда отдавать можно менять сколько угодно раз.

Не противоречат потому что ты сам решаешь разрешаешь ты доступ или нет.
Ты разрешаешь доступ для конкретной машины, для конкретного порта и этим случай исчерпывается. В случе же если ты сидишь за NATом

Ну так мы опять возвращаемся к вопросу «не домохозяек». Если я сижу за своим натом то мне как-то без разницы что пробрасывать порт ipv4 что разрешить форвард для ipv6.
Я же говорю про домохозяек, что получается или защита или доступ, понимаете что ключевое здесь именно «или». Вы же активно смешиваете все в одну кучу говоря и про безопастность и про доступность в одном флаконе.
И кстати лично мне пофигу кол-во натов до меня, я себе белый ipv4 хоть на телефон зарулю.

Как раз не нужен, команды можно отдавать понимаете в чем разница?

Командный центр меняет дислокацию реже, чем конечные ноды (ноутбуки, пользователи на динамическом IP). Я, смотрю, что, к счастью, вы с ботнетами дела особо не имели.

Если я сижу за своим натом

А если за натом провайдера?

Я же говорю про домохозяек, что получается или защита и доступ

Домохозяйки используют встроенный в винду файерволл и спят дальше спокойно с установленными ускорителями интернета, «помошниками» и прочими троянами. Могу ещё раз повторить - «NAT - это не безопасность», NAT тупо ломает адресацию и в качестве результата соединиться не могут ни «правильные», ни «зловредные».

И кстати лично мне пофигу кол-во натов до меня, я себе белый ipv4 хоть на телефон зарулю.

Конечно, потому что для того чтобы работала нормальная маршрутизация - надо извращаться и плясать с бубном, прокидывать тоннели, гонять траффик через третью точку.

Почему каждый фанат делать всё через Ж, считает своим долгом начать объяснять нормальным людям, что роутинг - это плохо, что всем нужно сидеть за NATом и что «белые» IPшники - это зло? Если вам удобно с трубкой в Ж, нравится прокидывать порты, запоминать что порт 3000+номер порта - это машина в гостинной, а 6000 + номер порта - это порт машины в спальне, если вы считаете что CG-NAT - это решение проблемы нехватки адресов - пожалуйста, смотрите телевизор и радуйтесь жизни.

Я ни разу, не написал что nat это безопасность, это видимо голоса у вас в голове такое нашептали.

Если вам удобно с трубкой в Ж, нравится прокидывать порты, запоминать что порт 3000+номер порта - это машина в гостинной, а 6000 + номер порта - это порт машины в спальне

Ну во первых для этого люди придумали комментарии. И простите чем это отличается от разрешающего правила "на 3000 номер порта машины в гостинной", "на 6000 номер порта машины в спальне"? Заметьте НИЧЕМ. А уж при учете плохой «запоминаемости» ipv6 адреса без комментариев вообще плохо.

Домохозяйки используют встроенный в винду файерволл и спят дальше спокойно с установленными ускорителями интернета, «помошниками» и прочими троянами.

Вот вот, и вы судя по всему предлагаете троянам и прочим ботнетам улучшить жизнь.
ЗЫ Дома использую и ipv4 (свой nat) и ipv6 (тунельный брокер т.к. провайдеры 2шт не дают ipv6) особого профита как в плане настроек так и использования от ipv6 не заметил.

Конечно, потому что для того чтобы работала нормальная маршрутизация - надо извращаться и плясать с бубном, прокидывать тоннели, гонять траффик через третью точку.

Если мне нужен статический адрес то простите для мобильного устройства кроме использования тунеля других вариантов нет. И таки да ipv6 я на него тоже раздаю.

Если мне нужен статический адрес то простите для мобильного устройства кроме использования тунеля других вариантов нет.

Статический - да, хотя тут просто дело в провайдерах, которые не дают такой услуги (судя по всему потому что мало кто хостит сервера на 3г модемах и телефонах). У меня провайдер даёт динамический IPv6 (может статический, ХЗ, у меня включено privacy extension, потом проверю меняется ли префикс со временем), предыдущий давал белый динамический IPv4.

Вот вот, и вы судя по всему предлагаете троянам и прочим ботнетам улучшить жизнь.

Да ничего в их жизни не изменится. Для ботописателей нет особо разницы будет троян забирать адрес CnC из твиттера, из IRC и потом опрашивать на тему комманд или сам CnC будет что-то посылать на адреса откликнувшихся нод.

Мобильное устройство - не означает что оно будет подключаться через опсоса.
Кстати в тему мобильных операторов из того что знаю: ёта статику дает, мтс в Питере.