IPv6 i dynamiczne IP - nie jest różowo.
24 stycznia, 2009
Trwa lekki hype na IPv6. Poza sporą liczbą dyskusji na PLNOG2 (to od strony operatorskiej, bardziej), pojawił się ten wpis o rzekomo szybszym działaniu tuneli IPv6 (to od strony użytkownika). Przyjrzyjmy się bliżej...
Przede wszystkim w komentarzach do artykułu o szybszym działaniu IPv6 padło stwierdzenie Akurat trafiłeś na przypadek, gdy te odpowiadające po IPv6 są bliżej. Dużo bliżej. Moim zdaniem - niekoniecznie. Równie dobrze sprawcą tego "cudu" mogło być priorytetyzowanie ruchu gdzieś po drodze. Wsparcie po stronie urządzeń (i adminów) dla IPv6 jest nikłe, więc wystarczyło, że standardowy ruch dla ping i tracert wrzucany jest do najmniej istotnej kolejki gdzieś po drodze, a tunel leci w standardowej kolejce (niekoniecznie da się łatwo rozpoznać, co jest tunelowane), lub nawet łapie się w szybsze (skoro UDP...) kolejki i... będzie szybciej. Faktycznie będzie szybciej. To znaczy z mniejszym opóźnieniem. Oczywiście ma to szansę zadziałać jedynie w przypadku stron dalekich pod względem liczby hopów po IPv4 od nas, a bliskich dostawcy tunelu (po IPv6). I dostępnych po IPv6. I dopóki ISP nie poprawią QoS.
No dobrze, ale powiedzmy, że kogoś to urządza lub z innych względów chciałby mieć tunel IPv6. Zal ładnie opisał tworzenie tunelu, ale pominał jeden ważny czynnik - większość Polaków ma dynamiczne IP, które do tworzenia tuneli nadaje się... średnio.
Dokładniej rzecz biorąc, wszystko konfiguruje się tak samo i działa poprawnie. Do czasu zmiany IP, oczywiście. Powstały skrypty, które aktualizują po stronie dostawcy dane o końcu tunelu. Wszystko pięknie, ale trzeba zadbać o ich uruchomienie i poprawne wykonanie. Jeśli dostawca tunelu zmieni interfejs - skrypt (a co za tym idzie - także tunel) przestanie działać.
Powstały też narzędzia do automatycznego utrzymywania tuneli IPv6. Przykładem może być AICCU - dostępny na Windows, MacOS, *BSD i Linuksy różnej maści. Jednak na stronie Hurricane Electric opisywanego przez Zala brak informacji na temat wsparcia dla tego demona. Z kolei SixXS niekoniecznie każdemu będzie odpowiadał (jako dostawca).
Kolejna sprawa, to fakt, że taki tunel albo zestawiamy z każdego pojedynczego kompa w domu/firmie, albo szczęśliwie na routerze mamy któryś z ww. systemów. Jeśli ktoś ma router sprzętowy (klasy SOHO), to albo ma wsparcie dla OpenWrt, na którym AICCU można doinstalować, albo... Zestawia tunele dla każdego komputera osobno, co - jak wiadomo - przy kilku komputerach jest niesłychanie "wygodne". Dla odmiany - usunięcie wad zmiennego IP poprzez stałą nazwę hosta dyndns czy No IP jest praktycznie standardem w sprzętowych routerach SOHO...
Jak widać, wcale różowo nie jest - poza geekami mało kto ma peceta jako router czy router z OpenWrt i chęć doinstalowywania pakietów...
Jeśli ktoś posiada informacje o innych rozwiązaniach niż AICCU wspierających tunele IPv6 na dynamicznym IP, o routerach SOHO wyposażonych we wsparcie dla tuneli IPv6 (w szczególności w połączeniu z dynamicznym IP), czy wreszcie o wsparciu dla tego typu rozwiązań (tunel do dynIP) po stronie dostawców tuneli - bardzo proszę o podzielenie się wiedzą w komentarzach.
1. pecet napisał(a):
24 stycznia 2009, 10:20:30
Mnie ciekawi czy jest coś takiego jak NAT w IPv6, bo jak za parę lat się okaże że ISP przechodzi na IPv6 to nie chciałbym dla wszystkich moich komputerów w sieci IP zewnętrznego.
(Może coś pokręciłem, ale chyba wiadomo o co chodzi)
2. BTM napisał(a):
24 stycznia 2009, 10:55:28
@pecet: no jeżeli masz sieć przez router i router się tuneluje, to kompy w domu nie są już widoczne – są za NATem, nie? Sorry, ale sieci miałem tylko jeden semestr i więcej mnie nie było niż było ;p
3. rozie napisał(a):
24 stycznia 2009, 10:57:47
pecet: Coś takiego jest (chociaż nie o bezpieczeństwo chodzi i niezupełnie tak to działa), ale po pierwsze masz zabezpieczenie na samych klientach w Windows (to akurat dla teredo), a po drugie maszynka, która robi aktualnie NAT może po prostu robić firewalla (tak, jest to zmiana, czasem nawet sprzętu, ale odcięcie dostępu z zewnątrz to po prostu poboczna funkcja NAT). Poza tym, maszyny za NAT bez zabezpieczeń, zwł. w większych grupach, wcale nie są bezpieczne…
4. pecet napisał(a):
24 stycznia 2009, 10:58:32
btm — No właśnie gdzieś mi się obiło o uszy że w IPv6 nie ma czegoś takiego jak NAT, ale może to bzdury tylko były ;)
5. rozie napisał(a):
24 stycznia 2009, 10:59:45
BTM: Będą widoczne. Tzn. możesz mieć tunel do routera od dostawcy i IPv6 natywnie u siebie w sieci – wtedy normalnie routing po v6 zadziała.
pecet: Bo takiego jak w v4 faktycznie nie ma.
6. Zal napisał(a):
24 stycznia 2009, 12:17:47
Faktycznie, ja mam WRT54GL, tunel IPv6 w HE oraz DD-WRT skonfigurowanego do współpracy z DNSomatic.com (aktualizacja OpenDNS oraz Afraid.org) i HE (własny skrypt – cron, wget i link aktywacyjny od HS) :D Dla zupełnych laików nie jest to najlepsze rozwiązanie, ale w moim przypadku jeszcze nigdy mnie nie zawiodło :)
PS. NAT w IPv6 nie ma, bo po prostu nie jest potrzebne. I nie będzie potrzebne aż do czasów skolonizowania galaktyki :D
7. ksawicki napisał(a):
24 stycznia 2009, 13:20:32
Zal: NATv6 istnieje ponoć w którymś jądrze *BSD. Komuś się pewnie nudziło ;-)
8. rozie napisał(a):
24 stycznia 2009, 14:57:57
Zal: Jest NAT, jako translacja między v6 a v4, przynajmniej (i zapewne o tym mowa powyżej). A rozwiązanie o którym piszesz… Zdecydowanie nie „dla ludzi”. Bo rozumiem, że tunel terminujesz nie na Linksysie, tylko na kompie (tam gdzie cron działa)?
9. Zal napisał(a):
24 stycznia 2009, 15:00:52
@rozie: Cron działa na Linksysie ;] Potem już żadnej konfiguracji po stronie klientów wew. sieci domowej nie potrzeba. Każdy dostaje IPv6 poprzez kombinację MAC-a i czegoś tam jeszcze (to standardowe rozwiązanie w IPv6).
10. rozie napisał(a):
24 stycznia 2009, 15:16:04
Zal: To weź się może pochwal kompletnym rozwiązaniem? Bo wygląda na „dla ludzi”, skoro wszystko zamyka się na Linksysie.
11. Zal napisał(a):
24 stycznia 2009, 15:47:49
@rozie: Postaram się coś w najbliższym czasie naskrobać – chcesz to dla siebie, czy opublikować szerszej publiczności?
Obawiam się też, że może to nie być najbezpieczniejsze rozwiązanie – zrobiłem to kiedyś, zadziałało, więc uznałem, że jak działa to ruszać nie będę ;D
12. rozie napisał(a):
24 stycznia 2009, 15:52:06
Zal: Myślę, że opisz ładnie i daj jako kontynuację swojego wcześniejszego wpisu o stawianiu tunelu – się ludziom przyda…
13. Zal napisał(a):
24 stycznia 2009, 16:05:35
@rozie: Zatem w czasie sesji coś znośnego napiszę. Zapisane w „ToDo” ;]
14. Ktoś napisał(a):
25 stycznia 2009, 10:16:06
Nie znam się, ale czy nie mogę korzystać u siebie z IPV4, a na zewnątrz z IPV6??
15. Zal napisał(a):
25 stycznia 2009, 10:42:29
@Ktoś: To nie problem przecież – wpisujesz adresy IPv4 i korzystasz z IPv4, wpisujesz IPv6 i korzystasz z IPv6. Chociaż są narzędzia przy których zmiana nie jest tak prosta i działają out-of-the-box jedynie z IPv4 ;p
16. ike napisał(a):
25 stycznia 2009, 12:56:46
NAT w IPv6? To by było. Obecnie szczerze nienawidzę NATa. Budowanie s2s VPN to po prostu makabra.
Stanowcze nie dla NATa!
17. Piotr Konieczny napisał(a):
25 stycznia 2009, 16:14:02
Oj, przecież wszyscy dobrze wiemy, ze IPv6 jeszcze długo nie będzie poważnie traktowane i używane.
Odkąd rynek poszedł w rozwiązania NAT i SOHO routers, zmniejszająca się liczba dostępnych numerów IPv4 (którą tak lubią dziennikarzepanikarze) przestała mieć jakiekolwiek znaczenie.
18. Krzysiek S. napisał(a):
25 stycznia 2009, 16:20:03
Piko: Nie tak do końca. NAT tylko przesunął śmierć IPv4 o kilka lat. Za cztery lata, jestem przekonany, będziemy mieć IPv6 w kabelku/w radiu prosto od naszych ISP.
IPv6 to nie tylko zabawka dla geeków. Nie od dziś spora część Internetu stoi na IPv6, a my sobie z tego nie zdajemy sprawy – niektóre sieci szkieletowe budowane są już tylko w IPv6, a routing IPv4 jest realizowany w tunelu.
Poza tym zostało już mało wolnych adresów IPv4, a Chińczycy już krzyczą, że im zabraknie ;-)
19. rozie napisał(a):
25 stycznia 2009, 16:27:54
Piotr Konieczny: Uważam, że przesadzasz. Porty można przekierować, owszem, ale trzeba ten jeden publiczny adres jednak najpierw dostać... Poza tym NAT rodzi sporo problemów (pomyśl o tunelach, pomyśl o SIP, pomyśl o namierzaniu złoczyńców schowanych za NAT, pomyśl o małych ISP z DSLem i kilkudziesięcioma osobami).
Krzysiek S.: „Nie od dziś spora część Internetu stoi na IPv6” – błagam, bez takich. IPv6 jest mało, a „IPv6 only” – prawie wcale. Poza tym, za ok. 2 lata zabraknie nieprzydzielonych do tej pory adresów IPv4 (przy braku zmian polityki przydzielania, dodajmy). ISP mają zapasy, poza tym można odzyskiwać już przydzielone adresy… Co nie zmienia faktu, że za kilka lat IPv6 raczej będzie standardem – po prostu będzie prostsze w eksploatacji.
20. Krzysiek S. napisał(a):
25 stycznia 2009, 16:33:01
rozie: Dlaczego zakładasz, że internet to tylko dwa końce połączenia? A routery? To, że czegoś nie widać, nie znaczy, że tego nie ma ;-) A odzyskiwanie adresów… Zobaczymy jakie będą efekty, bo na razie są mizerne.
Jednak takie akcje zmierzają do tego, że będziemy sztucznie podtrzymywać „prawie umarlaka”, bo będziemy się bać zrobić krok do przodu.
21. rozie napisał(a):
25 stycznia 2009, 16:46:16
Krzysiek S.: Nie zakładam, właśnie. To o czym mówię to na podstawie statystyk ASów prezentowanych na PLNOG2. Szkieletu dla v6 za bardzo nie ma, właśnie. Na tę chwilę trzeba tunelować, a i tak są „wyspy”. Owszem, coś się pojawia (IIRC w Chinach jest spory fragment natywnie w v6, ale dostępny także po v4). W pl-ix z 89 członków sesje (także) po v6 ma zapiętych na dziś 8 operatorów (żaden „v6 only”).
Poza tym, routerów jest stosunkowo mało, właśnie i dla nich adresów w v4 spokojnie starczy. Dużo to jest końcowych userów (zwł. licząc każde urządzenie oddzielnie), stron z SSL itp.