Adresní prostor IPv4 se jednoho dne vyčerpá o tom nemá cenu diskutovat. IPv6 ale jakoby nikdo nechtěl – protože existují řešení pro záchranu v4. Nikoliv technický, ale stěžovací zápisek.
Odkud začít. Doma jsem řešil problémy s připojením, které asi nemá smysl dlouze popisovat (prakticky se jednalo o port forward na 3 stroje a stejnou službu). Naštěstí mám inteligentního ISP (je sice hezké mít na chodbě vlákno, jenže od jeho vlastníka, firmy RioMedia, se dozvím akorát tak seznam TV stanic a rychlost připojení sice pěknou, ale bez IP konektivity jaksi zcela zbytečnou) se kterým se dobře spolupracuje, takže problém byl vyřešen přidělením IPv4 /29 subnetu což pro mě zatím stačí a až tam budeme dva, tak už snad budu mít IPv6 /48. Takto to má vypadat. Chceš IP? Dostaneš.
Teď ty problémy. Jistému nejmenovanému (protože je to jedno) úřadu státní správy docházejí v4 adresy. Spravuji pro ně dva servery a už při instalaci druhého byl problém s volnými IP. Jeden by si myslel, že to bude impuls pro nasazení (nebo alespoň uvažování o nasazení) v6. Nikoliv. Řeší to překladem 1:1. Je přece fajn mít z každé strany jinou IP pro tentýž server. Tak co, vyřeší se to vnitřním a vnějším DNS serverem – dotaz na stejné jméno vrátí jinou IP podle toho, zda jste venku nebo vevnitř. Krása. A nařízení vlády o použití IPv6 pro nové servery? Však on to možná po volbách někdo změní a když ne tak je to jen další věc, která se nestihla.
Další krásný nápad je http proxy 6to4. To je prosím navrhované řešení jednoho známého v diskusi na téma IPv6. Ono s tím souvisí i snahy některých sledovat a filtrovat http provoz no a když už tam ty proxi jednou budou…
Jako třešničku na pomyslném dortu beru preferenci natu jednoho dalšího známého. Jeho tabulky filter, nat a mangle, queue tree-shaper v RouterOS bych vám tedy nepřál. Totéž by se na routovatelných adresách udělalo několika srozumitelnými pravidly. Jenže nat je bezpečný, že jo. Co na tom, že to pravidlo v tabulce forward -i WAN -o LAN -j REJECT
nemá s překladem adres pranic společného.
Takže asi tak. IPv6 není potřeba. Na vše je řešení, 65535 počítačů doma má málokdo a těch pár počítačů je i z jedné adresy krásně dostupných.
Co mi již delší dobu vrtá hlavou je proč tito (a to prosím nejsou žádné IT lamy, jedná se o programátory, správce sítě a v jednom případě dokonce i šéfa IT oddělení) lidé odmítají IPv6. Proč nechtějí globální dostupnost svých strojů (z hlediska triviálního routování) s jasně danými adresami a místo toho vymýšlejí řešení jak obejít problémy, které by vůbec nemuseli mít.
Ahoj,
no, ja osobne se IPv6 branim, protoze se mi to nezda bezpecne. Provozuji sit asi 80 klientu, a nechci aby byl router kazdeho z nich dostupny z venku. Pouzit NAT je pro me nejen nutnost, ale i vyhoda. Nemusim se starat o to, jestli nekdy nekdo bude zkouset lamat hesla na routrech mych klientu. Mym duvodem je tedy pohodli. Neni nic, co by me nutilo na IPv6 prejit.
Ahoj Libore.
Překlad adres na bezpečnost nemá vliv. Žádný. Překlad adres se téměř vždy kombinuje s filtrem a tedy se na zamaškarádované adresy nic nedostane. Ale nikoliv k vůli překladu adres, ale naopak díky filtru. Typicky ten filter vypadá následovně: všechno ven pustit, navázané spojení dovnitř pustit, zbytek zahodit. Komunikace pak funguje, ven se dostane cokoliv a dovnitř pouze navázaná spojení. Odtud vzniká mylný dojem bezpečnosti NATu.
Tvoji klienti mohou mít na svých routerech globální IP adresy klidně i v síti IPv4 a pokud nepovolíš přístup z venčí (ve filteru, to pravidlo může zůstat zcela stejné), tak se tam nikdo nedostane. Situace v IPv6 je zcela stejná.
Co se týče toho pohodlí. Chápu jak to myslíš. Dáš jim krabičku, z jedné strany má 192.168.x.x z druhé strany má 10.x.x.x a dál nic neřešíš a funguje to. Jasně, je to pohodné. Osobně, jelikož jsem také pracoval u ISP (a přiděloval výhradně globální IP) a teď jako bokovku poskytujeme připojení v jedné administrativní budově (opět globální adresy, dostali jsme pro začátek 64 IPv4), si myslím, že práce s globálními IP není o nic méně pohodlná, než práce s maškarádou a lokálním subnetem.
Co se týče toho nucení k v6. Všichni musíme jednou přejít na dualstack v4 a v6. To je prostě nevyhnutelné. IPv4 dojdou a bude to rychle. Pokud by si neposkytl svým klientům IPv6 konektivitu, může se snadno stát, že se nedostanou na některé služby na serverech, pro které již v4 nezbylo. Osobně si myslím a prosadil jsem to v práci, že čím dřív na to budeme připraveni, tím lépe. Podaří se vychytat mušky a až to nastane (u nás už nastalo, státní správa je povinna zajistit běh služeb i na IPv6), tak být dobře připraven.