IPv6 NAT

Hálózatok általános

A kérdés nagyon egyszerű lehet e NAT-olni az IPv6-ot?

Nem IPv4 NAT mögül IPv6-ozni hanem magát az IPv6ot NATolni!

És itt nem arra vagyok kiváncsi, hogy nincs értelme, satöbbi, ezt tudom...hanem arra, hogy elviekben lehetséges e, van-e valami elvi akadálya és ha lehetséges akkor milyen módon? Hátha van itt okos ember ebben a témában :)

  • 4902 megtekintés

( ggergely (nem ellenőrzött) | 2007. 05. 03., cs – 15:25 )

lehet. linuxkernel nem tudja (még). STFW!
---
Reactor error - core dumped!

( bastya_elvtars | 2007. 05. 03., cs – 15:32 )

Ilyen szarok, mint az OpenBSD biztos tudják.
--
'Please, just tell people to use Windows.' - Linus Torvalds on KDE and GNOME
Registered M$funboy #006 (vigyázat: memetikai dágvány!!!11)

( kadlec | 2007. 05. 03., cs – 15:42 )

Elviekben lehetséges és nincs akadálya: fogod a Linux kernelt és megírod.

A gyakorlatban ne várd, hogy ezt bárki megteszi, vagy ha mégis, akkor az bekerülne a kernelbe.

( xray | 2007. 05. 03., cs – 15:51 )

Egyébként én értem, hogy nincs értelme a NATnak IPv6-nál csak a főiskolán beszélgettünk egy tanárommal és előjött ez a probléma (az Ő részéről) és hát hiába mondtam, hogy normális tűzfal kell és nincs szükség NATra IPv6 alatt sem:) Meg legrosszabb esetben is többezer IPv6 címmel rendelkezhet egy szervezet... :|

It has been argued that the wide adoption of IPv6 would make NAT useless, as it is a method of handling the shortage of IPv4 address space. However, this argument either ignores the natural firewall provided by NAT, or assumes that consumer-grade network routing devices (which are often installed by purchasers lacking knowledge of firewall configuration) would always be factory configured to block incoming server requests.

szerintem inkább csak rászoktak, így átláthatóbb tűzfalat belőni.

Jut még az UFO-knak is! :-)
Amúgy egy érdekes gondolat ötlött fel bennem az IPv4 -> IPv6 váltással kapcsolatban. Használják már ugye az IPv6-ot, de a világ jelentős része, a az egyszerű felhasználók, kis és közepes cégek, multik, az ISP-k, a kormányzatok, állami szervek szerte a Földtekén még mindig IPv4-el kommunikálnak. Namost nem lesz könnyű és egyszerű a világot olyan irányba megmozgatni, hogy mostantól akkor váltsunk már IPv6-ra. Mindezt ugye fokozatosan lehet csak véghezvinni, és akkor még a címkiosztásról nem esett szó. Az Internet saját méreténél fogva már akkora tehetetlenséggel rendelkezik, ráadásul nagyon jelentős gazdasági tényezővé vált, hogy egy ilyen váltást nem tudom mi lenne az, ami képes kikényszeríteni... Persze lehet hogy rosszul okoskodom.

Annyira nem, láttam egy konferencia felvételt amelyben arról volt szó, hogy igazából addig míg ránem kényszerülnek, illetve nem tudnak olyan plusz szolgáltatást nyujtani a felhasználók fele amit IPv4-en nem tudnak megvalósítani addig ez nagy visszatartó erő lesz. Gazdaságilag meg pláne nem érné meg nekik emiatt az áttérés. Az én elképzelésem szerinte egészen odáig nem fognak áttérni amíg nem lesz olyan szolgáltatás amiből hasznot tudnak termelni és IPv6 szükséges hozzá és CSAK azon oldható meg. Ha meg bevezetik a userek egyébként is rá lesznek kényszerülve.

Na igen, valami ilyesmire gondoltam én is. Amúgy javítsatok ki, de szerintem ma azért még elég kevés szakember ért az IPv6-hoz jól és ismeri a belső lelkivilágát. Ami elengedhetetlen a tűzfalak, routerek, DNS szerverek, mail-és webszerverek átállításához, működtetéséhez IPv6-on. És itt most nem csupán a kommunikációra gondolok, hanem az olyan szolgáltatásokra, mint a VPN, a WiFi, stb. Ezeket nem lesz könnyű egyik pillanatról a másikra átállítani, aztán meg majd megy minden tovább. Én is azt gondolom, ha nem jön valami fentről jövő kényszerítő erő, nem fog az IPv6 olyan gyorsan elterjedni. IPv4 annak idején együtt nőtt szinte az Internettel, de ma már Internet gazdasági jelentősége sokkal fontosabb mint a hőskorban. Senki nem engedheti meg magának a hosszabb kiesést, a bizonytalanságot az új technológia miatt.
De ha van valakinek tapasztalata IPv6 áttérésre, vagy más vélemény, szívesen hallgatom.

Teljesen egyetértek az okfejtéseddel.
Mi most egy projekt keretében egy kísérleti hálózatot hoztunk létre amely két hálózatrésszből áll köztük egy routerrel. Azt próbáltuk megoldani hogy tisztán IPv6-os környezetből miként érhető el az IPv4-es hálózat(itt vannak natív v6-os címek is). Hosszas kutakodás után találtam rá a DSTM módszerre. Amely röviden annyi, hogy van a kliens, egy szerver amely v4-es ipket oszt ki ideiglenesen amig v4-es kérés van. A kliensoldalon telepített daemon észlel akérmnilyen ipv4 kérést és a kernel rpc-vel ip-t kér a szervertől ami most a routeren fut. A kliens ideiglenesen felkonfigurálja az interfészt. A kérést IPv6-os csomagba csomagolja a router kicsomagolja és így küldi el az ipv4-es gépnek. Az ipv4-es hálózatból tunnelen keresztül érjük el a v6-os gépet. Hátrány: kliens oldali támogatás kell, ipv4-es cím kell amiből válogathat a szerver és kioszthat. Véleményem szerint az áttérés mindenképpen hasonló irányba fog megindulni. Párhuzamosan fog mindenképp futni a két protokoll nagyon sokáig, szerintem...

Valós probléma, sajnos... De kis hazánkból kiindulva, ahol ISP váltás is horrorisztikus Canossa-járást igényel, nem akarok belegondolni, ezt hogyan fogják kezelni... Ha pl hazai legelterjedtebb ADSL szolgáltató modemei nem kezelik mind IPv6-ot, akkor 2-300 ezer emberhez ki kell menniük és lecserélni mindet?? Vagy az ügyfeleknek kell bevinniük a modemeket?? Még az egyéni előfizetők hagyján, de mi lesz a céges előfizetőkkel? Mi lesz a bérelt vonalakkal?
Az tuti hogy párhozamosan kell futni IPv4-nek és IPv6-nak is. Távol-Keleten ahova már nem jutott IPv4-es cím elég, ez az egyetlen megoldás és így is kommunikálnak évek óta... más kérdés, hogy ők rá vannak kényszerítve az IPv4 -> IPv6 konverzióra.
Nem tudom, mit hoz a jövő, hogyan fog zajlani a váltás, de az biztos hogy a hozzánk hasonló hálózati rendszergazdákat/szakembereket sokkal jobban fogja érinteni mint az egyszerű felhasználókat. Ebből akár még jól is kijöhetünk, ki tudja... :-)

A DSTM nagyon szép és elengáns, pár éve mi is teszteltük. A dual stack
persze sokkal egyszerűbb és jobban támogatott áttérési megoldás, a kérdés csak az,
valóban lesz-e még elegendő IPv4-es cím.

Itthon az akadémiai/egyetemi szféra áll legjobban IPv6-ból, jónéhány éve folynak projektek, tesztek a bevezetéséről, áttérésről, stb. A legújabbb aktuális projektről
a http://ipv6.niif.hu/index.php?mn=9&lg=hu és http://ipv6.niif.hu/m oldalakon lehet
a legtöbbet megtudni.

Az ftp://ftp.kfki.hu pl már évek óta elérhető IPv6 fölött is :-).

Hát igen..."meglepő" módon az ELTE ismét az utolsók közt kíván kullogni. Persze ez nem a technikai személyzet/vezetőség hibája, sokkal inkább a központi vezetőségé...:/
Amúgy köszi a linket Józsi, legalább lehet tudni, itthon se áll egyhelyben a dolog! :-)

azert a technikai szemelyzet is *******.

felmesz az operatorokhoz az eszakiba, es 5bol 6 ember wowozik
(mert egyik haverjuk is ott nyomja), aztan ha akarsz valamit
te vagy a fasz, hogy hogy mered zavarni oket...

es ezt mondjuk nem diakkent tettem, hanem elte alkalmazottkent,
aztan en ereztem magam lebaszva. hat koszi.

Nemrég beszélgettünk az egyik hazai ISP IPv6 bevezetésével foglalkozó egyik emberével.
Régóta ígérik a szakemberek, de lényegében már most elfogytak a v4 címek. Ezt csak azért nem érzitek mert nincs mindenki egyszerre bejelentkezve. Rohamosan terjednek az olyan alkalmazások, szolgáltatások amik folyamatos net kapcsolatot igényelnek (skype, voip). Sokan a Win Vista-tól várják a csodát, lehet kicsit lesz benne része, de a v6 forradalom akkor fog bekövetkezni amikor a folyamatos net kapcsolatot igénylő alkalmazások "megeszik" a v4 címeket. A nagy ISP-knek egyszerűbb lesz v6-ot osztani mint NAT vagy hasonló megoldásokkal halogatni a váltást...
Persze felmerül néhány kérdés: PPPoE csak 1 IP címet tud kezelni, és amíg nem történik meg a teljes átállás addig bizony mind2 címre szükség van. De ezt majd biztosan megoldják...

Mik

Nem fogytak meg el az ipv4 cimek. Kb. 2009-2012-re teszik a cimek kimeruleset, de meg mindig rengeteg gyakorlatban nem hasznalt tartomanyt lehet visszaszedni tovabbi kiosztas celjara. Aztan meg ott lesz az ip-tartomany-biznisz, arveresekkel esatobbi.

Aki akar, mar most kaphat ipv6 tartomanyt - nem is akarmilyet, mostansag asszem boldog-boldogtalannak minimum /48-at osztanak, de ha isp vagy, akar /29-et is kaphatsz.

A RIPE kapott egy /12-t.

( pogacsahu | 2007. 05. 04., p – 09:51 )

1. IPv6 esetében nincsen szükség NAT-ra a nagy rendelkezésre álló cím tartomány miatt.
2. Aki NAT-ot mint biztonsági megoldást használja - az tulajdonképpen egy statefull packet filter tüzfalat üzemeltet. Ilyet IPv4-en és IPv6-on is nagyon jól meg lehet csinálni - lásd kadlec linkjeit. A NAT-nál problémák vannak a belső hálózattal - nagyon gyakran a NAT mögötti tartomány egy fekete doboz: nem igen tudjuk, hogy mi történik. Ha például jön egy biztonsági incidens jelzés, hogy virus ömlik kifelé tölünk- és amit a megadnak a NAT doboz külsö címe a legtöbb rendszergazda széttárja a kézet és azt mondja, ok ellenörizni kell az összes gépet a NAT mögött virus szempontból. Ha globális IPv4 vagy IPv6 címeket használna, akkor nem volna semmi ilyen probléma - lehetne azonnal azonosítani a virusos gépet.... A NAT-ot néhány 10 gépre találták ki....
3. Aki arra hivatkozik, hogy a szolgáltató váltás mekkora problémát jelent ezért NAT mögé dugja a szervezetének hálózatát, annak elmondanám, hogy van olyan cím tartomány ami nem a szolgáltatóhoz tartotik - úgy hívják, hogy Provider Independent Address. Ilyet is lehet használni....
Bővebb információ a témáról:
http://www.ietf.org/internet-drafts/draft-ietf-v6ops-nap-06.txt

1. A NAT igenis hasznos, rengeteg felhasznalasi lehetosege van - hogy mast ne emlitsek, a virtualis ip-cimek lehetosege, vagy epp debug-olas, vagy epp egy szerver ideiglenes csereje egy masikkal. Persze lehet ip-aliast adni az interface-nek, de az mas megoldas, nem biztos, hogy mindig celravezeto. Igenis van ertelme a NAT-nak, IP verziotol fuggetlenul.

2. Ebben egyetertunk.

3. A szolgaltato-valtast siman DNS-el is meg lehet oldani - nam olyan bonyi dolog, hogy csak a szerver nevet publikalja az ember, mint officialis eleresi pontot, es ha IP-t kell cserelni, csak siman modositja.

A PI space viszont ISZONYUUUUUU! Ezt inkabb ne is terjeszd. Valszeg fogalmad sincs rola, hogy mekkora anyazasok mennek itt a routing table meretekre emiatt. Ma kb. 40000 PI range van csak a RIPE cimtartomanyaban (ami 24 /8 -at jelent). Ez egyszeruen elkepeszto szam, ha jobban belegondolsz. Az IPv6 egyik lenyege pont a konnyu route-olas lenne. A PI-al ez elveszik.

BTW, ez belsos info :), de epp most fogjuk szigoritani a PI-hoz jutast. Szerepel a tervek kozott az eves dij es RIPE-al kotott szerzodes; elobbi, hogy visszafogjak a terhoditasat, utobbi, hogy ne legyen anonim. Pillanatnyilag ugyanis barki kerhet PI space-t, es ha jo indoka van ra, kap is. Elethossziglan. Namost, ez nem jo, volt pl. egy eset a MS-el, akik egy kalozszervert lekapcsoltak a netrol (kicsi ISP-nek fenyegeto level es meg is van ugye), erre egy hetre ra ugyanaz az IP megint fent volt a neten - egy masik ISP-nel. Aztan persze jott az ertetlenkedes, hogy ezt hogy. Ez persze nektek roppant vicces, de az ittenieknek elegge fo a fejuk emiatt. :)

1. IPv6 eseten is tudsz virtualis IP cimeket csinalni: ULA vagy link local cim.
3. Van fogalmam a PI-rol. Mennek az anyazasok a routing tabla meret miatt, de jelenleg ez az egyik lehetoseg es tamogatott. Az IETF-nel probalkoznak mindenfelevel, hogy kezelheto legyen a dolog... Elobb utobb RIPE szinten is meg fogjak szigoritani a PI cimek osztasat - IPv6 eseteben jelenleg nincsen PI a RIPE regioban....

Sajnos konnyu routing ekkora meretekben es ennyire bonyolult igenyek es szempontok miatt ugysincsen....

( hnsz2002 v | 2007. 09. 14., p – 13:29 )

Az az igazság, hogy régóta megy már a téma az IPv4-ról, és arról, hogy kész, vége, meghalt. Az első jóslatok szerint már a 90-es években elfogytak volna a címek. Aztán mégis jöttek újabb és újabb fejlesztések (NAT, VLSM, CIDR stb...) amelyeknek köszönhetően még ma is él... Bár előbb-túbb elkerülhetetlen az átállás, szerintem még kihúzza pár évig.

OpenSuSE 10.2, Celeron 2,4Ghz, 768MB, 2*160GB IDE Raid0, FX5200, SBLive! E400
OpenSuSE 10.2, Acer Aspire 5020, AMD Turion 64bit @ 1,8Ghz, 1GB, 80GB Toshiba, Mobility Radeon X700 PCI-E 128MB/128bit