Szerinted mikor lesz az IPv6 uralkodó az Interneten?

 ( traktor | 2018. november 9., péntek - 7:33 )
1-2 éven belül
1% (3 szavazat)
5 éven belül
11% (39 szavazat)
10 éven belül
33% (121 szavazat)
20 éven belül
14% (49 szavazat)
20+ év
6% (20 szavazat)
Soha, mindig is IPv4 lesz
10% (38 szavazat)
Soha, mert mire elterjedne már valami más lesz.
20% (73 szavazat)
Nem értem a kérdést. / Nincs véleményem. / Csak az eredmény érdekel.
5% (19 szavazat)
Összes szavazat: 362

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Egy kis magyarázat a szavazáshoz: az uralkodó nem azt jelenti, hogy az IPv6 penetráció átlépi az 50%-ot, hiszen akkor az IPv4 várhatóan még mindig 99% fölött lesz, hanem azt amikor már több tartalom érhető el IPv6-on mint IPv4-en. Vagyis nem az lesz a kérdés, hogy egy site támogatja-e az IPv6-ot, hanem, hogy még elérhető-e IPv4-en is...

Kapcsolódik: a Google userek 25%-a már IPV6-ot használ

Mi vinne rá egy tartalomszolgáltatót, hogy lemondjon a legértékesebb kincsről, a felhasználóról? Ennek a kérdéseknel így talán 99.9%-os v6 penetráció fölött lenne értelme..

Akkor, amikor rájönnek, hogy a nat6 implementálása nélkül nem-igazán fog menni.
Mert nat6-tal drop-in replacement lenne a V4-re.

Persze tudom, a nat hátrányai, portok, meg a többi, pláne 128 biten...
viszont a világ fejlődik, előbb-utóbb eljön az idő, hogy az ipv6 natolása nem lenne gond SOHO kategóriában sem.

De oké, nincs nat, van helyette PD, meg SLAAC, a maga (szerintem több) hátrányaival.

Mi az elonye a NAT-nak, ha egyszer van eleg IP cim? Miert ragaszkodnank hozza? Hatranya van egy csomo, azt tudjuk. Sorolj mar fel par dolgot ami nem fog mukodni (vagy rosszabb lesz) NAT nelkul! Nem arrol beszelek, hogy nem fog minden ugy mukodni mint ma, mert persze egy kicsit mashogy fog, de mi lesz igazabol rosszabb?

False sense of security. :)

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

A NAT-ot sokan azért szeretik, mert a kívülről jövő forgalom tekintetében egy elég bombabiztos „tűzfalnak” bizonyul önmagában, hiszen a belső címen lévő eszközöket csak úgy nem érhetik el kívülről. Viszont a NAT hiánya nem érv az IPv6 ellen, egy hálózatot nem csak NAT-tal lehet biztonságossá tenni.


No keyboard detected... Press F1 to run the SETUP

Nem az Ipv6 funkcionalitását kritizálom, mert az jelen állapotában is abszolút elegendő, hanem az a bajom, hogy a már meglévő, (kb jól bevált) dolgokat fölöslegesen elbonyolítanak, sőt, mitöbb a későbbi beillesztés lehetőségét is elvetik.

Érveim:
1) Leegyszerűsítette, a "belső hálózat" fogalmát, és egy átfogó megoldást adott a "tűzfal" fogalmára.
Ugyanis már önmagában komoly erőfeszítés volt elmagyarázni a nem reál végzettségű ismerősöknek,
az internet (akkor ipv4) működését, viszont, lehet jobb, ha Ipv6 esetén már meg sem próbálom.
Ellenben a nem hozzáértőek jelenléte növekedni fog, mert jönnek az okos hűtők, autók, faliórák, villanykörték, stb..
Azt viszont tényleg naiv elvárni, hogy majd a gyártók kötelessége legyen úgy megcsinálni, hogy a kevéssé-hozzáértők se szenvedjenek hátrányt (pl automatikus tűzfal, stb) emiatt, láthattuk, hogy még a híres hálózati gyártóknak sem sikerült (pl. TP-link), egyszerűen a világ nem ilyen.

2) Azt már hallottuk párszor, hogy "óó, az mindenre elég", és lássuk be, eddig az összes ilyen kijelentést meghaladta a világ.
Az megvan, amikor Bill Gates kijelentette, hogy a 640Kb memória mindenre elég?

3) Hiába van itthon 15db IP szkenner, a NAT miatt csökkenő sebesség is bőven elég, ahhoz, hogy tudjak vele e-mailban faxolni, meg egyszerűen nem óhajtom közölni a nagyvilággal, hogy van itthon 15db IP szkenner, se azt, hogy 400db okos villanykörte. Hiába ez a rosszfiúk, és a kormányzatok érdeke is.

Itthon amíg nagyszolgáltatók továbbra is valami kuriózumként tekintenek rá, addig szavazni sem érdemes. Mindenki marhára rá van pörögve, meg jujjdejó, de közben natív v6-ot igen kevés helyen tudsz felkonfigolni vagy kliens oldalon eleve nem is adnak, mert nincs és kész.

+1, de ugy tunik, mas orszagokban is hasonlo a helyzet...

--
"dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol

Ez nem véletlen. Ha nem pazarolták volna el az IPv4 címeket, hanem mondjuk kiszabtak volna egy jelképes összeget (mondjuk 1$/IP cím/év), akkor ma nem beszélnénk ilyen problémáról. És itt van a megoldás is, mivel fogyóban voltak a címek, elkezdtek vele a korábban nem ismert módokon spórolni (például CGNAT), így gyakorlatilag nincs is hiány IPv4 címekből, mivel az emberek/eszközök >95%-nak nincs is szüksége egyedi publikus címre. Aki kéri annak pedig mindig tudnak adni címet. Ráadásul a cloud-os elérésű eszközök terjedése miatt már a legtöbb esetben nem is kell publikus cím a mai eszközöknek (még egyes DVR-eknek sem). És ez csak egyre inkább így lesz (nekik is jó, hogy nem lehet direkt elérni, mert vendor lock-in + lehallgatás/megfigyelés). Hogy ez mennyire jó, mennyire nem, döntse el mindenki maga..

Esetleg M2M kommunikációban specifikus területeken (például autók között, leolvasó berendezések, stb..) fogják használni IPv6-ot ~10 éven belül.

> még egyes DVR-eknek sem

Minek kellene publikus IP cím egy Digitális Videó Rekordernek?

Távolról időzíteni pl.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Egy általában nem túl up to date szoftvert futtató kamerát szvsz nem kéne kiengedni a netre. Akkor már inkább valami VPN.

Egy DVR-ben hol van kamera? :)

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Végülis "csak" 4-8-12-16-x kamera képe van meg, ha bejutsz admin/admin-nal :D
--

Pár hónapja simán ment a "környező" IP-ket lecsekkolva.

Jó, én nem ipari kamerás DVR-re gondoltam, hanem TV műsör felvételére szolgáló DVR-re. Ami funkcionalitást igazából régen egy videomagnó vagy manapság egy STB tud.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Hogy telneten a kínai hardcoded root jelszóval belépve botnetet lehessen kreálni vagy megnézni a DVR admin jelszavát ha elfelejti az ember.

Provision: root/1001chin

Kinél nincs még IPv6? Digi-n és Telekom mobilon van, azt hittem már ez az általános.
--
https://naszta.hu

Nálam (Telekom) elvileg volt, de gyakorlatilag nem volt. Azóta modemet cseréltek, így már elvileg sincs, mert a modem szoftvere nem támogatja.

Nemreg suttyomban jott nalam firmware upgrade a Sagemcom modemre, azota by default az is tamogatja,

Nálam bridge módban van, és a routeren eddig nem engedélyeztem az IPv6-ot (minek, ha úgy sincs), így esélyem se volt észrevenni. De most már tényleg működik.

Magyarán most is van IPv6, csak modemet kéne hozzá cserélni. Ennyi a lényeg, hogy a lehetőség megvan rá.


No keyboard detected... Press F1 to run the SETUP

UPC-nél is IPv6 van.

csak ha ipv4-en natolva vagy, nem?

ja

Invitelnél nincs, legalább is KeletMO-n Kábelnetes környezetben két egymástól 40km-re lévő kisvárosban sincsen!
Netfone ADSL-en sincs tudtommal.
Telekom mobilneten van.

Amíg az otthoni NAT-dobozka nem tud normálisan csatlakozni hozzá, addig hiába ad a szolgáltató IPv6 elérést.

Őőő, hát HU 90%-a még csak IPv4-ezik kb. Szóval még mindig érdekesebb a kérdés, hogy kinél van már?

ennél azért jobb a helyzet szerencsére, olyan 20% körül van.

Hali!

A Diginél nem csak mobilon hanem madzagon is van már három éve
natív IPv6. Dual stack.

Lóg a NAT-on egykét only IPv4-os cucc. :-)

A vilag atlagoz kepest nem vagyunk nagyon lemaradva, Ausztriat magasan verjuk. Az elmult szuk masfel evben pedig megduplazodott Magyarorszagon az IPv6 elerhetoseg (A Google stats szerint). Szoval annyira nem rossz.

:D

--
trey @ gépház

Remélem, minél később.

Egyébként, annyi kell hozzá, hogy egy oligarcha (pl. Google) felkapja és arrogáns módon ráerőltesse az iparra. Mint a HTTPS-t vagy a csiligány Material Designt.

Nofene, az IPv6-tal mi a gond?

Ez most komolyan érdekel.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Azzal lenne gond, ha át lennének erőltetve rá a felhasználók és emiatt akár egy számítógépet vagy okostelefont is ki kéne dobni, vagy eddig jól bevált szoftver használatát nehezítené meg.

Továbbá, nem látom különösebb értelmét, ugyanis pl. az okostelefonok, jelenlegi felhasználásukat tekintve egyáltalán nem igényelnének saját IP címet, mégis kapnak. IPv4-en is! Totál feleslegesen, ugyanis gyakorlatilag csak HTTPS, meg egyéb kliens oldalról indított kapcsolatokat nyitnak szerverek felé. Simán lehetne egy 10.0.0.0/8-as hálózata mindegyik mobilszolgáltatónak és meg lehetne úszni 10-nél kevesebb publikus IP címmel.

Szóval az én véleményem inkább az, hogy nem kéne elpazarolni az IPv4 címeket és nem lenne szükség IPv6 átállásra.

Azért a fentit gondoldod át szerintem :D

hint: NAT hátrányai, port szám, spéci szolgáltatások stb.

Fedora 28, Thinkpad x220

Feltalálták már az UPnP-t, portok kinyitására, ha valamelyik spéci™ szolgáltatás igényelné. Egyébként, mivel mind szerveralapú, így nem kéne igényeljék. Mindig van egy cloud szerver, publikus címmel, amire kapcsolódni lehet. A P2P adatátvitel már a multé. A port számmal kapcsolatban pedig annyi publikus IP (kilépési pont) kéne, amennyivel biztosan nem fogynak el a portok. Tehát minden 65535. kliens után egy. IP címenként egy /16-os publikus IP tartományt spórolhatunk meg így.

Miből gondolod, hogy p2p a múlté ?

Azért egy conntrack táblát majd lessél meg, hogy akár 1 ip felé mennyi portot nyit a böngésző. Ezenkívül mi a helyzet a VPN-ekkel ? Pont tegnap hívott az ügyfél, hogy a VPN-je nem megy mobilnetről. Valószínű a NAT miatt stb.

Szóval inkább v6 mint NAT

Fedora 28, Thinkpad x220

Ne a NAT hibája legyen, hogy szarul konfigoltad be az OpenVPN-t.

Hol beszéltem én openvpn-ről :> Azért van még csillió másik féle VPN :D

Fedora 28, Thinkpad x220

> A P2P adatátvitel már a multé.

Csak most fog eljönni igazán az ideje. Figyeled te a szolgáltatások trendjeit?

Figyelem. Egyre inkább a centralizált adattárolás és adatelérés korát éljük.

Ez az az egyirányú zsákutca, amibe csak a fősodratú birkákat tudják beterelni.

Az megvan, hogy a legtöbb szolgáltatónál dual-stack van? Teljesülhet a te vágyálmod (CGNAT) is és lehetnek IPv6 címek is egyszerre. Nekem az IPv6 sokkal kényelmesebbnek tűnik és mivel 20 éves szabvány (legalább draft formátumban), még a te matuzsálemeiden is illett (volna) elkezdeni támogatni a programokban (Windows 2000 is támogatta már).
--
https://naszta.hu

+1

> A P2P adatátvitel már a multé.

Hova ez a sietség? Működő technológiákat kidobni?

"meg lehetne úszni 10-nél kevesebb publikus IP címmel"
Te sem jártál még ISP közelében. :)

Fősodratú személyeskedés helyett inkább mesélhetnél, hátha tanulhatunk valamit a nagy™ ISP-s™ tapasztalataidból.

Do
NOT
feed
the
troll!

LOL

Én ott vagyok, és nagyon odab@szott... :D

---
"A megoldásra kell koncentrálni nem a problémára."

"Simán lehetne egy 10.0.0.0/8-as hálózata mindegyik mobilszolgáltatónak és meg lehetne úszni 10-nél kevesebb publikus IP címmel."

Ekkora broadcast domainben én biztosan nem szeretnék mobilnetelni :)

Fel lehetne osztani /24-esekre is. Persze, nyilván ismét a "lényegbe" sikerült belekötnöd.

v6-ban mekkora a broadcast domain? :)

Semekkora, mert ipv6-ban nincs broadcast.
--
"Sose a gép a hülye."

Kétségtelen, viszont egy L2 szintű neten - nevezzük bárhogy - jóval több eszköz van, vagyis a neigboring table nem kicsit tud megnőni.

De egy /64-es subnet nem jelenti azt, hogy 2^64-en db eszközt kell a hálózatba tenned...
--
"Sose a gép a hülye."

Nem is írtam ilyet.

a 10/8 szerinted v6 ?
--

Sajnos az ipv4-es cimtartomány pazarlás nélkül is elfogy, szóval nincs menekvés.
Az IoT világában, amikor már a wc-fedélnek is kell majd internetkapcsolat, ez elkerülhetetlen.

--
robyboy

Az IoT pont a pazarlás kategória. A WC-fedélnek nem kell publikus IP cím, elég neki a NAT, mert onnan is fel tud kapcsolódni cloud-multiék szerverére, hogy leküldje a begyűjtött adatokat és az alapján villantsanak az arcodba megfelelő márkájú hashajtót vagy wc-papírt.

Viszont nem lesz szomorúbb a világ, ha nem kell majd egy nap NAT-olni.

--
robyboy

es mit csinalnak azok a iot eszkozok akik egyik gonoszmulti cloud cuccara sem mennek?

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Azok szépen elvannak net nélkül.

Vagy mennek a nemgonosz-nemmulti szerverére.

itt gyakorlatilag arról megy a vita, hogy az IoT eszköz kapcsolódjon kifelé, vagy az IoT eszköz felé lehessen kapcsolódni. Mind IP-cím gazdaálkodás, mind biztonság szempontjából jobb az, ha az IoT eszköz megy kifelé. És akkor publikus IP cím sem kell.

Pont azért kell az IPv6, hogy ne kelljen a cloud-multiék szervere ahhoz, hogy bármelyk 2 eszköz beszélgetni tudjon egymással.

Van UPnP, meg van olyan, hogy két ilyen eszköz általában azonos háztartáson belül akar majd beszélgetni, ami felfogható azonos NAT-nak. Azon belül pedig elérhetőek az IP címek. Egyébként pedig hidd el, hogy fog beszélgetni cloud-multiék szervereivel, mert az egész IoT érát pontosan azért erőltetik, hogy a multik ne csak a kommunikációnkra és az emberi kapcsolatainkra telepedjenek rá, hanem a WC-zési szokásainkra is.

Idézet:
...emiatt akár egy számítógépet vagy okostelefont is ki kéne dobni...

Milyen telefon vagy szamitogep nem beszel MA meg IPv6-ot? Kerdezem ma, nem akkor amikorra eselyes, hogy az IPv6 igazan elterjedt lesz. Megha legalabb valami egzotikusabb eszkozt mondtal volna. Ez az evolucio egyebkent, az IPv6 velunk van 20+ eve es ~10 eve mar hasznalni is lehet, aki ma olyat fejleszt ami nem mukodik IPv6-on az meg is erdemli.

Ezt kicsit olyan vitanak erzem mikor nem is olyan sok eve meg tobb ismerosom hadakozott az okostelefon ellen... azota nekik is van, csak mar nem beszelunk rola. ;)

Pedig arról nagyon is értelme lenne beszélni, hogy hány működő feature telefont kellett kidobni az okostelefonjaitoknak köszönhetően. Vagy, azóta hány újrafeltalált kereket kellett megvenni, évről évre, új szériás okostelefonok formájában.

Miert kene kidobni oket?
Akinek eleg, nyugodtan hasznalja oket. Nagyapamnak is egy regi nokia 32xx-e van :)

Akinek nem elég, az meg ki fogja dobni. És mivel a technológia piaci szereplők által várható erőltetésének (kompatíbilitás megvonásával, orrba-szájba videókkal, marketinggel) köszönhetően több birkának fog kelleni, mint akinek nem, többségben lesznek a kidobott eszközök, ahogy azt már megtapasztaltuk a desktop számítógépeknél, a CRT monitoroknál, a CRT tévéknél, a 32XX Nokiáknál. Holott, IPv6-ra semmi szükség nem lenne az IoT esetében, ahogy arra sem, hogy publikus hálózaton legyenek ezek az eszközök. Kész katasztrófa lesz az egész, ezt most megjósolom. Nem olyan, mint amivel a tech-lakájmédia riogat a Windows XP számítógépeket tekintve. Annál picit valóságosabb. Tekintve, hogy egy 13 évig fejlesztett és javított Windows XP a mai napig biztonságosabb, mint egy startupék által összetákolt-gányolt IoT.

A NAT-ot valamikor a 90es években vezették be, hogy kitolja az IPv4 végét, és hiába telt el azóta 20+ év, még mindig problémák vannak vele.
A mai napig több szolgáltatás esetén nem tudták megoldani, hogy NAT-al jól tudjon működni. Az, hogy NAT kompatíbilisik legyenek az alkalmazások és a szolgáltatások óriási erőforrásokat igényel, amit hasznosabban is fel lehetne használni.
A NAT jóval izmosabb routereket igényel, mint a sima routeing, ami szintén erőforráspocséklás.
Az IPv6 minden ilyen problémát megold. Minden internetre csatlakozó eszköz saját IP-vel rendelkezik, így direkt címezhető, mindenféle csilivili nélkül.

Nem tudom pontosan mit csinál egy NAT, de nem az a baj vele, hogy sok erőforrás fejbentartani az összes gépet? Ha mindenkinek van publikus címe, akkor ugyanennyi erőforrás lesz ezeket a címeket fejben tartani, nem? Ráadásul tűzfalazni is bonyolultabb, akkor is valakinek trackelnie illene, hogy az adott kapcsolatot tényleg az adott gép nyitotta-e, vagy pedig illegális próbálkozás kintről, nem? Hasonló erőforrásigénye lesz ennek is. Tűzfal nélkül meg ne lógjon a publikus neten a WC-csészém! (Disclaimer: Nem ismerem túl jól ezeket a protokollokat.)

Attól tartok van benne valami, bár talán még így is kisebb prociidő csak nyilvántartani, mint át is írni a fejet.
A másik, hogy pl NAT-ra van hw gyorsítás az olcsóbb routereknél is, míg csak simán conntrack-ra meg lehet nincs, bár el tudom képzelni, hogy trükközéssel rávehető a HW NAT csak conntrack-ra, de az is max IPv4 esetén. Bocs, kacifántos agymenés volt :) .

NAT estén a router fejben kell tartsa az összes gép összes kapcsolatát és annak státusát.
Részben igazad van, ugyanis publikus címek esetén is nyilván kell tartsa a router tűzfala azt, hogy melyik gép, milyen porton, milyen külső IP-vel és portal kommunikál, illetve a kapcsolat státuszát, tehát a kapcsolatok kapcsán kb ugyanaz az erőforrásigény. Amit NAT esetén pluszba csinál az a csomagok átcímzése, ugyanis minden egyes kimenő csomag esetén le kell cserélje a header-t.
A NAT-al pont az az egyik legnagyobb probléma, hogy azt hiszik, az már egy tűzfal, pedig nem, ezért NAT hálózatoknál sokszor elfeledkeznek a tűzfalról.
IPv6 esetén a tűzfal részben megfelel IPv4-es NATnak, avval a kivétellel, hogy a tűzfal nem kell belemásszon a csomagokba.
Úgy IPv4-nél, mint IPv6-nál egy alap tűzfal úgy kell kinézzen, hogy befele semmi nem mehet, csak a már felépült kapcsolatokra a válasz, kifele pedig kapcsolódhatnak a benti gépek ahova akarnak.
Ha egy ilyen alap tűzfal megvan, akkor a WC-csészéd úgy IPv4 mint IPv6-nál ugyanúgy kapcsolódik kifelé, és ugyanúgy kaphat választ kintről is, tehát semmi lényeges különbség nincs a két protokoll között, csak annyi, hogy az IPv4-es NAT lekezelésére fel kell legyenek készítve a benne futó szoftverek, IPv6-nál pedig point-to-point a kapcsolat.

A NAT elterjedése talán a legrosszabb dolog ami az internettel történt. Az IPv6-tal mindenki nyer hosszútávon.

Miert gond a NAT, legalabbis SOHO kornyezetben?
____________________
echo crash > /dev/kmem

Gyakorlatilag mondjuk azért, mert HW NAT kell a SOHO routerekbe is a conntrack és az IPv4 checksum miatt. Meg hát ki ne találkozott volna azzal, hogy valami szoftver, játék nem működik megfelelően a NAT miatt, csak ha buherálunk valamit.

Gondolom sejted, hogy ha minden NAT nélkül direktben elérhetővé válik, akkor akár költözhetünk is másik galaxisba? :)

?

NAT helyett default INPUT DROP rule-val jön majd a szappantartós doboz router tűzfala.

Majd, de a mostaniak is kikerülnének... Aztán az egy szem appban is lesz hiba előbb-utóbb, nemnagyon szeretik még a bugfix release-t sem és kernel bugot is láttunk már.

(moved)

Azért annyira nem rossz a helyzet szerintem. A tipikus háztartásban lévő mobilok és pc-k meg tudják védeni magukat. Ezeknek az eszközöknek természetes közege az internet. Ha esetleg van is valami sebezhető eszköz a nyitott lanban, annak a címét el is kell találni a támadónak. A lehetőségek pedig száma jópárszor nagyobb, mint a teljes v4-es internet címtartománya.

„A tipikus háztartásban lévő mobilok és pc-k meg tudják védeni magukat.”

Ez egy nagyon optimista hozzáállás. Sajnos a botnet építők ezt másként gondolják.

Mikor is volt default installban felkerülő és default konfiggal futó network service-ben kiaknázható remote code execution bug lakossági oprendszerben…?

A legutóbbi systemd IPv6 DHCP bug nem valami ilyesmi volt?

Az csak LAN-ról volt kihasználható, ha be volt kapcsolva a DHCPv6 az interfészre, ami default off és SOHO-ban nem használja a kutya se. Android nem volt érintett, mert az egyáltalán nem támogatja a DHCPv6-ot.

Már a PC és a mobil előtt elbukik az optimista megközelítés. Ha jól emlékszem, akkor tavasszal, vagy nyár elején derült ki, hogy a legelterjedtebben használt routerek legtöbbje sebezhető. Az valami UPnP/NAT probléma volt. És ugyan a NAT nem játszik az IPv6-nál, de arra nem vennék mérget, hogy a gyártók az IPv6 funkciók programozásánál sokkal körültekintőbbek lesznek, mint az IPv4 esetén voltak/vannak.

Pikáns, hogy épp egy olyan router sebezhetőséggel érvelsz az IPv6 ellen, amit épp az tett lehetővé, hogy az IPv4 NAT problémái miatt bevezettek egy gány protokollt, amire v6-on már nincs szükség.

Pedig valami hasonlóra szükség lesz IPv6-on is, ami automatán kinyitja a bejövő portot a torrentnek meg mittomén még mi szokta használni.

Én inkább azt csinálnám, hogy egy ritkán használt port tartományt by default nyitvahagynék kintről a lan felé és oda bindelhet ami visszahívást vár kintről. Emellett, aki akar, az vacakolhat UPnP-vel, de a DHCPv6-hoz hasonlóan erősen leszűkülne rá az igény, ezzel pedig egy jelentős támadási felület (ahogy az a DHCP opcionálissá tételénél is megtörtént).

Tévedés, nem érvelek az IPv6 ellen. Csak nem érzem megalapozottnak azt a kijelentést, hogy a PC és a mobil majd megvédi magát.

Bizonyára elkerülte a figyelmedet, hogy utaltam is rá a NAT-os példánál: nem a konkrét eset fog problémát okozni, hanem a gyártói hozzáállás.

Mivel jelenlegi még elég alacsony az IPv6 penetrációja, így sokkal vonzóbb támadási felületet ad az IPv4. Pláne azért, mert jelenleg nagyon kevés lehet a csak IPv6-os rendszer. Tehát az IPv4-es támadásokkal sokkal nagyobb lesz a célcsoport. Majd ha az IPv6 lesz a domináns, akkor meg fog változni a helyzet.

Connection tracking tábla minden tűzfalba kell, ez igaz. NAT esetén emellett kell még egy NAT tábla is. Továbbá vannak bonyolultabb protokollok, amelyeket nehéz/lehetetlen NAT-olni, illetve ha megjelenik valami új protokoll és a NAT-olást végző eszköz nem ismeri, akkor használhatatlan. Szóval erőforrás-kérdés is, de máa is.

A másik oldala pedig az a dolognak, hogy azért egy NAT mögötti hálózat némileg védettebb még akkor is, ha fakezűek állították be, míg az ipv6-on az egyedi címek miatt azonnal támadható lesz egy rakás eddig elérhetetlen gagyi eszköz. Nem igazán bízom a gagyi home-routerek default ipv6 beállításaiban, márpedig várhatóan a legtöbb ilyen eszközön azokat használják.

SOHO környezetben elég lehet egy stateless firewall, nem feltétlenül kell a conntrack.

Másik, hogy az emberek nagy része úgyis az ISP routerét használja, ők pedig nem fognak olyat preferálni ami by default nyitva hagy mindent a világnak, mert utána a zombivá tett hűtőgépekkel nekik is csak a bajuk lesz. A gagyi routerek default jelszava és bénán implementált WPS-e, ecetera, épp elég volt v4-en is hogy bárki bejárjon a juzerhez, nem kell a v6 ahhoz hogy el tudják cseszni.

Persze valójában itt is a rossz gyakorlaton kéne változtatni, hogy az IoT eszközök jó része arra alapozik, hogy majd úgyis csak az próbál belépni rá akinek arra ténylegesen joga is van. Ez az egy út vezet az egészségesebb internethez, nem az hogy lépten nyomon gátat emelünk mint workaround.

"SOHO környezetben elég lehet egy stateless firewall, nem feltétlenül kell a conntrack."

Úgy érted, hogy pl. ami 80 vagy 443 forrásporttal jön, az bármikor bejöhet? Ne már.

Az ISP eszközök meg... hány olyan eset volt, pl. UPC-nél emlékszem rá, hogy kitalálható volt a default usernév algoritmus?

Ha csak a SYN flag van beállítva rajta, akkor nem.

Hát.. akkor ez sem az IPv6 problémája.. :)

A stateless firewall ebben az esetben is erős visszalépés lenne.

Nem az ipv6 problémája, ebben egyetértünk. Az ipv6 és az ezzel együtt járó nat-free internet viszont kihasználhatóvá tesz olyan gyengeségeket a home routerekben és az emögötti eszközökben, amelyek az ipv4 NAT megoldása miatt nem voltak kihasználhatóak.

A stateless firewall ebben az esetben is erős visszalépés lenne.

Nem az ipv6 problémája, ebben egyetértünk. Az ipv6 és az ezzel együtt járó nat-free internet viszont kihasználhatóvá tesz olyan gyengeségeket a home routerekben és az emögötti eszközökben, amelyek az ipv4 NAT megoldása miatt nem voltak kihasználhatóak.

Alapvetően ebben egyetértünk, az IPv4 sem elavult vagy használhatatlan vagy ilyesmi. De én mégis IPv6 párti vagyok, ha már van újabb szabvány, több megcímezhető eszközzel, akkor ne csak dísznek legyen, használják is. Előbb-utóbb úgyis át kell rá állni, halogatni lehet, csak nem érdemes. Ennyi milliárd embernek még több milliárd eszköze előbb-utóbb szükségessé teszi, hiába spórolnak az IPv4 címekkel.

Az IPv4 only eszközök kidobásáról meg nem a user tehet, hanem a cég, aki nem támogatta benne a régóta jelen lévő IPv6 (na ez a pazarlás). Azért a legtöbb gyártó és fejlesztő már évek óta támogatja az 6-ost, azok a nagyon régi eszközök, OS-ek, szoftverek, amik meg nem, azok elavultság okán már lassan mind kiestek, kiesnek mostanára egyéb okból. Én még azt is előírnám, hogy olyan hálózati eszköz vagy szoftver nem hozható forgalomba, ami nem támogat IPv6-ot.


No keyboard detected... Press F1 to run the SETUP

Jól hangzik az eszköz adatlapján, hogy ipv6 támogatás, sok esetben akkor derül ki, hogy nem olyan korrekt a támogatás, amikor használni akarják.

(nem home router szint, de nemrég szembesültem azzal, hogy az egyik legnagyobb tűzfalgyártó egyik nagy tűzfalán egyik ipv6-os dinamikus routing protokol sem működött)

nyugodtan nevesítsd, megérdemlik a kóklerek, főleg ha milliárd dolláros multik!
--

Én tudok mondani egy kisebb céget, akinek az IPv6 támogatása egy vicc: Mikrotik
Például:
https://forum.mikrotik.com/viewtopic.php?t=131059
https://forum.mikrotik.com/viewtopic.php?f=2&t=119901#p593106
És ez nem valami szolgáltatói scenerio, hanem konkrétan kliens oldalon Digi GPON is így működik.
Nevetséges hogy mindenki próbál workaroundokat keríteni az összes hibájukra/hiányosságukra és hiába jelzik a problémákat részletes leírással, akkor majd jön a vaporware új OS ígéret (hány éve is Normis?). Egyszerűbb lenne, ha mondjuk scriptletekkel lehetne csomagot generálni (minimal scapy) és megírni azt amit ők nem tudnak. Azonban ők okosan a LUA támogatást is kivették a rendszerből, szóval erre nem sok esélyt látok.

https://hup.hu/szavazasok/20181109/szerinted_mikor_lesz_az_ipv6_uralkodo_az_interneten?comments_per_page=9999#comment-2284982
Pontosan erre gondoltam, és ez a problémám nekem is. Nem csak a GPON, a rezes is így működik. :)
--
"Sose a gép a hülye."

Én már 3 éve használok IPv6-ot mikrotikkel, 6 különálló hálózatban, és semmi bajom nem volt vele. DHCP szervert csak tesztből lőttem be, de azon kívül minden szolgáltatást használok és jól megy, többek közt a ND is. Wifin néha akadozott az Advertise (inkább windows oldali problémára gyanakszom), de most az is jól megy.

Akkor valószínűleg nem frissítettél, mert 6.41.1 óta nem megy az ND...
--
"Sose a gép a hülye."

6.43.4 van minden routeremen.
De jobban megnézve mégis igazad lehet, mert nincs a ND listában semmit, pedig az előző írásom előtt mintha lett volna benne 1-2 gép...
Most megnéztem 5 routert jobban és üres a lista.

Az a kisebbik baj, a nagyobbik az, hogy az advertise sem, így a kliens nem kap route-ot és címet sem.
--
"Sose a gép a hülye."

Abban már biztos vagyok, hogy az advertise megy, mivel mindenhol aktív a belső hálózatban az IPv6, sőt több szolgáltatás csak azon megy, tehát ha nem kaptak volna címet a gépek, az feltűnő lenne.
A gép aminél ülök is advertise-al kap ip-t és a hup az ipv6-on megy.

Nekem az sem. De akkor lehet, hogy board függő is.... Nekem egy régi RB751U-2HnD van otthon.
--
"Sose a gép a hülye."

Nekem ezeken megy:
RB750G
RB951-2n
CCR1009-8G-1S, 1S+
RB1100AHx4

Cimet en is kapok peldaul most RB2011-tol. Nem az a problema, hanem hogy nem tudja jelezni kliens fele, hogy a cime mar nem el. Nehany verzioval korabban dinamikus pool-t sem lehetett DHCP szerverrel osztani, ma mar lehet de neked kell allitani a lejarati idot (nem veszi at). En nagyon alacsonyra allitom (mondjuk 300 mp), hogy kapjon uj cimet, ha mondjuk PPPoE ujracsatlakozott es megvaltozott a tartomany. Router advertisementben pedig nem allithato a lejarati ideje a cimnek, egy az egyben atveszi. Ha pedig PPPoE megszakad, akkor utana gyulnek a cimek, mert 7 nap-ot kuld Digi (es persze mindig mas tartomanyt ad), o pedig nem ervenyteleniti a korabbi cime(ke)t.
Nincs NAPT sem IPv6-on, igy nem tudom kihasznalni ingyenes cloud DNS elonyet. Peldaul ha lehetne atiranyitanam router egyik portjat az egyik IPv6-os cim megfelelo portjara, igy nem kellene CGNAT mogul kikernem az eszkozt.

Furi...
A 750G-ről egy /ipv6 export-ot kiraknál valahova?
--
"Sose a gép a hülye."

A Windows XP nem támogatja?

De igen.

Úgy rémlik, parancssorból csak :D. Mutogattak valamit a suliban, de élesben már csak Win7+ rendszereknél próbáltam.

A Google a sajat infrastrukturajaban is keptelen ertelmesen implementalni. Mar annak is ujjongas van, hogy sikerult az LB -s implementaciojuk. Ez igy komolytalan, epp a G reszerol...(Es irrelevans is innettol kicsit a dolog)
https://googlecloudplatform.uservoice.com/forums/302595-compute-engine/suggestions/8518246-support-ipv6

Az a baj, hogy senki sem vette még elég komolyan ezt az IPv6-ot és nincsenek rá kiforrott megbízható megoldások és eszközök, szerintem.

Az a baj, hogy senki sem vette még elég komolyan ezt az IPv6-ot és nincsenek rá kiforrott megbízható megoldások és eszközök, szerintem.

Valaki linkelt egy cikket valahol, amiben valami olyasmit írtak a kommentekben (valahol lejjebb), hogy az IPv6 implementációk még mind szarok, tele hibákkal és biztonsági lyukakkal, és ezért egy értelmes sysadmin azzal kezdi, hogy letiltja az egészet a csába. Mit gondoltok erről?

Ha nem használjuk, nem lesz jobb, nem?

Használjuk -> issuek -> hibajegyek -> fixek -> néhány év -> stabil IPv6
--
https://naszta.hu

Jelenleg az internetfogralom 25% IPv6, ami nem lenne lehetséges, ha igazad lenne:
"az IPv6 implementációk még mind szarok, tele hibákkal és biztonsági lyukakkal"

A probléma inkább ott van, hogy a sysadmin-ok nem értenek hozzá, és az IPv4-hez próbálják hasonlítani, miközben egy rakás területen másképp kell hozzáállni.

Igy van, ugyanis nagyon sok kis szolgáltatótól hallani, hogy nincsen v4, sírnak stb. Viszont v6 ot meg nem akarják/tudják bevezetni. Holott a nagyok amit kb az átlag user használ (facebook, youtube,google stb) simán megy v6 al is. Nekem otthon van v6-om egy kis statisztika és ott is 30% az arány ha nem jobb.

Fedora 28, Thinkpad x220

Hiába van v6-os címe a Google-nek, ha az első 3 találatnak nincs.
Illetve ameddig olyan alapszolgáltatás mint kulcsszerver nem érthető el v6-on, addig nem nagyon jutunk előrébb.

A top 1000 weblap 30%-a támogatja az IPv6-ot. A top 1000000 weblap 2017 elején kb 15%ban támogatta, mostanra valószínű 20 fölött.
Ahogy a google statisztikáiból is látszik, nagyon nagy tempóban nő az IPv6 használat, és ehhez a kiszolgálók is igazodni fognak:
https://www.google.com/intl/en/ipv6/statistics.html

Ok de erre van a CGN + ipv6 vagy lehet akár csak v6 cime a v4 meg már tunnelezve kapja stb, szóval ezzel azt akarom mondani, hogy fejlődni kéne, ami viszont így vagy úgy de pénzbe kerül. Így a kisebbeknek marad a picsogás hogy nincsen ip és natolunk :>

Fedora 28, Thinkpad x220

Nade ha a CGNAT üzemeltetéssel, naplózással (törvényi megfelelés) úgy is kell szívnia a kis szolgáltatónak, mert a tartalom java része nem érhető el IPv6-on (ergo IPv4-et mindenképp üzemeltetnie kell), akkor minek kavarjon be még magának az IPv6 dual stack bevezetésével is? Vagy bármi már IPv6 fejlesztéssel?
Szerintem majd ha a tartalom túlnyomó része és a tier1 szolgáltatók 100%-a IPv6-on meg, a kicsiknek elég lesz akkor elkezdeni az átállást. Az idő közben lecserélt eszközök úgy is IPv6 képesek lesznek már (vagy már most mind az), így akkorra már csak a tudás kell, de azt idő közben meg lehet szintén szerezni anélkül, hogy élesben bedobnák most.

facebook, google, Cloudflare elérhető ipv6-on. Ez baromi sok mindent lefed.

IPv6 TL;DR: The world in which IPv6 was a good design. ¯\_(ツ)_/¯

Szerk: és egy régebbi cikk ugyanattól az úriembertől 2011-ből: I hope IPv6 never catches on.

-=- Mire a programozó: "Na és szerintetek ki csinálta a káoszt?" -=-

sub
--

Az első cikk parádé.
--
https://naszta.hu

Nagyon jó az első cikk, de bennem felmerült, hogy 30 év távlatában sokkal többen is ki tudnák elemezni, hol lett elrontva (ha el lett, mert lehet fejlődési lépcsőnek is tekinteni az egészet, nem hibának) ez a dolog.

10 évvel ezelőtt azt mondtam, néhány éven belül.
Ma már biztosan tudom, hogy még Kirk kapitány is IPv4-et fog használni.
--
"Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live." John F. Woods

Egyszer amikor Dubliban jartam, jol lefenyepeztem,
hogy IPV6 cimet kaptam a hoteltol es meg mukodik is.


Amit nem lehet megirni assemblyben, azt nem lehet megirni.

Azok után, hogy pl. mikrotikben május óta nem megy az ipv6 nd advertisement? Mit várunk? Soha a büdös életbe... Pár éve még én is azt mondtam, hogy nemsoká. De már kétlen.
A fejlesztők nem értenek hozzá (mint az látszik is), szarnak rá (vagy a kettő együtt), az üzemeltetők egy jó része se tud róla semmit még mindig (és nem is akar), azon kívül, hogy van, így nem lesz belőle semmi.
--
"Sose a gép a hülye."

Az tény, hogy nem olyan gyors az elterjedése, mint várható volt, az IPv4 címek fogyása ellenére. Lehet kéne rá az iparág felől egy kényszerlépés, hogy komolyabb elmozdulás legyen a v6 felé. Mondjuk ha egy Google méretű cég egyik szolgáltatása csak 6-oson menne, az egymagában kellő lökés lenne.


No keyboard detected... Press F1 to run the SETUP

A google ilyet nem fog lépni. Sok mindenben éllovas, próbálja ki és vezeti be az új dolgokat, de neki az egyetlen lényeg, hogy minél több felhasználót érjen és el kössön magához valamilyen módon. Saját magát szúrná tökön, ha ilyet lépne. Nézd meg pl. Ukrajnában vagy Oroszországban mekkora a v6 elterjedése, több 10 millió userről beszélünk csak itt. Biztos hogy nem fog ilyet lépni. Sőt, ha valaki lépne ilyet, talán az elsőként lenne, aki "ingyen" adna publikus ipv4 to ipv6 gatewayt (vagy építené be mondjuk a chrome-ba ezt a funkciót), ugyanis ezzel plusz egy olyan forgalmat kerget át magán (és lát bele), amit amúgy nem feltétlen látna. Mint a google public dns-ek...
--
"Sose a gép a hülye."

-

Fedora 28, Thinkpad x220

-

Fedora 28, Thinkpad x220

Ugyan a google compute engineben nincsen v6 lehetőség ...

Fedora 28, Thinkpad x220

Ahogy nézem, az alacsony elterjedtség a szabványosítók hibája is. Mert ugyebár hiába létezik az IPv6 1998 óta, egészen 2017-ig csak szabványtervezet volt. Így meg a gyártók, szoftvercégek részéről teljesen érthető, hogy eddig nem implementálták vihariramban. Nem lett volna szabad várni ennyit a szabvány véglegesítésével.


No keyboard detected... Press F1 to run the SETUP