Hálózataim ... mennek.

Egyéb

Munkahelyen, otthon, ügyfélnél stb. összesíted fejben, eldöntöd melyik domináns, szavazol. A "mennek" jelentése: azon folyik a hálózati kommunikáció. Az nem "mennek", hogy pl. egy IPV4-et használó hálózaton a gépeknek alapból van IPv6 címe is, de kb. semmire sincs használva. Az sem érdekel, hogy 98%-ban IPv4-et használsz, meg 2%-ban bohóckodsz IPv6-tal és emiatt azzal roadshow-zól, hogy te IPv6 felhasználó vagy ... az IPv4 használat itt. Többit eldöntöd, felnőtt vagy.

IPv4-en
92% (861 szavazat)
IPv6-on
7% (64 szavazat)
Egyéb, leírom.
1% (8 szavazat)
Összes szavazat: 933

( trey | 2024. 08. 16., p – 10:36 )

Szerkesztve: 2024. 08. 16., p – 10:39

aka. eljött-e már az IPv6 éve! Immár 5 éve, hogy utoljára flame-eltünk erről igazán ;)

trey @ gépház

A kedvenceim azok a jokepu szolgaltatok, akik mar large scale NAT-oznak ipv4-en, egyetlen alternativakent fix ipv4 cimet adnak havidijert, mikozben ipv6-ot semmilyen formaban nem tudnak.

Tobbszor is belefutottam, hogy "talan azert van ipv4 large scale NAT alatt, mert van ipv6 is" --> hat loszart.

( ncc1701 | 2024. 08. 16., p – 10:57 )

Van eszközünk, aminek kell ipv6 protokoll. Mai napig nem értem, h lanon minek kell, miért így fejlesztették le.

( pepelopez | 2024. 08. 16., p – 11:04 )

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [78:6090]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p ipv6-icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -d fe80::/64 -p udp -m udp --dport 546 -m state --state NEW -j ACCEPT
COMMIT

ez így megvéd a hekkerektől?

( _Franko_ v | 2024. 08. 16., p – 11:17 )

Ez minek számít? :D

# ss -t -4 | wc -l
19
# ss -t -6 | wc -l
222

Nyilván van IPv4, mert vannak még olyan bejövő kapcsolatok, de nagyon sok default IPv6 jön már.

https://iotguru.cloud

[core@master-0 ~]$ ss -t -6 | wc -l
2808
[core@master-0 ~]$ ss -t -4 | wc -l
15

En nyertem.

IPv4  az localhost.

Kiveteles eset ez a node, sajnos nem jott meg el az ipv6 egyebkent.
 

Amit nem lehet megirni assemblyben, azt nem lehet megirni.

( Friczy v | 2024. 08. 16., p – 11:24 )

Otthoni hálózat, erősen függ a szolgáltatótól, a Vodafone meg nem ad rendes IPv6-ot. Egy időben játszottam HE tunnelbrokerrel, azzal az volt a probléma, hogy egy-két Hungary-only szolgáltatás megbukott vele, az meg, hogy időről időre kikapcsoljam a v6-ot emiatt, kényelmetlen volt. Szóval feladtam egyelőre.

( x-daemon | 2024. 08. 16., p – 11:29 )

ipv4.

mindenhol tiltom az ipv6-ot, ahol tudom.

neked aztan fura humorod van...

Pedig érdemes tiltani.

Úgy tudom windows előnyben is részesíti az IPv4-gyel szemben. Így ha egy támadó vagy béna user behazudja a DHCP-t, már el is csaklizta a forgalmat. Oké, van rá védelem a legtöbb hálózati eszközben (mikrotikben nincs), de akkor is egy plusz figyelmet igényel.
Plusz tűzfalazni kellene, ahol IPv4 tűzfal is van.
Így magam részéről jobbnak tartom minden végponton (szerver, desktop, iDRAC, stb) tíltani az IPv6-t.

ne irj hulyeseget.
hint: /system default-configuration print without-paging

                     /ipv6 firewall {
                       address-list add list=bad_ipv6 address=::/128 comment="defconf: unspecified address"
                       address-list add list=bad_ipv6 address=::1 comment="defconf: lo"
                       address-list add list=bad_ipv6 address=fec0::/10 comment="defconf: site-local"
                       address-list add list=bad_ipv6 address=::ffff:0:0/96 comment="defconf: ipv4-mapped"
                       address-list add list=bad_ipv6 address=::/96 comment="defconf: ipv4 compat"
                       address-list add list=bad_ipv6 address=100::/64 comment="defconf: discard only "
                       address-list add list=bad_ipv6 address=2001:db8::/32 comment="defconf: documentation"
                       address-list add list=bad_ipv6 address=2001:10::/28 comment="defconf: ORCHID"
                       address-list add list=bad_ipv6 address=3ffe::/16 comment="defconf: 6bone"
                       filter add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
                       filter add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"
                       filter add chain=input action=accept protocol=icmpv6 comment="defconf: accept ICMPv6"
                       filter add chain=input action=accept protocol=udp dst-port=33434-33534 comment="defconf: accept UDP traceroute"
                       filter add chain=input action=accept protocol=udp dst-port=546 src-address=fe80::/10 comment="defconf: accept DHCPv6-Client prefix delegation."
                       filter add chain=input action=accept protocol=udp dst-port=500,4500 comment="defconf: accept IKE"
                       filter add chain=input action=accept protocol=ipsec-ah comment="defconf: accept ipsec AH"
                       filter add chain=input action=accept protocol=ipsec-esp comment="defconf: accept ipsec ESP"
                       filter add chain=input action=accept ipsec-policy=in,ipsec comment="defconf: accept all that matches ipsec policy"
                       filter add chain=input action=drop in-interface-list=!LAN comment="defconf: drop everything else not coming from LAN"
                       filter add chain=forward action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
                       filter add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid"
                       filter add chain=forward action=drop src-address-list=bad_ipv6 comment="defconf: drop packets with bad src ipv6"
                       filter add chain=forward action=drop dst-address-list=bad_ipv6 comment="defconf: drop packets with bad dst ipv6"
                       filter add chain=forward action=drop protocol=icmpv6 hop-limit=equal:1 comment="defconf: rfc4890 drop hop-limit=1"
                       filter add chain=forward action=accept protocol=icmpv6 comment="defconf: accept ICMPv6"
                       filter add chain=forward action=accept protocol=139 comment="defconf: accept HIP"
                       filter add chain=forward action=accept protocol=udp dst-port=500,4500 comment="defconf: accept IKE"
                       filter add chain=forward action=accept protocol=ipsec-ah comment="defconf: accept ipsec AH"
                       filter add chain=forward action=accept protocol=ipsec-esp comment="defconf: accept ipsec ESP"
                       filter add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept all that matches ipsec policy"
                       filter add chain=forward action=drop in-interface-list=!LAN comment="defconf: drop everything else not coming from LAN"
                     }
                       /ip neighbor discovery-settings set discover-interface-list=LAN

Így ha egy támadó vagy béna user behazudja a DHCP-t, már el is csaklizta a forgalmat. > ez ellen meg nem a tuzfal ved, hanem az e2e encryption... aki a koztes halon van, az lathatja/teritheti a forgalmad kedve szerint. :)

Nekem csak azért van IPv6 engedve, mert egy rakás modern fancy szarnak kell, pl. az Apple-féle bonjournak, amivel az AirDrop, meg a scanner/printer discovery megy (RPi-re kötött scannerem így megy hálózaton át).

-=- Mire a programozó: "Na és szerintetek ki csinálta a káoszt?" -=-

( dorsy v | 2024. 08. 16., p – 11:32 )

ez akkor mostmar az ipv6 eve? :)

> /ip/firewall/filter/print stats
Flags: X - DISABLED; D - DYNAMIC
Columns: CHAIN, ACTION, BYTES, PACKETS
 #    CHAIN    ACTION                            BYTES    PACKETS
 0  D forward  passthrough              10 694 810 250  9 920 66
> /ipv6/firewall/filter/print forward stats
Columns: CHAIN, ACTION, BYTES, PACKETS
 # CHAIN    ACTION           BYTES     PACKETS
 0 forward  accept  24 339 535 336  20 635 862

( Raynes v | 2024. 08. 16., p – 11:32 )

Nálam főleg IPv4-en van minden, de nem kizárólagosan, a v6 is engedélyezve van, de az itt a szavazás kiírása miatt nem játszik. Nincs egyébként problémám az IPv6-tal, ha minden azt használná, kényszerítené, akkor se. Nem vagyok elfogult egyik irányban sem. Bár a v6-nak jobban szurkolok, mert újabb, többet tudó technológia, és kicsit szégyen, hogy ennyi év alatt nem tudott elterjedni, de amúgy a v4 is bőven megfelel nekem, nem okoz lelki törést, vagy vallási gyalázást.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

( asm v | 2024. 08. 16., p – 12:09 )

Szerkesztve: 2024. 08. 16., p – 12:11

Nalam elegge vegyes:

  • itthon van rendes dual-stack altalanos hasznalatra (szamitogepek, mobilok, NAS)
  • de az okoseszkozok, nyomtato es kamerak VLANjai mar csak ipv4 only, mert mast nem tudnak
  • ha beVPNezek meloba, akkor ipv4 only (tippre azert, mert csak v4-es DNS-t allit be a vpn kliens)
  • ceges public cloudban tobbnyire v4 (k8s es tarsai), de CDN utan mar dual-stack

( johnny1107 | 2024. 08. 16., p – 12:24 )

Jelenleg otthonra igazából mindegy, bőven jó a V4, céges hálón is igen komoly méretnek kell lenni, ahol a V6 tényleg indokolt - és amúgyis, egy régóta működő, bár nem tökéletes de bevált valamit meg nemszívesen piszkál senki.

Sosem fog elterjedni amíg a netszolgáltatók nem biztosítanak normális IPv6-ot és a neten elérhető szolgáltatások nem kezdik erőltetni a V6 irányt.

Oktatási részről ne is beszéljünk, v4-ről egy gimis info  tanár is tud mesélni, a v6-ot meg max megmutatja hol kell kikapcsolni.

(és privát problémám, de a v4 címeket egyszerűbb fejben tartani:) persze tudom minek, mikor ott a DNS)

( PunishR v | 2024. 08. 16., p – 12:30 )

60-70% IPv6 a maradek IPv4, ha levennem az AAAA rekordot, akkor nagyon hamar tele lenne a noc/peering@ mailboxunk siro ISP-kkel, mert vert izzadnak a CGNAT dobozaik.

ami amugy azert is vicces home user szemszogbol, mert az itthoni kis mikrotik lazan kitolja a 900sok mbps-t natolva v4-en ppoe-n, mikozben a v6 forward koppol 400ennyiannyin. arra nincs hw-accel a chipben. a csuda arm core pedig elfogy egy szalon.

( khiraly | 2024. 08. 16., p – 13:10 )

Szarom  le az IPv6-ot.

 

*Semmi* elonyt nem ad az ISP, plusz cimet se, fix cimet se.

Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

( kruska v | 2024. 08. 16., p – 14:52 )

[ rc0 ]-[kruska@m2max.local]-[~] $ netstat -f inet | grep -i established | wc -l
      10
[ rc0 ]-[kruska@m2max.local]-[~] $ netstat -f inet6 | grep -i established | wc -l
      53

( mauzi v | 2024. 08. 16., p – 16:40 )

Szerkesztve: 2024. 08. 16., p – 16:42

WAN viszonylatban alig megy már valami IPv4-en. A klienseinken nagyjából 2012 óta minden dual stack, leginkább a tartalomszolgáltatókon múlik, hogy mi az IPv4-IPv6 arány. Mivel a nagyobb tartalomszolgáltatóknál (Google, Microsoft, Facebook, stb.) régóta van IPv6, a kisebb oldalakat meg gyakran Cloudflare mögé dugják, ami szintén IPv6-ot ad kifelé, ezért elenyésző azon tartalmak aránya, mi még mindig IPv4 only.

Vicces egyébként, kb. egy éve volt egy olyan üzemzavarunk, ami a DHCPv4 szolgáltatást érintette, ergo IPv4-en senki nem tudott csinálni semmit. A júzerek többsége észre sem vette, mi is pislogtunk, hogy mi a probléma, hiszen "látszólag minden jól működik".

LAN oldalon nyilván minden fontos eszköz dual-stack, csak az IoT rontja az arányt, aminél viszont gyakorlatilag nincs IPv6 implementálva, sőt, a WiFi-s IoT eszközöknél a RADIUS sem támogatott.

Hol van az az "itthon"?

A Google szolgáltatásait a legtöbb júzer valamilyen szinten igénybe veszi (ha mást nem, a keresőt biztosan), így az ő statisztikái talán valamennyire reprezentatívak.
Jelenleg azt mondják, hogy a magyar forrás IP címekről a júzerek 50,8%-a jött IPv6-on, és 49,2%-a IPv4-en, tehát nagyjából kijelenthetjük, hogy a magyar végfelhasználók tekintetében már az IPv6 az első számú IP protokoll.

Nincs túl sok nagy szolgáltató Magyarországon, de hirtelen nem jut eszembe olyan, amelyiknél ne lenne IPv6 valamilyen formában. A műszaki tartalom eltér, de van.

Ez tuti?

[admin@MikroTik-Gandalf] /ipv6 address> /ipv6 address print 
Flags: X - disabled, I - invalid, D - dynamic, G - global, L - link-local 
 #    ADDRESS                                     FROM-POOL INTERFACE                                             ADVERTISE
 0  G 2a01:36d:3100:3f2::/64                      digi      bridge                                                yes      
 1 DL fe80::6e3b:6bff:fe51:371/64                           bridge                                                no       
 2 DL fe80::6e3b:6bff:fe51:370/64                           ether1                                                no       
 3 DL fe80::8/64                                            digi-pppoe-out1                                       no       
 4 DG 2a01:36c:3100:3f2::8/64                               digi-pppoe-out1                                       no       
[admin@MikroTik-Gandalf] /ipv6 address>

Nem értek amúgy a lovakhoz, lehet, h ez nem ipv6 cím a kis mikrotik dobozomon. :)

Én a DIGI-vel mindig FTTH és FTTB viszonylatban találkoztam, aminél PPPoE fölött jön a net, és az tutira dual stack.

Hogy valami átvett/beolvasztott kisebb szolgáltatónál, más technológia esetében mit adnak, azt nem tudom.

( Fisher v | 2024. 08. 16., p – 21:53 )

Kapcsolódó, párnapos mail: "Backblaze is soon adding IPv6 support for our B2 Cloud Storage S3 compatible API in order to help users avoid public IPv4 address costs and complexities. IPv4 will continue to be supported at this time."

Soon!

( XMI | 2024. 08. 17., szo – 19:51 )

Egyébleírom:

2 melóhellyel ezelőtt (2017 pontosan tudom, mert a release verziónkban benne volt az évszám) az volt az őrület, hogy egyes (telkós) ügyfeleknek "full IPv6" (*) kell. Volt olyan ügyfél akinél - idézem - "CEO-szintű engedély kell, hogy IPv4-es címet használhassanak, mert annyira korlátozott a pool". A termékünk amúgy kifejezetten belső hálózaton futó komponens volt, amit soha semmilyen use-caseben nem is lett volna értelme publikus hálózatra kirakni. De még azt is leverték rajtunk, hogy a HA cluster belső replikációs forgalma (külön dedikált hálózaton) is tisztán IPv6-on menjen - ezzel szoptuk a legtöbbet, annyi sunyi bug került elő 3rd party komponensekben (mariadb galera, mongodb, rabbitmq, de még opensshban is!) gondolom rajtunk kívül kb senkinek nem jutott eszébe megpróbálni.
Ja és persze más ügyfeleknek meg kellett mixed mode, minden elképzelhető (és elképzelhetetlen) kombinációkban. Live upgrade támogatás IPv4->IPv6-ra és hasonló őrületek. Openstack-es testbed-et csinálni rá önmagában is monstre feladat volt.

Azóta, hogy eljöttem onnan, egyszer nem találkoztam a munkám során IPv6-tal, pedig publikus hálózaton szolgáltatunk.

(* a "full IPv6" a kedvencem. Ahányszor elhangzott ez a fogalom, mindig rákérdeztem, hogy "Például SLAAC támogatás is kell?" Ezen a ponton jöttek bőven a "bocs mégegyszer, micsoda?", "lebetűznéd mégegyszer?", "őőő, ennyire mélyen azért nem tudom", "ez valahogy az IPv6-nak része?" stb válaszok. :) Elég jól le lehetett mérni vele, hogy az ügyfél képviselőinek mennyi közük volt az egész IPv6-hoz.)

Régóta vágyok én, az androidok mezonkincsére már!

Hahaha... ahogy a móricka elképzeli az üzleti élet működését. :)

Maradjunk annyiban, hogy én nem doxolom ki, hogy az adott cég melyik volt. De te is ismered, ebben biztos vagyok, akkora brandről van szó. Igen sokszámjegyű üzletről volt szó, amiben a mi termékünk csak egy kicsike tétel volt. Ún "cross-product impact" volt, ha mond ez valamit. A product managerünk sem tudta visszaverni, konkrétan a saját egész cég-szintű release policy-n kívüli rendkívüli release-ben kellett szállítanunk az IPv6 supportot. De ja, majd megmondom az ügyfél CEO-jának... valóságban már ahhoz is komolyan küzdeni kellett, hogy technikai emberrel kapcsolatba tudj lépni az ügyfél oldalán. :)

Régóta vágyok én, az androidok mezonkincsére már!

A konzultáció egy más dolog. Ott legalább alapból egy meetingen vagy velük.

Én egy architect voltam egy termék R&D-ben. A saját cégünk policyje az volt, hogy ügyféllel csak a megfelelő "customer teamünk" léphet kapcsolatba, az R&D közvetlenül nem. A legtöbb ügyfél oldalán is valami "vendor relations" vagy csak simán "procurement" jellegű nem-technikai csapat volt kapcsolatban a mi customer teamünkkel. És mögöttük - tőlem legalább 3 hop-ra - voltak már talán technikai emberek. Általában excel táblák (egy cellában 50 sor requirement szöveggel, mert arra való az excel...) utazgattak közöttem és az ügyfél oldalán kitudjaki között. Ezért volt fontos teszt a "SLAAC kell-e", mert innen tudtam, hogy akivel sikerült nagy nehezen kommunikálnom az egyáltalán technikai ember-e.

Régóta vágyok én, az androidok mezonkincsére már!

( NagyZ v | 2024. 08. 17., szo – 21:43 )

elso dolgom tiltani a faszba a v6ot

( asch v | 2024. 08. 18., v – 03:31 )

Egyszer lassú volt a net a gépemen. Addig kutakodtam míg kiderült, hogy valami v6-ot szarakodik, timeouttol és aztán megy V4-re azért lassú. Természetesen letiltottam a V6-ot a kernelben és azóta újra boldog vagyok.

Egyébként nem lennék ellene, de még semmire nem kellett, akkor meg minek töltsek időt vele? Majd ha muszáj lesz/fizetnek érte.

Tipikus DNS issue. RFC szerint először a AAAA-s recordot kell feloldani és ha nincs akkor akkor az A-s. Ha az upstream DNS szerver (ez lehet a router, lehet a hely gépen futo DNS proxy is) szarul van beaállítva és nincs hova forwardolnia a AAAA-s kéréseket, akkor megkukul és a kliens várhatja ki a timeoutot és csak utána próbálja az A-st.

(ne tudd meg hányszor debuggoltam ilyet...)

Régóta vágyok én, az androidok mezonkincsére már!

( trey | 2024. 08. 18., v – 08:47 )

Hát, akkor kijelenthetjük, hogy 2024-ben sem jött el az IPv6 éve!

trey @ gépház

Hát nem, és valószínű 2034-ben sem jön el. Amíg valamelyik nagy globális IT multi el nem avultatja kényszerrel, addig kb. senki se fogja adoptálni rendesen, csak ilyen másodlagos szerepben, kiegészítő jelleggel.

Mint írtam, nekem nincs bajom az IPv6-tal, de globálisan az embereknek van, így azt is meg kéne az illetékeseknek fontolni, hogy az IPv6 helyett csinálnak egy új IP szabványt, amibe bevonnak minden nagyobb céget, szervezetet, hogy kiegyezzenek egy olyan megoldásban, amit tényleg mindenki hajlandó adoptálni, teljes mellszélességgel azonnal implementálni, nem ilyen fél ’gel ülve a lovat, mint az IPv6 esetében. Egyértelmű, hogy nem akarják használni, nem felel meg.

Tudom, morbid javaslat, mert rengeteg eszköz és szoftveres megoldás máris támogatja az IPv6-ot, csak hát minek, mikor senki nem hajlandó használni. Azért nincs értelme támogatni, hogy elmondhassuk, hogy névleg ez is támogatva van.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Az „is”-ben nem vagyok biztos, de a tényleg azt mutatják, hogy ebbe az IPv6 témába beletrafáltál. Nem tudom hogy láttad előre, de bejött a jóslat.

Nekem nincs bajom vele, de azt gyanítom, hogy sokaknak inkább csak túl bonyolult lett az IPv6, és nem bírják használni, megtanulni. Nehézkesnek tűnik nekem is, de azért abszolválható, meg én elfogadtam, hogy haladni kell a technológiával, kitolni a limitációkat, és ez sokszor csak olyan áron megy, hogy el kell fogadni, hogy valami bonyolultabb, meg ki kell menni érte a komfortzónán, jól megszokottakon kívülre. Néha a fejlődés csak így biztosítható.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Jaja, majd írok egy listát!

Eleve a HUP az "igazam lett" ékes bizonyítéka, azért van itt már kb. 100% offtopik, mert az oldal fő küldetése, hogy az open source/Linux győzni fog, már rég beteljesedett. Az oldal részben dacból indult olyan állításokat bizonygatók bosszantására, hogy

  • a Linux egy vicc
  • a Linux unatkozó hobbisták játékszere
  • az open source rosszabb mint a proprietary
  • stb.

A HUP betöltötte a funkcióját kb. akkor, amikor a legnagyobb ellenfele, a Microsoft elfogadta, hogy veszített.

Tehát, ultimate módon IGAZAM lett. A többi csak a hab a tortán.

trey @ gépház

( arpi_esp v | 2024. 08. 18., v – 11:33 )

egy olyan ugyfelunk sincs ahol az isp adna v6 cimet. ahogy kerik a fix ip-t, kapnak 1db v4-et (vagy max egy /29-et) azt szevasz. mind1 melyik nagy telkorol vagy kis helyi szolgaltatorol van szo, mind1 hogy gpon vagy bereltvonal vagy mikro.

van doclernel hostingban egy szerverunk, fizetunk 6db v4 cimert, kertem egyszer v6-ot toluk, kaptam (miutan 1 hetig ultek a ticketen) 1db v6 cimet. nem, nem egy /64-et. 1db cimet...

par eve vegneztem kb az osszes magyar VPS szolgaltatot, alig van olyan aki v6-ot is ad, es altalaban az is 1db cimet max. de a legtobb semmilyet.

ugyanakkor az egyetemen egy elearning szervernek adtunk v6-ot, aztan neztem statisztikat: a forgalom 2/3-a v6-on jott be, igaz nagyreszt home userek otthoni vagy mobilnetes cimei voltak v6-osak. szoval igeny, az volna ra.

ahol az isp adna v6 cimet. ahogy kerik a fix ip-t, kapnak 1db v4-et (vagy max egy /29-et) azt szevasz. mind1 melyik nagy telkorol vagy kis helyi szolgaltatorol van szo, mind1 hogy gpon vagy bereltvonal vagy mikro.

sosem értettem az összefüggést, hogy az alábbiak közül miért vannak választhatatlan kombinációk, szolgáltatótól függően:

  • bridge üzemmód
  • fix IPv4 cím
  • (fix) IPv6 subnet
  • IPTV

Tényleg mintha nem is a 21. században lennénk. Évente felhívnak hogy ilyen-olyan szuperklassz otthoni internetcsomagra át lehetne térni, amiben olcsóbbért még IPTV is van. Standard forgatókönyv a beszélgetésre:

  • az IPTV nem érdekel, nem tévézünk. 
  • de olcsóbb lesz így is az egész, sőt vezetékes telefont is adunk.
  • hozzá kell nyúlni a konfighoz/eszközökhöz?
  • (5 perc, műszaki kollégától kérdezés után): Umm, csak le kell cserélni a végponti eszközt, de eskü, minden ugyanúgy fog menni mint most. 
  • a fix IPv4 és IPv6 /56 is?
  • (10 perc, műszaki kollégától kérdezés után): Ja, az nem.
  • Köszi, viszhall jövő ilyenkor!

Nemcsak zsugori bohóckodás, hanem nem is értik. Illetve nem is akarják befektetni az energiát, hogy megértsék.

Hosszasan tudnék mesélni róla, próbálom nagyon tldr-ezni.

Volt a termékünkben (self-contained vm image appliance-ként adtuk ki) beágyazott docker. Felszanáló által adott integrációs scriptek futtatása volt így sandboxolva, és persze kommunikálnia kellett a külvilág fele (de bejövő kapcsolatot fogadnia nem kellett). IPv4-en natolod a docker forgalmát, ezzel végfelhasználói konfig szempontból viszonylag fájdalommentesen egy külső címmel le van tudva.

IPv6-on viszont elég kevés opciód van (ill volt amikor foglalkoztam vele, azóta persze változhatott). 6to6 NAT elivleg RFC-szerint tilos, fogalmam nem volt mi törik el, ha mégis csinálom, nem kockáztattam. A docker doksi azt írja, hogy kell adnod egy legalább /80-as subnetet a konténereknek és ezt ki kell route-olni a hálózati interfészre (ennek lehetnek proxy arp, akarommondani NDP proxy-s finomságai amibe most nem megyek bele - ez self contained módon meg volt oldva). Egyébként kisérletileg kiderült, hogy /80 inkábbcsak ajánlás, /120-al is simán ment, ha elég egyidejűleg 250egynéhány konténer.

Ezt kivezettük az appliance konfig management felületre, installerbe, külön network planning guide fejezetet írtam a customer doksiba. Ábrákkal, magyarázattal, hogy mi kell, milyen esetben kell, miért kell.

És elkezdtek özönleni az értetlenkedő support requestek, hogy mi a fene ez a /80-as subnet dolog, ők csak egy darab statikus IP-t akarnak/tudnak adni neki, mérnemelégaz?! Cégen belülről is más termékektől, akiknek tesztkörnyezetben kellett felrakni  (egy telco szolgáltatói oldali cuccokat gyártó cégről beszélünk...). És persze ügyfél részről is.

A végén már nagyon bántam, hogy nem mertem bevállalni a 6to6 NAT-ot.

Régóta vágyok én, az androidok mezonkincsére már!

( hnsz2002 v | 2024. 08. 22., cs – 08:04 )

Ahol van és rendesen lehet használni (szervereken, fix v6 címek), ott mindenhol van és mindig rendesen beállítom.

LAN-on szenvedtem vele egy ideig, de amíg problémás a kezelése és nincs fix használható címtartomány, addig egyrészt azon kívül, hogy kimész vele netre semmire sem használható, másrészt hibaforrás.

"Sose a gép a hülye."