zajdee

Citovat

IPv4 internet je vždy přístupný i z IPv6 only sítí

Pozor, tohle neplatí automaticky. Operátor (ať už ISP, nebo správce lokální sítě) se o to musí postarat. Dnes to zpravidla platí pro sítě s plnohodnotným dual-stackem, ale yarom popisuje situaci, kdy má na WAN jen IPv6 konektivitu a žádný "propoj" do IPv4 světa. V takovém případě se stanice v LAN (pokud dostanou IPv6 adresu a umí komunikovat po IPv6) dostanou jen do IPv6 internetu. Pro přístup k IPv4 internetu je potřeba nasadit nějakou berličku (NAT64/DNS64, pokud zařízení v LAN umí komunikovat po IPv6, případně doplněné o CLAT na routeru, pokud v LAN zůstávají zařízení, která po IPv6 komunikovat neumí).

V případě DS-Lite to funguje tak, že kabelový router zabalí IPv4 pakety z LAN do IPv6 paketů, po operátorské IPv6 síti je pošle na operátorský překladač, a ten je vybalí, přeloží (NAT) a pošle do IPv4 internetu.

V případě dual-stacku je na zákazníkovi, aby buď využil IPv4 a IPv6 najednou (jeho router pak bude mít obě cesty do obou internetů), nebo - pokud chce mít na routeru jen IPv6 - si zařídil meziprotokolový překlad sám.

Na infolince ani na technicke podpore mi k dual-stacku pro bezne domaci linky nebyl nikdo nic schopny rict. Pry vi jen o nasazeni pro zakazniky s pevnou IPv4 adresou.

O variante "Home přípojky s DS-Lite: full dual-stack" si dovolim pochybovat, to bychom asi uz vedeli.

Prd spiknuti. Za celym tim omezenim IPv4 je technologicka vymena casti infrastruktury za jinou a tim sjednoceni se zbytkem korporatu.

Jen podekuj, ale tahle zmena ma primarne jiny duvod. IPv6 je jaksi "vedlejsi produkt". 😂

Citovat

Tak ne, tudy cesta nevede - nezávisle na mac adrese dostávám pořád svou pevnou IPv4 adresu na libovolné rozhraní.

Tohle je nove standardni chovani. Uz se pri pridelovani adresy nepouziva identifikace zakaznika pomoci MAC adresy ale pomoci konkretniho modemu.

@Ondrej1máte ke službě dynamickou veřejnou IPv4 nebo statickou? (Ptám se, protože na přípojce s dynamickou IPv4 zatím IPv6 nedostávám.)

U me se zatim nic nezmenilo, reboot modemu (bily Compal) nic nemeni. Mozna bude potreba ho vypnout a zapnout. 

Jo, po planovane dnesni rekonfiguraci site muze byt za jednim modemem v bridge jen jedno primo pripojene zarizeni. Driv to bylo nekolik (videl jsem i konfiguraci se 16 povolenymi zarizenimi) a dalo se to mixovat - pevne a dynamicke. Takze driv jste mohli mit treba tri routery a fungovalo to, kazdy dostal vlastni verejnou IPv4.

@CableGto se ta sitova rekonfigurace asi moc nepovedla. 😅 Jak se pripojka chova? Vubec se neprihlasi do kabelove site? Nebo se prihlasi - ale internet neinternetuje?

Kdysi ve vedlejsich diskusich nekdo zminoval, ze dostal od VF IP adresy, ktere ale "nikam nevedly", nebyly VF siti routovane. Neni to podobny stav?

před 39 minutami, Technikus napsal:

Potom jsem v těch 20%.

T-M na mé adrese nabízí směšných 100/20 a 50/5.

To jsou DSL tarify. Nejspis u Vas Vodafone kabelovku s T-Mobilem nesdili.

Jestli dobre pocitam, celkova kapacita uplinkovych kanalu je ted kolem gigabitu. A protoze D3.0 kanaly az na ten posledni zmizely, predpokladam, ze na te konkretni vetvi uz nebude moc D3.0 zarizeni.

No gratuluju k vyzkouseni technologie, kterou prece nikdo nepotrebuje a je uplne zbytecna. Jeste nam vysvetli, proc jsi o ni teda najednou zacal psat do tematu o samoobsluze, kdyz to nebylo v souvislosti se samoobsluhou?

Dual-stack bude nakonec pry az v patek. Mimochodem ds-lite v samoobsluze taky videt nikdy nebyl, stejne jako prepinani mezi ds-lite a ipv4-only, takze asi tak.

Pokud se u zprávy o přihlášení řídíte podle IP, řiďte se podle prvních 64 bitů IPv6 adresy (první čtyři bloky, např. u 2001:db8:dead:beef:babe:cafe:fefe:42 jde o 2001:db8:dead:beef::). Tyhle čtyři bloky jsou shodné s tím, co se používá v síti, ke které jste připojen. Druhá skupina čtyř bloků je ta, co se mění často. (První čtyři bloky se taky můžou měnit, když operátor změní přidělený IPv6 prefix. To je ekvivalent situace, kdy ISP změní IPv4 adresu, třeba proto, že vyprší DHCP lease a domácí router na nový DHCP požadavek dostane úplně jinou adresu.)

Citovat

každé zařízení sedí přímo na veřejné IP adrese. To může být bezpečnostní riziko.

Jelikoz je na Station stavovy firewall, ktery do site nepropusti zadny pokus o spojeni zvenku, tak to zadne bezpecnostni riziko neni. Chova se to stejne jako sit s privatnimi adresami za NATem. Jediny rozdil jsou ty adresy, ktere na druhe strane (na serveru) vidite cele - ale jelikoz je pro domaci sit vyhrazeno 2^64 kombinaci a tahle cast IPv6 adresy se meni, tak to ani nespojite s konkretnim uzivatelem.

Nevypinejte IPv6. Usetrite si zbytecne problemy v budoucnu.

Na rozdíl od 6to4 konektivity, se kterou Vodafone nemá moc společného, Vodafone pod kontrolou svoje modemy, které pronajímá, má. Takže asi tak k tomu, kdo co omezuje. Že pronajímají zařízení s výrobní vadou není problém zákazníka.

Adolfe, ty už normálně schválně lžeš. Ten článek na Rootu o problémech IPv6 tunelů na Compalu jsem psal já, mám to podložený, mám znovu otestovaný právě teď, že to pořád platí.

TL;DR: 6to4 routery Hurricane Electric jsou v Amsterdamu a Curychu, 6to4 IPv6 provoz z Čech (IPv4 router s aktivním 6to4 tunelem) do Čech (k těm cílům, které 6to4 ještě podporují) si udělá slušný výlet přes Švýcarsko, Německo a Nizozemsko. Seznam a další cíle nepodporují 6to4 už vůbec. Vodafone na Compalu omezuje 6to4 na 10 Mbps. 6to4 je nespolehlivý protokol. Nepoužívejte 6to4, zachráníte koťátko. Počkejte na nativní dual-stack od VF.

Dlouhá verze:

6to4 patří mezi tunelovací protokoly. Tunel má obvykle dva konce, konec A u zákazníka a konec B kdesi v Internetu.

Tunelovací protokol DS-Lite, který se využívá u Vodafone, například tuneluje IPv4 provoz uvnitř IPv6 tunelu a tunelovací server je v síti Vodafone. Vodafone je schopen garantovat kvalitu takové služby, protože cestu mezi koncem A (zákazník) a koncem B (Vodafone) má plně pod kontrolou. Tunelovací server a protokol DS-Lite tedy provozuje Vodafone, slovy Adolfa "to má zařízeno".

Tunelovací protokol 6to4 má kromě konce u zákazníka i konec "v internetu", konkrétně využívá anycastovou adresu 192.88.99.1.  Tuhle adresu si může každý pomocí traceroute vyzkoušet vytrasovat. Pak uvidí, že provoz z ČR odchází ze sítě ISP kamsi do Internetu - konkrétně do Curychu nebo Amsterdamu, kde službu 6to4 relay (konec tunelu B, převod mezi 6to4 tunelem a nativním IPv6 internetem) už jako poslední na světě poskytuje Hurricane Electric [ASN 6939] (a z některých sítí vůbec není tahle služba dostupná).

To znamená, že veškerý 6to4 provoz mezi vaší domácí (firemní?) sítí a IPv6 internetem nejdřív odejde po IPv4 do Frankfurtu resp. Amsterdamu, kde se vybalí z tunelu a už jako IPv6 provoz odchází do nativní (netunelované) IPv6 sítě. Naopak provoz z nativní IPv6 sítě nejdřív odejde do Amsterdamu, kde ho Hurricane Electric zabalí a pošle po IPv4 zpátky k vám.

Provoz od vás z domova na web Hospodářských novin si udělá výlet přes Švýcarsko, Německo, Nizozemsko. Do Seznamu vaše 6to4 pakety nedorazí vůbec. Traceroute z IPv6 internetu na router používající 6to4 taky vypadá strašidelně.

Jakmile tunelovaný provoz opustí síť Vodafone, už nad ní nemá Vodafone žádnou kontrolu. Je to jako u provozu na 8.8.8.8 nebo 1.1.1.1 - provoz odchází ze sítě Vodafone do sítí Google resp. Cloudflare a samotné služby poskytují Google resp. Cloudflare, Vodafone ani 8.8.8.8 ani 1.1.1.1 neprovozuje.

Tedy tvrzení, že 6to4 používá váš operátor ke zpřístupnění IPv6 internetu, je mylné (fakta ukazují opak).

Jako bonus Vodafone nejen že 6to4 neprovozuje/nepoužívá/nemá pod kontrolou, ale pokud máte Compal, tak ještě provoz 6to4 kriplí - pokud si uděláte IPv6 speedtest na síti s aktivní tunelovanou IPv6 přes 6to4, naměříte maximálně cca. 10 Mbps. Vodafone o tom ví, ale nic s tím nedokáže udělat. Kdyby skutečně 6to4 provozoval, tohle by přece nenechal jen tak být, či?

Pokud jde o ten Adolfův útok na "vymodlený dual-stack" a "kritické názory", tak odkazovaný článek říká, že síť v režimu dual-stacku můžeme nahradit sítí v režimu IPv6-only. Abychom tohle ale mohli udělat, musí ISP nejdřív nasadit (provozovat, používat, mít pod kontrolou) nativní IPv6 a až pak může řešit, jak z koncové (u zákazníka doma) nebo přístupové (k zákazníkovi domů) sítě odebrat IPv4, třeba pomocí MAP-T (Sky Italy/UK), 464XLAT (mobilní sítě v zahraničí) nebo pomocí DS-Lite (Vodafone). Pokud ISP nativní IPv6 zákazníkům nenabídne, nemůže ani odebírat IPv4.

No a Vodafone teď po letech čekání snad konečně nabídne nativní IPv6 pro všechny zákazníky. Už nebude potřeba žádné tunelování mimo síť Vodafone.

před 5 hodinami, Adolf.Shitler napsal:

6to4 používá jak Vodafone, tak Netbox, tak PODA a jistě i celá řada dalších ISP a zjevně s tím žádný problém není,

To neni pravda, zadny z techto operatoru svym zakaznikum neposkytuje 6to4. 6to4 je overlay sluzba nad IPv4 konektivitou, Vodafone, Netbox a PODA poskytuji prave a jen tu IPv4 konektivitu. 6to4 poskytuje uz jen Hurricane Electric, takze vsechna data odejdou po IPv4 do site Hurricane, tam se vybali z tunelu a poslou dal do skutecneho IPv6 internetu.

Protokol 6to4 byl presunut do "historic" stavu v roce 2015.

Siris tady bludy.

To je porad dokola. 6to4 neni plnohodnotna IPv6 konektivita, je to extremne nespolehliva technologie, uz 10+ let ji odbornici doporucujou nepouzivat.

Pokud bude fungovat plnohodnotny dual-stack i u zakazniku bez placene pevne IPv4 adresy, tak jen dobre.

T-Mobile proste preprodava tu optiku CETINu. (BTW u dvougigabitu je ten tarif 2000/1000, ne 2000/2000.)

Ve Vrsovicich je spousta optiky od CETINu, T-Mobile prakticky vubec. Upload rychlosti jsou symetricke (1000/1000, 500/500, 250/250 Mbps).

Tady je k tomu par slov:

https://www.techforum.cz/topic/62990-routovany-subnet/?do=findComment&comment=475124
 

jinak nikde nic, ticho po pesine

@Fajvlastni Compal sel ke sluzbam aktivovat jen do doby, nez Vodafone prevedl zakazniky do vlastniho systemu. Pak chvili nebylo mozne aktivovat zadne vlastni modemy, ted je tu teoreticka moznost vlastni modem mit, ale musi splnovat vyssi standard (DOCSIS 3.1 a pos.) a navic to VF limituje tim, ze pokud takovy modem vubec sezenete, tak ho aktivuje jen spolecne s novou sluzbou. Nelze ho priradit ke stavajici smlouve. Je to trochu WTF.

@pkociu ds-lite prideluji /56, takze bych rekl, ze i u dual-stacku budou pridelovat /56. Z jinych siti je zkusenost takova, ze bridge pri plnohodnotnem dual-stacku funguje.