Jump to content
Калькуляторы

Carrier Grade NAT IPv6

Собственно, такой вопрос: для ipv4 nat выделена подсеть 100.64.0.0/10 как раз выделена для cgnat. А тогда в ipv6 какая сеть выделена для cgnat?

Share this post


Link to post
Share on other sites

А зачем там вообще NAT? Это же IPv6, там адресов хватит на все холодильники, кофеварки и тостеры...

Share this post


Link to post
Share on other sites
41 минуту назад, UglyAdmin сказал:

А зачем там вообще NAT? 

Сейчас снова натащат аргументов про NAT как защиту внутренней сети. Вместо того, чтобы признаться, что биллинг/прочий софт и его железная обвязка не умеют нормально выдавать и маршрутизировать абонентам рекомендуемые /48 (ну или /56)

Share this post


Link to post
Share on other sites
55 минут назад, Sergey Gilfanov сказал:

биллинг/прочий софт и его железная обвязка не умеют нормально выдавать и маршрутизировать абонентам рекомендуемые /48 (ну или /56)

Х-ха, хомякам выдают /64 и @ как хочешь - превращай роутер в свитч или ищи пресловутый NATv6...  

Share this post


Link to post
Share on other sites

Почему при обсуждении нат все сводится только к обсуждению хомячковых интерентов?

Share this post


Link to post
Share on other sites
35 минут назад, jffulcrum сказал:

Х-ха, хомякам выдают /64 и @ как хочешь - превращай роутер в свитч или ищи пресловутый NATv6...  

Во-то я и говорю "...не умеют нормально выдавать и маршрутизировать абонентам рекомендуемые /48 (ну или /56)", Настучать бы таким операторам по рукам, чтобы нормально делать начали и не провоцировали абонентов на всякие странные сетевые художества.

 

2 минуты назад, Rivia сказал:

Почему при обсуждении нат все сводится только к обсуждению хомячковых интерентов?

Потому что в нехомячковых в контексте Ipv6 оно еще более не нужно.

Share this post


Link to post
Share on other sites
50 минут назад, Sergey Gilfanov сказал:

Потому что в нехомячковых в контексте Ipv6 оно еще более не нужно.

Можете раскрыть подробнее?

Share this post


Link to post
Share on other sites
29 минут назад, jffulcrum сказал:

Можете раскрыть подробнее?

В нехомячковых сетях он и в IPv4 является костылем, с которым мирятся и который  применяется исключительно ради экономии адресов. В IPv6 необходимости экономить адреса нет.

Share this post


Link to post
Share on other sites

Да будет срачЪ!

 

@Sergey Gilfanov Вам не кажется, что вы судите из представлений пуризма, времен, когда Интернет только начинался. Возьмем RFC2993  (2000 год BTW):


 

Цитата

 

Advantages of NATs

A quick look at the popularity of NAT as a technology shows that it tackles several real world problems when used at the border of a stub domain.

- By masking the address changes that take place, from either dial- access or provider changes, minimizes impact on the local network by avoiding renumbering.

- Globally routable addresses can be reused for intermittent access customers. This pushes the demand for addresses towards the number of active nodes rather than the total number of nodes. 

- There is a potential that ISP provided and managed NATs would lower support burden since there could be a consistent, simple device with a known configuration at the customer end of an access interface.

- Breaking the Internet into a collection of address authorities limits the need for continual justification of allocations allows network managers to avoid the use of more advanced routing techniques such as variable length subnets.

- Changes in the hosts may not be necessary for applications that don't rely on the integrity of the packet header, or carry IP addresses in the payload.

- Like packet filtering Firewalls, NAPT, & RSIP block inbound connections to all ports until they are administratively mapped.

 

Что из этого перестало быть актуальным? И, еще момент - сменилась сама парадигма. Если раньше Интернет представлял собой меш - каждая машина не просто могла, а выступала и клиентом, и сервером, то теперь у нас четкая иерархия - есть сервера поставщиком контента (в последних наблюдаются явные тенденции к сверхцентрализации), и куча клиентов, их "слушающих". Всякое P2P не очень полетело, так что шансы, что один хост полезет к другому напрямую по делу, становятся исчезающе малы - а значит и поддерживать связность "все ко всем" больше и незачем.

Share this post


Link to post
Share on other sites

 

 

1 час назад, jffulcrum сказал:

Вам не кажется, что вы судите из представлений пуризма, времен, когда Интернет только начинался. Возьмем RFC2993  (2000 год BTW):

RFC хороши тем, что их много.  RFC4864 (2007 г) о том, чем что заменяется. Или RFC 5902 (2010г) - соображения по поводу NAT от "Internet Architecture Board".

 

1 час назад, jffulcrum сказал:

Что из этого перестало быть актуальным? И, еще момент - сменилась сама парадигма. Если раньше Интернет представлял собой меш - каждая машина не просто могла, а выступала и клиентом, и сервером, то теперь у нас четкая иерархия - есть сервера поставщиком контента (в последних наблюдаются явные тенденции к сверхцентрализации), и куча клиентов, их "слушающих". Всякое P2P не очень полетело, так что шансы, что один хост полезет к другому напрямую по делу, становятся исчезающе малы - а значит и поддерживать связность "все ко всем" больше и незачем.

Централизация, хотя бы в тех же месседжерах - в очень большой степени из за того, что NAT мешается. Например, всякие аудио-видеозвонки просто явно было бы лучше прямо с хоста на хост отправлять, но всякие способы для прохода NAT-а придумывать приходится.

Как только появится возможность этим не заниматься - P2P будет использоваться значительно чаще.

Share this post


Link to post
Share on other sites
10 часов назад, jffulcrum сказал:

Х-ха, хомякам выдают /64 и @ как хочешь - превращай роутер в свитч или ищи пресловутый NATv6...

Ну чисто технически это не сложно: достаточно просто IPv6 /64 бриджевать.

 

 

9 часов назад, Rivia сказал:

Почему при обсуждении нат все сводится только к обсуждению хомячковых интерентов?

Потому что интересы тупых инженегров не способных осилить в6 никого не волнуют.

 

 

6 часов назад, jffulcrum сказал:

Что из этого перестало быть актуальным?

Это и не было никогда актуальным.

 

6 часов назад, jffulcrum сказал:

И, еще момент - сменилась сама парадигма.

Только в вашей голове, извините за грубость.

Поясню: то что вы обслуживаете 10к домохозяйств с тупыми хомяками которым кроме вк и ютупа ничего не надо - не значит что парадигма изменилась.

Да, есть огромная централизация, но эта централизация поглощает самых тупых, коих естественно большинство.

Те кто стоит за сетью и занимается сетями - продолажают сторонится централизации.

 

6 часов назад, jffulcrum сказал:

Всякое P2P не очень полетело, так что шансы, что один хост полезет к другому напрямую по делу, становятся исчезающе малы - а значит и поддерживать связность "все ко всем" больше и незачем.

Опять же это наблюдение основанное на  поведениях тупого большинства.

У меня на домашнем сервере и сайты хостятся, и торренты и прочие сервисы доступные из инета.

И лично я готов пустить домой IPv6 входящий трафик без особой фильтрации, так чтобы каждое устройство стало доступно по IPv6 из инета.

Share this post


Link to post
Share on other sites
1 час назад, Ivan_83 сказал:

Только в вашей голове, извините за грубость.

Поясню: то что вы обслуживаете 10к домохозяйств с тупыми хомяками которым кроме вк и ютупа ничего не надо - не значит что парадигма изменилась.

Да, есть огромная централизация, но эта централизация поглощает самых тупых, коих естественно большинство.

Те кто стоит за сетью и занимается сетями - продолажают сторонится централизации.

 

Опять же это наблюдение основанное на  поведениях тупого большинства.

У меня на домашнем сервере и сайты хостятся, и торренты и прочие сервисы доступные из инета.

И лично я готов пустить домой IPv6 входящий трафик без особой фильтрации, так чтобы каждое устройство стало доступно по IPv6 из инета.

Ваня, судят по большинству, вас токсо/бриаро- юзеров <1%, вы никому не нужны, даже спамерам.

ЗЫ. Сам против централизации, и прочих облаков, но моего мнения никто не спросил ))))

Share this post


Link to post
Share on other sites
19 часов назад, Sergey Gilfanov сказал:

  RFC4864 (2007 г) о том, чем что заменяется. Или RFC 5902 (2010г) - соображения по поводу NAT от "Internet Architecture Board".

Те же пункты, почти в тех же словах. Я так понимаю, все соображения 2000 года остались на местах.

 

14 часов назад, Ivan_83 сказал:

Только в вашей голове, извините за грубость.

Поясню: то что вы обслуживаете 10к домохозяйств с тупыми хомяками которым кроме вк и ютупа ничего не надо - не значит что парадигма изменилась.

Да, есть огромная централизация, но эта централизация поглощает самых тупых, коих естественно большинство.

Те кто стоит за сетью и занимается сетями - продолажают сторонится централизации.

Вы прочитайте свой текст и поймите, что вы только подтвердили справедливость моих слов. Когда-то Интернет состоял в основном из университетских машин, и каждой было что отдать миру. Университеты никуда не делись, но они в подавляющем меньшинстве. Даже т.н. "Веб 2.0" наглядно показал, что на одного писателя - 100 читателей, которым даже лайк нажать лень. Я нисколько не отрицал существование энтузиастов, все еще что-то шарящих с миром, но они уже вымирающий вид. И законодательство, и практика управления сетями - все более способствуют их вымиранию, не только у нас. Ты даже соседей по дому не видишь, потому что ты в туннеле, в VLAN, в IPoE, просто port-protected включен на свитчах, порты режутся и т.п. - что изменится с Ipv6? Да что там, мы вот в один прекрасный день потеряли в мониторинге все сервера по SNMP. WTF - спросили мы поддержку датацентра? Все огонь, ответила поддержка, мы вам все отрезали, рассылку читайте, для нашей и вашей свободы безопасности. И все это делают как раз Те кто стоит за сетью и занимается сетями. Все условия для расцвета P2P, да.

Share this post


Link to post
Share on other sites
15 минут назад, jffulcrum сказал:

Все огонь, ответила поддержка, мы вам все отрезали, рассылку читайте, для нашей и вашей свободы безопасности. И все это делают как раз Те кто стоит за сетью и занимается сетями. Все условия для расцвета P2P, да.

Но, однако, внутри самих датацентров Ipv6 тоже полезен. Вместо всех этих сложных CloudVirtualPrivateLan(наверняка чья-то ТМ) и им подобных, частенько делающих вид, что у тебя собственный L2 сегмент между кучей серверов клиента есть - можно тупо раздать по префиксу на клиента и все управление доступом делать простым firewall-ом и маршрутизацией. А не туннелированием на нескольких уровнях.

Share this post


Link to post
Share on other sites
16 часов назад, pppoetest сказал:

Ваня, судят по большинству, вас токсо/бриаро- юзеров <1%, вы никому не нужны, даже спамерам.

ЗЫ. Сам против централизации, и прочих облаков, но моего мнения никто не спросил ))))

Пардон, я совсем забыл экономику.

Уже не однократно здесь писал: централизованные месенгеры убыточны. Как минимум когда речь заходит про голос и особенно видео - всё, хана. Или работаем п2п или нужна бесконечная тумбочка денег на тупое проксирование во славу митим товарища майора.

Социалки и ютуп как то выживают за счёт рекламы на каждый чих, но если внезапно рекламы не станет - это всё закроется через месяц от силы - потому что держать датацентры и платить мегатонны денег за инфраструктуру - некому.

В случае децентралиции - каждый платить за себя, по немногу. Он платит чтобы не остаться без связи. Он эти деньги никогда не понесёт в социалку или ютуб.

Да, я веду к тому что вот эта вот централизация - это всё пузырь, подобный пузырю доткомов, который ничего не производит сам и может резко лопнуть если экономике поплохеет - о чём уже который год вещают эксперды.

 

2 часа назад, jffulcrum сказал:

Ты даже соседей по дому не видишь, потому что ты в туннеле, в VLAN, в IPoE, просто port-protected включен на свитчах, порты режутся и т.п. - что изменится с Ipv6?

Давай не будем обо мне, так уж получилось что у меня подключение не как у всех :)

А вот связность по IPv6 провайдер обеспечить обязан, так же как и по IPv4, в том числе между соседями, потому что это не провайдер имени ВК/мордоркниги/гуглага, а просто провайдер интернета, а раз сосед часть интернета - то и с ним тоже должен быть конект. Конечно то что он пойдёт не через подъездный коммутатор а через ядро сети - это головняк провайдера.

 

И я так думаю что ещё лет 10 IPoE превратится в нечто немного другое: абонент дома будет ставить не роутер а просто свич и точку доступа бриджом, и все устройства будут полноценной частью инета.

Для IoT и прочих говноподелок это плохо, а для тех же гейбуков, гейфонов, гандройдов и даже ноутов с вендой, телеков - уже давно норм.

IoT и бытовая техника может просто выставить TTL=1 и вообще не заморачиватся безопасностью - только непроходимая тупость и полнейшее не знание сетей мешают разработчикам так сделать.

Вот тот же UPnP/DLNA просто обязан быть с TTL=1, ибо ему за пределами хаты делать нехер - но нет, кажется я один это запилил или собираюсь запилить у себя в ssdpd.

Надеюсь ты оценил элегантность решения: никакого фаера, никакой фильтрации пакетов, никакого NAT но всё вполне секурно, если конечно провайдеру доверять или роутер держать хотя бы в режиме роутера без NAT.

Share this post


Link to post
Share on other sites
18 hours ago, Ivan_83 said:

Ну чисто технически это не сложно: достаточно просто IPv6 /64 бриджевать.

А зачем чисто технически его бриджевать? :) Ставится на внутренний интерфейс /64, на внешнем lladdr. Это же ipv6, зачем там дополнительные адреса на интерфейсы вешать?

 

18 hours ago, Ivan_83 said:

И лично я готов пустить домой IPv6 входящий трафик без особой фильтрации, так чтобы каждое устройство стало доступно по IPv6 из инета.

Там, как обычно, китайцы в основном тусуются. Я имею ввиду, сканируют случайную выборку адресов. Проавда, запарятся что-то найти.

Share this post


Link to post
Share on other sites
1 час назад, vop сказал:

А зачем чисто технически его бриджевать? :) Ставится на внутренний интерфейс /64, на внешнем lladdr. Это же ipv6, зачем там дополнительные адреса на интерфейсы вешать?

Потому что роутер дома не нужен от слова совсем.

Это такой костыль который появился по историческим причинам: чтобы раздавать один выданный провайдером адрес на домашнюю технику. (Про всякие жопные PPP даже вспоминать больно :) )

С IPv6 нет необходимости раздавать один адрес на всех, значит и нет смысла делать что то отличное от бриджа.

Для провайдера неприятность в том что он увидит не один мак а минимум 3, а чаще и того больше. Хотя роутер даже в режиме бриджа может это аккуратно спрятать в один мак.

 

1 час назад, vop сказал:

Там, как обычно, китайцы в основном тусуются. Я имею ввиду, сканируют случайную выборку адресов. Проавда, запарятся что-то найти.

Хз, ко мне что то редко домой IPv6 приходит само :)

           gif0  in      0.534 KB/s          0.534 KB/s          102.920 GB
                 out     0.495 KB/s          0.495 KB/s            5.054 GB


за 18 суток.

Share this post


Link to post
Share on other sites
1 час назад, Ivan_83 сказал:

Потому что роутер дома не нужен от слова совсем.

Ну конечно! Подумаешь все устройства у Вас в квартире СВОБОДНО и ПОЛНОСТЬЮ доступны напрямую из интернета.

Поверьте, НЕ сломать, так положить Ваш домашний "выключатель света" или НАС, труда не составит при нынешних скоростях.

А вы даже не поймете, что происходит.

Отсутствие файрвола - это потенциальная "попа" как для абонента, так и для оператора.

Сейчас эту роль выполняет роутер дома или НАТ у оператора.

Как Вы предлагаете решать эту проблему?

 

IPV6 к сожалению устарел еще до того, как он вошел в жизнь. В итоге с его возможностями "прямой" адресации приходится "бороться" операционным системам путем генерации "случайных" 64-х битных адресов с их постоянной сменой ради приватности. РАЗВЕ ЭТО НЕ БРЕД!

Про тупизну с настройками внутренней части ИП адреса я вообще молчу.

Зачем вообще было затягивать 2-ой уровень в 3-ий и таскать его потом через всю планету через роутеры? На будущее? Так при таком подходе к раздаче адресов, как рекомендует РАЙП к моменту, когда понадобиться вторая 64-ка история с IPv4 уже повторится с IPv6 (всё будет роздано).

Share this post


Link to post
Share on other sites
1 минуту назад, sdy_moscow сказал:

Как Вы предлагаете решать эту проблему?

Я же выше написал: TTL=1 по дефолту для многих сетевых устройств, которым не требуется удалённый доступ.

Очень простое и элегантное решение.

 

2 минуты назад, sdy_moscow сказал:

Отсутствие файрвола - это потенциальная "попа" как для абонента, так и для оператора.

Планшетики и мобилки без фаера (он там для приоритезации только) и ничего, не ломают почему то.

 

2 минуты назад, sdy_moscow сказал:

В итоге с его возможностями "прямой" адресации приходится "бороться" операционным системам путем генерации "случайных" 64-х битных адресов с их постоянной сменой ради приватности. РАЗВЕ ЭТО НЕ БРЕД!

Это ваше частное мнение, я с ним не согласен.

Share this post


Link to post
Share on other sites
Только что, Ivan_83 сказал:

Это ваше частное мнение, я с ним не согласен. 

В смысле МОЕ частное мнение? Посмотрите на винде (если у вас она есть) что происходит с вашим ип в6 адресом.

Share this post


Link to post
Share on other sites
1 минуту назад, sdy_moscow сказал:

В смысле МОЕ частное мнение? Посмотрите на винде (если у вас она есть) что происходит с вашим ип в6 адресом.

Я не согласен с тем что это что то плохое.

Share this post


Link to post
Share on other sites
1 час назад, Ivan_83 сказал:

Я же выше написал: TTL=1 по дефолту для многих сетевых устройств, которым не требуется удалённый доступ.

Очень простое и элегантное решение.

Это как же оно работать тогда у Вас будет БЕЗ РОУТЕРА, чтобы я по дороге домой включил свет, отопление, кофеварку?  Или что-бы мне на телефон сигнализация прислала сообщение о проникновении...

КОСЯК!

 

1 час назад, Ivan_83 сказал:

Я не согласен с тем что это что то плохое.

Ну то есть, то что мы сейчас фактически таскаем с одной стороны мира на другую по два 64-х битных "случайных" числа в каждом пакете IPv6 - это по вашему НЕ БРЕД.

Ну ОК. Для гика и пять гигагерц на проце - не много.

 

 

1 час назад, Ivan_83 сказал:

TTL=1 по дефолту для многих сетевых устройств, которым не требуется удалённый доступ.

Очень простое и элегантное решение. 

И еще - данный подход ну никак не спасет от DDoS путем залива пары десятков мегабит на тупые IoT.

Share this post


Link to post
Share on other sites
1 минуту назад, sdy_moscow сказал:

Это как же оно работать тогда у Вас будет БЕЗ РОУТЕРА, чтобы я по дороге домой включил свет, отопление, кофеварку?  Или что-бы мне на телефон сигнализация прислала сообщение о проникновении...

КОСЯК!

Да легко.

Ставим на бытовой технике и IoT - TTL=1 для:

1. Всего исходящего не TCP трафика, кроме может днс и ещё каких то исключений

2. Для всех входящих TCP соединений ставим TTL=1 - так чтобы извне подключится было нельзя

 

А то что ты описывал - оно требует контроллера умного дома или регистрации железки в облаке вендора, это другая история.

То что я описал оно для защиты всякой идиотской техники с нулевыми заморочками.

Share this post


Link to post
Share on other sites

@Ivan_83 Ваши методы борьбы напоминают задачу по ношению воды в решете. Конечно, решение найдется, только зачем? Если роутер (ведро) который может выступить в качестве файрвола стоит 25 у.е.?

З.Ы. Там еще сообщения слиплись мои старые - почитайте.

Share this post


Link to post
Share on other sites
30 минут назад, sdy_moscow сказал:

Ну то есть, то что мы сейчас фактически таксаем с одной стороны мира на другую по два 64-х битных "случайных" числа в каждом пакете IPv6 - это по вашему НЕ БРЕД.

Ну ОК. Для гика и пять гигагерц на проце - не много.

А если написать 16 байт рандома - то уже не так страшно.

А если пакетики наконец сделать по 9к то будет сильно меньший процент составлять служебка чем сейчас даже с в4.

Ну и на фоне всеобщего безумного TLS для кофеварок - это таки херня, не говоря о том, что и так 90% трафика это мусор с ютуба и прочих помоек.

 

30 минут назад, sdy_moscow сказал:

И еще - данный подход ну никак не спасет от DDoS путем залива пары десятков мегабит на тупые IoT.

Ты их поди найди в IPv6.

Уточню: TTL=1 это просто мастхэв для UPnP/DLNA - того что не должно покидать пределы жилища.

Мой поинт в том, что IoT и ему подобное может выставить TTL=1 и к нему никто и никогда извне уже не подключится.

Больше дома защищать нечего - оно и так защищено уже.

 

21 минуту назад, sdy_moscow сказал:

Ваши методы борьбы напоминают задачу по ношению воды в решете. Конечно решение найдется, только зачем? Если роутер (ведро) который может выступить в качестве файрвола стоит 25 у.е.?

1. Удешевление: не нужно лепить аппаратные наты и маршрутизации, разрабатывать гуй, усердно тестировать и фиксить - функционала меньше - железка дешевле.

2. Упрощение поддержки: воткнул и работает и удешевление по этой статье.

 

Просто подумай ещё раз: зачем людям дома роутер когда у них три планшета и 4 мобилы? Что там "защищать"?

Им нужна точка доступа и всё.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this