Перейти к содержимому
Калькуляторы

Собственно, такой вопрос: для ipv4 nat выделена подсеть 100.64.0.0/10 как раз выделена для cgnat. А тогда в ipv6 какая сеть выделена для cgnat?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А зачем там вообще NAT? Это же IPv6, там адресов хватит на все холодильники, кофеварки и тостеры...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

41 минуту назад, UglyAdmin сказал:

А зачем там вообще NAT? 

Сейчас снова натащат аргументов про NAT как защиту внутренней сети. Вместо того, чтобы признаться, что биллинг/прочий софт и его железная обвязка не умеют нормально выдавать и маршрутизировать абонентам рекомендуемые /48 (ну или /56)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

55 минут назад, Sergey Gilfanov сказал:

биллинг/прочий софт и его железная обвязка не умеют нормально выдавать и маршрутизировать абонентам рекомендуемые /48 (ну или /56)

Х-ха, хомякам выдают /64 и @ как хочешь - превращай роутер в свитч или ищи пресловутый NATv6...  

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Почему при обсуждении нат все сводится только к обсуждению хомячковых интерентов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

35 минут назад, jffulcrum сказал:

Х-ха, хомякам выдают /64 и @ как хочешь - превращай роутер в свитч или ищи пресловутый NATv6...  

Во-то я и говорю "...не умеют нормально выдавать и маршрутизировать абонентам рекомендуемые /48 (ну или /56)", Настучать бы таким операторам по рукам, чтобы нормально делать начали и не провоцировали абонентов на всякие странные сетевые художества.

 

2 минуты назад, Rivia сказал:

Почему при обсуждении нат все сводится только к обсуждению хомячковых интерентов?

Потому что в нехомячковых в контексте Ipv6 оно еще более не нужно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

50 минут назад, Sergey Gilfanov сказал:

Потому что в нехомячковых в контексте Ipv6 оно еще более не нужно.

Можете раскрыть подробнее?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

29 минут назад, jffulcrum сказал:

Можете раскрыть подробнее?

В нехомячковых сетях он и в IPv4 является костылем, с которым мирятся и который  применяется исключительно ради экономии адресов. В IPv6 необходимости экономить адреса нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да будет срачЪ!

 

@Sergey Gilfanov Вам не кажется, что вы судите из представлений пуризма, времен, когда Интернет только начинался. Возьмем RFC2993  (2000 год BTW):


 

Цитата

 

Advantages of NATs

A quick look at the popularity of NAT as a technology shows that it tackles several real world problems when used at the border of a stub domain.

- By masking the address changes that take place, from either dial- access or provider changes, minimizes impact on the local network by avoiding renumbering.

- Globally routable addresses can be reused for intermittent access customers. This pushes the demand for addresses towards the number of active nodes rather than the total number of nodes. 

- There is a potential that ISP provided and managed NATs would lower support burden since there could be a consistent, simple device with a known configuration at the customer end of an access interface.

- Breaking the Internet into a collection of address authorities limits the need for continual justification of allocations allows network managers to avoid the use of more advanced routing techniques such as variable length subnets.

- Changes in the hosts may not be necessary for applications that don't rely on the integrity of the packet header, or carry IP addresses in the payload.

- Like packet filtering Firewalls, NAPT, & RSIP block inbound connections to all ports until they are administratively mapped.

 

Что из этого перестало быть актуальным? И, еще момент - сменилась сама парадигма. Если раньше Интернет представлял собой меш - каждая машина не просто могла, а выступала и клиентом, и сервером, то теперь у нас четкая иерархия - есть сервера поставщиком контента (в последних наблюдаются явные тенденции к сверхцентрализации), и куча клиентов, их "слушающих". Всякое P2P не очень полетело, так что шансы, что один хост полезет к другому напрямую по делу, становятся исчезающе малы - а значит и поддерживать связность "все ко всем" больше и незачем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

1 час назад, jffulcrum сказал:

Вам не кажется, что вы судите из представлений пуризма, времен, когда Интернет только начинался. Возьмем RFC2993  (2000 год BTW):

RFC хороши тем, что их много.  RFC4864 (2007 г) о том, чем что заменяется. Или RFC 5902 (2010г) - соображения по поводу NAT от "Internet Architecture Board".

 

1 час назад, jffulcrum сказал:

Что из этого перестало быть актуальным? И, еще момент - сменилась сама парадигма. Если раньше Интернет представлял собой меш - каждая машина не просто могла, а выступала и клиентом, и сервером, то теперь у нас четкая иерархия - есть сервера поставщиком контента (в последних наблюдаются явные тенденции к сверхцентрализации), и куча клиентов, их "слушающих". Всякое P2P не очень полетело, так что шансы, что один хост полезет к другому напрямую по делу, становятся исчезающе малы - а значит и поддерживать связность "все ко всем" больше и незачем.

Централизация, хотя бы в тех же месседжерах - в очень большой степени из за того, что NAT мешается. Например, всякие аудио-видеозвонки просто явно было бы лучше прямо с хоста на хост отправлять, но всякие способы для прохода NAT-а придумывать приходится.

Как только появится возможность этим не заниматься - P2P будет использоваться значительно чаще.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 часов назад, jffulcrum сказал:

Х-ха, хомякам выдают /64 и @ как хочешь - превращай роутер в свитч или ищи пресловутый NATv6...

Ну чисто технически это не сложно: достаточно просто IPv6 /64 бриджевать.

 

 

9 часов назад, Rivia сказал:

Почему при обсуждении нат все сводится только к обсуждению хомячковых интерентов?

Потому что интересы тупых инженегров не способных осилить в6 никого не волнуют.

 

 

6 часов назад, jffulcrum сказал:

Что из этого перестало быть актуальным?

Это и не было никогда актуальным.

 

6 часов назад, jffulcrum сказал:

И, еще момент - сменилась сама парадигма.

Только в вашей голове, извините за грубость.

Поясню: то что вы обслуживаете 10к домохозяйств с тупыми хомяками которым кроме вк и ютупа ничего не надо - не значит что парадигма изменилась.

Да, есть огромная централизация, но эта централизация поглощает самых тупых, коих естественно большинство.

Те кто стоит за сетью и занимается сетями - продолажают сторонится централизации.

 

6 часов назад, jffulcrum сказал:

Всякое P2P не очень полетело, так что шансы, что один хост полезет к другому напрямую по делу, становятся исчезающе малы - а значит и поддерживать связность "все ко всем" больше и незачем.

Опять же это наблюдение основанное на  поведениях тупого большинства.

У меня на домашнем сервере и сайты хостятся, и торренты и прочие сервисы доступные из инета.

И лично я готов пустить домой IPv6 входящий трафик без особой фильтрации, так чтобы каждое устройство стало доступно по IPv6 из инета.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, Ivan_83 сказал:

Только в вашей голове, извините за грубость.

Поясню: то что вы обслуживаете 10к домохозяйств с тупыми хомяками которым кроме вк и ютупа ничего не надо - не значит что парадигма изменилась.

Да, есть огромная централизация, но эта централизация поглощает самых тупых, коих естественно большинство.

Те кто стоит за сетью и занимается сетями - продолажают сторонится централизации.

 

Опять же это наблюдение основанное на  поведениях тупого большинства.

У меня на домашнем сервере и сайты хостятся, и торренты и прочие сервисы доступные из инета.

И лично я готов пустить домой IPv6 входящий трафик без особой фильтрации, так чтобы каждое устройство стало доступно по IPv6 из инета.

Ваня, судят по большинству, вас токсо/бриаро- юзеров <1%, вы никому не нужны, даже спамерам.

ЗЫ. Сам против централизации, и прочих облаков, но моего мнения никто не спросил ))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

19 часов назад, Sergey Gilfanov сказал:

  RFC4864 (2007 г) о том, чем что заменяется. Или RFC 5902 (2010г) - соображения по поводу NAT от "Internet Architecture Board".

Те же пункты, почти в тех же словах. Я так понимаю, все соображения 2000 года остались на местах.

 

14 часов назад, Ivan_83 сказал:

Только в вашей голове, извините за грубость.

Поясню: то что вы обслуживаете 10к домохозяйств с тупыми хомяками которым кроме вк и ютупа ничего не надо - не значит что парадигма изменилась.

Да, есть огромная централизация, но эта централизация поглощает самых тупых, коих естественно большинство.

Те кто стоит за сетью и занимается сетями - продолажают сторонится централизации.

Вы прочитайте свой текст и поймите, что вы только подтвердили справедливость моих слов. Когда-то Интернет состоял в основном из университетских машин, и каждой было что отдать миру. Университеты никуда не делись, но они в подавляющем меньшинстве. Даже т.н. "Веб 2.0" наглядно показал, что на одного писателя - 100 читателей, которым даже лайк нажать лень. Я нисколько не отрицал существование энтузиастов, все еще что-то шарящих с миром, но они уже вымирающий вид. И законодательство, и практика управления сетями - все более способствуют их вымиранию, не только у нас. Ты даже соседей по дому не видишь, потому что ты в туннеле, в VLAN, в IPoE, просто port-protected включен на свитчах, порты режутся и т.п. - что изменится с Ipv6? Да что там, мы вот в один прекрасный день потеряли в мониторинге все сервера по SNMP. WTF - спросили мы поддержку датацентра? Все огонь, ответила поддержка, мы вам все отрезали, рассылку читайте, для нашей и вашей свободы безопасности. И все это делают как раз Те кто стоит за сетью и занимается сетями. Все условия для расцвета P2P, да.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

15 минут назад, jffulcrum сказал:

Все огонь, ответила поддержка, мы вам все отрезали, рассылку читайте, для нашей и вашей свободы безопасности. И все это делают как раз Те кто стоит за сетью и занимается сетями. Все условия для расцвета P2P, да.

Но, однако, внутри самих датацентров Ipv6 тоже полезен. Вместо всех этих сложных CloudVirtualPrivateLan(наверняка чья-то ТМ) и им подобных, частенько делающих вид, что у тебя собственный L2 сегмент между кучей серверов клиента есть - можно тупо раздать по префиксу на клиента и все управление доступом делать простым firewall-ом и маршрутизацией. А не туннелированием на нескольких уровнях.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

16 часов назад, pppoetest сказал:

Ваня, судят по большинству, вас токсо/бриаро- юзеров <1%, вы никому не нужны, даже спамерам.

ЗЫ. Сам против централизации, и прочих облаков, но моего мнения никто не спросил ))))

Пардон, я совсем забыл экономику.

Уже не однократно здесь писал: централизованные месенгеры убыточны. Как минимум когда речь заходит про голос и особенно видео - всё, хана. Или работаем п2п или нужна бесконечная тумбочка денег на тупое проксирование во славу митим товарища майора.

Социалки и ютуп как то выживают за счёт рекламы на каждый чих, но если внезапно рекламы не станет - это всё закроется через месяц от силы - потому что держать датацентры и платить мегатонны денег за инфраструктуру - некому.

В случае децентралиции - каждый платить за себя, по немногу. Он платит чтобы не остаться без связи. Он эти деньги никогда не понесёт в социалку или ютуб.

Да, я веду к тому что вот эта вот централизация - это всё пузырь, подобный пузырю доткомов, который ничего не производит сам и может резко лопнуть если экономике поплохеет - о чём уже который год вещают эксперды.

 

2 часа назад, jffulcrum сказал:

Ты даже соседей по дому не видишь, потому что ты в туннеле, в VLAN, в IPoE, просто port-protected включен на свитчах, порты режутся и т.п. - что изменится с Ipv6?

Давай не будем обо мне, так уж получилось что у меня подключение не как у всех :)

А вот связность по IPv6 провайдер обеспечить обязан, так же как и по IPv4, в том числе между соседями, потому что это не провайдер имени ВК/мордоркниги/гуглага, а просто провайдер интернета, а раз сосед часть интернета - то и с ним тоже должен быть конект. Конечно то что он пойдёт не через подъездный коммутатор а через ядро сети - это головняк провайдера.

 

И я так думаю что ещё лет 10 IPoE превратится в нечто немного другое: абонент дома будет ставить не роутер а просто свич и точку доступа бриджом, и все устройства будут полноценной частью инета.

Для IoT и прочих говноподелок это плохо, а для тех же гейбуков, гейфонов, гандройдов и даже ноутов с вендой, телеков - уже давно норм.

IoT и бытовая техника может просто выставить TTL=1 и вообще не заморачиватся безопасностью - только непроходимая тупость и полнейшее не знание сетей мешают разработчикам так сделать.

Вот тот же UPnP/DLNA просто обязан быть с TTL=1, ибо ему за пределами хаты делать нехер - но нет, кажется я один это запилил или собираюсь запилить у себя в ssdpd.

Надеюсь ты оценил элегантность решения: никакого фаера, никакой фильтрации пакетов, никакого NAT но всё вполне секурно, если конечно провайдеру доверять или роутер держать хотя бы в режиме роутера без NAT.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

18 hours ago, Ivan_83 said:

Ну чисто технически это не сложно: достаточно просто IPv6 /64 бриджевать.

А зачем чисто технически его бриджевать? :) Ставится на внутренний интерфейс /64, на внешнем lladdr. Это же ipv6, зачем там дополнительные адреса на интерфейсы вешать?

 

18 hours ago, Ivan_83 said:

И лично я готов пустить домой IPv6 входящий трафик без особой фильтрации, так чтобы каждое устройство стало доступно по IPv6 из инета.

Там, как обычно, китайцы в основном тусуются. Я имею ввиду, сканируют случайную выборку адресов. Проавда, запарятся что-то найти.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, vop сказал:

А зачем чисто технически его бриджевать? :) Ставится на внутренний интерфейс /64, на внешнем lladdr. Это же ipv6, зачем там дополнительные адреса на интерфейсы вешать?

Потому что роутер дома не нужен от слова совсем.

Это такой костыль который появился по историческим причинам: чтобы раздавать один выданный провайдером адрес на домашнюю технику. (Про всякие жопные PPP даже вспоминать больно :) )

С IPv6 нет необходимости раздавать один адрес на всех, значит и нет смысла делать что то отличное от бриджа.

Для провайдера неприятность в том что он увидит не один мак а минимум 3, а чаще и того больше. Хотя роутер даже в режиме бриджа может это аккуратно спрятать в один мак.

 

1 час назад, vop сказал:

Там, как обычно, китайцы в основном тусуются. Я имею ввиду, сканируют случайную выборку адресов. Проавда, запарятся что-то найти.

Хз, ко мне что то редко домой IPv6 приходит само :)

           gif0  in      0.534 KB/s          0.534 KB/s          102.920 GB
                 out     0.495 KB/s          0.495 KB/s            5.054 GB


за 18 суток.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, Ivan_83 сказал:

Потому что роутер дома не нужен от слова совсем.

Ну конечно! Подумаешь все устройства у Вас в квартире СВОБОДНО и ПОЛНОСТЬЮ доступны напрямую из интернета.

Поверьте, НЕ сломать, так положить Ваш домашний "выключатель света" или НАС, труда не составит при нынешних скоростях.

А вы даже не поймете, что происходит.

Отсутствие файрвола - это потенциальная "попа" как для абонента, так и для оператора.

Сейчас эту роль выполняет роутер дома или НАТ у оператора.

Как Вы предлагаете решать эту проблему?

 

IPV6 к сожалению устарел еще до того, как он вошел в жизнь. В итоге с его возможностями "прямой" адресации приходится "бороться" операционным системам путем генерации "случайных" 64-х битных адресов с их постоянной сменой ради приватности. РАЗВЕ ЭТО НЕ БРЕД!

Про тупизну с настройками внутренней части ИП адреса я вообще молчу.

Зачем вообще было затягивать 2-ой уровень в 3-ий и таскать его потом через всю планету через роутеры? На будущее? Так при таком подходе к раздаче адресов, как рекомендует РАЙП к моменту, когда понадобиться вторая 64-ка история с IPv4 уже повторится с IPv6 (всё будет роздано).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, sdy_moscow сказал:

Как Вы предлагаете решать эту проблему?

Я же выше написал: TTL=1 по дефолту для многих сетевых устройств, которым не требуется удалённый доступ.

Очень простое и элегантное решение.

 

2 минуты назад, sdy_moscow сказал:

Отсутствие файрвола - это потенциальная "попа" как для абонента, так и для оператора.

Планшетики и мобилки без фаера (он там для приоритезации только) и ничего, не ломают почему то.

 

2 минуты назад, sdy_moscow сказал:

В итоге с его возможностями "прямой" адресации приходится "бороться" операционным системам путем генерации "случайных" 64-х битных адресов с их постоянной сменой ради приватности. РАЗВЕ ЭТО НЕ БРЕД!

Это ваше частное мнение, я с ним не согласен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только что, Ivan_83 сказал:

Это ваше частное мнение, я с ним не согласен. 

В смысле МОЕ частное мнение? Посмотрите на винде (если у вас она есть) что происходит с вашим ип в6 адресом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, sdy_moscow сказал:

В смысле МОЕ частное мнение? Посмотрите на винде (если у вас она есть) что происходит с вашим ип в6 адресом.

Я не согласен с тем что это что то плохое.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, Ivan_83 сказал:

Я же выше написал: TTL=1 по дефолту для многих сетевых устройств, которым не требуется удалённый доступ.

Очень простое и элегантное решение.

Это как же оно работать тогда у Вас будет БЕЗ РОУТЕРА, чтобы я по дороге домой включил свет, отопление, кофеварку?  Или что-бы мне на телефон сигнализация прислала сообщение о проникновении...

КОСЯК!

 

1 час назад, Ivan_83 сказал:

Я не согласен с тем что это что то плохое.

Ну то есть, то что мы сейчас фактически таскаем с одной стороны мира на другую по два 64-х битных "случайных" числа в каждом пакете IPv6 - это по вашему НЕ БРЕД.

Ну ОК. Для гика и пять гигагерц на проце - не много.

 

 

1 час назад, Ivan_83 сказал:

TTL=1 по дефолту для многих сетевых устройств, которым не требуется удалённый доступ.

Очень простое и элегантное решение. 

И еще - данный подход ну никак не спасет от DDoS путем залива пары десятков мегабит на тупые IoT.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, sdy_moscow сказал:

Это как же оно работать тогда у Вас будет БЕЗ РОУТЕРА, чтобы я по дороге домой включил свет, отопление, кофеварку?  Или что-бы мне на телефон сигнализация прислала сообщение о проникновении...

КОСЯК!

Да легко.

Ставим на бытовой технике и IoT - TTL=1 для:

1. Всего исходящего не TCP трафика, кроме может днс и ещё каких то исключений

2. Для всех входящих TCP соединений ставим TTL=1 - так чтобы извне подключится было нельзя

 

А то что ты описывал - оно требует контроллера умного дома или регистрации железки в облаке вендора, это другая история.

То что я описал оно для защиты всякой идиотской техники с нулевыми заморочками.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Ivan_83 Ваши методы борьбы напоминают задачу по ношению воды в решете. Конечно, решение найдется, только зачем? Если роутер (ведро) который может выступить в качестве файрвола стоит 25 у.е.?

З.Ы. Там еще сообщения слиплись мои старые - почитайте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

30 минут назад, sdy_moscow сказал:

Ну то есть, то что мы сейчас фактически таксаем с одной стороны мира на другую по два 64-х битных "случайных" числа в каждом пакете IPv6 - это по вашему НЕ БРЕД.

Ну ОК. Для гика и пять гигагерц на проце - не много.

А если написать 16 байт рандома - то уже не так страшно.

А если пакетики наконец сделать по 9к то будет сильно меньший процент составлять служебка чем сейчас даже с в4.

Ну и на фоне всеобщего безумного TLS для кофеварок - это таки херня, не говоря о том, что и так 90% трафика это мусор с ютуба и прочих помоек.

 

30 минут назад, sdy_moscow сказал:

И еще - данный подход ну никак не спасет от DDoS путем залива пары десятков мегабит на тупые IoT.

Ты их поди найди в IPv6.

Уточню: TTL=1 это просто мастхэв для UPnP/DLNA - того что не должно покидать пределы жилища.

Мой поинт в том, что IoT и ему подобное может выставить TTL=1 и к нему никто и никогда извне уже не подключится.

Больше дома защищать нечего - оно и так защищено уже.

 

21 минуту назад, sdy_moscow сказал:

Ваши методы борьбы напоминают задачу по ношению воды в решете. Конечно решение найдется, только зачем? Если роутер (ведро) который может выступить в качестве файрвола стоит 25 у.е.?

1. Удешевление: не нужно лепить аппаратные наты и маршрутизации, разрабатывать гуй, усердно тестировать и фиксить - функционала меньше - железка дешевле.

2. Упрощение поддержки: воткнул и работает и удешевление по этой статье.

 

Просто подумай ещё раз: зачем людям дома роутер когда у них три планшета и 4 мобилы? Что там "защищать"?

Им нужна точка доступа и всё.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.