IPv6 a vše kolem

[hapi]

což ale /48 pro ISPíka neni limitující když po hruhým výpočtu je prostor pro 65 tisíc domácností. DHCPv6 nasazovat nebudu. Bude se používat bezestavová konfigurace.

A co že to budeme provádět nelegálního? myslíš asi to využívání těch IP adres? Co když si je na isp-servisu koupim a budu míst svůj /48 prefix?

[Hatatitla]

ee, DHCPv6 použi u seba na sieti . Pošleš ním klientovi na router jeho subnet + spojovačku a u klienta bezstavovu , tam DHCPv6 nemá zmysel a norobí to len problémy.

[Majklik]

A co že to budeme provádět nelegálního? myslíš asi to využívání těch IP adres? Co když si je na isp-servisu koupim a budu míst svůj /48 prefix?

Nejde o IPv6, jde obecně. ISP je ten, kdo poskytuje služby připojení k ïnternetu a splňuje některá kvalifikační kritéria. například je členem RIPE (pak ani nebudeš mít aspoň problémy s IP adresami).
Jsou tam další požadavky, které dusí hlavně firmy typu one-man-show. Inu, v rámci "boje proti teroristům", "více spokojených a chráněných zakazníků" a dalších, si pár velkých chce prolobovat základ k ztížení existence nepohodlné konkurence (ono to je mířeno globálně, takže řada alternativních telefonních operátorů bude dušeno, tkaové SkypeOut skoro nelegální, ...). Uvidíme, a se to dostane na přetřes komise a veřejného připomínkování. Bavím se o požadavcích na poskytovatele veřejných sítí, ty neveřejné jsou "relativně" v klidu. Ale to je dost mimo téme subjectu, to bych nechal být.

ee, DHCPv6 použi u seba na sieti . Pošleš ním klientovi na router jeho subnet + spojovačku a u klienta bezstavovu , tam DHCPv6 nemá zmysel a norobí to len problémy.

Stále řada krámů nepodporuje bezestavovou konfiguraci třeba pro získání DNS, takže DHCP minimálně pro toto je potřeba nebo chceš provozovat DNS na well know site local adresách, které máme nějakou dobu zrušeny? Je fakt, že řada zařízení to ani jinak neumí, takže stejně nějak musím držet je pro vykopávky v síti (fec0:000:0000:ffff::1, fec0:000:0000:ffff::2, fec0:000:0000:ffff::3).
Opravdu bych se snažil nezazdít si IPv6 tím, že dám na domácnost jednu /64 a konec. Jeden argument - segment pro návštěvu, co chci mít oddělený od svého domácího zazněl. Jiný - měl jsem v ruce router s plnou podporou IPv6 fungoval tak, že neuměl udlat bridge mezi LAN a Wifi, pro každý chtěl zvlášť prefix a pár podobných by se našlo (kolega ot přitáhl z číny v rámci průzkumné mise, ten krám uměl pouye IPv6, byl určen pro vnitřní jejich trh). Známej mi už hlásil něco podobného pro nějaký DLink nebo tka, když se na něm zaplo IPv6, tak oddělil wifi a LAN od sebe a pro každý chtěl samostatný segment (pak jak na IPv4, tak i IPv6).
Čili bych bly k domácnosit velorysejší. Dobrá, původní záměr tvůrců Ipv6, že každá rodina bude mít svůj /48 nesplním, když sám mám jen ten /48, ale i umírněnější návrhy v RFC hovoří o /56 nebo /60 pro rezidentní domácnost. Nebo klidně můžu dávat zatím ten jeden /64, ale přidělovat patříčně s dírama (jak je v souladu s alokačnímy požadavky RIPE), abych mohl přidat domácnosit navazující blok, takže dokud půjde, budu dávat /64 (pokud jim nechci dát víc hned), ale budu dělat díry a přidělovat dalším v skoku /56. Když někdo bude potřebovat, přidám mu navazující blok a když mi segmenty dojdou a nezískám nové, tak začnu zahuštovat a přidělovat v mezikroku /57 atd.
Mylsím, že cpát jim jen /64 jeden vedle druhého, tak jednoho dne narazím stejně jako GTSka, která na spojováky pro IPv6 tlačila spojovací segment /127 a trvalo dost dlouho vysvětlit, že každý nemá Cisco a dokud ama nebude aspoň /126, tak to BGP OK nepojede.

[hapi]

hmm ne, na DNS prdíme. Dokud to microsoft neodladí, tak se používá DNS na IPv4 a já věřim že to ne win8 který klepou na dveře bude opraveno.

[Tomáš Nesrsta]

DNSv6 neni zatim potreba v4 to dokaze take spravne nasmerovat. Ale je zajimavy se na "svet" kouknout z druhe strany a kompletne si zakazat v4 a jet chvilku jen v6

[hapi]

myslel jsem přidělování DNS přes IPv6. To wokna neberou v potaz v advertise.

[Tomáš Nesrsta]

A on mikrotik nekde umnoznuje nastaveni DNS v6? JA jsem to tam nikde nenasel ale mam verzi 5.15 tak mozna ze je v novejch neco jinak...

[hapi]

pokud ND nastavíš aby předávalo DNSka v advertise, tak ty servery musíš napsat do klasickýho nastavení DNS jako další resolvery. MKčko by je mělo vzít odtud a poslat v advertise. Nejsem si tim moc jistej ale myslim že je to tak. Nicméně win7 ani jiná okna si je touhle cestou nevemou. Vemou si IP, gateway ale ne DNS. To prý má údajně řešit jako doplněk DHCPv6 který může tu informaci o DNS poslat. Pak by mělo jít i kompletní DHCPv6 včetně přidělění adresy ale to mi nikdy nefungovalo. Pouze ubuntu si to po přepnutí sítovky na DHCPv6 vzalo ale to je taky na prd když to člověk musí přepnout. Nicméně i v tý dnešní konferenci říkaly že DHCPv6 neni moc propagovaný, že se spíš řeší automatická konfigurace.

[Hatatitla]

[

. Nebo klidně můžu dávat zatím ten jeden /64, ale přidělovat patříčně s dírama (jak je v souladu s alokačnímy požadavky RIPE), abych mohl přidat domácnosit navazující blok, takže dokud půjde, budu dávat /64 (pokud jim nechci dát víc hned), ale budu dělat díry a přidělovat dalším v skoku /56. Když někdo bude potřebovat, přidám mu navazující blok a když mi segmenty dojdou a nezískám nové, tak začnu zahuštovat a přidělovat v mezikroku /57 atd.

Ok tak rezervovať na klienta /56 teda šetríš pre klienta 256 subnetov /64 ak by som teda mal pre site (terajší IPv4 subnet /24) rezervoval ďalších 8 bitov zistím že pokial mám /48 IPv6 subnet môžem odadresovať 256 "bodov" a pritom to musím nejak rozumne rozadresovať aby som vedel routy agregovať . Takže bud musím na klientoch šetriť , alebo mi je /48 málo a potrebujem väčší subnet.

DNSv6 neni zatim potreba v4 to dokaze take spravne nasmerovat. Ale je zajimavy se na "svet" kouknout z druhe strany a kompletne si zakazat v4 a jet chvilku jen v6

Ale počas migrácie mať čisto dns server IPv4 only a druhý pre už premigrovaných zákazníkov ktorý bude odpovedať aj na AAAA záznamy. Lebo ak klientove pc začucha že má ipv6 dns server mu odpovedá na aaa záznamy ale po ceste ešte niečo nejde tak ti je funkčná ipv4 sieť na dve veci .

[hapi]

mno nějak nevidim důvod proč nedávat kliošům (rozuměj domácnostem) /64 prefix. Aktuálně maji doma /24 neveřejnej subnet a královsky stačí. Nějaký další extra věci jsou v řádově jednotkách uživatelů a kuli nim dělat nějaký vopičárny nebudu. Je to akorát, 250 lokalit (apček) po max 250 userech. Podle mě plně dostačující. Když ne, koupí se další /48. Ale to záleží čistě na tom jak to kdo staví. Nějak nechápu proč bych měl mít doma vyhrazenej prefix pro návštěvy nebo proč mít jinej na wifině a jinej na ethernetu. Třeba mi to někdo vysvětlí.

[soooc]

IPv6 má jednu pořádnou výhodu - když se to nepovede, máme ještě hodně pokusů to udělat znovu a lépe Rozděluje se teď jen 1/8 adres

OT/ další jedna osmina bude pro Mars http://www.novinky.cz/veda-skoly/269355 ... zpravy-dne

[Majklik]

mno nějak nevidim důvod proč nedávat kliošům (rozuměj domácnostem) /64 prefix. Aktuálně maji doma /24 neveřejnej subnet a královsky stačí. Nějaký další extra věci jsou v řádově jednotkách uživatelů a kuli nim dělat nějaký vopičárny nebudu. Je to akorát, 250 lokalit (apček) po max 250 userech. Podle mě plně dostačující. Když ne, koupí se další /48. Ale to záleží čistě na tom jak to kdo staví. Nějak nechápu proč bych měl mít doma vyhrazenej prefix pro návštěvy nebo proč mít jinej na wifině a jinej na ethernetu. Třeba mi to někdo vysvětlí.

Další /48 nekoupíš. RIPE to v pravidlech zakazuje. Jeden koncový subjkekt může mít svých /48, pokud je extra velký, tak /47 po odsouhlasení RIPE. Otázka je, jak moc to v reálu budou kontrolovat. Zkuš se zpetat u svého Dialu, obávám se, že tě pošlou k šípku (RIPE). Víc má ISP, což z pohledu RIPE nejsi.
Oddělený segment pro návštěvy považuji za celkem rozumné, že když nechci, tak mi nelezou do mé domácí LAN, k internetu je pustím, k mým krabičkám dalším doma ne. Na IPv4 s NATem to uděláš snadno (a slušnější routery to umí) na IPv6 potřebuješ další prefix.
Proč mít jiný segment na wifině a jiný na etherete - protože to ty routery jinak nepodporují, nejde na nich udělat jedne segment wifi i ethernet dohromady. Co uděláěš s lidma, který takový router budou mít a když třenba podporuje i funkci home agenta (na to jsem zíral jak puk), kteoru jim asi těžko uděláš s Mkčkem?
Víc prefixů a ten příklad s mobily, tam to chápu, mobil se snaží zíáskat jeden prefix pro sebe za účelem hotspot fiunkce (i když je asi blbost, aby to dělal i v případě, že je aktuálně přes wifi připojen jako klient). Ale řada zařízení se snaží získat vlastní frefix a nemají k tomu důvod. Měl jsme diskusi s vývojáři od Panasonicu a i jejich televize budou umět IPv6 a takté ž budou chtít celý prefix pro sebe, tam to tak úplně nechápu (asi každý šváb v TV bude chtít svou IP). Zlrátka IPv6 tak bylo nastavneo, že každý bude mít pro sebe tuny prefixů, tak se je autoři zařízneí snaží používat a pokud to krám jinak nebude podporovat, tak je problém.

Ok tak rezervovať na klienta /56 teda šetríš pre klienta 256 subnetov /64 ak by som teda mal pre site (terajší IPv4 subnet /24) rezervoval ďalších 8 bitov zistím že pokial mám /48 IPv6 subnet môžem odadresovať 256 "bodov" a pritom to musím nejak rozumne rozadresovať aby som vedel routy agregovať . Takže bud musím na klientoch šetriť , alebo mi je /48 málo a potrebujem väčší subnet.

Celý problém je o tom, že naprostá většina ISPpíků působícímch u nás nejsou ISPpíky z pohledu nomenklatury organizací Internetu. Jsme chápáni jako koncoví zákazníci a těm patří ten segment /48 s kterým bojuješ. Buď ho máš od svého data carriera a když ho změníš, tak musíš segment vrátit a vzíát si jiný od nového nebo si pkoupíš PI /48 blok třeba od ispservis, který je tvůj a jen ho přihazuješ do ASka svého aktuálního datacarriera, ale pořád jsi chápán jako koncová síť, co nemá nárok na víc. Pokud vlezeš do RIPE, dostaneš /32. Ale to je to, co stojí peníze navíc.

myslel jsem přidělování DNS přes IPv6. To wokna neberou v potaz v advertise.

MKčko umí vysílat DNS v RA, musíš v tom zaškrtnout to advertise DNS a nastavneí DNS mít uvedenu aspoň jendu IPv6 DNS adresu, pak tyto vysílá, to jsi psal i dobře výše. Problém je, že tato metoda vznikla jako poslední možnost a skoro nikdo ji nepodporuje a dlouho nebude. Umí to reálně jen linuxy s novější verzí NetworkManagera, ty umí položku RRDNS načíst a nastavit do systému.
Wokna 7 a Vista získávají adresu IPv6 DNS serveru z DHCPv6 (MKčko neumí aktuálně, protože dělá jen DHCPv6-PD server). Funguje to komplet OK. v RA výzvě musí být nastaven flag, že se používá Other configuration (ROS umí nastavit), když ten flag wokna uvidí, tak se na DNS ptají pomocí DHCPv6. Pokud je v RA výzvě uvedeno, že daný prefix není autoritativní (v MKčku se nastavuje v prefixes u ND) a je přítomen flag, že IP je managed, tak se nemá bezestavová konfigurace používat vůbec a i IPčko se bere z DHCPv6, RA se použije jen pro získání adresy brány. Tohle ve Win Vista a 7 funguje naprosto OK a chová se dle specifikace. Funguje i situace, že prefix v RA je uveden jako autorittivní a zároveň je přítomen flag managed, pak okna si nastaví jednu IPv6 dle RA výzvy routeru (nebo dle počtu naízených prefixů) a k tomu současně i další dle DHCP. Rekl bych, ž eu současných zařízení s podporou IPv6 je tato kombinace IP z RA a DNS z DHCPv6 nejčastěji podporovaná, bokužel se nedá čistě s MKčkem jako serverem nyní obsloužit.
Horší je to u XPček, kde ten stack je starší verze, ten umí jen autokonfiguraci pro IP a jako DNS servery pro IPv6 používá ty dříve zmíněně site local well know adresy, které byly zrušeny. Takže pro ně, pokud chci DNS nad IPv6 musím pověsit DNS na ty 3 zmíněná IPčka (nebo adresy změnit natvrdo zásehem do woken). Bohužel je stejný stav i pro tunu dalších starších zažízení s IPv6 podporou, že jedou IP dle RA a DNS well know. Ale je pravda, že většina z nich umí jet duálně i nad IPv4, takže DNS řeší toto (potkal jsme ale opičárnu, že nějaký krám, když se ptal na DNS přes IPv4, tak se ptal jen na A záznamy, přestože měl nakonfigurovánu IPv6 adresu, na AAAA se ptal jen když byl dostupný DNS server po IPv6 - šlo o nějaký minitablet).

Apropo, kdysi tu byla přímo rubrika pro IPv6, ta zmizela v propadlišti dějin?

[Jardax]

Ja vedel, ze se to vlastni AS a LIR bude v budoucnu hodit

[zajdee]

U Dialu se pro lokálního ISPka dá vybojovat i víc /48 bloků. Jedna nejmenovaná síť má tři (důsledek alokace po jednotlivých /48 bez vyhrazeného prostoru pro "zvětšování" alokace). Ale když jsem to s Dialem dohadoval, tak se hooodně dlouho odkazovali na pravidla alokace, kdy se "koncovým zákazníkům" přiděluje /48 a víc ani ťuk.

Jenže v těch pravidlech alokací je i bod 5.3 a ten se IMHO vztahuje právě na všechny menší ISP v Čechách, na Moravě a ve Slezsku.
http://www.ripe.net/ripe/docs/ripe-545#lir_to_isp

5.3. LIR-to-ISP allocation

There is no specific policy for an organisation (LIR) to allocate address space to subordinate ISPs. Each LIR organisation may develop its own policy for subordinate ISPs to encourage optimum utilisation of the total address block allocated to the LIR. However, all /48 assignments to End Sites are required to be registered either by the LIR or its subordinate ISPs in such a way that the RIR/NIR can properly evaluate the HD-Ratio when a subsequent allocation becomes necessary.

Tzn. když se budete dost dlouho hádat (a Dial určitě ví, že ty stamegabity a stovky v4 veřejných adres nechcete pro sebe domů), měli byste si mít možnost vyhádat další bloky.

Jenže i tak je to prostě málo. OK, pokud budete mít na síti DHCPv6-PD server, klienti budou mít krabičky s DHCPv6 klientem schopným vyžádat si prefixy a zároveň i DHCPv6 serverem (na LAN straně) schopným přijmout požadavek od zařízení u zákazníka doma (třeba ty televize, pokud budou vlastní prefix požadovat), tak beru i přidělování /64 pro domácí LANku a další na vyžádání pomocí DHCPv6-PD.

[Majklik]

Jo, to sice dle pravidel teoreticky může, ale většina jich to nedělá nebo prská. Zažil jsi. Je to trochu nejasné, protože jinde zase máš, že pokud ten subISP provádí příděl bloků dál, tak by měl být sám v RIPE. Ale tohle bylo pro IPv4, pokud zákazním má jen jendu IP, tak nic, ani spojovací /30 blok nic a je psán na ISP, ale pokud už zákazníkovi ze svého segmentu naroutuju dovnitř třeba /29, tak už toto má být v RIPE psáno na toho koncového zázakzníka a má to mít přiděleno od RIPE člena. U IPv6 se snad nejmenší jendotka registruje to /48, takže zákanzíci s jením /64 se neřeší.

Jinak si myslím, že zvláště s IPv6 je leší být v RIPE nebo mít svoje PI bloky adres z pohledu přečíslování. Pokud mám bloky od svého data carriera, tak v případě IPv6 je změna na jiného o dost horší, protože i když budu mít včetně koncáků to autokonfigurační, stejně bude tuna sdres natvrdo a přeípečkování IPv6 bude mnohom větší brutalita, než na IPv4, zvláště pokud většina IP obluhuji NAT1:1 ze své brány. A to jsme zažil přeípečkování cca 4x a nemám chuť na další (a i zákazníky, kde smluvně je proces změny IP řešen, že se jim nové adresy a termín změny hlásí 6 měsíců dopředu, není nad mnipobočku zahraničního kolosu mít ve své síti).
Takž eje to pak i takový pěkný vendor lock na daného carriera, kterému je možná vhodnější předcházet (sice teď můžu být ideáloně spokojen, ale za rok může být situace hodně jiná). OK, stojí to peníze navíc 2 kEUR zápisový poplatek a pak 1,3 kEUR/rok za členství (v tom je schován i jeden IPv6 prefix /32, další IPv6 i 4 se pak už začínají započítavat do skóre a poplatek začne lety patřičně stoupat).

Jinak co se týče nasazování IPv6, tak jsme zvědav na jednoho ISPíka v ČR na Vysočině, ten se rozhodl do toho praštit a neřešit dual stack sitaci a pojede IPv6 only inforasturkturu s použitím IPv4 over IPv6 tunelování a žádné párání s tím... Na podzim to chce mít v provozu pro těch pár tisícovek zákošů. Myslím, že většina nepůjde proti zdi bude to řešit pomoví dual stack sítě. Těch, co používá tunelování ve své přístupové síti asi nebude moc (aka RFC6264).