Kod nas koliko sam ja upućen NE.
Ali ako ti treba IPv6 možes potpuno besplatno da podignes 6to4 tunel to nekog backbone provajdera koji tu uslugu nudi besplatno.
Ja koristim http://tunnelbroker.net/
Već nekoliko meseci radi bez i jednog ispada. Možeš da dobiješ max do 4 subneta /48. Imam Web, mail, DNS server na IPv6 i to sve radi ko sat.

Igrao sam se sa tim. Ali imam 15 hopova do prvog 6to4 routera sto mi dodaje 150ms bezpotrebno :(


Pa sam mislio mozda neki domaci provider dodeljuje ipv6. U inostranstvu se sa tim pocelo tako da ne bi bilo lose da neki domaci isp isprati te trendove.

Sem što je „kul“, ima li neki razlog iz kojeg ti treba IPv6? Imao bi nešto što inače nemaš sa IPv4?

http://www.ipv6porn.com/





Pre svega se zezam sa istim radi edukacije. Cenim da ce za koju godinu biti dosta velika potraznja za ljudima koji znaju v6.

kuc, kuc?

A za korisnike ? :)

trebace jos vremena, jos je sve u experimentalnoj fazi... ali bice, uskoro, i za korisnike

_{[Ovu poruku je menjao djricky dana 18.06.2010. u 16:23 GMT+1]}

test sa windows 7...

edit: zna li ko kako u win7 iskljuciti autoconfig za IPv6?

Pa isto ko i za IPv4 :)

adapter properties > IPv6 > properties

heee... nije... to je za DHCPv6

"stateless autoconfiguration" radi i kad stavim staticku adresu...

Sta, kad stavis manual on i dalje fura i Advertiseovanu adresu ? To nisam znao....

btw. Jesi pokusavao sa mikrotikom taj autoconfig ?
Ja sam imao neke silne pobleme, cas mi win dobije adresu chas ne... bez nekog pravila

pa sa mikrotikom kuci i radim i imam isti problem...
da bi autoconfig ponovo proradio, moras da uradis disable/enable tog interfejsa, s vremena na vreme... samo pazi da se ne odseces...
mada, ova predzadnja 4.9 verzija mi deluje stabilnije po tom pitanju.
zato i cekam implementaciju DHCPv6 u RouterOS...

na ciscu autoconfig radi bez problema.

update: sad sam kuci upgradeovao ruter na 5.0beta3, bas da vidim kako ce da se ponasa... wish me luck

_{[Ovu poruku je menjao djricky dana 19.06.2010. u 19:46 GMT+1]}

resen problem. nista bez konzole (command prompta)



i dalje dobija i dinamicku adresu, ali na net izlazi preko rucno unete...

usput (ko ume i/ili moze):

face haha.. dobar fazon :)


btw. jel ne zabada sada mtik ?

da, pustili su v6 stranu pre desetak dana...

zabada opet, jbg... pisao sam podrsci, i trazio da naprave DHCPv6, videcemo...

ipv6.elitesecurity.org (2001:8c8:0:101::2) mi ne radi... kad možemo očekivati opet neko eksperimentisanje?

ja kol'ko vidim, radi...

Yep

Come in Houston. Come in Houston. Do you copy?

Edit:
Ne znam zašto, ali mi ipv6.elitesecurity.org radi samo kada ga ručno ubacim u hosts file:

Ali, nslookup kaže da je sve OK, i to važi i za moj lokalni DNS i za Google DNS:


Sve ostale adrese rade super:

It's alive! (teredo)

Hurricane Electric up in this beey-otch ;)
Da se nadovežem samo, iz nekog glupog razloga, dok sam menjao statičke IPv6 adrese kod mene na računaru, Windows Vista mi ih je samo nabacala kao sekundarne adrese, a stare nije obrisala sve dok nisam uradio disable/enable LAN interfejsa... Duh... To naravno i dalje ne rešava problem koji sam naveo u prethodnom postu.

1337? Au, bolje da se vise ne zezam sa ovim tunelima

Radi! Cool!

Još samo nam ostaje da čekamo da Mikrotik dobije neku redovniju podršku za IPv6... cheapass networking raja je ipak uvek gladna nove tehnologije

http://tunnelbroker.net
PPTP Tunnel Beta
[May 26, 2010]
We're happy to announce the public beta of a PPTP tunnel system. Have a dynamic IP for your current tunnel endpoint? Want to use your tunnel from nearly anywhere? Just want a static IPv4 address that follows you around? Covered.


Niceee.....
Napokon da i mi dinamicki mozemo da se prebacimo :)

Kakva je situacija sa v6 podrskom u PPTP ?

Nije mi jasno zasto nude IPv4 PPTP pa unutar njega tek IPv6 6to4 tunel.

Draft: http://tools.ietf.org/html/rfc5072

Ne mogu da proteram tunel kroz ovaj pptp nikako :/
Ne znam sta sto nece....


A bez PPTP radi ali nece da otvori ipv6.elitesecurity.org i nece ipv6.facebook.com a ipv6.google.com oce.
I pritom se facebook resolvira samo u ipv4 adresu, ne znam zasto.


a pingovi prolaze

1 3 ms <1 ms <1 ms 2001:470:d25c:2:20c:42ff:fe35:1a49
2 56 ms 47 ms 49 ms psyhex-1.tunnel.tserv11.ams1.ipv6.he.net [2001:4
70:1f14:e51::1]
3 170 ms 104 ms 49 ms gige-g2-20.core1.ams1.ipv6.he.net [2001:470:0:7d
::1]
4 191 ms 161 ms 69 ms 10gigabitethernet1-1.core1.fra1.ipv6.he.net [200
1:470:0:47::2]
5 59 ms 58 ms 54 ms gige-g0-1.tserv18.fra1.ipv6.he.net [2001:470:0:a
5::2]
6 77 ms 130 ms 85 ms 2001:470:15:a9::2
7 110 ms 82 ms 75 ms 2001:8c8:0:1::3
8 87 ms 86 ms 101 ms 2001:8c8:0:101::2

Trace complete.

off topic:

Mnogo cesto prebacuje ES sa ipv6 na www. A treba i ovu skriptu za IP prepraviti

eksperimentalno.... kad bude stigao Gojko, sredice (valjda...)

Da probam, radi li ovo...

@boki Facebook je na http://www.v6.facebook.com

Sad radi

samo da primetim da, prema statistikama i procenama HE.net-a, imamo jos tacno 365 dana, pre nego sto IANA dodeli i poslednji slobodan blok IPv4 adresa...

"be prepared" je poruka svima...

(i nije slucajno sto ova poruka dolazi rutirana kroz IPv6 mrezu na, verovatno, prvi IPv6-enabled sajt u Srbiji)

Priblizilo se opasno...

Bice frke i panike :D

Ricky?

yep, proradio... :)

bili problemi na ES serveru, nije bilo vezano za ipv6

btw, mnogo vam veliki ti pingovi:

I tebi su veliki, cim izadjes iz svog as-a

khm...

Na telekom ADSL ne mogu da otvorim ipv6.google.com
Kod SBB probao sam od pre mesec dana i moze. Od kada je omogucen ipv6 na SBB. Da li je upitanju neki tunel server na koga SBB automatski prosledjuje.

fyi: od danas smo na ispod 5% preostalih IPv4 adresa...

a jos ne nudite v6 korisnicima :P



228 days left :]

aaaaa, budi strpljiv... bice uskoro, samo treba da osmislim tacno modus operandi... cimnucu te da budes test korisnik

U rebusu sam.
Jel noralno da router advertajzuje svoju local-link adresu iako mu nije receno da je advertajzuje i da se onda detektuje duplicirani prefix sa sobom samim ?



Na klijentima dobijam ok IP adresu ali fe80 default gateway i nece da advertiseuje DNS.

Inace ES-u sam napokon uspeo da pristupim. Problem je bio mtu.

Ne znam ni sad sta je uzrok ali jedan mangle na mikrotiku je zakrpio stvar
chain=forward action=change-mss new-mss=1300 protocol=tcp tcp-flags=syn



btw. jos 100 dana. 6 /8 left xD

jos jedan dan....

Vise da se zavrsi ta agonija zvana ipv4... :D

Hoce neko nama sa jeftinijim ulaznicama da objasni sta to znaci u prakticnom smislu? Ceo saobracaj ce preci na ipv6 i ipv4 ce se ugasiti? Nece se videti sajtovi koji imaju samo ipv4 adrese? Novi npr. adsl korisnici ce morati da cekaju na ipv4 adresu da se oslobodi kod provajdera, koji ih nema dovoljno? I slicno...

nista pametno

ipv4 se nece ugasiti, mreza ce i dalje funkcionisati, samo nece vise biti adresa za nove korisnike...

kljucne reci za pretragu: dual stack ipv6

Nece naravno biti nista tako drasticno. Promena je spora i trajace godinama (decenijama) nakon dodele poslednje slobodne IPv4 adrese.
Provajderi sada dobijaju adrese iz poslednjih /8 blokova koji su dodeljeni RIR-ovima (RIPE, APNIC, ARIN...). Kada to presusi provajderi ce uglavnom imati dovoljno IPv4 adresa (u rezervi) za svoje korisnike do nekog momenta. RIR-ovi vise nece dodeljivati IPv4 adrese vec samo IPv6, ali ce svi provajderi raditi dual-stack rutiranje (rutirace i ipv4 i ipv6), tako da su hostovi sa ipv4 adresama dostupni, ovo ce verovatno trajati nodredjeno...

(pretece me ricky :)

evo malopre mi stize mail od Axela iz RIPE-a:

Ja i moj Android smartphone smo spremni






<-- (pogledati levo)

Radi bez problema i na starijim Nokijama, E51 npr...

radi IPv6 i na Nokia 5800, ali ne postuje pravila iako postoje isti A i AAAA recordi, koristila je prvo A record za domen...

Pa, drugovi i drugarice, sledeći period će biti okarakterisan u pozitivnom svetlu samo ako budemo pokazali dovoljnu borbenu gotovost! Smrt NATu, a sloboda narodu!
A kad će moći pristup elitesecurity bez ipv6 ispred? :)

Preporucujem za ipv6 day. (8. jun)

Ja cu tada da pustim v6 za moje sajtove.

Azija presusila, evropa za par meseci..

http://www.zdnet.com/blog/netw...-run-out-of-ipv4-addresses/948


U srbiji jos ni jedan provajder ne nudi ipv6 afaik.

http://digitizor.com/2011/06/02/ipv6-day-june-8/


nema vise uskoro, nego tek sto nije

Non-authoritative answer:
Name: google.com
Addresses: 2a00:1450:4001:c01::67
209.85.148.106

fu*k yea :)

na SBB-u

izgleda da radi



_{[Ovu poruku je menjao djricky dana 08.06.2011. u 12:40 GMT+1]}

zapade mi za oko da facebook ima IPV6 u kojoj piše face.
hahaha, koliko su to platili...
Jeste ovaj IPV6 odličan za budućnost, ali kako ću ja sad da zapamtim jednu
IPV6 adresu, o tome niko nije razmišljao.
:)

Pa DNS je tu, samo ces biti jos zavisniji od istog. A za face ne mora da su kupili ista, mozda imaju ceo range iznad toga sad ima adresa na pretek pa se maze i po mu*ima

Zapazi isto da nije samo face vec face:b00c (0 kao o, c kao k)

U svom subnetu na ipv6 mogu da se igraju kako hoće, verovatno imaju /32 tj zadnjih 96 bitova IP adrese servera mogu biti apsolutno bilo šta, tako da je naj prostije staviti IP koji u sebi ima face:b00c :)

Samo se pitam kad će ISP-ovi u Srbiji da krenu agresivnije u promociju IPV6?

Cek da dd-wrt dobije GUI support za IPv6 iskreno me mrzi da linuxasim po ruteru

Uostalom Eunet mi dodje fiksnu IP, pitam se kako ce to ici onda, fiksna i v4 i v6 o istom trosku?

Pa da CPE uređaji će biti najveći problem u tranziciji ka IPV6, jer ih ima mali milion, a za sve to će morati da se instalira novi firmware kako bi podržali IPV6.

E jbg, kad ste im godinama (vi u smisli ISPeva) poklanjali krs opremu samo da potpisu ugovor, kad se ne plati na mostu, plati se na cupriji
Nece se to ni firmovati, imho, napravice se finansijski presek i kupice se i dati na revers novi krs CPE uredjaji Kina to spravi jeftinije nego sto ce biti inzenjer sat da se primeni firmware

najlakse je baviti se marketingom, kad napravimo da to sve radi kako treba...

ipv6 radi... u MAN mrezi (ethernet i l2vpn)... trenutno mi je problem aDSL, jos uvek nemam CPE koji moze (ume) da dobije ipv6 adresu na ppp interfejsu.

To je stvarno interesantno da nisam video ni jedan jedini CPE uredjaj za home/soho da podrzava ipv6.
To je stvarno katastrofalno....


btw @djricky
koji je best practice za dodeljivanje ip adresa kucnim korisnicima ?
Oce da se deli /64 pa da svaki uredjaj ima svoj javni ip tako da je routiranje nepotrebno ?

Preporuka je da se deli /56 svakom korisniku, kolko sam ja upoznat.

PA dd-wrt ima podrsku za IPv6 a njega mozes da nabacis na vecinu broadcom based CPE modema/rutera (http://www.dd-wrt.com/wiki/index.php/IPv6), samo sto GUI nije dopeglan da podrzava laku administraciju, sve se nesto kanim da isprobam kroz neki 6to4 tunelling ali eto nikako da se nadje vremeod drugih obaveza.

pa sad... neko pravilo kaze da koristimo /64 za peer mreze, i /48 rutirano na peer za subnetovanje... tj. /64 po subnetu... sto je sasvim dovoljno za skoro sve sto moze da vam padne pa pamet....
PS> SLAAC (RADVd) ne radi ako se ne koristi /64 mreza, za DHCPv6 ne znam, jos uvek nisam probao, cekam da ga litvanci ubace u RouterOS...

ako se neko sad bude zapitao: "da nije to malo bahato?", neka zna da sam to isto i ja pomislio i pitao BECHA-u... a odgovor je bio (na engleskom): "no, give them /48"... ja: "but why, it seems such a waste?" BECHA: "because you can "


kako to mislis, "routiranje nepotrebno" ??? javni ip se pozdrazumeva, ali rutiranje takodje ....

Ako imate javnu, statičku IPv4 možete napraviti tunel preko Hurricane Electrica za ipv6 saobraćaj, besplatno.

http://ipv6.he.net/

Samo treba da napravite IPv6 DNS server sa BIND ili štogod već Windows koristi i završeno je sve.

pa, ako ce da rade dual-stack, nema potrebe, dovoljan je i bilo koji ipv4 dns...

Zar je dovoljan IPv4? Ne znam, znaš to bolje od mene, sigurno, ali kad sam ja to radio (sad ne mogu jer nemam statičku IP i NATovan sam, a i tuneliran sam ionako na IPv6 koji mki je beskoristan jer nije javna IP), koristio sam ili lokalni BIND ili Cisco javni DNS. Beotelov nije mogao da resolvuje IPv6, bilo je to odavno... Da pojasnim, koristio sam tada lokalnog ISP koji je bio očajan, i DNS mu često nije radio.

Tak sam i mislio, tako deli HE.

Samo reko da se srpski provajderi ne istripuju da dele jednu IP adresu ili tako neku glupost xD



NAT sam mislio xD

@bojan_bozovic


sad moze

Hmm napravio sam tunel na sixxs.net i sajtovi mi uredno prepoznaju ipv6 adresu, ali sada gledam na esu mi reslovljuje ipv4 adresu a nekima ipv6 ?

btw. mogao bi ES da bude dual-stacked :)

Ne vredi mi, na ipv6 verziji es mi jako sporo radi, jedva se uloguje iz 10og puta, stranicu za pisanje novog posta nece ni da otvori, ove ostale stranice nekako i otvara.
Edit: iz chroma radi znatno brze, ali i dalje ne mogu otvoriti 'Odgovori' , pise Waiting i nikad ne otvori.
Error 324 (net::ERR_EMPTY_RESPONSE): The server closed the connection without sending any data.

Bio je u pitanju firewall, radi sad bez problema! :) tacnije 'block fragmented datagram' opcija je kocila

aj uradi tracert do ipv6.elitesecurity.org bas da vidim kuda ide?

izgleda da je ove godine svetski IPv6 dan poceo malo ranije

Iz konekcija se vidi da imaju neke provere prvo da vide da li v6 radi.

Al kad akamai ukljuci onda ce da poleti :)

koji je ovo plugin?

IPvFox

od danas malo drugacija situacija, i akamai pustio v6...

Samo za FB ili i inace ?

Paul Saab iz FB-a (twit: @yogurtboy) jos prosle nedelje rece: "We turned on CDN traffic for a part of the internet yesterday. We'll do full release next week", a koliko znam Akamai ekipa vec par godina radi na ideji da sve bace na ipv6... i kazu da su uspeli...

inace, upravo primetih:

bravo Gojko!

na youtube:

http://o-o.preferred.sbb-beg1....youtube.com2a00:1450:400d:5::6

to youtube ima cache kod SBB-a ?

confidentiality agreement mi zabranjuje da o tome pricam...

Ima vecina vecih provajdera.

Pa ti ne radis za SBB ?



To je ovo kapiram
http://ggcadmin.google.com/ggc

Da.

vide li ti smajli na kraju recenice?

ma skoro svi imaju cache servere kod sebe, ali samo moji ggc serveri rade i preko IPv6

Evo ga i cloudflare:

Aj sad da vidim kako će da me resolv-uje ES :)

Elem, Ricky, što se tiče problematike oko ADSL-a i ipv6: a da staviš ADSL uređaj u bridge, i da radiš PPPoE na vindozi/pingvinu? Ili mikrotiku iza?

Inače, posle ću da se igram sa MAC adresom na kompu, da advertajzujem nešto 31337no :) samo ne znam kako da utrpam "newtesla" u MAC adresu ;)

I da - da li je i dalje da moraš da potrošiš ipv4 da bi ti dodelili ipv6? Za provajdere, mislim?

To nikad nije bilo, IPv6 assignment si mogao da dobijes poodavno.

bas tako, mi smo dobili IPv6 opseg od RIPE-a pre vise od 10 godina

jos nesto vise od 7 casova do pocetka kraja

http://www.worldipv6launch.org/
twitter: #ipv6 #v6launch

Jos 3:17 pa zabava moze da pocne ! Veceras sam i ostatak opreme prebacio na IPv6. Ostalo jos PTR recorde da dodam i to bi bilo sve :)

pretpostavljam, za pocetak tunel do he.net?

PS. http://rdns6.com/

Tunel do he.net imam odavno. Bitno da je sva oprema vidljiva u IPv6 opsegu. Lako se zamene adrese.

PS: Altka na webu je extra za PTR recorde. Puno hvala

Google, Bing i Youtube ukljucili :)

Svi google servisi su v6 :)

I sad youtube misli da sam u holandiji xD

A zašto elitemadzone.org nije pušten preko ipv6?

@boki: verovatno ti se tunel tamo zavrsava...

@Tyler: ne znam, pitacemo Gojka...

Bolje nego da misli da si u Nemackoj :) GEMA je skrljala YT za medalju.

Nego kakve su sanse za domaci zivalj da isproba ovo kroz domace provajdere? Jel se nesto radi po tom pitanju ili se sve svodi na tunele do ino provajdera?

Koliko sam ja skontao najveći problem je u krajnjim korisničkim uređajima i njihovoj podršci za ipv6, ostalo je manje više spremno. Ali djricky će to bolje znati :)

Nije. Krajnji uredjaji ako podrzavaju ipv6, rade sa ipv6. Ako ne, rade sa ipv4.


Problem je sa 'last-mile' infrastrukturom, raznim dslamima, msanima, brasima i slicno. Operateri vecinom vec imaju u coreu ipv6, problem je samo sprovesti ga do usera.

Drugi problem je 'politicke' prirode, gde se jako otezava data retention (potreban nov software, parseri i sl.), spam filteri,....

Ali baš to i jeste fora. Što u praksi jaaaako mali broj podržava, ako uopšte podržava i jedan od ovih low-cost rutera, modema koji se valjaju rezidencijalnim korisnicima u Srbiji.

Da, najveći problem je u CPE - mislim da većina neće ni pokušati da piše nov firmware, nego će jednostavno prodavati nove uređaje.

A koliko vidim, ni TPLink ni Huawei se nešto ne zalažu za ipv6. Ili grešim?

Ne grešiš, ne postoji ni jedan jedini jeftiniji model rutera koji ima podršku za ipv6. Jedino da se stavlja dd-wrt i ostali custom firmware-i, što će u Srbiji da uradi 0,1% vlasnika takvih rutera. Čak i najači tp-link wifi ruteri nemaju podršku za ipv6, kao ni uređaji koje daje Telekom.

Tako da, od masovne primene ipv6 u Srbiji u narednoj deceniji nema ništa.

uh, uh... deceniji??? ("miruj, srce, ne tuci tako jako...")

kompatibilni uredjaji ce se lako i brzo pojaviti, bilo u vidu fimrware upgrade-a, ili novih uredjaja, cim kinezi odluce da tako treba... u medjuvremenu, onaj ko zeli ce pazariti najobicniji Mikrotik RB750 ili RB951 (cim se pojavi kod nas), i u saradnji sa svojim kablovskim provajderom vrlo lako pustiti ipv6 u svoju lokalnu mrezu...

veci problem ce biti sa telekomom i aDSL korisnicima, tu jos uvek nismo 100% sigurni kako ce to da se izvede... u krajnjem slucaju, vec imam sa svoje strane 6to4 tunnel server, preko koga interno testiramo ipv6 kroz aDSL...



btw...
koliko vidimo, pored nas, jedino VIPmobile ima dualstack-ovanu web prezentaciju...

Sva sreća pa koristim miktrotik rutere, koji već imaju dobru podršku za ipv6, samo da vidim sa provajderom, kada će omogućiti ipv6 pristup.

Inace na par mojih sajtova sam upravo ukljucio ipv6 Rade kroz teredo.

_{[Ovu poruku je menjao Slobodan Milivojevic dana 06.06.2012. u 14:34 GMT+1]}

Pa naravno, jer je 640KB RAM dovoljno za ceo svet, zar ne? :-)

Ispravno bi bilo reci: primena IPv6 u Srbiji ce poceti onda kada Telekom, SBB ili neki treci veliki igrac potrosi svoje zalihe IPv4 adresa, pa nema za nove korisnike. Ako vec nisu poceli da testiraju CG-NAT, DS-Lite, 6rd, NAT64 ili neko slicno resenje bice ono cuveno srpsko: "Izvin'te, adresa nema!". Inace, za najvise dve godine RIPE NCC ce verovatno prestati da dodeljuje IPv4 adrese, ako se tendencija potrosnje od 2-4 miliona IPv4 adresa mesecno nastavi (vidi link).

Znam. HE.


btw. sutra mi ikom menja modem. Menja motorolu sa valjda nekim tomsonom koji je valjda DOCSIS3. Trojka poboljsava ipv6 podrsku pa se nadam da me mozda iznenade i sa tim :)

Ne oglasavaju nikakav opseg, tako da tesko... ;-)

ma, za prvu pomoc ni HE tunelu nista ne fali...

btw, pazite ovo


native BGPv6 sa telekomom...

dosta veliki ping sa HE tunelom, razumljivo

Na AMXu v6 protok se vise nego udvostrucio :)

http://www.ams-ix.net/sflow-stats/ipv6/

Ne zezaj, nisam na to mislio, već jednostavno da će biti problem ADSL/WiiFi korisnicima koji imaju rutere da dobiju ipv6 na svojim uređajima, jer čisto sumnjam da će kinezi da dorađuju te sitne rutere, makar ne u skorije vreme i ne za naše tržište.

Nego, pošto iskreno nisam baš mnogo pratio oko ipv6 kako će se vršiti dodela IP adresa kućnim korisnicima od strane ISPa? Koliko će on ip adresa imati na raspolaganju? Jesu li statičke ili dinamičke? I to su sve javne ip adrese, što ja to na primer ne želim (da, da, razmišljam na ipv4 način, ali takav sam). Koliko sam skapirao, NAT za ipv6 više ne postoji? (a i što bi kada ima ip adresa koliko hoćeš), ali se nadam da postoje opsezi privatnih ip adresa koje nisu rutabilne, ali da li to znači da takav klijent ne može na net, jer nat ne postoji, ili šta?

Ja koliko sam shvatio te stvari se regulisu na ruterima, ne vidim kako je to drugacije od konfigurisanja NAT servera. Pretpostavljam da ce u kucnoj varijanti PnP nastaviti svoj posao i da ce default podesavanje biti inbound locked/outbound open.

NAT osim što je sticajem okolnosti inbound firewal, takođe omogućava da računari sa privatnim ip adresama idu na net preko jedne (ili više) javne ip adrese.

Sa ipv6 ćemo imati mogućnost da svi računari u mreži koju održavamo mogu da imaju javnu ip adresu i naravno da možemo na ruterima da definišemo pravila "ponašanja" dolaznog i odlaznog saobraćaja.

E, sad, ako ipv6 nudi privatne ip adrese koje nisu rutabilne, dakle - nisu javne, a koliko sam shvatio - postoje; a ipak želim da takvi računari imaju izlaz na net preko jedne javne ip adrese (sa svojih privatnih ip adresa), da li je to moguće odraditi sa ipv6 protokolom (isto kao ipv4 preko NATa), ili nije?

Pogledaj ULA unique local address, mislim da je to ono sto trazis kao nat alternativu

Ima ovaj NAT66 (mada ni to nije to koliko kapiram, ovo je /48 na /48 mapiranje), jbg, ja cisto sumnjam da ce moci da se ubije koncept NATa, ljudi su navuceni na njega sa stanovista prividne sigurnosti. nece biti u RFCu ali ce neko sigurno napraviti divlju implementaciju. Pitanje je isto kako ce da skalira natv6 kad interno po firmama pocnu da se mazu ip adrese na mooda.

Ja to iskreno ne razumem, postoji razlika izmedju izmedju imanja javne IP adrese i javne vidljivosti i rutiranja. Ako imas deny all za neki host on kao i da ne postoji, u cemu je razlika u odnosu na NAT? Statefull firewall je iste kompleksnosti kao NAT, u cemu je veca razlika izmedju hakovanja f/w i NATa? U oba slucaja ti pada odbrana jer je NAT dual-homed masina po svojoj prirodi i ima pristup na 192.168/16 i samim tim i "nevidljivim" masinama. Jos sad narocito ako iz ocaja admini pocnu da montiraju divlje nat implementacije, nedovoljno testirane i pune bagova.

Iz prostog razloga zato što sa subnetovima iza NATa mogu da radim šta hoću. Sutra dan ako ISPu dune da mi promeni dodeljene ipv6 adrese, ili jednostavno pređem kod drugog provajdera, ja onda sve to moram ponovo da konfigurišem, menjam opseg na dhcpv6 serveru, itd. Ovako kada bi mi računari u mreži imali ULA adresu, a na WAN strani rutera može da bude bilo koja javna ipv6 adresa, promenom te adrese (ili opsega) mi se ništa ne menja na LAN strani konfiguraciji rutera, niti na klijentskim mašinama.

Takođe, idealno za kućne korisnike bi bilo da postoji ruter koji će na WAN strani imati ipv6 adresu, a na LAN strani da dodeljuje računarima ipv4 adrese i da radi translaciju.

Mislim, meni je jasno (pokraj toga što mi je izuzetno neprivlačan ipv6) da moram da držim korak sa vremenom, ali nisam za izbacivanje NATa iz upotrebe u ipv6 verziji.

A taj nat66 je neki divča, možda će da vrši posao, možda ne, ali je to jedno, a drugo je da OSovi i ruteri zvanično podržavaju ipv6 NAT.

Pa morace da promene zastarele CPE rutere IPv6-only korisnicima (osim ako postojeci ruteri ne podrzavaju IPv6) ... onog momenta kada takve budu povezali na mrezu. Mnogi provajderi imaju glavobolje s tim, jer sve to kosta ... A to ce se desiti kada im ponestane IPv4 adresa i kada vise ne budu mogli da novim korisnicima obezbede IPv4 adrese. Onda ce im preostati samo IPv6. Naravno, tim korisnicima ce morati da obezbede i pristup delu Interneta koji koristi iskljucivo IPv4, a to je moguce koriscenjem razlicitih tehnika koje sam pomenuo (CG-NAT, DS-Lite, 6rd, NAT64 ...).

Vidi RFC6177. Stariji standardi su predvidjali /48, ali taj opseg je preveliki za privatne korisnike. Minimalan opseg je /64, kako bi se obezbedilo normalno funkcionisanje uredjaja koji iskljucivo podrzavaju stateless autokonfiguraciju, a provajderima se preporucuje sve u opsegu /48 - /64. U opticaju su najcesce /64, /56 ili /60.

Moguce su obe opcije. Mislim da je staticka dodela bolji izbor, ali kada su mreze u pitanju uvek ima ljudi koji obozavaju svoja resenja i brane ih gomilom argumenata koji nekim cudom uvek imaju smisla ...

Postoji - RFC6296. Ali koliko ima smisla to je vec drugo pitanje. YMMV.

Ok, ali to je samo stvar promene konfiguracija na DHCPv6, zar ne? Ako imas staticki definisane adrese svejednno moras da ih menjas.
Zasto je to toliko komplikovano? Pitam, pokusavam da skapiram sta se sve menja.

Pa ako sam na primer dozvolio na firewallu da ti spolja možeš da pristupaš tim i tim kompovima u mojoj mreži koji imaju javnu ipv6 adresu, a sticajem okolnosti se te ip adrese promene (da li zato što je ISPu tako dunulo ili što smo promenili ISP), onda bih morao sva ta pravila na ruteru(ima) da prekonfigurišem. Isto važi i za unutrašnje subnetove, ako ja želim da Mika iz komercijale može da pristupi Lazinom kompu iz proizvodnje (ali samo Lazinom, a ne i svim drugim iz proizvodnje), promenom IP adrese Lazinog kompa bih opet morao da rekonfigurišem pravilo na firewallu.

ISP ne sme, niti treba da se meša u politiku moje unutrašnje mreže, na meni je kako ću da je organizujem i korišćenje NATa u ipv6 treba da bude opciono, pa ko neće - ne mora, a ne da se ta opcija ukida.

Ovo što je poslao B3R1 je donekle ok, radi se pretvaranje ipv6 privatne u ipv6 javnu, to je nešto slično koliko sam razumeo dosadašnjem NAT 1:1, ali je u experimentalnoj fazi i pitanje je hoće li biti usvojeno.

Ne razmisljas na v6 nacin.


U v6 svetu svaki interface ima javnu adresu koju koristi za komunikaciju sa netom + link lokalnu koju koristi u subnetu + ti mozes dodeliti unique lokalnu koju bi koristio za lokalno adresiranje racunara u mrezi koja ima vise subneta.



e onda ti se te unique lokalne (ULA) adrese ne menjaju i po njima mozes da lupas ACL koliko oces...

U, pa to je tek onda smUr. :(

sto? sta fali?

kako bi onda funkcionisali visi protokoli iznad?

recimo windows mreza, AD, dynamic DNS, otvorim explorer i ukucam \\pera a pera ima i public i LUA adresu? Samim tim su oba u DNSu i name resolution ih prepoznaje kao dualne, po principu vidi sta mzoe explorer ce probati obe adrese.

Ako je firewall imedju mog i perinog odeljenja kofiguraisan da me pusti samo do pere i nigde drugde onda mora da blokira sav public IP saobracaj i da dozovli sam LUA saobracaj. I ako je kod pere ruter ja sam ispu*io za internet. Ako pusti moj public saobracaj onda ja mogu da pridjem i drugim masinama u drugom odeljenje, ne?

Zasto bi stavio javnu adresu u DNS ?


Onda konfigurises firewall da pusta public saobracaj samo na router, simple ? :)
Mada je to malo los design sa security stanovista. Ali los je i za v4.

neces staviti ti rucno, automatski u domenski dynamic DNS.

Pa neće on, šta ako ih stavi dhcp server u njihovo ime, ili se radna stanica dinamički registruje. Nadam se da (će) OSovi da favorizuju lokalne adrese naspram javnih. Mislim da suviše gubimo na strani komfora i da nam posao postaje teži, zato što su se neki odlučili da se pošto-poto oslobode NAT-a, ali aj' sad, vreme će pokazati svoje... :(

ja se secam IPv4 vremena kad nismo znali sta je NAT, i sve masine su imale javne adrese, i niko se nije bunio

IP connectivity podrazumeva da svaki host koji je online, moze da prica direktno sa svakim drugim hostom koji je online... NAT, ALG i ostale izmisljotine bolje da nikad nisu izmisljene, po mom misljenju... stvorile su vise problema nego koristi... a sad, sto ce svaki nazovi admin morati sa IPv6 da malo pritegne security, nije moj problem...

Secam se i ja tog vremena :)

Tad je svaka katedra sa tri 10T kartice imala /16 subnet :) a vrhunac hakeraja bio kako prevariti PTT i pricati longdistance za dzabe :)

Druga vremena, mada je meni problematican upravo ovaj deo "... a sad, sto ce svaki nazovi admin morati sa IPv6 da malo pritegne security, nije moj problem...", zapravo i jeste tvoj problem, zapravo vise problem tvog poslodavca da klijentima proda spiku i IPv6 proizvod. Pitanje se uvek postavlja ko postoji zbog koga. ja recimo to vise gledam iz ugla korisnika i moram da priznam da cak ni meni nije bas svejedno da mi sve masine na LANu budu sa public adresama. Strah je mozda neosnovan ali je veoma realan i samo mogu da pomislim blagi osecaj panike tih nazovi admina u SME sektoru. Taj pomalo elitno stav ne pomaze jer onda tera ljude da idu ka divljim resnjima koja su im poznata, a to ce tek da napravi probleme. Sta je problem naapraviti divlji NATv6? Sad mogu da raspalim C++ kompajler i da napravim jedan za dan dva, ja sam. Al boze pomozi onome koji to iskoristi za ista realno.

ne mislim da je strah neosnovan, cak naprotiv ali nema sta da se prica, uz dobar firewall 99% problema reseno...

Kapiram da ce svi Home / SOHO routeri dolaziti podeseni tako da su inbound konekcije off.

pod uslovom da verujes crappy opremi koju dobijas na revers Kao npr lelekomov open-wifi

Eh, kad bi Mikrotik napravio aDSL ruter, gde bi nam bio kraj...
B-)

Ne mogu nikako da se ukroje u cenu od pokoji evro...

Inače, kad smo oko mikrotika: kako da dodelim ipv6 pptp klijentu? jel to uopšte postoji - pptpv6? A za pppoe?

...danas je ovaj android prvi put dobio ipv6 sa wifi-ja ;) native, ništa nisam selektovao dodatno, telekomov oriđinali :)

Bliži se:
http://routerboard.com/RB951-2n

ma nece dusmani, pitao sam ih jos zimus u Varsavi, nije im uopste u planu to...
a ovaj RB951 ce biti hit, wlan je bas falio na RB750...

nego da ne skrecemo s teme, kako vam radi v6 pristup, vidim da je Google bas sve servise prebacio na v6...

NAT66 = jos jedna tema oko koje ce se u narednim godinama voditi one cuvene beskrajne polemike u kojima su, naravno, uvek svi u pravu. Evo jedne diskusije na tu temu:

http://networkingnerd.net/2011/12/01/whats-the-point-of-nat66/

Moje licno vidjenje tog problema je ovakvo: pre 20 godina, kada su ljudi poceli da rade na novoj verziji IP protokola, u korporacijama su jos uvek carevali SMB, SNA, DECnet, IPX/SPX, AppleTalk, Banyan Vines i ostali protokoli za koje bi danasnji klinci pitali: "E brate, s'a ti je to brate, jel se to maze na hleb, brate?" ... a stvari tipa firewall, load balancer, WAN accelerator, ALG, lawful intercept itd. su bili misaone imenice. Takodje, u to vreme su standarde gurali entuzijasti iz akademskog sveta i razvoj Interneta je bio okrenut uglavnom njihovim mastovitim idejama.

Danasnji Internet diktira trziste, na kome dominiraju bogate i uticajne kompanije. Dobar deo opcija implementiranih u IOS-u i JUNOS-u su danas rezultat zelja krajnjih korisnika. I ako se jednog dana pojave IT menadzeri iz velikih korporacija poput Goldman Sachs, Deutsche Bank, Lloyd itd. i kazu: "Nama je potreban NAT66" - Cisco, Juniper, ALU, Avaya, Huawei i ostala bratija ce morati da im to obezbede. Ili ce im obezbediti neki jednostavan potpuno automatizovani mehanizam koji ce im omoguciti laku renumeraciju javnih globalnih unicast adresa. Neke ideje na tu temu vec postoje (vidi RFC4192), ali 100% automatizovani postupak jos uvek nije realizovan. Eto vam lepe ideje za proizvod ... :-) Za sada jedini nacin je koriscenje ULA za internu komunikaciju, a globalnih javnih adresa za eksternu.

Kazete: NAT66 je eksperimentalni standard. Tacno, neka IETF radna grupa mu je dodelila taj status. Pa sta? Kada je 1995. Tatu Ylönen lansirao prvu verziju SSH, vendori su preuzimali njegov kod i implementirali ssh, scp, sftp itd. iako su se zvanicni IETF standardi (RFC 4250-4256) pojavili tek 11 godina kasnije! Cak ni Internet draftovi za SSH nisu postojali sve do kraja devedesetih! Jednostavno, industriji je bila neophodna bezbedna zamena za telnet, rsh i rcp, a SSH je bio idealno resenje za to.

B3R1, realno su par godina, ako ne i decenija znali da se bliži vreme kada više neće biti ipv4 adresa na raspolaganju. Sada kada se to desilo, po meni je neprihvatljivo da postoji gomila protokola, rešenja i predloga koji su u ekperimentalnoj fazi. Možda paranoišem, ali mene vata jeza od toga i stičem utisak da to sve nije baš tako spremno i pouzdano i mučno mi je da i pomislim da implementiram ipv6 u firmama koje održavam, jer zaista za sada ne vidim potrebu za tim.

Meni u gomili situacija savršeno odgovara da imam samo jednu javnu ip adresu, čak ne mora ni statička da bude i ne vidim razlog zašto su ljudi toliko protiv NATa da žele da ga izbace po svaku cenu, samo zato "što ima dovoljno adresa za sve". Ko hoće NAT, neka ga, ko neće, ne mora.

Koristim ipv6 zadnjih nekoliko godina, a takođe sam svim google servisima pristupao preko ipv6. Google je postavio posebam DNS koji je sve za google.com poddomene rezresavao IPv6. Bio je čak i poziv od strane he.net da se na lokalnim DNS-ovima stavi forward za zonu google.com koji je pokazivala na njihov test DNS koji vraća AAAA. Tako da ne mogu da se setim ali više od godinu ili dve google servisi sam bez problema koristio preko ipv6. Preko he.net je ping preko tunela znao povremeno da poraste kad su imali neke probleme i radove ali je od mene do ipv6.google.com bio u proseku 40ms. Sad je nešto ping povećan ali traceroute to terminacije ipv4 je nešto poveći što verovatnio znači da saobraćaj ide preko nekog rezervnog linka

d:\>ping www.google.com -t

Pinging www.l.google.com [2a00:1450:4016:801::1013] with 32 bytes of data:

Reply from 2a00:1450:4016:801::1013: time=41ms
Reply from 2a00:1450:4016:801::1013: time=41ms
Reply from 2a00:1450:4016:801::1013: time=41ms
Reply from 2a00:1450:4016:801::1013: time=42ms
Reply from 2a00:1450:4016:801::1013: time=139ms
Reply from 2a00:1450:4016:801::1013: time=127ms
Reply from 2a00:1450:4016:801::1013: time=52ms
Reply from 2a00:1450:4016:801::1013: time=135ms
Reply from 2a00:1450:4016:801::1013: time=40ms
Reply from 2a00:1450:4016:801::1013: time=42ms
Reply from 2a00:1450:4016:801::1013: time=109ms
Reply from 2a00:1450:4016:801::1013: time=136ms
Reply from 2a00:1450:4016:801::1013: time=41ms
Reply from 2a00:1450:4016:801::1013: time=133ms
Reply from 2a00:1450:4016:801::1013: time=51ms
Reply from 2a00:1450:4016:801::1013: time=120ms
Reply from 2a00:1450:4016:801::1013: time=75ms
Reply from 2a00:1450:4016:801::1013: time=143ms
Reply from 2a00:1450:4016:801::1013: time=45ms

Ping statistics for 2a00:1450:4016:801::1013:
Packets: Sent = 19, Received = 19, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 40ms, Maximum = 143ms, Average = 81ms

[img]http://ipv6.he.net/certification/make_badge.php?pass_name=digisoft[/img]

Usput i nesto da pitam admin-a foruma. Koliko se sećam HTTPS za www.elitesecurity.org je radio preko IPv4? Ali HTTPS neće preko IPv6. Verovatno na apache configu niste uključile da port 443 osluškuje preko IPv6.

IETF, razni lobiji, uticaji velikih korporacija i njihova pohlepa su price za sebe i radije ne bih o tome ... :-)

Umesto toga evo dva veoma korisna linka, bas na temu IPv6 i svega sto prati njegovo postepeno uvodjenje:

http://www.afnog.org/afnog2008...ence/talks/IPv6_Transition.pdf
http://www.youtube.com/watch?v=Qh3i6lDqWBM

da ti odam jednu tajnu



ping uradjen u razmaku od 5 sekundi, sa moje windows radne stanice

_{[Ovu poruku je menjao djricky dana 08.06.2012. u 15:40 GMT+1]}

http://www.extremetech.com/int...do-it-18-septillion-more-times

Ne razumem, šta sprečava ispove da stavi ceo taj blok adresa na deny listu?

Pa pitanje je da li znaju koji je tacno opseg PirateBay adresa, i da li u tom opsegu ima i drugih.

Pretpostavljam da moraju da blokiraju samo onu IP adresu koja je vezana za thepiratebay.se ili .org, a ne cele blokove, jer je zabranjen domen i njegov sadržaj a ne sama IP adresa.
Takođe verujem da sysadmine koji moraju da rade ovo apsolutno zabole za ažurnost i hitnost po ovom pitanju.

Pa ok, ali TPB taj ip blok mora da dobije od nekog nadležnog za to. Samim tim, kada se zna koji je ip blok dodeljen TPBu, stavi se u jedno pravilo ceo taj ip blok i zbogom TPB.

dobro, pustite sad pirate... nego, kako vam radi v6? google i facebook? ima li jos nesto?

Ah, da - IPv6 :) elem, ja sam trenutno, kao test fazu, pustio IPv6 na jedan Win XP 32bit SP3, čisto da vidim da li će igde išta da štucne - komp koristi sekretarica u jednoj firmi, i odmah bi legla na slušalicu da mi zrači bubnu opnu, samo kad bi nešto zapelo, kao ebanking, ili slično... Za sada ne zvrcka :) znam da je bilo problema sa vindozama ako se ne odštiklira IPv6 podrška: evo, iz prve ruke: kad zaista i dobije ipv6 adresu, onda radi :) Živo me interesuje da li se tandara-bird kači na imap putem ipv6? ...pogledaću sutra. Server ima AAAA zapise.

Pre kada sam probavao IPv6, sve je vuklo na IPv4, i DNS i browseri i ... ma sve živo. Sada mi je drago kada vidim da je v6 na prvom mestu, i ne primećujem ama baš nikakve probleme u radu.
Jedino gde vidim da će trebati malo popravki jeste u online aplikacijama gde se prate IP adrese, ali za sada zaista ne vidim što ne bi IPv6 ušao u malo širu upotrebu.

Beše XP ima očajnu podršku za ipv6, ako se ne varam?

pa sta znam... i nije tako losa... u command propmtu ukucas "ipv6 install" i sve radi samo od sebe...\

doduse malo je konmplikovanije staviti staticku adresu, i ako se ne varam, nemoguce koristiti v6 DNS, sli sem toga, nista mu ne fali... evo ja pisem sa windows radne stanice preko ipv6 mreze...

Ko što reče Ricky, a ja da dodam: ako staviš advertajzing na ruteru, XP ga baš lepo prihvati: to što ne vidiš ipv6 adresu u Status tab-u, nego samo u cmd-u (ipconfig), jeste krš, ali radi.

I inače, možeš u Properties-u mrežne konekcije da klikneš na Install, pa Protocol, pa izabereš jedini ponuđeni - IPv6 :) uputstvo za one sa fetišem miša ;)

A i ima neki problem sa dvotačkom - illegal character....

Ima li neko ideju kako podesiti dhcpv6 na mikrotiku da dodeljuje ip adresu windows 7 klijentu? Da li treba nesto na klijentskoj strani podesavati?

Problem is IPv6 i youtube. Kad koristim 6to4 tunel preko tunnelbrokera prijavljeni opseg adresa vide se kao da su iz Nemačke. Kad idem preko IPv6 primetio sam da kad nešto tražim izbacuje mi totalno druge klipove za isti upit nego kad idem preko IPv4. Evo konkretnog primera koji ja ne mogu da vidm preko IPv6

Jel imao neko sličnih problema ?

http://www.youtube.com/watch?v=9iUTRUovNb0

pfff.... bezveze meni radi na native ipv6...

mogu da ti dam jedan 6to4 tunel do Verata da probas, sa jednim ili vise /64 opsegom, ako imas staticku v4 adresu... javi se na PP.

Imas na dnu youtube stranice da overrideujes country u kom se nalazis.

Ovako na dnu stranicemi je podeseno Worldwide. Medjutim sad sam totalno zbunjen. Imam kod tunelbrokera 3 /48 alociranih opsega.
2001:470:9d7b::/48
Prijavljuje mi da je Gremany opseg i nisu mi svi sadrzaji dostupni
Probano sa WinXP, Linux, Win7

2001:470:9a92::/48
Nema ogranicenja. Radi sve ok

2001:8c8:2000:d::/64
Opseg koji mi je djricky dao za probu. Radi sve OK.

Jel ovo mesto za pitanja o "ne radi mi ipv6 something something"?

Pa ne radi mi :) elem, na jednom mikrotiku imam dve /64, po jednu za interfejs 2 i 3, na drugom mikrotiku imam... pa, svašta ponešto ;) kad na oba napravim EoIP, i bridge-ujem ga sa pravim portovima - ja dobijem pravu lokalnu IPv4 od DHCP-a prvog tika, i gateway prvog tika, i dobijem IPv6 - ali ruta bude fe80??? Šta može biti? kad se direktno - žicom, ne tunelom - prikačim na taj eth port prvog tika koji ima /64, sve bude super, dobijem pravu IPv6 rutu.

Za mene je EoIP kajnja nužda i za ovako nešto je ga na bih koristio. Jedino ako imaš centralni pppoe koncentrator onda mora EoIP. Za ostale potrebe ima mnogo boljih rešenja. Zašto ne napraviš 6to4 tunel izmedju 2 tika i dodelis /64 opsege i to izrutiraš ?

Zato što mi je EoIP bio nekako najprimerenije rešenje - EoIP doživljavam kao virtuelni patch kabl :) 'di ćeš bolje ;) inače, ima li 6-to-4 smisla ako je ruter 2 u lokalu rutera 1, i deli ih nekoliko hop-ova?

Ja imam istu situaciju kod mene. Na nekoliko mesta sam to resio 6to4 tunelim i mislim da je to elegntnije rešenje.

I dokle se stiglo sa IPv6?

stojimo u mestu... nema interesovanja jer nema contenta jer nema interesovanja...
a i u stekovima se ima jos dosta adresa...

u ovom trenutku jedino sto moze da pokrene ipv6 tockove je da Zuckerberg izadje i kaze da FB postaje ipv6-only

A kakvo je stanje sa slobodnim adresama u Srbiji ?

Estimate...

pa rekoh, u stekovima se ima jos dosta adresa...

ima se u štekovima IPv4: ali, evo, da ja ne reklamiram - znam da je jedan od provajdera na korak od IPv6.

No: nek se sam reklamira

Facebook, YouTube, Google, Yahoo itd. su vec na IPv6, a ako imas dual-stack automatski ces biti preusmeren na njihove IPv6 servere:

Objasnjenje je sasvim drugacije, dijagnozu si postavio odlicno i sam:

Ostaje samo da sacekamo da se stekovi iskoriste i isprazne. Onda ce provajderi, voleli to ili ne, morati da predju na IPv6. Ili ce se igrati NAT444 dokle god mogu, tj. dok imaju para da kupuju rutere za CG-NAT i nerviraju korisnike ogranicenjem broja TCP/UDP portova i drugim nus-efektima NAT-a. Sada barem imaju 100.64.0.0/10, sto ublazava glavobolju oko preklapanja adresa, a tu je i L2-aware NAT, pa im se nesto preterano i ne zuri.

Evo posle šest godina se nameće isto pitanje. Samo, mene zanima da li iko od ADSL ISP-ova nudi IPv6 u Srbiji? Iko?
Svi laptopovi, androidi i desktop mi rade super sa tunelom do HE... Brine me ovaj CGNAT jer treba da potpišemnovi ugovor...
Vidimo da Huawei ruteri koji se dele u poslednje vreme imaju IPv6 podršku...
Ako neko ima neki info zahvaljujem unapred...

I mene interesuje kada ce Telekom da pusti ip6 za fizicka lica.

A sto bi pustio? Ne postoji nijedan trzisni pritisak koji bi ih na to naterao. Ako niste primetili u toku je bitka izmedju provajdera raznih usluga za sirotinjski dinar, biju se za osnovne nivoe usluga, a IPv6 nije ni blizu toga. Tuzna istina je da je jedina stvar koja moze da pogura ipv6 to da se udruzi top 10% content provajdera (fajsbuci I guglovi obvog sveta) i da jednostavno najave ukidanje usluga na IPv4 kroz 6 meseci. Vrlo brzo bi ceo svet presao na IPv6. Ovako mrka kapa.

Baš zato... zbog tržišta. Zbog reklame. Kao priča za 4G mrežu...

"Telekom Srbija AD prvi pustio u regionu IPv6"
"Daj mi odma' 5 komada, ili 5 ili nijednu!"

Obzirom da su krenuli da valjaju cgNAT korisnicima, kakvi su planovi sa ipv6 što se Telekonja i SjBBa tiče?

Gledao sam ove tp-link rutere i 99% što se valja kod nas nema ipv6 podršku niti je moguće uvesti zbog male količine memorije/procesorske snage.

Sa druge strane, Telekom u ovim novim ruterima što valjaju imaju podršku za v6, ali nije aktivirana.

A sta se desava s onim serverima koji nemaju ipv6, ili neki ruter do njih nije v6 ili makar dual-stack? Znas li sa v6 adresom bez nat-a v6 u v4 na koliko servera ne bi mogao da pristupis?

Cini mi se da gledate samo tu klijent stranu.

Pa koju stranu da gledam ako ne korisničku? Gledam i onu moju admin stranu i muka me vata kada sam krenuo da čitam i sve mi je to apstraktno i mozak ne može da pojmi tolike opsege i brojeve i heksadecimalna njasra, ali ako su već krenuli da valjaju GCN korisnicima, valjda je red da istim tim korisnicima puste i ipv6 da bude javan.

Sednu Telekonj i SjBB kao najveći i dogovore se, ostali će da prate.

Kakva je situacija u okruženju?

Adaptacija u Srbiji po Googleu: 0.08%

Dakle ništa.


U svetu prešlo 10%

Ovim tempom ću ispasti u pravu kada sam 06.06.2012. u 12:17 napisao: Tako da, od masovne primene ipv6 u Srbiji u narednoj deceniji nema ništa.

Mada realno mi kao krajnji korisnici i nismo spremni za ipv6, odnosno oprema nam nije spremna.

E sad, ovo što valjaju privatni ip adrese korisnicima je l' to zato što zaista fale ipv4 adrese ili što preprodaju postojeće? Nekako mi se čini da je ovo drugo.

Mislim da ipak polako dolazi prva opcija, pogledaj broj IP adresa koji ima TS, vidi koliko korisnika imaju, dodaj njihove servise, mobilnu telefoniju, ako si malo veći poslovni korisnik do skoro si mogao lagano da dobiješ /25, sad već zatežu...

Ma da, taj CGN je sigurno dual-stack, pa ce vremenom kad i gateway-i budu dual-stack da rade v6-over-v4 do CGN-a kako bi moglo da se koristi u prelaznom periodu i v6 i v4.

Nesto trazim u Task Manager-u i primetim pod "Performance > Ethernet" da pokazuje IPv6 adresu. Ukoliko nesto nisam pomesao mislim da to ranije nije bilo, nije pisalo nista.

Otkud sad to? Zna li neko zasto sad ima napisana IPv6 adresa?


Pozdrav!

Koja je adresa?

Au brate, kako mi ovo "profesorkin muž" raspaljuje maštu. :D :D :D

Hehe

fe80:45cbxe330:d15f: ...



Pozdrav!

https://en.wikipedia.org/wiki/Link-local_address

Nije to od SBBa, to ti se sistem sam konfigurisao.

To sam i pretpostavljao, ali zasto to nije bilo ranije? U medjuvremenu sa video i na bencu da je neko isto to primetio, i dobio isti odgovor, a mene samo buni zasto nije bilo ranije (nisata nisam dirao/menjao ni od hardvera ni bilo koje setovanje... mesecima).


Pozdrav!

Nekada ti je ipv6 protokol bio disable-ovan, a onda ga je neki Windows 10 update/upgrade enablovao bez pitanja. :D

A apdejta kol'ko 'oces. Svaki cas nesto apdejtuje. Apgrejd je bio jedan, na sadasnju verziju 1607 (OS Build 14393.187) i trajao je k'o gladna godina a ja se, naravno, zahebem pa mahinalno "Ok" u zlo doba dana oko podne... morao sam da odem negde na kafu, nikad kraja...


Pozdrav!

Pozdrav !

Ipv6 nema pa nema :)

Ja sam prosle godine, iz hobija, koristio Hurrican Electric 6to4 tunel.

Koristio ga tako sto sam u mikrotiku imao tunel koji bi se brinuo o adresama.
Imao sam zamerke od mog klinca, youtube ne radi, brat se nervira jer google pretragu stavlja na holandski (kako je tunel endpoint u Amsterdamu )
pa sam prestao da koristim.

U medjuvremenu Telekom promenio modem i sad sljaka ZXHN H168N V3.1.


S njim, sto problema, naravno. Ne daju username/pass za ppoe konekciju pa sam morao da stavim
mtik u DMZ.

Pre neki dan probam, nema sanse, tunel ni da se uspostavi.

Kontam, mozda ovaj ZTE to blokira pa malo pogledah i vidim on moze da pravi tunel.

Pokusavao sam ali nikako.

Da li imate neki predlog gospodo? :)

Unapred hvala !

ps.
Postavio sam isto pitanje i u Mikrotik forum, ne zamerite :)

_{[Ovu poruku je menjao vladai dana 02.03.2017. u 10:11 GMT+1]}

I dalje ništa od ipv6 u Srbiji, a CG-NAT sve više i više uvaljuju svojim korisnicima.

Zna li neko precizniju informaciju kada startuje ipv6?

Nikad Bachi, jer da su imali zelju da predju na IPv6 presli bi odavno, NAT-ovace i IPv6 i to nuditi kao IPv6! A ovamo palamude o nekim brzinama 50-150 Mbit/s koju realno ne mozes da upotrebis, jer nit je zagarantovana, a protok asimetrican, i nemas javnu adresu koja je dostupna (ni IPv4 ni IPv6).

Voleo bih da vidim tog koji ce natovati ipv6 ;)

Gledam sad oko ipv6 i neke stvari ne razumem...

Najpre imamo link local adresu.

Zatim imamo globalnu adresu koja nastaje kao prefix mreže + derivat MAC adrese interfejsa.

A zatim imamo globalnu adresu ako je uključena privatnost koja nastaje kao prefix mreže + mambo džambo.

Link local adresa je nerutabilna i koristi se isključivo za komunikaciju unutar istog mrežnost segmenta.

Globalna je rutabilna i ona se koristi i za komunikaciju unutar istog mrežnog segmenta, ali i van mrežnog segmenta uz pomoć rutera naravno.

I ako je uključena privatnost za ipv6, ta treća se koristi za odlazni saobraćaj...

Mislim bre, vat d fak?!?!

O čemu (ni)su ovi ljudi razmišljali?

1. Koji će nam K link local adresa, samo moram da vodim računa za dve adrese u firewallu
2. Kad se već koristi DAD za detekciju da li je neka adresa već dodeljena, ŠKK je nekom palo na pamet da od MAC adrese pravi jedinstvenu mac adresu, umesto da se odmah išlo na nasumično korišćenje IP adrese, a uz pomoć detekcije duplikata da se obezbedi jedinstvenost?

Zatim, IP adrese ti dodeljuje provajder i ako promeniš provajdera ili provajder odluči da promeni šemu adresiranja, ode sve u tvojoj lokalnoj mreži dođavola i moraš da readresiraš internu mrežu. :)

Da bi se ovo sprečilo, moraš da registruješ svoj subnet i da obezbediš pretpostavljam BGP i onda si kao nezavisan od provajdera. Ili ako si buranija, onda da koristiš lokalne ipv6 adrese iz privatnog ospega, dakle slično kao današnji 192.168.x.y i da radiš NAT, a onda ti ipv6 komuna kaki što uopšte i pomišljaš na nat. :D

To mu onda dođe četvrta IP v6 adresa je jednom interfejsu. :D

I šlag na tortu. Adrese se dodeljuju na više načina. :D SLAAC koji ti dodeli samo IP mrežu kojoj pripadaš a onda ti odrediš ostatak koristeći i MAC adresu i mambo džambo ako je privatnost uključena, a za DNS i ostale parametre ko ti haba mamu. A onda zatim imaš stateless DHCP koji radi u kombinaciji sa RA. Pa tako ti ruter dodeli samo mrežni prefix, a ti ostatak i onda ti ruter kaže - e brate, ali da znaš da to nije sve, ima i bonus, a za bonus pitaj dhcp server i onda taj dhcp dodeli dns i druge paramtre koje si podesio.

I naposletku, statefull DHCP, gde je DHCP taj koji dodeljuje i IP adresu i DNS i ostale parametre.

WTF!

I naravno, ako sam dobro razumeo, ako imaš Android, zaboravi na ovo poslednje - ne radi. :)

Suma sumarum, neće ovo još dugo, dugo vremena zaživeti, pogotovo ne u korporativnom svetu.

Kad (nikad) pocnu da uvode ipv6 mislicemo o tome. U medjuvremenu uzivaj u CG-NAT-u....

@bachi

Link lokalna adresa ne bi trebalo da ti sluzi ni za jednu drugu primenu osim za komunikaciju odredjenih osnovnih protokola - NDP, DHCPv6.. + routing protokoli ako koristis neki. Za ispravno funkcionisanje tih protokola, od kojih je najbitniji NDP, neophodno je da imas ispravno konfigurisana firewall pravila. To se medjutim resava u par linija koje sve pocinju sa FE80::/10 i generalno se vise ne menjaju..
Za sve ostalo drugo ces (u 99% sucajeva) koristiti global unicast adrese i shodno tome firewall pravila vezana za njih.

Ukoliko ostala pitanja nisu cisto akademska, shvatam da ti je cilj da omogucis IPv6 u mrezi, medjutim, stvari koje si naveo ne vidim kao probleme vec samo da imas vise opcija kako da resis adresiranje.

Opcije ti krecu od najjednostavnije gde ces koristiti samo stateless autoconfiguration i nista vise. Ono sto stateless autoconfiguration ne moze da resi je dodela DNS servera, ali ako je mreza dual-stack i ako vec inace imas dodeljen IPv4 DNS, nije apsolutno neophodno da imas i IPv6 DNS konfigurisan, iako svakako pozeljno. Dalje sve je naravno moguce i zavisi od velicine mreze, zahteva i zelje za funkcionalnostima..


Sto se tice re-adresiranja, rekao bih da je tu stvar kudikamo bolja nego sa IPv4. Od provajdera dobijas (bar kod onih koji imaju cestito implementiran IPv6) minimlano ::/64 global unicast blok (uglavnom kroz DHCPv6 Prefix Delegation) a najcesce je to zapravo ::/48 blok (koji onda mozes koristiti za adresiranje 65k VLAN-ova), dok su tvoji host-ovi u maksimalno /64 mrezi. Nema nikakve objektivne potrebe da ova mreza bude veca od toga. Sve sto treba da uradis je search & replace network bit-ova starog prefixa sa novim, host deo nema potrebe da se menja.
Naravno, ti mozes da kazes da si u IPv4 slcuaju imao situaciju da u internoj mrezi ne moras da menjas nista, jer si koristio RFC1918 adrese, ali to bas nije ispravno poredjenje jer je u IPv6 preporuka, i uobicajena praksa, da koristis global unicast adrese. Istini za volju, i taj slucaj je predvidjen, pa mozes koristiti unique local IPv6 adrese (RFC4193) i onda sebi lepo upropastiti zivot sa NPTv6 (stateless) ili NAT66 (statefull) NAT-om kao "resenjem" koje samo trazi probleme

Konacno resenje za 'problem' re-adresiranja je, kao sto si i naveo, registrovanje svog LIR-a kod RIPE-a i koriscenje dobijenog PI bloka - tu nema bas nikakve razlike u odnosu na IPv4, osim sto ces ga bez problema dobiti, za razliku od IPv4 bloka sada.






Ne bih se bas slozio, ali sta da vam kazem.. ocigledno zavisi kako gde.. Globalno je na oko 30%, u Srbiji 0.01%.

Kao biznis korisnik IPv6 je moguce koristiti na Telekom-u (doduse ne mogu da se setim da li su dodeljivali svoje adrese makar za leased-line usluge ako ne za adsl/gpon i sl, ali je svakako bilo moguce koristiti ih kao IPv6 transit provajdera), za SBB nisam siguran (verovatno da da isto kao transit makar, ali neka me neko ispravi..).
Zalite se, trazite.. pa ce mozda i da promene stav, koji je ocigledno slican tome da se to nigde ni ne koristi.

Pomenuo sam to bio u nekoj drugoj temi, jedini provajder kod koga je IPv6 implementiran kako treba i radi i kod obicnih rezidencijalnih korisnika (sa ruterima koji podrzavaju) sigurno od 2010 ako ne i pre toga, je sadasnji YUnet (nekada EUnet), svi ostali fail.

@optix, hvala na opširnom odgovoru, ali i dalje ne razumem potrebu za link-local adresom, kada NDP, DAD i sve drugo radi i sa global unicast adresom, ako se ne varam. Mislim, razumem da moraš da je imaš, ali što li su je uopšte i uvodili. Drugo, čitam na netu da su kukali na Windows kako u DNSu dinamički registruje upravo tu lokalnu nerutabilnu, umesto globalnu, ali je bajata informacije, možda je MS to ispravio.

I još jedna stvar, za NAT66 mi je jasno za glavobolju, ali za NPTv6 i nije, jer mu do dođe kao dinamički 1:1 nat gde se radi translacija na nivou celog subneta global unicast adresa na unique local. Kakve si probleme nailazio na takve konfiguracije mreže ako si se susretao sa istim?

Za sad jeste na "akademskom" nivou, par puta sam smarao SBB da uvede ipv6 i uvek bih dobio generički hvala na sugestiji odjeb.

Kako se rešavaju dual wan situacije (bez sopstvenog bgpa i pi bloka) u ipv6 svetu?

> Sve sto treba da uradis je search & replace network bit-ova starog prefixa sa novim, host deo nema potrebe da se menja.

Eh, nešto mi se javlja da ovo lepo zvuči, ali teže sprovodivo u praksi, tj. da nije tako jednostavno kad već imaš gomilu rezervisanih hostova u mreži, neke možda i statički dodeljene... Otuda i idem ka NPTv6 implementaciji eventualno jednog dana?

_{[Ovu poruku je menjao bachi dana 30.04.2020. u 09:50 GMT+1]}

Stvar istorije. IPv6 je nastao pre ravno 25 godina, a link-local (fe80::/10) adrese su potekle bas iz tih davnih dana, kada su ljudi pokusavali da nadju alternative za DHCP i ARP, kao i da rese bolan problem renumerisanja mreza ... i nasli su ga u RA+SLAAC+NDP. Osnovni problem je bio sto je od samog pocetka da broadcast izbacen iz IPv6 i zamenjen multicastom i tu se javlja problem kokoske i jajeta. Kada se neki racunar prikljuci na mrezu, on umesto da salje svima MAC broadcast i ceka da mu se javi onaj ciju je IP adresu trazio (ARP), on se prijavi (join) na multicast grupu ff02::1 (all hosts) gde prima RA (Router Advertisement) od rutera. Ili ako je nestrpljiv, posalje RS (Router Solicitation) na ff02::2 (all routers) - multicast grupu na koju se automatski odazivaju svi ruteri i ceka da mu neki ponudi RA. U RA poruci ruter mu posalje global unicast prefix (npr. 2001:db8:cafe::/64), na osnovu koga on odredi sebi globalni prefiks, a host sufiks izracuna EUI-64 postupkom na osnovu MAC adrese (SLAAC). Ako mrezu treba renumerisati to se obavi samo na ruteru, koji hostovima automatski posalje novi prefiks (npr. 2001:db8:dead:beef::/64), a ovi ponovo izracunaju svoje globalne adrese itd. Medjutim, da bi sve to radilo ruter i hostovi moraju da imaju fiksne adrese koje se ne menjaju tako cesto i koje ne zavise od globalnog prefiksa, putem kojih ce komunicirati. To su link-local adrese. RA i RS (Router Solicitation) koristi iskljucivo link-local adrese, to pise i u RFC4861.

Link-local adrese omoguavaju i da se default gateway ne menja kada se renumerise mreza - racunari na LAN segmentu automatski postavljaju ::/0 rutu ka ruteru od koga prime RA.


IPv6 je zapravo poceo svoju ekspanziju tamo gde je problem nestasice IPv4 adresa bio najveci. A to svakako nisu bili korporativni, vec pre svega rezidencijalni korisnici i mobilne mreze. CGNAT je u tom svetu bio dominantan, ali CGNAT ima svoje limite. Ti uzimas ljudima TCP/UDP portove kako bi omogucio da vise ljudi deli istu IP adresu. Mozes tako da ih sabijas u sve uzi i uzi "port space" (ponegde se korisnicima da svega 100 portova), dok korisnici ne pocnu da se zale. Prvi koji se pozale su redovno gejmeri, oni cesto znaju da dave dezurne mreziste kod ISP jer cesto o njihovom poslu znaju vise od njih. Tu najcesce nema nikakve reakcije. Ali kada zalbe pristignu od velikih porodica s gomilom telefona, tableta, gejming konzola ... sve to guta TCP/UDP portove ... e onda se ide na IPv6, jer nema drugog izbora. IPv4 adrese provajderi doduse mogu nabaviti na crno, ali su sve skuplje, a time se samo premoscuje par meseci. Posle toga problemi se ponovo jave.

Ja sam jos pre 5-6 godina od svog provajdera dobio IPv6. Niti sam to trazio, niti su me bilo sta pitali. Stigao mi je novi cable modem jer je stari poceo da baguje, kako sam to ukljucio laptop je dobio javnu IPv6 adresu i privatnu IPv4 adresu, tako da svemu sto je hostovano kod neke od "FAANG" kompanija pristupam preko IPv6, dok IPv4 ide preko Dual-Stack Lite gateway-a (koji je ispod haube zapravo CGNAT).

Medjutim, sada kako svi masovno radimo od kuce, IPv6-only korisnici se masovno guraju kroz taj nesrecni DS Lite GW, jer velika vecina firmi nema SSL VPN GW na IPv6. Nece IT admini da se smaraju sa v6 firewallom, pa drze sve na "cetvorci" jos uvek. Ali pre ili kasnije, morace da izadju u susret i ljudima ciji provajderi nemaju vise IPv4 adresa, tako da ce IPv6 zaziveti i u korporativnom svetu ...

Beri:"Ja sam jos pre 5-6 godina od svog provajdera dobio IPv6. "

Kazi koji je, da ga stavimo u Hall of Fame ;)

Nije u Srbiji, tako da ti to ne znaci previse ... u pitanju je Ziggo Nederland (bivsi UPC). Mada, IPv6 su u Holandiji nudili neki drugi, npr. XS4ALL jos pre nekih 15 godina onima koji su to hteli ... s tim sto je tada IPv6 bio igracka za nerdove, a danas je nesto sto dobijes po difoltu, jer v4 adresa vise prakticno nema (kao sto se to lepo moze videti na https://ipv4.potaroo.net/, ostali su poneki fragmenti koji ce isto tako brzo biti iskorisceni ...).

Evo kako to izgleda kod mene:

Beri:"Nije u Srbiji, tako da ti to ne znaci previse ..."

Eh, a ja se ponadao. Inace hype oko ipv6 u Srbiji je poceo 2011, govorilo se da je tu iza coska.
Kao sto vidis, proslo je 9 godina i sad svi cute... mislim da je to najvise zbog toga sto se jos
uzimaju dobre pare za staticke ipv4 adrese. Ljudi su se pomirili sa CG-NAT-om i ne talasaju,
a oni kojima treba da drze i neki servis nije problem da zakupe staticku adresu.
Ne vidim neki veci razlog odlaganja, osim toga. Prosta inercija, i jos neka direktna korist...

@B3R1, @optix,

Šta preporučujete onda za firewall pravila?

Jednog dana moja zamisao bi bila da dozvolim samo ICMPv6 saobraćaj za fe:80/10 adrese, a sve drugo da blokiram za fe:80/10?


I kako se ponašaju radne stanice?

Ako u mreži nema DNS, a ja pingujem po hostnameu u istom broadcast domenu, pardon, multicast grupi (mora se i u glavi prelomiti i stvari posmatrati izvan ivp4 sveta), na koju adresu će pingovani klijent da se odazove? Na link-local ili global unicast? Koja se adresa preferira u tom slučaju?

Sama ideja da je svaka ip adresa u lokalnoj mreži u stvari javna je dobar osećaj, jer je u suštini Internet i tako zamišljen.

Link-local koriste i razni multicast-related protokoli (MLD, PIM itd.), VRRP, OSPFv3 ima link-local LSA itd. Da li si spreman da se smaras s tim? Ono sto ljudi najcesce rade je da dozvole sav saobracaj gde su src/dst adrese fe80::/10 ili ff02::/64. Ako hoces bas da teras mak na konac, onda mozes da dopustis eksplicitno adrese fe80::/10, ff02::1/128, ff02::2/128 i ff02:0:0:0:0:1:ff00::/104 (ovo poslednje koristi DAD). Link-local adrese ionako ne "cure" van L2 domena.

Ako nemas DNS onda si negde konfigurisao host-to-ip mapping? Recimo u /etc/hosts. Tu se onda koristi adresa koju si konfigurisao. Prosto. Ako imas DNS, koristi se ono sto DNS vrati u odgovoru na AAAA upit (opet ono sto si upisao). Link-local adrese ne treba stavljati u host tabele ili DNS. Nikada!

Inace, u svojoj dosadasnjoj praksi video sam samo jedan slucaj gde je link-local adresa pravila probleme. Neko je konfigurisao Centos da koristi IPv6 i prikacio taj server na VLAN na kome nista drugo nije koristilo IPv6, niti je SVI na switchu bio podesen da koristi IPv6. Taj server je trebalo da komunicira sa CDN-om na kome su bili neki filmovi i metadata vezani za njih. Naravno, stvar nije radila jer je server sve vreme pokusavao da prevuce neki fajl sa CDN-a gde je koristio URL u formi https://metadata.example.org/data/2017/01/33/204123/meta.blah ... posto je na serveru bio ukljucen IPv6, on je sam sebi dodelio fe80::x adresu koja nije sluzila nicemu. Medjutim, to je bio signal DNS resolveru da salje ANY (umesto A) upita ka DNS-u i dobijao je i IPv4 i IPv6 adrese CDN-a. A onda je uporno pokusavao da "gadja" IPv6 adresu ... Naravno, nsswitch.conf i iskljucivanje IPv6 u /etc/sysconfig/network-scripts su to sredili, ali objasni to likovima cija je specijalnost samo i iskljucivo video-problematika (MPEG troubleshooting - kompresija / kodovanje / bitrate / metadata / multipleks) ... i ne znaju ista osim toga ... I opet - to je bio problem na samom serveru, ne u mrezi.

Ok, sad mi je malo jasnije. :)

https://www.menandmice.com/blog/ipv6-reference-multicast/

Gomila stvari ne bi radila blokiranjem multicast adrese ili link local adrese.

E sad još jedno pitanje, da li i na koje konkretno probleme ste nailazili, ako ste se uopšte susretali sa mrežama koristeći unique lokal prefixe sa NPTv6 1:1 translacijom od/ka globalnim prefixom?

Jos uvek nisam video nikoga da je to koristio. Ljudi uvode IPv6 upravo da bi pobegli od NAT/NPT resenja i omogucili da im svi Internet servisi rade 100% E2E, mada ima onih koji i dalje misle da im NAT pruza dodatnu zastitu, sto je besmislica. Zbog njih je NPTv6 izmisljen. RFC6296 ima "experimental" status, tako da nije garantovano da ce svi vendori da ga podrze.

Inace, ako te zanima vise o bezbednosnim aspektima IPv6, evo nekih linkova:

1. RIPE NCC IPv6 Security Training Course - odlican materijal, straight-to-the-point, nema marketing bull$ita, lak za pracenje, ima i praktikum ...
2. ITU/APNIC IPv6 Security Workshop - alternativa, mada je previse Cisco-biased, ali ok ...
3. IPv6 Security: Attacks and Countermeasures in a Nutshell - teska literatura, naucni rad, ali srecom bez matematickih formuletina, tako je prilicno citljiv ...

Beri:"mada ima onih koji i dalje misle da im NAT pruza dodatnu zastitu, sto je besmislica"

Zasto je besmislica?

Da ja probam: Zato sto samo mozes na ruteru da stavis da je default "Deny All" - i imas istu "zastitu" koju imas kroz NAT: Niko spolja ne moze da prodje, ako servis nije explicitno whitelisted.

Deny all je inace normalan policy, ako ti edge ima allow all imas vecih problema... :)

https://0day.work/an-example-why-nat-is-not-security/

Ok, jeste malo namesten primer, ali je dokazao da NAT barijeru prolazis bez ikakvog problema, s obzirom da se jedna kombinacija javne adrese i javnog porta uvek mapira u jednu i samo jednu kombinaciju privatne adrese i privatnog porta. I da, jeste za IPv4, ali za IPv6 vazi identicna prica.

Takodje, vecina modernih napada se ionako ne izvodi grubom silom od spolja, to svaki jeftini ruter lako filtrira, bez obzira da li se u internoj mrezi koriste javne ili privatne adrese. Problem su napadi iznutra, odnosno kad neki mamlaz otvori fajl koji mu pristigne na mail ... ili pristupa nekim sajtovima iz interne mreze koji mu ubace neki malware, putem kojeg napadac dobija uvid u to sta taj radnik radi, moze da vrslja po mrezi kako hoce jer mu je to parce softvera formiralo tunel. I to prolazi NAT bez problema. A za takve stvari ti vec treba dobar DPI/IDS, ondosno content-aware firewall, plus antivirus i grupne polise na svakoj radnoj stanici ... tu ni filtriranje paketa ni NAT ne pomazu ...

Ma dobro to, ali sa NAT-om ti ne treba firewall.

Ma ok, naravno da mozes da pogodis host koji salje ako mu pogodis port, posto nat vezuje dolazni port za adresu, nego fora je sa NAT-om da
ti ne treba firewall. To sto Windows-u ne treba firewall da stiti od spoljnog sveta nego obrnuto, nema veze :P

Meni samo nije jasno kako se onda koristi sve to bez NPTv6 u dual-wan scenariu, kada na ruteru imaš 2 ili više linka od različitih provajdera i hoćeš da radiš load-balancing i/ili failover?

Ok, može da se zakupi ipv6 PI blok i da se radi BGP pretpostavljam i tako obezbedi redudantnost, ali to nije realan scenario za većinu malih i srednjih preduzeća, odnosno, kućnih korisnika.

Meni su musterije uglavnom ovi veliki kojima to nije problem ,zato sam i rekao da to cudo jos nisam video da je neko trazio ... :-)

Ali da, ako hoces da izbegnes BGP onda ti je NPTv6 + multi-prefix jedini nacin u ovom trenutku. Mada, IPv6 PI blok + AS broj i nisu tako nedostizne stvari za bilo koji ozbiljniji biznis.

Inace, u proslosti je na skoro svakoj RIPE/APRICOT/IETF konferenciji bilo reci o IPv6 multihomingu, ali se na kraju sve svelo na "obecanje - ludom radovanje", jer ti forumi uglavnom okupljaju operatere koji rade s velikim mrezama, kako je to lepo primetio Ivan Pepelnjak na svom blogu. Jedino je zaboravio da pomene da postoji RFC7157, ali ni on ne nudi gotovo resenje, vec samo skicira moguce pravce u kojima treba ici.

Sve u svemu, eto mozgalice ... mozda i ideja za neki inovativni startup ... :-)

Do tada imas NPTv6 ... ili BGP + PI blok.

Ja sam maVi. :)

Primetio sam da je dosta standarda povučeno, neki zastareli, neki su tek predlog, neki odbijeni.

Vidi se da se vuče rep razmišljanja starog 20 godina.

A za PI blok i AS broj sam video isto kuknjavu od strane ipv6 zajednice kako se ne bi narušila agregacija ruta?


Hvala ljudi na odgovorima, neke stvari su sad jasnije.

... i tako... 12 godina kasnije mogu da prijavim da pocinje beta test IPv6... better late then never
ako neko hoce da testira malo, a ima SN cable net, nek mi se javi u PP, da proverim da li ima mogucnosti...

DS-Lite i slične fore ili "native" ipv6?

Ovo je inače lepa vest.

Riki spasitelj modema naših, ushering in the new world order of V6

dual stack

Imaš li neke indicije da će se stvari pomeriti i izvan tvog dvorišta?

Nazalost, ne da ja znam.

Kad krene jedan, kreću i ostali.

Ali lično ne očekujem da će to doći do krajnjih korisnika pre 2023, možda i 2024.

Paaaaa, Supernova je 100% na CGNAT, SBB masovno CGNAT-uje korisnike u talasima u poslednje vreme, nobody is safe, Orion nema CGNAT samo zato što nemaju para i tehničkog osoblja da nabave i održavaju CGNAT gateway-e koji bi im trebali za veliki broj korisnika koje imaju (posebno na WiFi i xDSL), dok recimo Astra Telekom koja drži tržište WISP pilićara CGNAT-uje korisnike oduvek, tako su nasleđivali svoje mreže, Beotelnet ista situacija kao Orion, ali i oni neće dugo da izdrže, tako da kada se sve sabere i oduzme, najveći broj korisnika će pod mač-pardon CGNAT vrlo brzo, i onda će se pojaviti veća incentiva za IPv6 kada nastane histerija u javnosti a ljudi jednostavno ne žele da doplaćuju za statičke javne IP adrese.

Inače, sama procedura uzimanja statičke javne IP adrese ne samo da košta mesečno nego je kompleksna, pošto operator zahteva da se podnese zahtev lično, i onda proces odobrenja toga traje do 15 dana, a u slučaju Supernove, šalteruše u Telekom poslovnicama i call centar nemaju pojma kako se uopšte unosi zahtev za IP adresu, pa se dešava da korisnici plaćaju statičku IP adresu ali da im modem i dalje dobija 100.64.0.0/10 IP adresu jer je neka budala zaboravila da klikne da se IP adresa aktivira a naravno naplaćuju to. Ovo sam video više desetina puta.

Kod Telekoma je veći broj, 2/3 dakle, xDSL korisnika na CGNAT, i taj broj će se povećavati. Optika dok je u razvoju neće ići na CGNAT isto kao što dobija 12 meseci po dinar promo dok xDSL nema više po dinar uopšte nego 50% popusta, međutim, sa omasovljenjem optike i ukidanjem javnih IP adresa kod SBB-a, Telekom će se odlučiti za CGNAT vrlo lako, jer već imaju tehničke sposobnosti i opremu za to.

Telenor Hipernet je CGNAT od prvog dana, kao i svi mobile broadband operatori, tako da je i tu priča jasna.

Hetzner naplaćuje IPv4 adrese, kriza je svuda u svetu, situacija je drugačija, stakes have changed, i možda je ovo pravi trenutak. Ja verujem da jeste, i da će SupeRikiNova da pokrene talas.

Iz rezije mi javljaju da su se pojavili neki "majstori" na vratima koji su pronasli neiskorisceno IPv4 rudno blago ... i traze lopate da bi ih iskopali:

https://linuxplumbersconf.org/...0/IPv4_Unicast_Extensions4.pdf

Ma da ... genijalci ... kako se samo toga niko do sada nije setio? Zasluzili su Nobela, nema sta ...

Hajde, 240.0.0.0/4 jos mogu i da progutam, tu zaista treba da imas neki Linux distro (i verziju kernela) od pre 20 godina da bi imao probleme (mada su mnogi specijalizovani industrijski embedded sistemi zasnovani na bajatim distribucijama) ... i do sada sam u nekim testbed okruzenjima korstio te adrese iz zezanja, da vidim da li ce sve da radi. I da vidis - sve fercera! Ali sa novijim verzijama OS na virtuelnim masinama. Sto ne znaci da ce to raditi sa nekim starijim ... ili egzoticnijim ...

Medjutim, zamisli tog jadnika kome dodele javnu adresu 127.1.1.1 koja spada u opseg 127.0.0.0/8 koji mnogi u svom FW setupu blokiraju na svim interfejsima osim loopback ... i gde neki OS to tretiraju kao interni saobracaj. Poslednji slajd im je bas super, frajeri su uspeli da konfigurisu AWS s tim adresama i kazu: vidite da moze. Pa moze, progutace AWS sve ... a da li ce ta AWS instanca moci da prica bas sa svakim sokocalom na Netu? Ukljucujuci i kineske IoT sprave ... Argument na nivou: "moj deda je pusio, jeo masnu svinjetinu i slavske kolace, pa je doziveo 104 godine, prema tome tako mogu svi". Mogu, mogu ...

Mada, u kategoriji jadnika mislim da bi neko ko dobije 0.1.2.3 bio u goroj poziciji ... :-)))))

da, da

pratim diskusiju bas o tome na NANOG mailing listi ovih dana... jbg, da su se setili pre jedno 20-tak godina, mozda bi i imalo sanse da se iskoristi 240/4... sada, mrka kapa, skoro nemoguce...

Lakše će kamila da prođe kroz iglene uši, nego što će se Internet provajderi odreći IPv4 i pokušaja da iscede zadnji /32 iz loopback, multicast, CGNAT, i svih mogućih drugih opsega uključujući i jebeni 0.0.0.0

Samo javno da se zahvalim Ricky na brzoj reakciji :). Nesto pozitivno i od SN :).

Za mene to nije nešto pozitivno nego ekstra potez. Ako brzo krenu u tu priču, mogu da povuku mnoge kojima natovanje smeta a obično ko sklopi UO, nema vraćanja na staro bar neko vreme. Ostali koji će zbog toga takođe morati da konačno promene navike će malo da zakasne i ostanu sa manje korisnika. Samo forsiranje optike i sada šestica mogu mnogo da utiču na SBB koji se pokazuje kao prespor, em su još tanki sa optikom em su alavi za doplatu za fiksnu pa im se ne daju pare za neki napredak. Ili to dobro kriju.

Da ne spominjemo da SN od početka prodaje internet-only pakete bez potrebe da se ima televizija i da su priključne takse za internet bez ugovorne obaveze oko 4000 dinara a ne 12-18000 dinara kod Telekoma i SBB-a.

Zna Lučić šta radi.

Kad je meni trebala statička adresa, nije imalo pojma, a sad će svakom da dodele statičku i kad nešto 'zgrešiš' na internetu samo ti blokiraju IP i možeš da se slikaš :)

Pa nemoj da zgrešiš na internetu. A valjda IPv6 može da bude i dinamička, možda i ona može da se menja restartom.

Samo naglas razmišljam :) Biće dinamičke naravno, ali i statičke, kako za koga...

Gledajte ovo: Možda ima veze:

https://www.youtube.com/watch?v=KsX-7hS94Yo

Osim statičkih adresa, pisaće nam i u mozgu, koja je to adresa :)

99% ce biti slicno kao sa ipv4, nece se menjati IP adrese dok ne istekne lease time... a mozda poludim pa svima dam staticke ipv6 adrese

U tom slučaju, ko zgreši će menjati modem 😆

Ne dele se adrese pojedinačno. Dele se prefixi.

I u tom smislu ne verujem da će neko da banuje ceo /56 blok.

E da, ricky, mojne korisnicima da dajete samo jedan /64 subnet, pliz brat moj.

Ja sam u svom WAF blokirao IPv6 generalno, tj. nisam blokirao nego sam forsirao captcha proveru. Jer ne možeš drugačije protiv botova sa neograničenim brojem IPv6 adresa.

Bože sačuvaj, naravno da ne, ide /56 za korisnika.

Ako može malo pojašnjenje, za mene i verujem ostale koji nisu upoznati
Znam da ipv6 nudi veliki broj adresa, ali zar blok od 56 ili 64 nije nešto ogromno, tipa milioni adresa,
s obzirom da je /128 jedna ip adresa

2^64 je….haos a tek 2^(128-56)

Pa i jeste ... ali poreklo tog 2^64 nije to da se ljudima obezbede bilioni i trilioni adresa, vec nesto sasvim drugo.

Kada je IETF zapoceo rad na novoj verziji IP protokola (1994) i objavio prvi dokument o tehnickim zahtevima za tu novu verziju (RFC1726) jedan od osnovnih zahteva je bila automatska (stateless) konfiguracija hostova bez koriscenja eksternih servisa (npr. u to vreme su vec postojali, istorijski gledano, RARP, BOOTP i DHCP, ali svi oni su zapravo klasicni server-klijent servisi). Neko pametan se tada dosetio da iskoristi princip koji je vec postojao u nekim tada popularnim (a danas vec skoro mrtvim) protokolima, poput CLNP, IPX i jos nekih u kojima je Layer-3 PDU u sebi nosio Layer-2 (MAC) adresu ... i da taj princip ugradi u dizajn IPv6 protokola. Ideja je da svaki mrezni adapter (NIC) automatski generise "Host ID" deo IPv6 adrese na osnovu Ethernet MAC adrese (EUI-64 algoritmom), sto je standardizovano tzv. SLAAC procedurom. Time se obezbedjuje da svaki host na mrezi automatski dobije jedinstvenu adresu (jer su MAC adrese uglavnom unikatne). Posto EUI-64 zahteva 64 bita od samog pocetka je usvojeno da svaki LAN segment automatski dobija po jedan /64. S tim da nigde u standardu ne pise da moras da koristis SLAAC. Jer ne moras. Mozes i dalje da dodeljujes IPv6 adrese staticki kao i do sada. Ili da koristis DHCPv6.

/56 je nastao kada su IPv6 adrese pocele da se dodeljuju broadband Internet korisnicima ... u to vreme postojao je standard RFC3177 koji je savetovao provajderima da uvek daju /48. Ali vec 10 godina kasnije ljudi su primetili da je to preterano i predlozili /56 novom preporukom RFC6177, gde je receno /48-/64. U medjuvremenu kucne mreze su pocele da bivaju slozenije, mnogi ljudi koriste VLAN-ove, a u multi-play mrezama gde provajderi standardno nude i svoj IPTV VLAN-ovi su obavezna stvar ... pa je /56 neka razumna mera za kucne korisnike, koja im omogucava 256 VLAN-ova (svaki VLAN dobija po 1x /64), sto je postalo de facto standard medju ISP.

O retorickom pitanju da li IPv6 adresa zaista ima mnogo ili ce ih vrlo brzo biti opet malo pisao sam ovde, pa da ne ponavljam pricu ... Naravno, taj clanak je samo moje licno misljenje, na osnovu ovoga sto vidim kako se opet arče te adrese ...

slobodno podeli javno iskustva posle par dana koriscenja

toplo preporucujem IPvFoo plugin za FF i Chrome:

A vidite šta se sve meni nakačilo... Dal da se brinem?

Mislim da ima veze sa supermoderatorskim statusom na mojoj strani

Djricky me je ekspresno dodao na IPv6 mrezu... nema tu mnogo da se prica, radi :)

Radi testa, iskljucio sam IPv4 na racunaru. ES radi, Viber radi, Google, Yahoo, FB, Instagram (Twitter ne otvara, probao sam sajt).

Hoce li se ovo siriti i na ostale ISP-eve u skorije vreme?

A šta sad mi obični korisnici da radimo?

da čekamo, ako testovi prodju beta fazu, i ne pokaže se da ipv6 ima sporednih efekata, onda da puste i ostalima ;)

Moj test je bio malcice duzi, bio sam dokon, nedelja jutro, kisa napolju ... pa kaze:

Potpuno ispravno rade:
* Elitesecurity (jeeeeeee ...). :-)
* Benchmark.rs
* Google (i svi njihovi servisi - npr. YouTube, Google Play Store itd.)
* Yahoo
* Facebook (i svi njihovi servisi - Instagram, WhatsApp itd.)
* LinkedIn
* Netflix
* Spotify
* Bing
* Blogger (.com)
* Viber
* Telegram

Delimicno rade:
* Skype (neke elemente vuce sa IPv4 sajtova)
* Microsoft Store (opet neke elemente vuce sa IPv4 sajtova)
* RNIDS - Web sajt ne podrzava IPv6, dok vecina DNS-ova za .rs mahom ima IPv6 podrsku i AAAA record ... hajde, barem nesto ...

Crna lista (ne podrzavaju IPv6):
* Amazon
* Apple (i svi njihovi servisi - Apple Store, iTunes itd.)
* GOV.rs (no comment)
* MainStream.rs (hoster bi morao da podrzava IPv6 ... ).
* SBB
* Telekom.rs
* Twitter
* StackOverflow
* TikTok
* VKontakte
* Wordpress (.com i .org)

Od nasih domacih medijskih sajtova - IPv6 podrzavaju (odnosno izabrali su hostera/CDN koji to podrzava) samo: Politika, N1 i Kurir. Niko od ostalih (rezimskih i antirezimskih) nema IPv6.

Na kraju, ako gledamo cisto istorijski - prvi Web sajtovi na prostoru citave Srbije su nikli na ETF-u i FON-u. Nijedan od ta dva fakulteta nema IPv6 ni u tragovima. A barem to nije neki problem podici u lokalu, pa nisu to neki slozeni CDN-ovi sa georedundansom, pa da kazu "uhhh, slozeno, brateeee". Nego po jedan drljavi server ili mozda 2-3 sa load balanserom ispred. Mada, pitanje je da li je ceo AMRES uopste IPv6-enabled, tako da ... ne vredi trositi reci ...

Nije samo problem IPv6 u Srbiji. Veliki otpor migraciji pružaju i drugi provajderi u svetu. Razlozi su razni.
Jedan od razloga jeste što treba promeniti dosta opreme koja ne podržava IPv6 za starije CISCO rutere ili upgrade IOS-a ili novi.
Drugi po meni glavni razlog jesu mrežni administratori koji su jedva svaladali subnetovanje na IPv4, tako da im se na pomen IPv6 izaziva samo da kolutaju očima i uzdišu.
IPv6 koristim od 14 aprila 2009.g preko tunnelbrokera i 6to4 tunela. Mikrotik od verzje 3.31 podržava IPv6. Jeste da je bio malo bagovit ali to su dosta dobro upeglali.

Evo da pridodam neke sajtove koji se kod mene hostuju i vidljivi su na IPv6
TV Kristal
Radio klub Centar Kraljevo
Fizijatrijska ordinacija
Energo DOO

Takođe DNS-ovi i mail serveri su IPv6 vidljivi.

Mali WISP provajderi koji uglavnom koriste mikrotik imaju sve tehničke uslove da puste IPv6.
Tako da mislim da je glavni problem je IT kadar kod naših provajdera.

Može li kod supermoderatora da se iskuka jedan /48 opseg kod supernove???


<sub>[Ovu poruku je menjao sdurut dana 12.12.2021. u 13:24 GMT+1]

[Ovu poruku je menjao sdurut dana 12.12.2021. u 13:24 GMT+1]</sub>

Nisu razni, vec cena koju treba platiti za to.

Takozvani "veliki kvartet" telekomunikacija (Cisco, Juniper, Nokia/ALU, Huawei) imaju punu, stabilnu podrsku za IPv6 godinama (prva 3 vec 15+ godina). S druge strane, retko koji operater drzi h/w i s/w stariji od 10 godina. Problem su najcesce razni sporedni sistemi (CMTS, BRAS, OSS/NMS - monitoring, billing itd.) koje treba prilagoditi. Po pravilu, sto je firma veca problemi su veci, jer je i broj tih sistema za podrsku i administraciju veci, slozeniji i zamrseniji.

Primera radi, u bivsoj firmi u kojoj sam radio, projekat uvodjenja IPv6 je trajao oko 3 godine, pri cemu je IPv6 u samoj mrezi (core/edge) aktiviran za par nedelja. A ta mreza je brojala oko 10,000 rutera i obuhvatala (u to vreme) oko 16-17 zemalja. Najveci problem su predstavljali CMTS, cable modemi, eMTA uredjaji (tv set-top-box + cable modem + fiksni telefon = "3 u 1" :-) ) itd. jer je svaka od tih zemalja imala svoje uredjaje koje su nabavljali nezavisno itd.

I da - bilo je potrebno i da menadzeri shvate zasto to mora da se uvede i zasto to mora da bude zvanicni projekat unutar firme, koji mora da ima isti prioritet kao i sve ostalo.

Postoje kvalitetni ljudi koji znaju ne samo IPv6, vec i IPsec, MPLS i jos mnogo toga stosta. Ali kostaju.

Takodje, niko se nije naucen rodio, a sve se da nauciti, pogotovo proste stvari. Nije mrezni inzenjering teorijska astrofizika, da bi ti za to bio potreban doktorat i nekakvi sci-radovi. :-)

Ali da, obuka kosta. I seniori koji poznaju te tehnologije takodje kostaju. Ni kod stare babe ne moze za dzabe. Sto se opet svodi na to da neko mora da otvori novcanik.

Pravi domacin, tako je! :-)

Nisu problem ti mali. Vec daleko vise oni veliki, kao sto sam to gore opisao. A bez tih velikih nema posla, jer su manji WISP zapravo potprovajderi onih vecih (u slucaju Srbije: Telekom i SBB).

Nije problem kadar, vec gazde tih provajdera. Cast retkim izuzecima, pravim domacinima, ali vecina bi da pravi pitu od g****a. A Bosanci lepo kazu: od svega mozes pitu pravit', osim od g****a.

Pametnom dosta.

Slažem se sa svakom napisanom reči. Pravo u centar.

Na "World IPv6 Launch" dan, 2012. godine, u Visokoj ICT školi sam pokrenuo IPv6, koja je povezana na RCUB.
Tako da je, još u to vreme to bilo moguće preko AMRES-a, što verujem da je i sada slučaj.

A dobro, opet pitam, ima li nekih beneficija za obične korisnike...i ako sam učio to...zaboravilo se..ima li adresiranje nekakve veze sa spamom, hakerima i slično...

Šta znam, za one koji imaju probleme sa podrškom na nivou ipv6 ima 6rd, ali ne znam koja je mana, možda problemi sa MTU?

https://en.wikipedia.org/wiki/IPv6_rapid_deployment

U suštini, domaći provajderi se nisu cimali, jer su do skora imali ipv4 adrese manje više za sve. Kako je u poslednje vreme značajno porastao broj korisnika, privremeno su rešili problem sa natovanjem. Međutim, to je postalo besmisleno, a i verujem da se i korisnici masovno žale na sam kvalitet usluge, jer nikom se ne popunjavaju razne kepče dok surfuju po netu.

Po meni je ipv6 uveliko trebalo da zaživi, ali dobro, bar se krenulo.

Sad je jedino pitanje koliko će onaj tromi SBB da ispravi sve to.

> Sad je jedino pitanje koliko će onaj tromi SBB da ispravi sve to.

Neće.

Da dodamo i sledece koji rade:
Cisco
Juniper
Huawei
HP
Mikrotik
TP Link
Sony



I one koji ne rade:
Kupujem prodajem
Aruba Networks
Samsung.com
LG.com
Duckduckgo
IMDB
Telenor.rs
Limundo/Kupindo
Steam
Ubiquiti

TOR mrezi se (barem u ovom trenutku) ne moze pristupiti samo kroz IPv6.

... mogao bih ovako do sutra :)

Vodi racuna o tome da mnogi vendori placaju hostovanje svojih sajtova kod velikih wholesale CDN/cloud provajdera (Akamai, AWS, Cloudflare, Level3/Lumen ...), ali i nekih manjih igraca. Microsoft se godinama hostuje na Akamai, s kojima su kasnije sklopili i poseban partnerski ugovor iz koga je izrastao Azure. Ali vendori rutera npr. nemaju interes da finansiraju sopstvene privatne klaude za svoje web servise. Cisco, Juniper, Huawei, Nokia i HP koriste svi Akamai, u sta mozes lako da se uveris cak i ako koristis obican ping/traceroute ... samim tim, oni podrzavaju IPv6, jer je Akamai to sredio jos 2012 ...

Mnogi veliki domaci sajtovi (B92, KP, Kupindo/Limundo itd.) koriste Mainstream, a njihova platforma jos uvek ne podrzava IPv6 ...

Za obicne korisnike nema nikakve razlike, jer obican korisnik nema pojma sta mu se vrti ispod haube i sta je to IP adresa uopste. Obican korisnik je onaj koji vristi kako mu "Internet ne radi" kada ne moze da pristupi Instagramu ili Fejsu ... kao i onaj koji vristi kako mu je telefon crk'o kada mu ne radi Viber. Obicnom korisniku je svejedno da li IP adresa ima tacke ili dvotacke. On to ako vidi. Obicnom korisniku Internet je potreban da obavi na brzinu neki posao, pogleda neki YT klip (ili nesto eksplicitnije ponekad, hehehe ...) u vreme dokolice, pusti neku play listu na Spotify da mu svirucka u pozadini dok nesto cita, smeje se vicevima drugara iz Viber-grupe itd. I nije ga briga kako sve to radi sve dok radi.

U ovoj priči razlika može da bude što će da ima javnu adresu pa neće da bude problema koje mogu da prave natovane.

I što ne mora da popunjava kepču na svakom drugom sajtu ako je isp natovao 5000 korisnika iza jedne javne ip adrese.

Ovo za captcha nažalost nije pravilo... Ja imam fiksnu javnu IPv4 adresu, pa mi se pojave... Na nekim sajtovima ili forumima...

To je verovatno pravilo tog sajta/foruma kojim samo proverava da nisi robot i verovatno se uvek i svima pojavi. Često dobijam polje u kom potvrđujem da nisam robot a čak mi se povremeno desi da kod nekog logovanja ili promene moram da selektujem sva polja sa semaforima, taksijima ili biciklama. Ovo o čemu bačilo priča su kepče na ordinarnim mestima gde se inače ne pojavljuju onima koji se ne javljaju sa sumnjivih adresa.

Sto sajtova koji se hostuju kod Mainstream-a tice, ne postoji neka konkretna tehnicka prepreka za IPv6 u smislu nedostatka opreme ili ljudskog znanja. Kao i mnogi, MNS ima vec godinama IPv6 u core delu i funkcionalan je prakticno sve do samih okruzenja klijenata. Pored toga, IPv6 za klijente je nesto sto nam je svakako jedna od vaznijih stavki u ovom trenutku i na tome se radi. Ne bih se mnogo ponavljao sto se tice razloga zasto uvodjenje IPv6 ide ovako sporo, vecina stvari je vec pokrivena u ovoj temi. Konkretno u slucaju MNS-a, mislim da je najveci uzrocnik nedostatak potrebe za IPv6 od strane klijenata (zbog nedostatka IPv6 krajnjih korisnika), iako postoje neki koji razmatraju IPv6 i nadam se da ce to uskoro zaziveti. Obzirom da prelazak nekog portala na IPv6 nije samo pitanje connectivity-ja, pored toga postoji i pitanje spremnosti samih aplikacija za IPv6. To naravno ne treba da bude nikakvo opravdanje za hosting i internet provajdere, i mislim da bi svi mi (bar tehnicki deo ekipe) morali da se potrudimo koliko je u nasoj moci da obezbedimo IPv6 connectivity svim klijentima bez obzira da li to klijentu treba ili ne, kao i da vise edukujemo klijente (posto nema ko drugi). I sam priznajem da sam bio delimicno pasivan povodom promovisanja cele IPv6 price, pa sam sebe sad doveo u situaciju da me Beri indirektno prozove za to

Ko je pratio ovogodisnji RSNOG cuo je da SBB planira pustanje IPv6 korisnicima u 2022, a vidim sad u ovoj temi i da se SN sprema za slican poduhvat, pa mi je drago i sto ce ricky posle svih ovih godina guranja IPv6 konacno doziveti da korisnici masovno dobiju IPv6 Ono sto ja mogu licno da obecam, iako ne zavisi sve od mene, je da ce svi Mainstream korisnici koji budu zeleli da dobiju IPv6 ga i dobiti, i da ce sa te strane biti pokriveni za rollout IPv6 od strane ISP-ova, kada vec za to dodje vreme.

Kakva li će situacija biti kod mobilnih operatora? Hoće li i oni nuditi ipv6 korisnicima i na taj način obezbediti i dolaznu konektivnost?

kad sam bio u grckoj letos, kupio sam cosmote karticu, naucen iskustvom od prethodnih godina da imaju ipv6, ali sam se prijatno iznenadio kad sam video da je drugi telefon, koji je isao preko hotspota preko prvog telefona sa cosmote karticom, takodje dobio ipv6 adresu ali iz nekog drugog prefiksa, sto znaci da koriste prefix-delegation

a ako mogu grci da naprave, mogu valjda i ovi nasi...

Evo malo da se javno pohvalim. Još jedan korisnik Supernove je dobio IPv6 preko optike.

Veliko hvala djricky-ju za uloženi trud i vreme !!!

Mogu samo da potvrdim. Kao korisnik supernove (iza CGNAT) neretko imam captche na sajtovima koji su iza cloudflare-a, a to je dooosta sajtova. Ja resavam to VPNom, ko nema VPN trazi semafore i brodove.

@djricky

Kako ide testiranje?
Ima li kakvih problema?

P.S. Kod mene je sve ok.

https://stats.labs.apnic.net/i...mp;x=1&s=1&p=1&w=2

update:

bravoooo :)

Ima li problema za sada?

mjok... radi "as expected"...

Bravo, sve cestitke ... 30% - najbolji rezultat u Srbiji! :-)

oooo presli smo 1%.... https://www.google.com/intl/en...#tab=per-country-ipv6-adoption


cini mi se da smo do nedavno bili ispod?

Hoće li neko običnim korisnicima reći, šta nam je činiti?

Pa pogledaj malo unazad, privavljeno je. A i mora malo da se sačeka, ja plaćam račun Supernovi pa i dalje ne merem da se apgrejdujem.

bili smo...

khm... 2%

3%

radi fino ovija IPv6 na Supernovi... imam 19/20 na ipv6-testu slučajno sam uključio baš juče i rekoh hajde da proverim ovu temu na ES...
sećam se, pre jedno 10-ak godina kada je pričano o tome ovde na ES-u, da sam skupljao neke značkice na HE pa sam uspeo 20/20 ali je u pitanju bio 6in4 Static... bila je neka caka da se podesi hostname odnosno AAAA record za određeni PC na afraid.org... ali fino da čak i DNS radi preko ipv6... obično provajderi ostave DNS na ipv4...

@djricky
kakve su šanse da delegirate /48 ?
Verovatno će uslediti pitanje šta će ti? :) Znam da je /64 2 na 64 odnosno 18,446,744,073,709,551,616 ali evo o čemu se radi...
da bi na više interfejsa odvojenih imao IPv6 (recimo GUEST wifi)... Ovi "stručnjaci" ovde kažu da he preporučeno da "svaka kuća" ima /48 ?

/48 ćeš da sanjaš kao fizičko lice. Kao firma je moguće.

Ali /56 bi trebalo da bude neki standard za fizička lica.

Iskreno se nadam da Ricky ne deli jedan /64 po korisniku. :(

Znaš šta, možda i deli /56 ali ja ne znam da zatražim odnosno moj ruter... koristim neki udhcp6c kompajliran uz busy box, moram to da pročačkam a nemam vremena... zanimljivo je da mi ovaj sajt pokazuje 1560 MTU na ipv6... što je valjda dobro...

Ako koristis /64 na svakom interfejsu, /56 ti omogucava da adresiras do 256 interfejsa. Imas li toliko kod kuce?

Nemam, to je baš puno interfejasa a ja siromašni državni službenik tj. kurton efendija... Ako je to poanta...

Svakako /64 je pilićarenje

PoEnta u Srbiji,da prostiš.

PoEnta, izvinjavam se... izletelo mi. Gledao sam novi spot na YT od Lidije Baćić Lile - "Solo sam ja" (ne guglajte nije za slabija srca) pa mi izletelo... Ali, u vezi sa temom... tcpdump na ruteru mi kaže da YT vuče preko ipv6... Latencija prema šahovskim sajtovima manja za ravno 30ms, pa za onog ko igra "bullet" je to nezamislivo iskustvo... to je verovatno zbog rutiranja, manje hopova? Discord takođe radi mnooogo bolje... Hvala djricky, ono za /64 nemoj da shvatiš lično...
Inače, ako je SN uzela /29 ipv6 to je 512k /48... ako su podaci sa neta tačni...

_{[Ovu poruku je menjao Mile-Lile dana 11.02.2022. u 07:22 GMT+1]}

dajemo /56 po korisniku, cable ruter uzme jednu /64 iz prve /60 za LAN bridge, a DHCPv6 server ka LANu daje drugu /60, nisam probao da povezem i drugi ruter iza kablovskog da vidim sta ce dobiti, mada verovatno poslednju /62, probacu u cetvrtak

https://bgp.he.net/AS41937#_prefixes6

ima se malo vise od jedne /29

4% :)


I dalje rolloutujete?

jes, polako ali sigurno...

https://stats.labs.apnic.net/i...mp;v=1&p=1&r=1&w=7

Ovde je malo realnije, sedmodnevni prosek...


_{[Ovu poruku je menjao djricky dana 15.02.2022. u 17:37 GMT+1]}

Hvala na pojašnjenju sad je mnogo jasnije, ubih se pokušavajući i nikako da dobijem /56 samo /64... daa, imam svoj ruter iza kablovskog koji je u bridge modu...
Nego ako može još jedno pitanje... znam da ovo nije mesto za podršku... ali eto, ako hoćeš drugarski da odgovoriš...

ako dobijem /56 subnet... primera radi: 2a06:5b02:6ff:e100::/56

da li mi je ::1 gateway i lokalni dns, dakle da li mi je 2a06:5b02:6ff:e100::1 gw i local dns i da li su adrese od ::0 do ::7 rezervisane?

hvala

Dobio si /56 mozes da radiš s njim šta god poželiš, sam organizuješ svoju lokalnu javnu IPv6 mrežu…

Koji ruter imaš?

Supernova.

??

ako pitaš za ovaj što sam dobio od supernove piše ovo:




a ako pitaš za moj ruter, koristim

SBB još uvek ništa. :(

Pa kad im fali riki :)

zanimljivo je da i ntp klijent preferira da se sinhronizuje preko ipv6... ili možda hostname resolvuje rađe u ipv6...

Kod Windowsa, a pretpostavljam i drugih OS se inače preferira ipv6 u odnosu na ipv4, pa tek ako ne uspe da se "posao" odradi sa ipv6, onda pokušava ipv4.

Što zna da bude korisno, ali zna da bude i pakao, ako ipv6 nije dobro konfigurisan na mreži.

https://docs.microsoft.com/en-...king/configure-ipv6-in-windows

Kod mene u mreži je Prefer IPv4 over IPv6 uključeno unutar domena, jer mi ne koristimo ipv6 u lanu i nećemo skoro uvoditi.

Kakva je situacija sa A1 kućnim netom?

Linux - /etc/gai.conf - opisan u RFC3484.

Da, imao sam takav problemcic jednom. Nije bio nikakav pakao, u tom konkretnom slucaju problem je resen iskljucivanjem IPv6 na OS nivou, jer IPv6 na tom delu mreze nije bio konfigurisan uopste, a server koji je isporucio vendor je bio unapred definisan za dual-stack IPv4/IPv6 mrezu. Par linija u /etc/sysctl.conf (potom: sysctl -p):

@TheSpiridon IPv4-only CGNAT, nema indikacija da bi se moglo menjati u skorijoj budućnosti.

Da, kao i kod ostalih mobilnih operatora.

Od njih sam očekivao da prvi i krenu sa ipv6 pričom...

četiri puta više DNS4 nego DNS6 upita...

Nisam siguran dali je ova tema odgovarajuca za pitanje u vezi ipv6 ...
Nisam upucen u sve tehnikalije u vezi ipv6, nadam se da mi mozete pomoci.

Koristim Supernova ipv6 kod kuce i na poslu.
Koji algoritam se koristi za generisanje ostatka ipv6 adrese, posle prefixa koji dobijem?

Kod mene su zadnjih 64 bita adrese isti za moj laptop, dok se prvih 64 menja.

npr.
kuca: 2a06:5b01:89fb:5f00:31c4:9a82:21a0:b911
posao: 2a06:5b01:89fc:5f00:31c4:9a82:21a0:b911

Hvala

Verovatno je korišćen tzv. SLAAC i na poslu i kod kuće... Na osnovu EUI 64 tehnike tvoj kompjuter pošalje "Router Solicitation message" a kroz RA rutera dobije difoltni GW i globalnu unikast adresu i onda na osnovu svoje MAC adrese formira IPv6...
pošto je MAC tvog laptopa ista onda se taj poslednji deo ne menja... nego kad dođeš na posao koji ima drugu globalnu unikast adresu, promeni se samo prvi deo.... eto da tako objasnim "po seljački" kad neće ovi stručnjaci da se jave...

Evo ovde imaš objašnjen EUI-64

tako da po ovome što si ovde naveo, reč je o istom računaru na dve različite ipv6 mreže...

2a06:5b01:89fb:5f00:31c4:9a82:21a0:b911
2a06:5b01:89fc:5f00:31c4:9a82:21a0:b911

Nije EUI-64, vec SLAAC-PE (SLAAC with Privacy Extensions).

Standardni EUI-64 ima dva prepoznatljiva bajta FF:FE u IPv6 adresi. Na primer, na mojoj virtualki MAC adresa interfejsa je 08:00:17:ac:b3:12, a donja 64 bita IPv6 adrese su: 0a00:17ff:feac:b312, to je Centos koji je namesten da koristi standardni SLAAC. Ako se ukljuci podrska za SLAAC-PE kernel sam konfigurise random adresu, koristeci MAC adresu interfejsa kao kljuc za random generator. Otuda se na istom interfejsu uvek generise ista MAC adresa. Windows koristi SLAAC-PE po defaultu.

Vise informacija ovde.

Berislave, ovo si baš lepo objasnio. Hvala!

Hvala lepo Mile, B3R1.

Ako dobro kapiram, adresu generise ruter kod Supernove...?

Znaci da bih imao razliciti zadnjih 64 bita, moram da imam drugu MAC adresu?
Ili postoji drugi nacin?

Taj laptop je ubuntu 1804.

Postoje tri varijante ipv6: SLAAC, stateless, statefull... Za SLAAC nije potreban dhcp6... ruter samo šalje advertisement (RA) u kome klijent (tvoj laptop) dobije GW i globalnu unicast adresu i na osnovu tih podataka sam generiše ipv6 u tom segmentu... kao neki autoconfig protokol... Što se tiče MAC na linuxima možeš da isključiš bind mac adrese pa se ona stalno menja.... Ili da preko sysctl omogućiš private extension, ovo o čemu Berislav piše ali ne znam da li tvoj ubuntu kernel na 18ici to podržava...

...
https://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt

Da bi ukljucio private extension treba da stavis dvojku globalno i za svaki interfejs posebno.

Negde sam pronasao da je PE implementiran jos u kernelima 2.*, a ovo gore je izlistano na Ubuntu 16 ... tako da bi Ubuntu 18 sigurno morao da podrzava to ...

na mom Debianu nije po difoltu uključeno... a i na svim drugim linuxima kojima sam danas imao pristup... iz nekog razloga kernel mainteineri ne vole izgleda PE...

Da li bi neko, mogao da mi objasni kakva je ovo greška ili da me uputi gde bih mogao da nađem kodove za greške ip toolsa... Sve radi kako treba ali sigurno piše s razlogom da postoji greška kod mene u konfiguraciji... jasno mi je šta je local loopback if ali ne razumem kakva ruta ne postoji do lo if-a... mogu da ga pingujem i ima inet6 adresu (::/128)...

Posle 2 godine, morao sam da pozovem Supernova ISP, da mi uklone IPv6 sa rutera (nazalost, ruter nema mogucnost da ja sam iskljucim tu opciju).

U poslednje vreme, primetio sam da mi mnogi sajtovi sporo rade, tj otvaraju se, neke aplikacije (kao sto je iRobot, e-banking i sl) nikako ne otvara, dok ne predjem na mobilni hotspot.
Pretpostavio sam da je do IPv6, pozvao ISP i nakon iskljucenja, sve radi kako treba.

@Marcony
nisam ćesto na es-u pa nisam video ovo... Ja sam imao tih problema u početku i negde sam došao do zaključka da njihovi DNS6 serveri rade nepouzdano...
ne znam da li si koristio svoje ili njihove dns-ove?
na kraju sam završio sa plaćenom verzijom nextdns i koristim nextdns cli za enkripciju... 200 dindži mesećno...

Mile,

Da je servis kritičan, platio bih. Međutim, ovo je za kućnu upotrebu i test, pa sam samim tim isključio IPv6.