<div dir="ltr">No ja jsem zrejme nejak zastydlej v IPv4, ale nejak mi neni jasne jakym zpusobem mam otevrit FW, kdyz na zarizeni neni trvala IP a po adresach se stehuje... Nebo to mam chapat tak, ze pokud zarizeni sedi stale ve stejne siti tak ma pridelenou stale stejnou IPv6? nebo po restartu dostane nejakou jinou?<div><br></div><div>Procital jsem ted ruzne clanky z ruznych konferenci a je to vazne neskutecnej bordel. Namatkou treba: <a href="https://www.root.cz/clanky/ipv6-je-budoucnost-ne-vsichni-ale-implementuji-spravne/">https://www.root.cz/clanky/ipv6-je-budoucnost-ne-vsichni-ale-implementuji-spravne/</a></div><div><br></div><div>treba hned ten prvni prispevek od P.Satrapy</div><div><br></div><div>RV</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">Dne 3. října 2017 8:47 Petr Zapadlo <span dir="ltr"><<a href="mailto:zapik@email.cz" target="_blank">zapik@email.cz</a>></span> napsal(a):<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Abych řekl pravdu, ipv6 je na vzestupu a moc si nedovedu představit, že v tomto okamžiku to zase zařízneme a začneme s nečím jiným.<br>
<br>
Spíše bych doplnil tu zpropadenou autokonfiguraci.<br>
<br>
Jak již tu zaznělo, představa bezpečnosti na ipv4 za NATem je iluzorní a proto schovávat IoT zařízení za NAT je celkem zbytečné - pokud budou za slušným FW, tak je jedno jestli jsou na ipv6 a nebo ipv4.<br>
<br>
Co mi vadí intenzivně je současná agonie - při změně ISP mám těžký problém dostat veřejnou ipv4 adresu a pokud tak za měsíční poplatek, který často dosahuje ceny za konektivitu, to považujete za normální?<br>
<br>
<br>
Petr<br>
<br>
<br>
<br>
Dne 03. 10. 17 v 8:17 Jaroslav Meduna napsal(a):<div class="HOEnZb"><div class="h5"><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Ahoj, o posledních Vanocich se jeden "borec" v IETF (Khaled Omar) pokusil o<br>
takovy vanocni vtipek a poslal do skupiny draft na IPv10 (kombinaci v4 a v6,<br>
tj. 4+6=10). Mělo to slouzit k pobaveni plena v době odpocinku. Ale castecne<br>
to vypada, ze se to trochu chytlo a v lete to IETF vydala jako realny draft,<br>
který ted lezi k pripominkam. Z toho je videt, jak zoufala je situace kolem<br>
IPv6. Kdyby ted bylo k dispozici "rozumne" rozsireni v4 protokolu, rada by<br>
na to většina presla. Osobne si myslim, ze ambice konce devadesátých let, ze<br>
je třeba zajistit uplnou viditelnost každého zarizeni s kazdym a mobilitu<br>
cilove adresy, je ve svetle dnešního internetu mimo misu. Cloudove<br>
technologie to zasadne zmenily, uz jenom kvůli IoT, kde je rozumne ty "male,<br>
hloupe" krabičky odstínit od zbytku "nebezpečného" internetu za nejaky<br>
router/NAT/FW, protože mají v sobe maly procesor, do kterého se kvalitni<br>
bezpecnostni vrstvy nevejdou, nehlede na SLA pravidelne udrzby. A pak je<br>
divadlo i u těchto krabicek s v6 neefektivni. Pokud jedete na moderni (ale<br>
spise mondenni) vlne v6, pak je to celkem snadne, routry známých znacek mají<br>
bezne dualstack, z hlediska bezpecnosti si spravne pro v6 nakonfigurujete FW<br>
a zbytek byva pripraven, vcetne zde drive zminene autokonfigurace klientu,<br>
za kterou by každý správce naplacal IETF na holou. Pekny den, JM<br>
<br>
-----Original Message-----<br>
From: Hw-list [mailto:<a href="mailto:hw-list-bounces@list.hw.cz" target="_blank">hw-list-bounces@list.h<wbr>w.cz</a>] On Behalf Of Petr Simek<br>
Sent: Monday, October 2, 2017 9:24 PM<br>
To: HW-news <<a href="mailto:hw-list@list.hw.cz" target="_blank">hw-list@list.hw.cz</a>><br>
Subject: Re: OT IPv6 - prakticke zkusenosti<br>
<br>
On Mon, 2 Oct 2017, Jan 'yanek' Bortl wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
No ono nejde az tak o to se neco naucit, ale pokud jste v IPV4 byl<br>
zvykly na urcity bezpectnostni standard, tak v IPV6 je to uplne naprd.<br>
</blockquote>
S timdle nezbyva nez souhlasit. Nicmene bezpecnost v bezne IPv4 siti<br>
je jen chimerou. V IPv6 je to diky SLAAC o trochu horsi.<br>
</blockquote>
V tom je prave ta demence vymyslitelu IPV6 . Na principu autokonfigurace<br>
neni nic spatneho , koneckoncu dhcp neni nic jineho, ale ze to vnutili vsem<br>
jednim (blbym) zpusobem to je spatne. Meli uz v navrhu pocitat s ruznymi<br>
rezimy od volneho po striktni. At si kazdy spravce vybere co potrebuje.<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Docela bych uvital smysluplnou (proveditelnou) radu jak v IPV6<br>
pridelit PC konkretni IPV6 adresu a vnutit mu jeji pouzivani kvuli<br>
</blockquote></blockquote>
dohledatelnosti.<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Napada me jedine DHCP, kde uz lze prirazovat i podle MAC adresy<br>
(podpora pro relaye je v RFC6939). Bohuzel oblibeny dabel v detailech:<br>
a) tato vec byla zaRFCckovana az mnohem pozdeji, protoze se nekdo<br>
neustale stavel na zadni, ze je to spatne<br>
b) neznam dhcp server, ktery by se dal rozumne hned pouzit a umel by<br>
to z fleku. Oblibeny ISC to pokud vim stale neumi a trva na nesmyslu<br>
DUID :-(<br>
</blockquote>
Presne, a je to z toho duvodu ze se vymyslitele snazili vnutit svuj pohled<br>
na vec vsem. Diky jim se ta implementace protahla na >20let protoze sitovi<br>
spravci to pochopitelne vidi jako problematicke a nechce se jim do toho.<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Ono je mozna zapotrebi se na tento problem divat jinak. V ramci jakesi<br>
umele nedohledatelnosti *) se spise vyuziva toho, ze se na routeru<br>
loguji pouzite<br>
MAC<->IPv6 pary a az je prusvih, tak se zpetne zjisti kdo to byl.<br>
Bohuzel opet detail, tudle ficuru nic rozumneho neumi. Na doma snad<br>
jedine nejaky mikrotik, kde si na to musite napsat script.<br>
</blockquote>
No prave, IPV6 vam neumozni zabranit zneuziti IP adresy, naopak na vas a<br>
infrastrukturu klade naroky na monitorovani..<br>
<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
*) coz je na diskuzi jestli to chcete nebo ne, ale obecne spis chcete -<br>
</blockquote>
vase<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
mac podle EUI-64 je jednoznacny identifikator a zustava stejny i kdyz<br>
</blockquote>
budete<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
v jine siti, i todle se uz ale nejak resi, ze v jedne siti budete sice mit<br>
stale stejnou EUI-64, ale v jine uplne jinou a nemelo by jit udelat<br>
</blockquote>
korelaci<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
(detaily viz prednaska Pavla Satrapy z letosniho IPv6 day)<br>
</blockquote>
To se ale neda vynutit, to je otazka dobrovolnosti nstaveni klienta.<br>
Klidne si muze klient nastavit IPV6 v EUI-64 formatu ale na jinou MAC.<br>
<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Jan 'yanek' Bortl <yanek [at] yanek. cz><br>
</blockquote>
*-----------------------------<wbr>------------------------------<wbr>-------------*<br>
| Petr Simek APS JU |<br>
| <a href="mailto:psimek@jcu.cz" target="_blank">psimek@jcu.cz</a> |<br>
*-----------------------------<wbr>------------------------------<wbr>-------------*<br>
______________________________<wbr>_________________<br>
HW-list mailing list - sponsored by <a href="http://www.HW.cz" rel="noreferrer" target="_blank">www.HW.cz</a><br>
<a href="mailto:Hw-list@list.hw.cz" target="_blank">Hw-list@list.hw.cz</a><br>
<a href="http://list.hw.cz/mailman/listinfo/hw-list" rel="noreferrer" target="_blank">http://list.hw.cz/mailman/list<wbr>info/hw-list</a><br>
<br>
______________________________<wbr>_________________<br>
HW-list mailing list - sponsored by <a href="http://www.HW.cz" rel="noreferrer" target="_blank">www.HW.cz</a><br>
<a href="mailto:Hw-list@list.hw.cz" target="_blank">Hw-list@list.hw.cz</a><br>
<a href="http://list.hw.cz/mailman/listinfo/hw-list" rel="noreferrer" target="_blank">http://list.hw.cz/mailman/list<wbr>info/hw-list</a><br>
</blockquote>
<br>
______________________________<wbr>_________________<br>
HW-list mailing list - sponsored by <a href="http://www.HW.cz" rel="noreferrer" target="_blank">www.HW.cz</a><br>
<a href="mailto:Hw-list@list.hw.cz" target="_blank">Hw-list@list.hw.cz</a><br>
<a href="http://list.hw.cz/mailman/listinfo/hw-list" rel="noreferrer" target="_blank">http://list.hw.cz/mailman/list<wbr>info/hw-list</a><br>
</div></div></blockquote></div><br></div>