Alarm: 9 ud af 10 IP-adresser er taget

at rette så man kan bruge 240+ eller der er vel også et par mega corps der kan aflevere en classe A

Plus alle de firmaer der gennem tidens løb har fået en C klasse, for så kun at bruge en af adresserne.

/Christian

I de sidste par semestre på Aalborg Universitet har jeg forsøgt at flette IPv6 ind i semesterprojektet.
Enten ved at ville arbejde med noget på IPv6 som primære opgave, eller blot at sørge for at de ting vi udviklede fungerede til IPv6 også.

Alle undervisere og vejledere jeg har været i kontakt med, har været forskellige steder mellem direkte afvisende til blanke og ligeglade.
Den værste mente ligefrem at IPv6 bare var noget for sjov, men aldrig ville blive anvendeligt i virkeligheden.

Jeg har senere taget to kurser i generelle netværksting, på et andet universitet og på Ingeniørhøjskolen i København. Ingen af kurserne nævnte IPv6 en eneste gang.

Dén holdning hjælper jo heller ikke til at uddanne nye i forståelse af, brug og udvikling med IPv6. :|

Vi er så heldige at have fået os en c-klasse.
Men må da indrømme at det langt fra optimalt at en ISP udleverer en c-klasse til en virksomhed på 70 ansatte der snildt kan klare det meste med NAT.
Så jeg vil da mene at ISP's sidder med en stor del af skylden.

Vi har så ikke tænkt os at give den op forløbig, da vores netværk er bygget op omkring den c-klasse.
Med tiden vil vi dog NAT'e da det er langt nemmere at administere sikkerhedsmæssigt for klienterne.
Serverne nyder dog adgangen til c-klassen og vil blive ved den vej so far.

Det hjælper ikke meget at få et par /8 tilbage. Det udskyder problemet en lille smule, men det er langt fra nogen løsning. /24 er helt ligegyldige. Det er sammenligneligt med temperatursvingninger ved urinering i beklædningsgenstande.

Min frygt er at vi begynder at se NAT på ISP-level. Jeg tør ikke tænke tanken til ende.

Så finder de nok bare en anden måde at gøre det på. Der er muligheder nok. Til gengæld bliver det en pine at bruge VoIP, Bittorrent, internetspil, hjemmeservere osv osv.

>NAT regnes imidlertid ikke for at være en teknisk
>optimal løsning, fordi den sætter begrænsninger for
>direkte kommunikation mellem to vilkårlige enheder
>på internettet.

Hvad er det for noget bavl... se på (vores) Nabto, Skype, gBridge, Hamachi mv... de kan sagtens skabe direkte forbindelser imellem to vilkårlige enheder på internettet...

/Carsten

Interessant betragtning, men "sagtens" er at bøje tingene temmeligt voldsomt.

Tricket ved såkaldt NAT traversal er normalt at man forsøger at oprette en forbindelse til den anden maskine vel vidende at det ikke lykkes pga. NAT.

Men dette forsøg sikrer at ens egen NAT midlertidigt har en åbning som den anden ende af forbindelsen så kan udnytte.

Alt dette kræver typisk koordination via en tredje server der er direkte forbindelse til og baserer sig på at alle NAT implementationer følger en forventet protokol.

Dette hack er i øvrigt væsentligt nemmere at implementere via UDP end TCP, men man skal under alle omstændigheder ikke forvente at det "sagtens" virker. Af samme grund så har Skype mv. også support for at trafik bliver routet igennem deres servere i de mange tilfælde hvor NAT traversal hacket ikke virker.

Godt beskrevet.

Som kommentar vil jeg påpege, at hvertfald ved UDP traversal, der afhænger det meget af hvordan routeren har implementeret NAT. Nogle routere kan oprette forbindelse direkte til hinanden for det meste, da producenten vælger at hvis der sendes en pakke indefra på port Y, så bruger den også port Y i routeren, hvis den er ledig.

Andre routere kræver at du først sender en pakke til A, hvorefter routeren nu tillader at route pakker fra B, C, D osv via samme port, som blev åbnet til brug for A's kommunikation.

Så er der så de mere sikre implementationer. De tillader ikke, at andre udefra sender data til en port som allerede er åben. Her er der et check på om dataen virkelig kommer fra A og ikke B, C, D osv.
Derudover så kan deres port ikke gættes let, da de pseudo randomiser den næste port de vil bruge udfra dem som er ledig.

Det kan være meget tilfældigt om en forbindelse kan oprettes uden at benytte sig af en relay server.

Jeg sagde ikke at det var trivielt... det er at implementere IPv6 heller ikke.

>NAT regnes imidlertid ikke for at være en teknisk
>optimal løsning, fordi den sætter begrænsninger for
>direkte kommunikation mellem to vilkårlige enheder
>på internettet.

Ja... men betyder det så at man sætter alle enheder på nettet uden beskyttelse af firewall? det tror jeg ikke... og så er man tilbage i samme problem...

/Carsten

Hvad er det for noget bavl... se på (vores) Nabto, Skype, gBridge, Hamachi mv... de kan sagtens skabe direkte forbindelser imellem to vilkårlige enheder på internettet...

Nej. Det er simpelthen ikke rigtigt, og du ved det.

Der er ingen kendte måder at skabe forbindelser gennem symmetrisk NAT til en anden computer også bagved symmetrisk NAT.

NAT der er ikke er symmetrisk er en fejl-implementering. I udnytter et sikkerhedshul, og hvad er så pointen?

Der er ikke behov for NAT til at udføre firewall funktioner.

>NAT der er ikke er symmetrisk er en fejl-implementering.
>I udnytter et sikkerhedshul, og hvad er så pointen?

Hvilket er din påstand, og iøvrigt også fuldstændigt irrelevant i praksis siden langt de fleste firewalls ikke er symmetriske, samt at så mange applikationer efterhånden udnytter defacto-standarden at producenterne efterhånden ikke tør lave hjemme-firewall der ikke understøtter den.

Men uanset om vi så havde IPv6 imorgen... så vil der gå laaaanggg tid inden alt er overflyttet...

[quote]Min frygt er at vi begynder at se NAT på ISP-level. Jeg tør ikke tænke tanken til ende.

Ud fra en datasikkerheds- og markedsbetragtning vil det da være noget nær genialt.

Det kan f.eks. være med til at blinde Google og anden tracking/profiling hvilket er et primært behov.
[/quote]
IPV6 har en feature hvor din computer med jævne mellemrum skifter til en ny tilfældig adresse. Det er godt nok kun de sidste 64 bit der skifter, men de øverste 64 bit deler du potentielt med mange andre brugere. Det må derfor være mindst ligeså godt til at "blinde" google som NAT.

I samme stil er det også en bedre beskyttelse end NAT imod tilfældige indgående forbindelser. Det er simpelthen umuligt at scanne et 64 bit adresse område for at finde din computer.

>NAT der er ikke er symmetrisk er en fejl-implementering.
>I udnytter et sikkerhedshul, og hvad er så pointen?

Hvilket er din påstand, og iøvrigt også fuldstændigt irrelevant i praksis siden langt de fleste firewalls ikke er symmetriske, samt at så mange applikationer efterhånden udnytter defacto-standarden at producenterne efterhånden ikke tør lave hjemme-firewall der ikke understøtter den.

Men uanset om vi så havde IPv6 imorgen... så vil der gå laaaanggg tid inden alt er overflyttet...

Lad os få brugt det skidt så der kan komme IPv6 på nettet i stedet!

Hvilket er din påstand, og iøvrigt også fuldstændigt irrelevant i praksis siden langt de fleste firewalls ikke er symmetriske, samt at så mange applikationer efterhånden udnytter defacto-standarden at producenterne efterhånden ikke tør lave hjemme-firewall der ikke understøtter den.

Alle firewalls der er baseret på Linux er symmetriske.

Det er ikke en defacto standard. Den rigtige måde er at bruge Upnp til at bede firewallen åbne en port. Det virker pålideligt og er ikke baseret på en dårlig implementering af NAT.

Der ser ud til at herske stor uvidenhed omkring IPv6 her.

Vi løber tør for IPv4 adresser inden for 18 til 24 måneder. Vi bruger ca. en /8 (klasse A) blok på en måned. Det er blevet foreslået at tvangsindrage ineffektivt udnyttede klasse A net. Det vil udskyde problemet ca. 6 måneder. En anden foreslår at slå en pæl gennem IPTV ved at slagte multicast og bruge området 224-255. Det vil så give 31 måneder ekstra.

Og så er dem der tror NAT er en god ting, som beskytter computeren. Det er din firewall der beskytter computeren. Samtidig har IPv6 nogle unikke muligheder, som f.eks. IP adresser som skifter tilfældigt.

Med en IP adresse der indeholder 64 bit som er dannet med en tilfældighedsgenerator ved opstart, er du sikker på kun at kommunikere med dem du har initieret forbindelse med.

Sider du på et net med flere brugere, der alle har tilfældigt skiftende IP adresser, så er du beskyttet mod terrorlog med mere. Man kan simpelthen ikke afgøre hvilken computer der havde en bestemt IP adresse tilbage i tiden.

IPv6 løser alle problemerne der har været med IPSEC. Krypteret kommunikation kan blive standard. Igen en pæl gennem myndigheder og virksomheder som snager lidt for meget.

Devices må slet ikke svare/kunne addresseres på en persistent IPv6 request.

Hvad er en persistent IPv6 adresse?

Jeg tror vi taler forbi hinanden. Du bestemmer selv de sidste 64 bit af din adresse. Jeg kan kun kommunikere med dig, hvis jeg ved hvad du har valgt. Der er ikke andre adresser som jeg kan vælge at bruge i stedet.

Så snart du er træt af at jeg kommunikere med dig, så skifter du bare din adresse. Og vupti, så er det umuligt for mig at kontakte dig.

Smart? IPv4 har ikke noget tilsvarende.

Jeg er selv datalog, og er glad for gode teoretiske løsninger...

Men man bliver nødt til at forholde dig til hvordan verdenen ser ud p.t. og hvordan den vil se ud i mindst 5-10 år endnu... Der går lang lang tid inden det sidste IPv4 net med NAT bliver slukket... og mit budskab er også at selv på det tidspunkt så har IPv6 ikke løst alle problemer...

Vores kunder har brug for kant-til-kant trafik nu... og derfor vælger de vores løsning...

Der vil komme en masse krampetrækninger mens IPv4 langsomt vil lide døden. Det første er at det bliver sværere at få nye addresseallokeringer og til sidst umuligt.

Så kommer handler med adresserum. Der er kun en delmængde til rådighed så det kommer til at koste penge at få en IPv4 addresse (der er problemer med at cutte adresserum op for routere, men ignorer venligst dette). Hvis man ikke har råd, så må man enten lade være eller ty til IPv6.

ISP'er vil forsøge sig med NAT for at komme problemet til livs. Der vil være ramaskrig mens det står på. For at komme dette til livs må de begynde at udbyde IPv6. Det er så spadestikket til at komme fra v4 -> v6.

NAT traversal af forskellig art vil da være interessant en del år frem i tiden, men på et eller andet tidspunkt er det mere besværligt at lave NAT-traversal set i forhold til at snakke IPv6. Og så kommer det til at gå stærkt.

En anden begrænsning er at mange IPv6 stakke i OS'er rundt omkring næppe har set så meget krig som IPv4 stakkene. Der kommer nok nogle sjove ting ud af det :)

Jeg skal ikke gøre mig til dommer over jeres produkt. Det har jeg ingen interesse i. Jeg har heller ikke sat mig ind i hvad det kan.

Men tillad mig at forudse at fra engang i 2012 kommer alle NAT traversal produkter i direkte konkurrence med IPv6.

Skiftet til IPv6 bliver ikke så svært og omstændigt som mange tror. Stort set alle computere kører idag dual-stack. I ved det bare ikke.

Jeg satte en IPv6 router op på vores lokale net, med det resultat at samtlige computere fik en IPv6 adresse uden yderligere konfiguration. Det kræver end ikke en ændring i opsætningen af DHCP serveren.

Så snart din internetudbyder ser lyset, sætter de en IPv6 router op og så er du også på IPv6 nettet.

Det store vejbump er de mange routere ude i hjemmene som ikke har IPv6 support. De skal skiftes eller opgraderes. Skiftet er allerede i gang - min Linksys WRT 610 har IPv6 support, omend i lidt primitiv form.

Vi kommer så til at køre dual-stack i mange år fremover. Det vil sige at alle har både en IPv6 adresse samt en legacy IPv4 adresse. Din v4 adresse vil formodentlig komme bag en kæmpe fælles NAT hos din internetudbyder. (*)

Alle der ønsker at bruge peer to peer teknologier, som internettelefoni og filudveksling, kan så vælge mellem produkter der kan lave huller i NAT'en, eller de kan vælge at opgradere routeren til en som kan IPv6.

De to metoder er ikke kompatible. Dem der vælger kun at være på IPv4 nettet kan ikke kommunikere p2p med dem der er afhængige af IPv6 til p2p (og omvendt). Man kan forvente at der på et tidspunkt opstår et pres for at skifte til IPv6 hvis man vil have fuld glæde af alle mulighederne.

Jeg vil ikke være overrasket hvis skiftet til IPv6 bliver et hurtigt skift. Forstået på den måde at majoriteten af brugerne har en IPv6 adresse. Der vil sandsynligvis stadig være en server i en kælder med en IPv4 adresse om 20 år.

(*) Som vil være symmetrisk fordi internetudbyderen sandsynligvis sætter en Linux server op til at udføre NAT.

Ideen med vores produkt er netop at du ikke behøver at bekymre dig om ovenstående...

Vi sørger for at kant-til-kant trafik kommer frem, uanset om du sidder på IpV4 (NAT eller ikke NAT) eller IpV6.

Hvor er den globale plan for udfasning af IPv4? Hvor er arbejdsgruppen der skulle oplyse og hjælpe folket omkring flytnignen til IPv6? Hvorfor er det at alle, absolut alle, fortsat har udviklet til IPv4 uden tanke på en absolut nær fremtid? Hvorfor er det at man istedet for at udfase IPv4 ligeså stille, åbenbart forventer at alle mennesker, på dagen vi løber tør for ip-addresser, laver et hard switch på al deres software og alle deres routere til IPv6, sådan "lige"?

At skulle overgå direkte til IPv6 istedet for at fase ind i IPv6 ligeså stille over årene er jo fuldstændigt urealistisk. Hvorfor har man snakket så meget så længe uden at gøre noget?

Hvad er det for noget bavl... se på (vores) Nabto, Skype, gBridge, Hamachi mv... de kan sagtens skabe direkte forbindelser imellem to vilkårlige enheder på internettet...

Du beskriver hvordan to enheder, via en tredje enhed, kan.

Det er en klassisk "ulven kommer" der får lov til at køre helt til ende.
Alle er dødtrætte af at høre om enden på ipv4 som der har været skreget hysterisk om siden 1995.

ISP'erne modarbejder kraftigt, da de ikke gider betale for noget af det, selvom de sidder i den vigtigste position til at kunne tilbyde ipv6.

Når ulven engang kommer, så bliver der dejligt meget panik og run på alle de dårligt testede ipv6-stakke rundt omkring. Det skal nok blive skægt. :-)

Men der går med sikkerhed længere tid end de konsulenter som skal leve af ipv6-skiftet forudser.
Rigtigt mange ISP'ere og virksomheder leverer ikke ip-adresser tilbage eller rydder bare lidt op i det.

En ting der ikke er berørt endnu i dette emne er forbrugerne. Det være sig de private og de professionelle.

Advarsler der kan gøre slutbrugere af produkterne opmærksomme er vigtig for at starte en efterspørgsel på produkter der understøtter ipv6.

Lidt lige som vores nylige skift af tv-signal. Hvor forbrugerne nu efter oplysningskampanger ved at de skal efterspørge tunere med mpeg4 og ikke kun mpeg2.

Og nogle producenter, selv af nicheprodukter, er fremme i skoen med udstyr der understøtter ipv6.

Jeg kan sige at Baldur har ret her.