Jakub Jelínek oznámil vydání verze 15.1 (15.1.0) kolekce kompilátorů pro různé programovací jazyky GCC (GNU Compiler Collection). Jedná se o první stabilní verzi řady 15. Přehled změn, nových vlastností a oprav a aktualizovaná dokumentace na stránkách projektu. Některé zdrojové kódy, které bylo možné přeložit s předchozími verzemi GCC, bude nutné upravit.
Byly vyhlášeny výsledky letošní volby vedoucího projektu Debian (DPL, Wikipedie). Staronovým vedoucím zůstává Andreas Tille.
Jason Citron končí jako CEO Discordu. Od pondělí 28. dubna nastupuje nový CEO Humam Sakhnini, bývalý CSO Activision Blizzard.
Článek na Libre Arts představuje baskytarový multiefekt Anagram od společnosti Darkglass Electronics. S Linuxem uvnitř (licence, GitHub).
Městský soud v Praze vyhlásil rozsudek, který vyhověl žalobě novináře Jana Cibulky, který s podporou spolku IuRe (Iuridicum Remedium) požadoval omluvu od státu za to, že česká legislativa nařizuje operátorům uchovávat metadata o elektronické komunikaci. To je přitom v rozporu s právem. Stát se musí novináři omluvit a zaplatit náklady řízení. Především je ale součástí přelomové rozhodnutí o nelegálnosti shromažďování dat a o
… více »Americké technologické firmy Apple a Meta Platforms porušily pravidla na ochranu unijního trhu, uvedla včera Evropská komise (EK). Firmám proto vyměřila pokutu – Applu 500 milionů eur (12,5 miliardy Kč) a Metě 200 milionů eur (pět miliard Kč). Komise to oznámila v tiskové zprávě. Jde o první pokuty, které souvisejí s unijním nařízením o digitálních trzích (DMA). „Evropská komise zjistila, že Apple porušil povinnost vyplývající z nařízení
… více »Americká společnost OpenAI, která stojí za chatovacím robotem ChatGPT, by měla zájem o webový prohlížeč Chrome, pokud by jeho současný majitel, společnost Google, byl donucen ho prodat. Při slyšení u antimonopolního soudu ve Washingtonu to řekl šéf produktové divize ChatGPT Nick Turley.
Po roce vývoje od vydání verze 1.26.0 byla vydána nová stabilní verze 1.28.0 webového serveru a reverzní proxy nginx (Wikipedie). Nová verze přináší řadu novinek. Podrobný přehled v souboru CHANGES-1.28.
Byla vydána nová verze 10.0.0 otevřeného emulátoru procesorů a virtualizačního nástroje QEMU (Wikipedie). Přispělo 211 vývojářů. Provedeno bylo více než 2 800 commitů. Přehled úprav a nových vlastností v seznamu změn.
42 svobodných a otevřených projektů získalo finanční podporu od NLnet Foundation (Wikipedie).
Děkuji vám za užitečný feedback v komentářích pod předchozím článkem. Zaujal mě dotaz, proč vůbec vytvářet tunely. Dnes vytváříme tunely, protože chceme vyzkoušet IPv6 a většina z nás nemá nativní IPv6 konektivitu. Tunelované IPv6 podsítě se chovají ve většině případů stejně jako ty nativní. Druhým možným důvodem je možnost propojení sítí, které jinak používají privátní IPv4 rozsahy. Jen nezapomínejte, že tunel je pouze přechodné řešení absence nativní konektivity.
Tunelování, ač to zní děsivě, není nic složitého. Spočívá v tom, že se na začátek paketu připojí jedna nebo více dalších hlaviček. S pakety se pak nakládá podle toho, jaké hlavičky jsou na jejich začátku. Ukáži na příkladu tunelování IPv6 TCP paketu pomocí UDP protokolu po IPv4 síti. Takový paket má typicky hlavičky čtyři. První je IPv4, aby vůbec mohl být routován po čtyřkovém
internetu. Za ní následuje UDP, která obsahuje čísla portů. Další hlavičkou je IPv6, ta umožňuje směrování už v rámci IPv6 sítí na obou koncích tunelu. A samozřejmě TCP. Za TCP hlavičkou už následují data.
Přidávání hlaviček ovlivňuje množství skutečných dat, které je možné přenést v jednom paketu. Například, pokud se připojujete k Internetu pomocí PPPoE, začíná každý paket osmibajtovou PPPoE hlavičkou. Ethernet má MTU (Maximum Transfer Unit, počet bajtů přenášených paketů) 1500. PPPoE tunel spotřebuje 8 bajtů, jeho MTU je tedy 1492 (co mi to číslo jenom připomíná). Pokud jste na IPv4 internetu, potřebujete 20 bajtů. IPv6 se dá tunelovat přímo v IPv4 (protokol 41), takový tunel má tedy MTU 1472. Dalším zajímavým číslem je TCP MSS (Maximum Segment Size, maximální velikost jednoho fragmentu dat uvnitř TCP paketu). To se v našem případě spočítá odečtením velikosti IPv6 hlavičky a TCP hlavičky od MTU, tedy 1412. Jen pro porovnání, TCP MSS pro nativní IPv6 po ethernetu je 1540, pro IPv4 po ethernetu 1460.
Jeden z nejjednodušších tunelů na konfiguraci je 6to4. Potřebujete k němu veřejnou IPv4 adresu na stroji, který bude sloužit jako IPv6 router (nebo aspoň možnost na něj směrovat protokol 41). Pro jednoduchost uvedu příkazy pro Mikrotik RouterOS
a prefix 2002:__ip:v4__::/48, kde __ipv4__ je IPv4 adresa převedená do hexadecimálního formátu (kde půjde napsat normálně, budu ji psát bez podtržítek).
/interface 6to4 add name=inet6 local-address=ipv4 /ipv6 address add interface=inet6 address=2002:__ip:v4__::1/16 advertise=no /ipv6 route add dst-address=::/0 gateway=::192.88.99.1
IPv4 adresa 192.88.99.1 je vyhrazená anycast adresa, která je směrována na nejbližší 6to4 router. IPv6 adressa ::192.88.99.1 je tvořena samými nulami kromě posledních čtyř bajtů, ve kterých je zapsána IPv4 adresa. Rozhraní 6to4 přidá IPv6 paketu IPv4 hlavičku a pošle ho na tuto speciální adresu.
Na Gentoo je potřeba přidat symlink /etc/init.d/net.6to4 a několik řádků do /etc/conf.d/net (tunelujeme přes IPv4 adresu nastavenou na rozhraní eth0).
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
link_6to4="eth0"
config_6to4=( "ip6to4" )
depend_6to4() {
need net.eth0
}
A ještě ukáži nastavení pro /etc/network/interfaces (Debian a odvozené distribuce).
iface sit0 inet6 static
address 2002:__ip:v4__::1
netmask 16
gateway ::192.88.99.1
Na webu jsem narazil i na docela pěkný návod pro Mac OS X.
SixXS nabízí několik druhů tunelů, od statických (protokol 41, vyžadují veřejnou IP) přes Heartbeat (protokol 41, poradí si se změnami adres) až po AYIYA (většinou UDP, projde ledacos) a další. Používání tunelů od SixXS je trošku náročnější vzhledem k jejich bodovému systému (nebojte, o řidičák vás nepřipraví). Hlídají si, jestli tunel využíváte a pokud ne, nedostanete body na aktivování dalších služeb (podsítí a dalších tunelů).
Na druhou stranu, když už zvládnete body, máte vyhráno. Konfigurace jejich tunelovacího nástroje Aiccu je velmi jednoduchá a služby se mi zdají spolehlivé. Jen ještě doporučuji číst FAQ, ať nedostanete vynadáno, že hlásíte problémy, které jsou už stokrát vyřešené a dobře popsané.
Pro zajímavost ukáži nastavení statického tunelu na RouterOS. Váš tunel má adresu 2001:xxxx:xxxx:xxxx::2 a brána 2001:xxxx:xxxx:xxxx::1, za x doplňte podle údajů od SixXS. Za PoP-IPv4 dejte IPv4 adresu brány.
/interface 6to4 add name=sixxs local-address=Vaše-IPv4 /ipv6 address interface=sixxs address=2001:xxxx:xxxx:xxxx::2/128 /ipv6 route add dst-address=::/0 gateway=::PoP-IPv4
Směrování na 6to4 adresy můžete i v tomto případě nechat posílat rovnou přes IPv4.
/ipv6 route add dst-address=2002::/16 gateway=sixxs
Na Gentoo, Debianu a dalších distribucích se dá statický tunel nastavit podobně jednoduše. Postup konfigurace najdete například na http://gentoo-wiki.com/ nebo http://wiki.debian.org/. Nebudu se tu probírat ruční konfigurací a radši nabídnu pohodlnější nástroj, který SixXS nabízí pod názvem Aiccu. Ten je dostupný pro Linux, BSD, Mac OS X, Solaris, AIX a Windows. Některé distribuce se už při jeho instalaci ptají na údaje k SixXS účtu. Když se neptají, stačí je zadat do /etc/aiccu.conf.
username uživatelské jméno password heslo
Pokud máte u SixXS založený jen jeden tunel, je všechno v pořádku. Pokud ne, můžete si nechat tunely vypsat a pak přidat do konfiguračního souboru ten správný tunel (například AYIYA).
# aiccu tunnels Txxxxx 2001:xxxx:xxxx:xxxx::2 a.b.c.d simbx01 Tyyyyy 2001:yyyy:yyyy:yyyy::2 ayiya simbx01
Přidáte tunel do /etc/aiccu.conf.
username uživatelské jméno password heslo tunnel_id Tyyyyy
Tím je konfigurace hotová, už stačí jenom přidat na příslušná místa (například /etc/ppp/ip-up.d/10-aiccu a /etc/ppp/ip-down.d/10-aiccu, pokud se připojujete k Internetu pomocí pppd) přidat následující příkazy.
aiccu start aiccu stop
Kromě SixXS jsou i jiné tunnel brokery. Například můžete zkusit tunnelbroker.net, v komentářích k minulému dílu na něj byly kladné reference (zvláště kvůli jeho jednoduchosti).
Ještě existuje jeden zajímavý způsob tunelování, který nevyžaduje registraci. Jeho původní název je Shipworm a používá se například ve Windows Vista nebo Windows Server 2008. Hlavním rozdílem oproti ostatním protokolům je hojné využívání technik průchodu přes NAT. Jednotlivé Teredo klienty spolu komunikují pokud možno přímo (po otevření cesty NATem). Nastavením se nebudu zabývat, na Vistách je to přednastavené, na Unixu mi jsou sympatičtější jiné možnosti; pokud vás to přesto zajímá, podívejte se na Miredo.
IPv6 firewall se na Linuxu nastavuje samostatně pomocí příkazu ip6tables. Protože máte vlastní podsíť, která je součástí Internetu, řešíte pouze filtrování. Detailní nastavení firewallu popisovat nebudu, to by bylo na samostatný článek. Upozorním vás ale na jeden aspekt 6to4 tunelů, který by vás mohl jinak překvapit. Pomocí 6to4 tunelů se vám může dostat na router libovolný IPv6 paket s vymyšlenou zdrojovou adresou (například některou z vašich vlastních) a cizí cílovou.
/ipv6 firewall filter add chain=forward in-interface=inet6 out-interface=inet6 action=drop
ip6tables -A FORWARD -i 6to4 -o 6to4 -j DROP
To samé platí i pro statické 6in4 tunely. Oproti 6to4 máte navíc možnost lépe bránit paketům z falšovaných adres. Následující pravidlo zajistí, že budete IPv6 pakety přijímat jen od poskytovatele tunelu.
/ip firewall filter add chain=input protocol=41 src-address=!PoP-IPv4 \ action=reject reject-with=icmp-admin-prohibited
iptables -A INPUT -p 41 -s !PoP-IPv4 -j REJECT --reject-with icmp-admin-prohibited
Jen jsem nastínil, jak se dají řešit tyto dva konkrétní problémy. Některé další by měl řešit automaticky rp_filter nebo protokoly vyšší úrovně (TCP). Zbytek IPv4 a IPv6 firewallu si nastavte podle svých potřeb.
Pod prvním dílem se objevilo větší množství komentářů, které se týkaly zabezpečení jak IPv4, tak IPv6. Když budete pilně komentovat dál, třeba se v některém z následujících dílů dočkáte i přehledu obvyklých bezpečnostních problémů a jejich řešení.
Pokud jste chtěli mít IPv6 adresu na jednom počítači, máte hotovo. Příště se podíváme na to, co všechno je potřeba nakonfigurovat pro správnou funkci IPv6 podsítě. Pokud jste si právě vytvořili SixXS tunel, udržujte ho v provozu a sbírejte body na vaši novou podsíť :).
Nástroje: Tisk bez diskuse
Tiskni
Sdílej:
Detailní nastavení firewallu popisovat nebudu, to by bylo na samostatný článek.Doufám, že se tomu budeš v nějakém samostatném článku věnovat, je to jeden z důvodů, proč ještě IPv6 nemám.
Nebo trotl? Jsou to dvě hodně podobná písmenka, jeden nikdy neví...
20.3.2008 23:40
the.max | skóre: 46
| blog: Smetiště
22.3.2008 21:58
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
22.3.2008 22:36
pavlix | skóre: 54
| blog: pavlix
Tím je myšlen...Já myslím, že ne :D.
22.3.2008 22:57
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
Já myslím, že ne :D.Eh?
22.3.2008 23:05
pavlix | skóre: 54
| blog: pavlix
22.3.2008 23:11
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
LOLKdo?
Ptal ses, která z možností byla myšlena. Já jsem jen psal, že si myslím, že ten komentář neměl s myšlením nic společného :).Aha
Jen jsem to trošku zkrátil, takže to k pochopení vyžadovalo ještě trochu (víc) fantazie a smyslu pro humor :).Asi chtělo.Čím dál víc pozoruji, že jsem asi PO positive, jelikož jsem googlil všechny možné tvary slova myslet a lámal si hlavu co jsem na něm pokazil.
22.3.2008 23:32
pavlix | skóre: 54
| blog: pavlix
ipv6 install tak se mi nastavil IPv6 tunel. Ale pokud vím, tak to funguje jen s veřejnou IP adresou, nefunguje to za natem.
. Alespoň jakou výchozí... A já to taky netestoval, doma NAT nemám. Vyčetl jsem to z dokumentace. Možná jsem to mohl včera vyzkoušet ve škole :-/
20.3.2008 23:30
pavlix | skóre: 54
| blog: pavlix
A pokud jsem postřehl někde v diskusi, tak se to na ROS nebude s tím sixxsem chovat zcela srpávněNevidím důvod, proč by se to nemělo chovat správně.
20.3.2008 23:49
pavlix | skóre: 54
| blog: pavlix
22.3.2008 00:18
pavlix | skóre: 54
| blog: pavlix
22.3.2008 00:20
pavlix | skóre: 54
| blog: pavlix
Vypis balicku z prikazove radky:
22.3.2008 22:37
pavlix | skóre: 54
| blog: pavlix
24.3.2008 16:22
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
Domnivam se spravne, ze Mikrotik nema IPv6 zdokumentovane? Nemuzu k tematu ROS & IPv6 vubec nic najit...Tak, tak. IPv6 je oficiálně až od verze RoS 3.X, jenže oficiální manuál k ní je "In progress", ovšem za pomoci TABulátoru a otazníku by mělo jít snad skoro vše vyřešit.
quote - citát
quotation mark - uvozovky (jedny, tj. jeden znak)
na cestách, v práci, atpA jak se SixXS tváří, když je ten tunel nedostupný? Nestrhávají za to body? To dělají jen u statických tunelů?
Pouze vám samozřejmě nepřibývají nové body, když neběží.
. Klidně si můžu router restartovat, že? Ale co, já mám svůj krásný statický tunel a jsem spokojený.
class="kod". Ten prvý blok je uvedený textom: "Jeden z nejjednodušších tunelů na konfiguraci je 6to4." A za ním je pár riadkov citovaného kódu. Ale vôbec nie je jasné čo tie riadky spravia. Teda ... pravdepodobne spôsobia vznik nejakeho tunelovacieho mechanizmu, vďaka ktorému sa niečo dá robiť s IPv6 paketmi. Nešlo by vysvetliť to štýlom: takto sa pridá IPv6 adresa pre interface eth0, takto nastavim routovanie IPv6 paketov cez toto rozhranie, potrebujem taky a taky demon, take a take voľby v jadre.
Keď nemám gentoo, tak mi je takýto článok dosť nafigu. Čo gentoo urobí, keď nájde v /etc/conf.d/net text: link_6to4="eth0" ?
ip. Psát specifické nastavení pro proprietární RouterOS a pro jednu jedinou distribuci mi přijde padlé na hlavu (klidně to tam může být, pro někoho to je jistě užitečné, ale v prvé řadě by tam v každém případě mělo být ruční nastavení pomocí příkazu ip).
Plus také samozřejmě implementuje Heartbeat a AYIYA protokoly pro dynamické tunely.
Btw. jak je to vlastně s tunely od Hurricane Electric (tunnelbroker.net), podporují nějaký tunelovací protokol skrz UDP (třeba AYIYA nebo Tunnel Setup Protocol + IPv6-In-UDP-In-IPv4) nebo jsou to jenom čisté klasické 6in4 tunely? Jestli žádné tunelování přes UDP nepodporují, pak jsou spoustě lidem co jsou za NATem k ničemu...
Kolik máte na H.E.? Je to lepší?
20.3.2008 23:51
the.max | skóre: 46
| blog: Smetiště
# ping6 2001:15c0:65ff:154::1 -c5
PING 2001:15c0:65ff:154::1(2001:15c0:65ff:154::1) 56 data bytes
64 bytes from 2001:15c0:65ff:154::1: icmp_seq=1 ttl=64 time=16.3 ms
64 bytes from 2001:15c0:65ff:154::1: icmp_seq=2 ttl=64 time=16.3 ms
64 bytes from 2001:15c0:65ff:154::1: icmp_seq=3 ttl=64 time=16.5 ms
64 bytes from 2001:15c0:65ff:154::1: icmp_seq=4 ttl=64 time=17.1 ms
64 bytes from 2001:15c0:65ff:154::1: icmp_seq=5 ttl=64 time=16.6 ms
--- 2001:15c0:65ff:154::1 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 3998ms
rtt min/avg/max/mdev = 16.333/16.611/17.166/0.303 ms
# ping 212.18.63.73 -c5
PING 212.18.63.73 (212.18.63.73) 56(84) bytes of data.
64 bytes from 212.18.63.73: icmp_seq=1 ttl=58 time=16.3 ms
64 bytes from 212.18.63.73: icmp_seq=2 ttl=58 time=16.2 ms
64 bytes from 212.18.63.73: icmp_seq=3 ttl=58 time=16.1 ms
64 bytes from 212.18.63.73: icmp_seq=4 ttl=58 time=16.5 ms
64 bytes from 212.18.63.73: icmp_seq=5 ttl=58 time=16.3 ms
--- 212.18.63.73 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 3998ms
rtt min/avg/max/mdev = 16.199/16.341/16.529/0.163 ms
22.3.2008 14:09
the.max | skóre: 46
| blog: Smetiště
20.3.2008 23:39
pavlix | skóre: 54
| blog: pavlix
Ale přimlouval bych se za to, jak to udělat u linuxu oběcně (v tomto případě tím ip) a pak můžete uvést i své oblíbené distribuce.
20.3.2008 23:51
pavlix | skóre: 54
| blog: pavlix
Tak neviem ako ostatní čitatelia, ale ja som sa celkom rýchlo v tom článku stratil.Zkusím se polepšit :).
20.3.2008 20:02
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
default via 2001:15c0:668e::1 dev eth0 metric 1024 expires 21279806sec mtu 1500 advmss 1440 hoplimit 4294967295
Dále tam máte to defualt, což novější verze ip překládá zápis ::/0. Tohle obecně není dobře a některá jádra to ani neakceptují. V rámci lokální sítě budiž (pokud třeba máte ještě v provozu site local adresy fec0::/10, které odpovídaly IPv4 adresám 10.0.0.0/8 atd., ale ty jsou jsou už 4 roky zavrženy z používání).
Minimálně na bráně do Internetu by mělo být použito 2000::/3 místo ::/0, jinak se můžete dopouštět toho, že budete do sítě ven posílat pakety, co nemáte. Asi jak když někteří experti na IPv4 posílejí do veřejného internetu pakety pro 10.0.0.0/8 a podobné.
Asi jak když někteří experti na IPv4 posílejí do veřejného internetu pakety pro 10.0.0.0/8 a podobné.Však je prací nejbližšího routeru je zahodit
Minimálně na bráně do Internetu by mělo být použito 2000::/3 místo ::/0Tohle už právě podle mě neplatí.
Unspecified 00...0 (128 bits) ::/128 Loopback 00...1 (128 bits) ::1/128 Multicast 11111111 FF00::/8 Link-Local unicast 1111111010 FE80::/10 Global Unicast (everything else)(RFC 4291) Mě osobně se ta myšlenka specifického prefixu globálních adres dost líbila, ale co se dá dělat.
Jinak je samozřejmě pravda, že ::/0 představuje defautlní routu, kdežto 2000::/3 představuje směrování pro všechny globální unicastingové adresy, jak je to platné dneska, což je menší prostor a nemusí to za nějakou dobu platit.Což je přesně důvod, proč se 2000::/3 jako prefix pro všechny globální adresy opouští.
::/0 a nebo dokonce ::.:: určitě ne, to by nefungovalo, protože to znamená to samé, co ::/128, takže to pak neroutuje to vůbec nic.
$ host ipv6.google.com ipv6.google.com is an alias for ipv6.l.google.com. ipv6.l.google.com has IPv6 address 2001:4860:0:1001::68 $ ping6 -c1 ipv6.google.com unknown host $ ping6 -c1 2001:4860:0:1001::68 PING 2001:4860:0:1001::68(2001:4860:0:1001::68) 56 data bytes 64 bytes from 2001:4860:0:1001::68: icmp_seq=1 ttl=58 time=162 ms --- 2001:4860:0:1001::68 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 162.281/162.281/162.281/0.000 msKdyz jsem hledal reseni, nasel jsem docela zajimave cteni o problemech IPv6: http://cr.yp.to/djbdns/ipv6mess.html
Co se týče toho problému, musí to být IMHO někde v nastavení vašeho systému (pokud host IPv6 adresu správně resolvuje, ale ping6 toho schopen není).
$ uname -r 2.6.24.3-34.fc8 $ host ipv6.google.com ipv6.google.com is an alias for ipv6.l.google.com. ipv6.l.google.com has IPv6 address 2001:4860:0:1001::68 $ ping6 -c1 ipv6.google.com unknown host $ traceroute6 ipv6.google.com ipv6.google.com: Name or service not known Cannot handle "host" cmdline arg `ipv6.google.com' on position 1 (argc 1) $ ping6 -c1 ipv6.l.google.com PING ipv6.l.google.com(2001:4860:0:1001::68) 56 data bytes 64 bytes from 2001:4860:0:1001::68: icmp_seq=1 ttl=58 time=525 ms --- ipv6.l.google.com ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 525.468/525.468/525.468/0.000 ms $ traceroute6 ipv6.l.google.com traceroute to ipv6.l.google.com (2001:4860:0:1001::68), 30 hops max, 40 byte packets 1 vpn1.teleport-iabg.de (2001:1b10:100:3::2:1) 640.012 ms 637.273 ms 632.368 ms ...Stranka ipv6mess.html pekne vysvetluje, proc je nepravdepodobne, ze IPv6 site brzy ovladnou svet, kde navrhari IPv6 udeli fatalni chybu, proc vlastne neni v nicim zajmu prejit z IPv4 pripojeni na plnohodnotne IPv6 pripojeni, proc po tolika letech vyvoje zde mame jen nekolik testovacich IPv6 siti. Ac IPv6 vypada jako rozsireni IPv4, neni to pravda; neni vsatne zpetne kompatibilni s IPv4 a v navrhu se pocita s uplnym prechodem na IPv6 na vsech servrech. Proc by se uzivatele pripojvali k IPv6, kdyz jim proti IPv4 nabidne jen problemy a zadne sluzby? Pokud se IPv6 prosadi (pri soucasnem stavu), bude to tak, ze budou vznikat na zelene louce IPv6 site, ktere na sebe budou velmi pomalu nabalovat nove uzivatele. Cina je pekny priklad, rozsahla "izolovana" komunita s omezenym pristupem do IPv4 a velkou potrebou IPv6 adres, muze i dovolit luxus, vybudovat vlastni IPv6 ekoystem; dalsi "rozvojove" zeme mohou nasledovat. Uzivatele majici IPv4 konektivitu ale nemaji zadny duvod spechat s prechodem na IPv6, je mnohem prijemnejsi zit za "maskaradou" na IPv4 nez na verejne dostupne IPv6 adrese. Je levnejsi hledat nevyuzite rozsahy IPv4 adres nez plne prechazet na IPv6. Dalsim prikladem mohou byt podnikove site, tam by se IPv6 adresy take mohli brzy objevit. Prechodem na IPv6 zamestnace prakticky odriznete od stareho IPv4 sveta, se vsemi rozptylenimi ktere nabizi
Teda, pokud budou spravci site chtit resit problemy spojene s prechodem na IPv6 (rekonfigurace vsech serveru, routeru a softwaru).
Jeste otazka k zamysleni? Proc mam na Linuxu prikazy ping a ping6, traceroute a traceroute6 (tedy separatni verzi pro IPv4 a IPv6) kdyz je IPv6 jen rozsireni IPv4? Teoreticky by mel stacit jen jeden prikaz, ping a traceroute. Proc to striktne oddelovat? Protoze IPv6 a IPv4 jsou oddelene svety?
Jeste otazka k zamysleni? Proc mam na Linuxu prikazy ping a ping6, traceroute a traceroute6 (tedy separatni verzi pro IPv4 a IPv6) kdyz je IPv6 jen rozsireni IPv4? Teoreticky by mel stacit jen jeden prikaz, ping a traceroute. Proc to striktne oddelovat? Protoze IPv6 a IPv4 jsou oddelene svety?Jak již jsem řekl IPv6 není rozšíření IPv4. A ano dala by se do příkazu
ping dopsat detekce zadané IP adresy jestli je IPv4, nebo IPv6, ale jak by to pan chytrý dělal s DNS záznamy, když můžou obsahovat jak A záznamy, tak AAAA záznamy? (Navíc je i obsahují viz mantisha.m4r3k.org, regnis.m4r3k.org, urberi.m4r3k.org a spousta dalších ) A pokud by si měl ten skvělý nápad přidat parametr -6 tak věř, že já osobně si myslím, že je to z tohoto pohledu naprosto ekvivalentní řešení. Pro traceroute a tracepath to platí analogicky.
ale jak by to pan chytrý dělal s DNS záznamy, když můžou obsahovat jak A záznamy, tak AAAA záznamy?
Stejně jako to dělá třeba ssh a řada dalších: automaticky podle gai.conf s možností explicitního přepisu pomocí přepínače -4 resp. -6. Rozdíl je IMHO v tom, že zatímco TCP protokol je (až na nepatrnou drobnost) pořád stejný, takže stačí místo gethostbyname() použít getaddrinfo() a být trochu opatrný, ICMPv6 je odlišný protokol od ICMP, takže i implementace ping6 se uvnitř liší od implementace ping.
Pan Bernstein neví o čem mluví (zjevně IPv6 zrovna dobře nepochopil), těch nesmyslů co v tom je, to je do nebe volající. Moje antipatie k panu Bernsteinovi (které jsem měl odjakživa, třeba kvůli jeho "úchvatným" licencím a vůbec přístupu a aroganci) se tímto ještě prohloubily.
http://www.eu.socialtext.net/ntp/index.cgi?ipv6
Konecne mam IPv6 tunel, je to pekna hracka. Konecne jsem videl pohybujici se zelvicku na kame.net. Vyzkousel si, ze ipv6.google.com skutecne funguje. Overil si, ze mirado me propoji na ipv6 sit, pokud budu potrebovat. Presvedcil se, ze prujem.cz delal jen velka ramena a na ipv6 zadny funkcni server nema. Pak jsem nasel nejaky seznam www serveru fungujicich v IPv6 prostoru, ale nezanedbatelna cast byla nefunkcni. Casem se treba podivam na nejake video ve vysokem rozliseni. Mozna ze se v lete podivam na nejake cinske servy venovane olympiade, ktere pobezi na IPv6 siti. Taky jsem narazil na prvni problemy s kompatibilitou. A hlavne, pokud jsem patral cim nahradit svuj "router" aby mel IPv6 podporu, tak, nikdo se do IPv6 podpory nezene (pfSense, IPcop, m0n0wall), IPv6 neni prioritou...
A co dal? Vyda abclinuxu tricko "IPv6 skeptik"
Presvedcil se, ze prujem.cz delal jen velka ramena a na ipv6 zadny funkcni server nemaNo me funguje http://prujem.cz/ pres IPv6 - je tam server s velkym mnozstvim filmu a porna.
Presvedcil se, ze prujem.cz delal jen velka ramena a na ipv6 zadny funkcni server nema.Huf, do teďka jsem si myslel, že ses jen v několika drobnostech spletl. Je na čase přestat komentovat a začít přemýšlet... pak vyzkoušet... pak ještě jednou přemýšlet (mezitím člověk přestane vyvozovat špatné závěry z nedostatku informací)... pak si s tím nějakou chvilku hrát... a když už mi to všecko funguje aspoň tak dobře jako všem ostatním, tak začít dělat chytrého v komentářích pod článkem. A pokud mi něco nejde, tak se zeptám, jak na to, a ne že prudim lidi kecama o tom, co všechno nefunguje, když na první pokus zjistěj, že jim to jde. Přeju hodně štěstí :), nad novýma věcma se občas nějaká ta hodina stráví :).
Problem je zaludnejsi, dva pocitace na stejne domaci podsiti, dve ruzne technologie, ruzne vysledky:
Linux, Miredo 1.1.5 1) prujem.cz je NEDOSTUPNY, http://[2a01:490:11:1:3:3:7:0]/ 2) www.kame.net je DOSTUPNY, http://[2001:200:0:8002:203:47ff:fea5:3085]/ 3) ipv6.google.com je dostupny, http://[2001:4860:0:1001::68]/ WinXP, Teredo 1) prujem.cz je DOSTUPNY, http://[2a01:490:11:1:3:3:7:0]/ 2) www.kame.net je NEDOSTUPNY, http://[2001:200:0:8002:203:47ff:fea5:3085]/ 3) ipv6.google.com je dostupny, http://[2001:4860:0:1001::68]/IPv6 experti mohou znovu overit
Pokud mi date tip na server, ktery je v podobne oblasti jako prujem ale ma nudnejsi obsah, tak napisu bug report pro Miredo.
IPv6 je porad jeste jen experiment...IPv6 tunely jsou o dost větší experiment než IPv6. Tip na server asi nedám, navíc pochybuju, že bugreport pro Miredo nějak zásadně pomůže. Ale doporučím utility tracepath6/traceroute6, které občas odkryjí místo, kde se routování rozbije. Jen nevím, co ukáže v případě Teredo tunelu.
Stranka ipv6mess.html pekne vysvetlujeMě osobně ta stránka přijde jako snůška nesmyslů. Teda četl jsem jenom začátek, ale nepředpokládám, že by se dál něco měnilo.
Prechodem na IPv6 zamestnace prakticky odriznete od stareho IPv4 svetaTohle je právě dost hloupý způsob uvažování. Jestli něčím někoho odříznete od IPv4 světa, bude to tím, že zrušíte IPv4, ne tím, že zavedete IPv6. Jinak například IPv4 adresy jsou mapované na IPv6 (což autor asi netušil, když to psal).
Ma Linux spatne implementvany DNS resolver?Podle mě nemá. Podle mě nemá vůbec implementovaný resolver. Nikde v configu jsem nic o resolveru neviděl. Navíc různé aplikace prokazatelně používají různé resolvery.
Teoreticky by mel stacit jen jeden prikaz, ping a traceroute.Například Mikrotik má jen příkaz ping. Je pravda, že separátní verze některých příkazů jsou trochu nešťastné. Ale myslím, že Linux za to zrovna nemůže, iproute2 například používá příkazy společné.
Protoze IPv6 a IPv4 jsou oddelene svety?Filozofická otázka :). V něčem jsou odlišné, mnoho mají společného... a velmi dobře fungují pohromadě.
22.3.2008 22:31
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
Podle mě nemá. Podle mě nemá vůbec implementovaný resolver. Nikde v configu jsem nic o resolveru neviděl. Navíc různé aplikace prokazatelně používají různé resolvery.Nejsem si jist, ale mám pocit že aplikace používají k překládání libresolv, takže by mělo stačit aby byl přeložen s podporou IPv6.
Například Mikrotik má jen příkaz ping. Je pravda, že separátní verze některých příkazů jsou trochu nešťastné. Ale myslím, že Linux za to zrovna nemůže, iproute2 například používá příkazy společné.No tak zrovna RoS to má řešené tak, že ten binární bazmek určí o jaký typ se jedná a pak použije tu nebo tu verzi příkazu, aby nemátli uživatele. Je to jen o tom jak se to všechno pojmenuje.
Nejsem si jist, ale mám pocit že aplikace používají k překládání libresolv, takže by mělo stačit aby byl přeložen s podporou IPv6.Takže se k moji doměnce, že Linux resolvování neimplementuje připojuješ :).
No tak zrovna RoS to má řešené tak, že ten binární bazmek určí o jaký typ se jedná a pak použije tu nebo tu verzi příkazu, aby nemátli uživatele. Je to jen o tom jak se to všechno pojmenuje.Implementační detaily jsem neřešil, šlo mi o uživatelské rozhraní (jak příkazové, tak grafické).
22.3.2008 22:32
pavlix | skóre: 54
| blog: pavlix
22.3.2008 23:49
pavlix | skóre: 54
| blog: pavlix
). Takže na 1 mbit to opravdu omezené není.
Ale koukl jsem se i do FAQ a tam mi to potvrzují:
Is there a traffic/data limit? There is no enforced traffic limit on any of the tunnels. In essence we would actually love to see a lot more IPv6 traffic.
23.3.2008 11:27
pavlix | skóre: 54
| blog: pavlix
23.3.2008 17:03
pavlix | skóre: 54
| blog: pavlix
23.3.2008 18:18
pavlix | skóre: 54
| blog: pavlix
Tunel s takhle stupidním omezením je k ničemu...No... tunel s takhle stupidním omezením je mi úplně k tomu samému jako tunel bez něj. Stejnak mi to po mojí lince rychlejc nepojede :D. Takže asi proto.
23.3.2008 18:21
pavlix | skóre: 54
| blog: pavlix
23.3.2008 21:53
pavlix | skóre: 54
| blog: pavlix
Prosím tedy o vysvětlení pro blbce
24.3.2008 00:57
pavlix | skóre: 54
| blog: pavlix
Prosím tedy o vysvětlení pro blbceTak zlé to snad nebude :). Ale obviňovat mě ze závisti blbost je. Doma mi tohle připojení stačí (a musí stačit). Na serveru máme tuším 100mbit. Ale na serveru na tom 100mbit bude nativí šestka a ne tunel. A nevidím důvod, proč by se měl rychlý IPv6 internet stavět jen jako další vrstva IPv4. Pokud mam peníze a možnosti získat kvalitní linku... a chci IPv6, tak mam většinou možnost získat kvalitní linku i s IPv6. Ale třeba se tu najde dost lidí, co si myslí, že rychlé IPv6-on-IPv4 tunely jsou fajn. Jenže pak to dopadá, jako když mi kámoš řekl, že OGG zní hůř než MP3. Pak z něj vypadlo, že to do toho OGGu konvertoval z MP3. Podobně to dopadne, když se budou prosazovat tunely místo nativu.
23.3.2008 18:20
pavlix | skóre: 54
| blog: pavlix
Dávaj?Ano, dávaj.
Nedávno jsem si zrovna psal o nový tunel, řekl jsem si o nlams04 (Nizozemsko) a dostal jsem ho, žádný problém.+1
Ani jednou jsem se nesetkal s tím, že by mojí žádosti nevyhověli a místo toho mi přidělili tunel na jiný POP.Já taky ne.
1) pokud ne, musíš si najít nějaký veřejný relay router a spoléhat na něj.Tedy spoleham na 6to4 relay router, zatimco pri staticych tunelech spoleham na router tunel brokera - zadny rozdil.
2) Reverzní DNS.V tom nevidim zadny koncepcni rozdil - proste mam jiny rozsah a pouzivam jinuu reverzni domenu, koncepcne je to zcela stejne. Prakticky rozdil je mozna v tom, ze u statickeho tunelu zarizuje delegovani tunel broker, ktery bude IPv6 aware, zatimco u 6to4 to zarizuje ISP, ktery o IPv6 treba ani nic nevi.
3) IPv6 spoofing.No zdrojova IP adresa stejne neni duveryhodny udaj, takze to, ze je ji mozne spoofovat jeste snaze, neni zas tak velky problem.
4) že se subnet routovaný statickým tunelem chová jako nativní subnet,A jak se v tomto smeru lisi subnet routovany 6to4 tunelem oproti subnetu routovanyho statickym tunelem? IMHO akorat jinym prefixem. Pri prechodu na nativni konektivitu bude stejne treba prefix zmenit.
22.3.2008 23:52
pavlix | skóre: 54
| blog: pavlix
zatimco pri staticych tunelech spoleham na router tunel brokera - zadny rozdil.Tunnel broker funguje, jinak bys ho nepoužíval. Pokud používáš 192.88.99.1, tak to záleží zcela na tvém poskytovateli IPv4. Třeba na o2 to střídavě fungovalo (s hrozivou latencí) a střídavě vůbec. I to slovinsko je občas blíž :), pokud mluvíme o SixXS. Pokud používáš konkrétní relay, tak už se to jedním směrem chová jako statický tunel, ve druhém to opět spoléhá na (všecky možné) relay routery na straně nativních IPv6 počítačů.
zatimco u 6to4 to zarizuje ISP, ktery o IPv6 treba ani nic nevi.To zní jako dost zásadní rozdíl, skoro jako úspěch versus neúspěch. Mám dojem, že spousta koncových poskytovatelů IPv4 není ochotná nastavit ani reverzní záznam na tu jednu IP adresu. I když mám dojem, že to u 6to4 bude fungovat trochu jinak, co jsem na to koukal.
No zdrojova IP adresa stejne neni duveryhodny udaj, takze to, ze je ji mozne spoofovat jeste snaze, neni zas tak velky problem.To zní rozumně.
A jak se v tomto smeru lisi subnet routovany 6to4 tunelem oproti subnetu routovanyho statickym tunelem? IMHO akorat jinym prefixem. Pri prechodu na nativni konektivitu bude stejne treba prefix zmenit.Liší se v prefixu... a liší se v přístupu některých routerů, které mají nativní konektivitu. Funguje to o něco složitěji. Pořád ještě si myslím, že je pravděpodobnější, že se někam nepřipojíš z 6to4 než z nativní IPv6 nebo statického tunelu. Ale vidím, že se ti 6to4 líbí a tyhle drobnosti tě neodradí. Je to celkem elegantní řešení.
3.6.2008 17:06
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
/ipv6 route add dst-address=inet6,::/0 gateway=::192.88.99.1
23.9.2012 19:03
pavlix | skóre: 54
| blog: pavlix
3.5.2013 11:47
pavlix | skóre: 54
| blog: pavlix
/ipv6 address add interface=inet6 address=2002:__ip:v4__::1/64 advertise=noTady to je zřejmě chyba, protože pro správné routování mezi 6to4 by ten rozrah měl být /16 a ne /64.
3.5.2013 11:54
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko