IPv6 Suomessa

Ehkä voidaan sopia, että IPv4 NAT+DMZ on palomuurin vastakohta. Todellakaan mitään ei blokata - jos jotain ei ohjata toisaalle, se päätyy DMZ:een.

Jos IPv6:n kanssa ei olisi käytössä palomuuria, niin jokainen pystyssä oleva interface subnetissa on DMZ:lla.
 
Täytyy nyt itsekin ottaa osaa keskusteluun, kun tulee tätä lankaa katsomosta lähinnä seurattua. En ole missään määrin mikään tietoliikenneguru, joten vastaukseni kannattaa huomioida sitä ajatellen jos termeissä on virheitä.

Kuten täällä joku kirjoittikin, aikoinaan WinXPtä asentaessa oli järkevä ”nyrkkisääntö”, että se ei saa olla julkiseen internetiin kytkettynä ilman, että tietokoneen ja internetin välissä oli palomuuri joka suojasi sitä käyttöjärjestelmän asentamisen, ja tätä seuraavien päivitysten asentamisen ajan. WinXP service pack 3 ajantasaisilla päivityksillä taisi olla jo jokseenkin turvallinen kytkettäväksi suoraan internetiin ilman muita palomuureja.

Seuraava esimerkki koskee IPv4:
NATeja on monenlaisia. Simppelein on tämä one-to-one NAT, joka ei itsessään luo mitään palomuurimaista suojausta. Huomattavasti hedelmällisemmän keskustelun tästä saa, kun käsittää NATin siten, miten se on jo viimeisen kymmenen vuoden ajan esimerkiksi kuluttajille toimitettavissa operaattoreiden reitittimissä ymmärretty: reititin on yhdistetty internetiin ja vastaanottaa yhden julkisen IP-osoitteen, ja reitittimen perään kytketyt laitteet muodostavat sisäverkon (käytännössä jostain näistä blokeista: 10.0.0.0/8, 172.16.0.0/12 tai 192.168.0.0/16). Sisäverkon laitteet, joita on N-määrä, hoitavat liikennöinnin internetiin reitittimen kautta, ja käsitykseni mukaan ainakin viimeisen viiden vuoden ajan tällaiset kuluttajareitittimet ovat sisältäneet myös palomuuriominaisuutta seuraavan pelkistetyn esimerkin kuvailemalla tavalla:
- kone B:n käyttäjä haluaa vierailla io-techin sivuilla
- kone B yhdistää reitittimeen A, joka ohjaa yhteydenoton io-techin palvelimelle (samalla muuttaen IP-paketin lähdeosoitteen sisäverkon IP-osoitteesta julkisen internetin IP-osoitteeksi; samalla myös avaten portin)
- reititin A jää odottamaan vastausta io-techin palvelimelta (tässä on tietty aikakatkaisuaika) jättäen tätä yhteydenottoa varten avatun reitittimen portin auki, mutta tarkkaillen porttia siten että hyväksyy kone B:lle välitettävän vastauksen vain io-techin palvelimelta tulevasta osoitteesta ja siten, että myös protokolla (tässä tapauksessa TCP) täsmää vastaukseen
= mielestäni tällainen ”NAT”, joka käsittääkseni on nykyään hyvin yleinen kuluttajalaitteissa, on myös palomuuri. Ei välttämättä palomuuri kaikista viisaimmasta päästä, kun pakettien tarkempi analysointi puuttuu (stateful firewall?), mutta jos tämä on se etenkin kuluttajalaitteiden nykyään yleisin NAT-versio, niin emmekö voi todeta tältä osin: NAT on palomuuri, ainakin köyhän miehen palomuuri, ja erittäin hyvä lisä kuluttajalaitteissa IPv4-verkoissa. Jos ”NAT ei ole palomuuri, piste” oli vain saivartelua siitä, että NAT, tai sen eri versiot (kuten one-to-one NAT, SNAT, DNAT), eivät sisällä palomuuriominaisuutta, niin hedelmällisemmän keskustelun saa kuin ymmärtää sen NATin siten, kuten se pääsääntöisesti nykyisin kuluttajalaitteissa toimii.

IPv6:
IPv6-osoitteita on niin paljon, että julkisten osoitteiden säästämiseksi NAT ei ole tarpeen, ja olisi itse asiassa vahingollista. Kannan kuitenkin täälläkin esitettyä huolta siitä, että IPv6n yleistyessä kuluttajareitittimissä olisi hyvä olla palomuuri (transparent firewall?), joka ei ilman käyttäjän tietoisia toimia (reitittimen asetuksien muuttaminen hallintapaneelista esimerkiksi portin avaamiseksi ”pysyvästi”) päästä internetistä paketteja reitittimen takana oleviin laitteisiin kuin vain tilanteissa, jossa laite on ensin avannut yhteyden eli esimerkiksi yrittänyt yhdistää io-techin palvelimeen. Eli tässä mielessä toivoa sopii, että IPv6-tukevissa kuluttajareitittimissä on vakiona palomuuri toiminnassa (ettei toistu toissa vuosikymmenen tilanne, jossa ADSL-modeemit olivat siltaavassa tilassa ja ”suodattamattoman” yhteyden perässä oli haavoittuva Windows XP).
 
Ja edelleen: oli kyseessä se ihan OIKEA palomuuri taikka NAT, niin ei ne kumpikaan tiedä niiden pakettien sisällöstä yhtään mitään koska se paketin sisältö on salattu nykyisin lähestulkoon kaikessa liikenteessä.
Ero on siinä että puhdas NAT yrittää ohjata kaiken perille, jos vain osaa. Eli siinä menee ne ei toivotutkin.
Simppeli palomuuri toimiin päinvastoin, päästää ne minkä se uskoo olevan haluttuja.


Yksi moneen NATissa riskiä lisää se että sen yhden julkisen IPn perässä voi olla monia kohteita, joten yhtä IPtä pommittamalla kohteena useita portteja jotka kuuntelee.
Toinen riski että jos 1-moneen NATin takaa jokin laite kommunikoi vihamielisen kohteen kanssa, joka voi sitten kohdistaa hyökkäyksen juuri tähän IPhen ja sen takana oleviin laitteisiin.

Eli jos surffailee PCllä jollain vihamielisellä sivustolla, niin sivustonylläpidon pahisten aloittama hyökkäys voi kohdistua myös kotiverkon epämääräisiin IoT laitteisiin.

En tarkoita että tuollaisen NATin takana olisi sama kuin suoraan julkisessa netissä, NAT ei osaa kaikkea reittittää kohteelle, mistä syntyy se turvallisuuden tunne.

Sitten joku meni keksimään että on hiton upee juttu kun laitetaan uPnP tuki siihen purkkiin jolloin se windows voi ihan automaagisesti aukoa portteja miten tahtoo. Veikkaan että toi on suurin syy siihen miksi NAT:lla on niin huono maine ja toki sen takia kun operaattorit kun tekee NAT:n niin siellä ei portteja aukaista että juuso pääsee turskaa seedaamaan.

Koska 1-moneen NAT ei muuten osaisi reitittään niitä paketteja perille, niin tarvitaan jokin konstti millä kerrotaan (tai käyttäjä käsin, mutta käyttäjällä ei välttämättä kykyä, ei välttämättä edes pääsyä).
Kehittymyt moderni NAT voi osata jotain arpoa itsekkin mutta NAT ongelman takia sovelluksissa ja palveluissa jodutaan keksimään kiertoteitä.


NAT etu on siinä että jos julkinen ip on muuttuva, niin voidaan sisäverkoissa käyttää kiinteitä privaatteja osoitteita.

Ongelmallinen 1-moneen NAT on sen takia että julkisia osoitteita ei ole riittävästi jakaa asiakkaille.

Jos sisäverkossa on laitteita joilla ei ole liikennettä julkiseen nettiin, niin todennäköisesti NAT ei niille osaa mitään julkisesta netistä tulevia paketteja reitittää.
 
Aikoinaan sai pyytämällä kokonaisia julkisia IPv4 rangeja käytettäväksi sisäverkossa, palomuurista oli sitten operaattorille reititysverkko ja säännöt sai tehdä suoraan ip osoitteiden välille. Sitten tuli NAT "viritykset", jotka tuottivat ongelmia. Nyt niiden kanssa on totuttu taas elämään, protokollat optimoitu kiertämään NAT rajoitukset ja paluu takaisin suoriin julkisiin tuntuu oudolta.
 
Noita purkkien valmistajia ei monesti nappaa kovin pitkään tuotteitaan päivitellä. Tuossakin telewell purkissa kerneli 2.6.36 kun nykyisin mennään 5.15.x jotakin. Siinä on jo uutena ollut todella vanha kerneli.
Ilmeisesti joskus 2014/2015 on tuo purkki ollu ns. uusi tuote. Vastaavasti toi kerneli on vuodelta 2011. Onhan siihen todennäköisesti backportattu jotain kriittisiä juttuja, mutta viimeisin firmis on vuodelta 2015, eli ei ole juuri kiinnostanu tukea jatkaa.

Ei se viimeisin kerneli mitään lisäarvoa tuollaisessa tuo. Jos tuote toimii kuten sen on luvattu toimivan ei sitä firmistä ole järkevää alkaa päivittämään.
 
Ero on siinä että puhdas NAT yrittää ohjata kaiken perille, jos vain osaa. Eli siinä menee ne ei toivotutkin.
Simppeli palomuuri toimiin päinvastoin, päästää ne minkä se uskoo olevan haluttuja.

Ainoastaan jos se NAT on conffattu tekemään noin. Tuollaiselle ei nykypäivänä juurikaan käyttökohteita ole. Jo yhden hypoteettisen kohteen kerroinkin.
Ei se palomuuri tee mitään uskoon perustuvia päätöksiä. Se tekee juuri sen mitä siltä pyydetään ja jättää tekemättä mitä ei ole pyydetty. Palomuurin voi conffata väärin kuten kaiken muunkin. Mutta mitään arpomista se palomuuri ei tee. NAT sen sijaan saatta tehdä arpomista portin suhteen. Jos sisäverkossa 192.168.1.10, 192.168.1.11 ja 192.168.1.12 muodostavat https yhteyden vaikka io-tech:n samaan aikaan ja jostain syystä kaikki kolme on onnistunu arpomaan vastaanottavaksi portiksi 32000, niin se nat arpoo tilalle jotkin vapaat portit mutta pitää kirjaa siitä lähteen osoitteesta ja portista, lisää myöhemmin kirjanpidosta.

Nykyisin kun aletaan viritellä julkiseen verkkoon konetta, niin ihan ensimmäisenä (tämä linux puolelta) varmistetaan että iptablesissa INPUT ketjun sääntö on reject tai drop.
Seuraavaksi siihen INPUT ketjuun luodaan sääntö joka sallii RELATED ja ESTABLISHED liikenteen jolloin meillä on itkumuuri pystyssä joka sallii liikennöinnin minne tahansa interwebbiin, mutta ei salli sitään mitään muuta liikennettä kuin sen mikä on sisältä muodostettu ja siihen liittyvän liikenteen. Ja näin meillä on siis hyvin yksinkertainen palomuuri joka on täysin riittävä valtaosalle kotikäyttäjistä.
Tämä on monessa distrossa nykyisin jo ihan vakiona toteutettu, eli käyttäjän ei edes tartte tehdä mitään.
Tuon perään sitten viritetään masquerade natti, jolloin se nattikin on automaattisesti turvallinen. Sun täytyy muistaa että monet docut interwebissä voi olla hyvinkin vanhoja, kuten jo aiemmin linkkaamani RFC natista joka oli vuodelta 1999, eka RFC natista on vuodelta 1994. Näiden vuosien aikana on tapahtunut paljon kehitystä ja monet ongelmat joita tuohon aikaan NAT:n kanssa on ollut, on ratkastu jo aikapäiviä sitten. Sellaista dynaamista docua ei ole joka olisi automaattisesti ajantasalla aina.

Ja vaikka se INPUT ketju olisi accept tilassa niin edelleenkään peli ei ole menetetty koska siinä koneella pitää olla joku portti auki ottamassa vastaan sisääntulevia yhteyksiä. Ja vaikka olisikin auki, niin se portti pitää olla kuuntelemassa joko kaikki osoitteita, tai sitten sitä ulkoverkon osoitetta, sitten vasta ulkoa saadaan yhteys siihen koneen tarjoamaan palveluun. Koneella saattaa olla paljonkin portteja kuuntelemassa, mutta jos ne on kaikki mäpätty joko 127.0.0.1 taikka sisäverkon ip:lle, niin ei niihin pääse ulkoa käsiksi.

Yksi moneen NATissa riskiä lisää se että sen yhden julkisen IPn perässä voi olla monia kohteita, joten yhtä IPtä pommittamalla kohteena useita portteja jotka kuuntelee.

Täysin väärää tulkintaa. Ei se yksi moneen natti tee mitään tommoista että yrittää väkisin reitittää sitä sisääntulevaa liikennettä kaikkialle sisäverkkoon. Jos oikein kovasti yrittää niin EHKÄ tuollaisen viritelmän saisi rakennettua mutta sehän olisi täysin typerä viritys.

Toinen riski että jos 1-moneen NATin takaa jokin laite kommunikoi vihamielisen kohteen kanssa, joka voi sitten kohdistaa hyökkäyksen juuri tähän IPhen ja sen takana oleviin laitteisiin.

Ei voi kohdistaa. Se voi kohdistaa ainoastaan siihen koneeseen josta se rööri on avattu ja ainoastaan siihen porttiin josta on yhteys avattu. Se reititin/gateway/palomuuri/nat pitää kirjaa kaikista yhteyksistä mitkä on muodostettu ja välittää liikennettä ainoastaan sinne mistä on pyydetty.

Tuossa jo kerrottiin DMZ:sta. Se DMZ pitää erikseen määrittää yhteen osoitteeseen, jolloin sinne välitetään sitten kaikki muu sisään suuntautuva liikenne jos välttämättä halutaan niin tehdä.

Eli jos surffailee PCllä jollain vihamielisellä sivustolla, niin sivustonylläpidon pahisten aloittama hyökkäys voi kohdistua myös kotiverkon epämääräisiin IoT laitteisiin.

Ei voi. Se kohdistuu ainoastaan siihen koneeseen josta se yhteys on luotu. Jos se yhteyden luonut kone on reikäjuustoa esim selaimen osalta, niin on mahdollista että sen selaimen reikäisyyden takia sitten vaarantuu koko sisäverkko niin että se kone joka vuotaa toimii ns. välittäjänä sinne sisäverkkoon. Mutta melko teoreettinen skenaario. Jos tuollaista pelkää niin sitten ei kannata moista laitetta sisäverkkon kytkeä.

En tarkoita että tuollaisen NATin takana olisi sama kuin suoraan julkisessa netissä, NAT ei osaa kaikkea reittittää kohteelle, mistä syntyy se turvallisuuden tunne.

Kyllä se NAT käytännössä nykyisin osaa välittää lähes kaiken pyydetyn liikenteen. Oli joskus aika kun tiettyjen palveluiden kanssa oli ongelmia, mutta esim. iptables sisältää moneen sellaiseen palveluun ns. helper moduulin. Lisäksi tuollaiset palvelut alkaa olla poistumassa jotka tarvitsee kuuntelevan portin sinun päässä toimiakseen. Esim. kohta selaimet ei enää tue ftp:tä.
IPSEC on käsittääkseni tänäkin päivänä sellainen että se menee NAT:n kanssa rikki, eli ei voida käyttää. Mutta IPSEC on mielestäni vanhentunut muutenkin ja nykyisin käytetään jotain muuta VPN.
EDIT: Jooh eli IPSEC on nykyisin mahdollinen jopa natin takaa, eli ei edes tämä ole ongelma enää.

Koska 1-moneen NAT ei muuten osaisi reitittään niitä paketteja perille, niin tarvitaan jokin konstti millä kerrotaan (tai käyttäjä käsin, mutta käyttäjällä ei välttämättä kykyä, ei välttämättä edes pääsyä).
Kehittymyt moderni NAT voi osata jotain arpoa itsekkin mutta NAT ongelman takia sovelluksissa ja palveluissa jodutaan keksimään kiertoteitä.

Nykyisin on hyvin vähän tavan käyttäjän softia jotka ihan pakolla vaatii kuuntelevan portin. Suosituin tällainen on ehdottomasti torrent. Jos ei ole pääsyä kuuntelevaan porttiin, turskan seedaus ei onnistu kaikille, se onnistuu vain niille joilla on kuunteleva portti auki ja sinä saat avattua sen putken siihen kohteeseen.
Koska kaikki tietää mihin käyttöön turskia seedataan, (linux distroja tietenkin) niin en pidä kovin tärkeänä että tämä menee natin takia "rikki". Samoin myös ajattelee varmaan suurin osa operaattoreista jotka kuluttajille työntää defaulttina natin päälle.

Ongelmallinen 1-moneen NAT on sen takia että julkisia osoitteita ei ole riittävästi jakaa asiakkaille.

Juuri tuota ongelmaa vartenhan se nat on nykyisin olemassa, joten ei ole mitään ongelmaa.

Jos sisäverkossa on laitteita joilla ei ole liikennettä julkiseen nettiin, niin todennäköisesti NAT ei niille osaa mitään julkisesta netistä tulevia paketteja reitittää.

Ei kyse ole siitä ettei se osaa, sen ei tartte eikä edes pidä välittää mitään paketteja sisäverkkoon ellei ole erikseen pyydetty.


Lue tuosta ja sisäistä se. Jeesuksen aikainen docu, mutta edelleen ihan käypänen. Se kuva varsinkin hyvä. Se purkki kun saa paketin, niin se sönkii siitä paketin headerista kohde IP:n, kohde portin, lähde IP:n, lähde portin ja lähde MAC osoitten, noin pelkistettynä. Laittaa ne kirjanpitoon ja korvaa lähde tiedot omilla tiedoillaan eli omalla julkisella ip:llä, vapaalla olevalla portilla ja omalla MAC osoitteella ja lähettää paketin kohti kohdetta. Ja sitten kun kohteesta tulee vastaus, niin se korvaa paketissa olevat omat tietonsa lähde tiedoilla ja välittää vastauspaketin lähteelle.
Tuota rööriä pidetään juuri sen aikaa auki kuin on tarvis. Josta jouhevasti päästäisiin esim. tcp:n kättelyihin, mutta se on jo eri aihe kokonaan. Yhteyksille on myös jotkut vakio timeoutit, että ne suljetaan jos ei ole sulkua pyydetty ja sitä ei käytetä tai yhteys kuolee jostain syystä.

Tästä päästään siihen että noita yhteyksiä ei voida muodostaa äärettömästi, vaan sen verran kuin on vapaita portteja, eli jotain alle 65535. Eli jos natin takana on hiton iso verkko, niin voi tulla ongelmia. Kotikäytössä tuskin tällaista tilannetta kovin helposti saadaan aikaiseksi.

None of the hosts on the supported network behind the masquerade router are ever directly seen; consequently, you need only one valid and routable IP address to allow all hosts to make network connections out onto the Internet. This has a downside; none of those hosts are visible from the Internet and you can't directly connect to them from the Internet; the only host visible on a masqueraded network is the masquerade machine itself. This is important when you consider services such as mail or FTP. It helps determine what services should be provided by the masquerade host and what services it should proxy or otherwise treat specially.

Ehkä joskus on ollut aika että nat on ollut ihan erillinen kikkare, nykyisin se on kuitenkin osa palomuuria tai palomuuri on osa nattia.
Ja normaali kuluttaja saa turvallisen natin aikaiseksi esim linuksin netfilter:llä ihan muutamalla säännöllä.

Tuossa docussa sivutaan myös yhtä syytä miksi NAT on saanut huonon maineen.
Third, IP masquerade will have some impact on the performance of your networking. In typical configurations this will probably be barely measurable. If you have large numbers of active masquerade sessions, though, you may find that the processing required at the masquerade machine begins to impact your network throughput. IP masquerade must do a good deal of work for each datagram compared to the process of conventional routing. That 386SX16 machine you have been planning on using as a masquerade machine supporting a dial-up link to the Internet might be fine, but don't expect too much if you decide you want to use it as a router in your corporate network at Ethernet speeds.

Joskus esim ADSL purkeissa oli niin lussua rautaa, että ne kyykkäsi kun alettiin ajaa enempi yhteyksiä sen natin läpitte, prosessori teho ei riittänyt taikka muisti loppui kesken pitämään kirjaa kaikesta. Varsinkin joku turskan kalastus on sellainen että yhteyksiä saattaa olla satoja auki ja koko purkki menee yksinkertaisesti kyykkyyn joka näkyy sitten ihan kaikessa liikenteessä.
Nykyisin kehitys on kehittynyt niin paljon että tuo ei juurikaan ole enää ongelma.

Jotkut asiat tahtoo jäädä myytteinä pyörimään vuosikymmeniksi. Monelle realtek verkkopiiri on edelleen kirosana. Samoin nat on joillekkin kirosana.

Ei se viimeisin kerneli mitään lisäarvoa tuollaisessa tuo. Jos tuote toimii kuten sen on luvattu toimivan ei sitä firmistä ole järkevää alkaa päivittämään.

Kyllä se tuo, esim wireguardin. IPv6 tuki on myös vuosien aikana parantunut. Mutta ihan peruskäyttöön tuo kyllä riittäisi ihan hyvin. Lisäksi purkin tarjoamat fyytsörit alkaa olla happamia, eli parasta ennen päiväys ummessa.
 
Viimeksi muokattu:
Kylläpä taas DNA palveli IPv6:sen kanssa, Ihmettelin muutaman päivän että miksi jotkut satunnaiset nettipalvelut ei toimi. No vika oli siinä että ko. asiat tuki IPv6:tosta ja IPv6 routtaus oli rikki noin puoleen maailmaan. Laitteet sai nätisti osoitteet ja osaan kohteista reititys toimi ja osaan ei. Vika korjaantui kun buuttasi 5G tölkin. Tölkki siltaavana joten vika tuskin oli siinä, oikea vika on DNA:n päässä jossain, tässä varmaankin vaihtui jonkun kuormantasaimen perässä olevaa reititintä tms. ja arvonnassa sattui nyt ehjällä yhteydellä oleva härveli sieltä ajoon.

No jos vika uusii, niin pitänee tiputtaa IPv6 tuki pois kotiverkosta. Kyllähän tästä on jo "nautittu" useampi kuukausi. Olisi sitten yksi rikkoontuva asia vähemmän nettiyhteydessä.
 
Kylläpä taas DNA palveli IPv6:sen kanssa, Ihmettelin muutaman päivän että miksi jotkut satunnaiset nettipalvelut ei toimi. No vika oli siinä että ko. asiat tuki IPv6:tosta ja IPv6 routtaus oli rikki noin puoleen maailmaan. Laitteet sai nätisti osoitteet ja osaan kohteista reititys toimi ja osaan ei. Vika korjaantui kun buuttasi 5G tölkin. Tölkki siltaavana joten vika tuskin oli siinä, oikea vika on DNA:n päässä jossain, tässä varmaankin vaihtui jonkun kuormantasaimen perässä olevaa reititintä tms. ja arvonnassa sattui nyt ehjällä yhteydellä oleva härveli sieltä ajoon.

No jos vika uusii, niin pitänee tiputtaa IPv6 tuki pois kotiverkosta. Kyllähän tästä on jo "nautittu" useampi kuukausi. Olisi sitten yksi rikkoontuva asia vähemmän nettiyhteydessä.
Itse kanssa laitoin DNA:n IPV6 pois. Se toimi hetken ja test-ipv6.com näytti kaikki ok. Sitten meni hetki ja koko roska kippas jostain syystä. Ei kiinnostanut alkaa selvittää, että johtuuko DNA:sta vai minun Opnsense purkista. Nyt ei ole ollut varmaan yli vuoteen käytössä ja ei juuri ongelmia ollut.
 
Ainoastaan jos se NAT on conffattu tekemään noin. Tuollaiselle ei nykypäivänä juurikaan käyttökohteita ole. Jo yhden hypoteettisen kohteen kerroinkin.
Se vähän sen NATin tehtävä. (siis ohjata ne paketit perille)

Ei se palomuuri tee mitään uskoon perustuvia päätöksiä. Se tekee juuri sen mitä siltä pyydetään ja jättää tekemättä mitä ei ole pyydetty.
Teknisesti voi ajatella noin, mutta tuossa tarkoitn sitä että kotipalomuurissa voi olla sen verran "älykkyyttä" että selviää hommista ilman käyttäjän manuaali säätöjä. Voi se olla mekaanista, avataan portteja kun tietyt tunnusmerkit täyttyy. Tai sitten enemmän käyttäytymiseen perustuvaa, jossa ei niin suoraviivaisia sääntöjä.


Täysin väärää tulkintaa. Ei se yksi moneen natti tee mitään tommoista että yrittää väkisin reitittää sitä sisääntulevaa liikennettä kaikkialle sisäverkkoon. Jos oikein kovasti yrittää niin EHKÄ tuollaisen viritelmän saisi rakennettua mutta sehän olisi täysin typerä viritys.
Ei kaikkea kaikkialle, vaan se yrittää ohjata ne perille mitä osaa.

Jos se perus NAT ja paketti osuu porttiin, joka se NAT osaa ohjata perille, niin eikö se sen sitten sinne ohjaa, kuten aiemmin kirjoitit (*, jos se ei sitä mitenkään muuten tarkista. Jos se taasen ei sitä tee, niin siinä taasen voi jäädä myös halutut yhteydet toimimatta.

Toki se palomuurikin päästää, mutta ilman 1-moneen NATia se palomuurin pärjää yksinkertaisemmalla lokiikalla, halutut yhteydet toimii paremmin ja ei halutut helpompi estää. NAT virityksessä se palomuuri joutuu olemaan integroituna siihen NATiin ja silti ei pääse samaan osumatarkkuuteen.



(*
mm.
Se voi kohdistaa ainoastaan siihen koneeseen josta se rööri on avattu ja ainoastaan siihen porttiin josta on yhteys avattu.

Kuten kirjoitit, niin jos siellä kotiverkossa on niitä laitteita jotka nettiin yhteydessä, niin niitä reittejä joudutaan avaamaan, ja jos avattu, niin siellä sisäverkossa on myö sjoku joka kuuntelee ko porttia.


Toki niissä kotireittimissä on myös palomuuri toiminnallisuuksia (** ja nattausta pyritty kehittään turvallisemmaksi ja koska 1-moneen NAT on ongelma netinkäytölle niin palvelut ja ohjelmat on joutuneet kiertämään NAT ongelmaa, josta on voinut seurata suorituskyky ongelmia, osa ohjelmista käyttäytyy tilanteen mukaan. Lisäksi on tullu tprotokolliin tukea millä kierretään ongelmaa.

1-moneen NAT on tappannut monta hyvää juttua, mitään hyvää se ei ole tuonut.

(**
Toiminnallisuuksia joilla pyritään estämään ei toivottuja yhteyksiä, sallimaan main toivottuja.


IPv6 tuo apua toimiviin yhteyksiin, mutta liian myöhään,
 
Ei kaikkea kaikkialle, vaan se yrittää ohjata ne perille mitä osaa.

Se ohjaa kaiken perille mitä on pyydetty. Ei se nykyisin ole mitään toivotaan toivotaan hommaa.

Jos se perus NAT ja paketti osuu porttiin, joka se NAT osaa ohjata perille, niin eikö se sen sitten sinne ohjaa, kuten aiemmin kirjoitit (*, jos se ei sitä mitenkään muuten tarkista. Jos se taasen ei sitä tee, niin siinä taasen voi jäädä myös halutut yhteydet toimimatta.

Näin nopeasti unohtui se kirjanpito?

Toki se palomuurikin päästää, mutta ilman 1-moneen NATia se palomuurin pärjää yksinkertaisemmalla lokiikalla, halutut yhteydet toimii paremmin ja ei halutut helpompi estää. NAT virityksessä se palomuuri joutuu olemaan integroituna siihen NATiin ja silti ei pääse samaan osumatarkkuuteen.

Joutuu olemaan? Se on helvetin hieno asia että ne ON integroitu, ei tartte tehdä samoja asioita moneen kertaan. Perus palomuurin ja natin ero conffaus vaikeessa on nykyisin muutama extra sääntö palomuuriin.

Kuten kirjoitit, niin jos siellä kotiverkossa on niitä laitteita jotka nettiin yhteydessä, niin niitä reittejä joudutaan avaamaan, ja jos avattu, niin siellä sisäverkossa on myö sjoku joka kuuntelee ko porttia.

Ihan samoin niitä "joudutaan" avaamaan pelkän palomuurin ja julkisen ip:n kanssakin. Ei yhteydet toimi jos sulla on kaikki kiinni. RELATED ja ESTABLISHED on se maaginen juttu jolla hommat toimii ilman suurempaa säätöä. Noiden lisäksi löytyy NEW jota sitten käytetään kun halutaan porata muuriin pysyvä reikä.
Yhteys kun luodaan niin sitä pidetään auki vain sen aikaa kuin sitä tarvitaan, jonka jälkeen se suljetaan. Ei se portti ole 24/7 auki. Ja edelleen jos 192.168.1.100:45000 haluaa yhteyden kohteeseen 123.123.123.123:443, niin ainoastaan 123.123.123.123 saa rojua perille tuohon 192.168.1.100:45000 ja ainoastaan niin kauan kuin 192.168.1.100 katsoo tuota rööriä tarvitsevansa, kun se lähettää close pyynnön, niin sen jälkeen 123.123.123.123 ei enää saa rojua sisään vaikka muuttuisi vihamieliseksi. Jos 124.124.124.124 yrittää lähettää rojua samaan aikaan 192.168.1.100:45000 niin se NAT heittää ne paketit mäkeen koska se ei täsmää kirjanpitoon.

Toki niissä kotireittimissä on myös palomuuri toiminnallisuuksia (** ja nattausta pyritty kehittään turvallisemmaksi ja koska 1-moneen NAT on ongelma netinkäytölle niin palvelut ja ohjelmat on joutuneet kiertämään NAT ongelmaa, josta on voinut seurata suorituskyky ongelmia, osa ohjelmista käyttäytyy tilanteen mukaan. Lisäksi on tullu tprotokolliin tukea millä kierretään ongelmaa.

Kehitys kehittyy ja nykyisin koti natin kanssa ei ole käytännössä mitään ongelmia. ISP nat on paljon rajoittavampi, koska siihen ei ole mahdollista tehdä porttiohjauksia.

1-moneen NAT on tappannut monta hyvää juttua, mitään hyvää se ei ole tuonut.

Kuten? Olisikohan kuitenkin niin että osaamattomuus on ollut se syy?

IPv6 tuo apua toimiviin yhteyksiin, mutta liian myöhään,

IPv6 tuo potentiaalisesti uuden tietoturha katastrofin a´la Win XP aika jolloin kone ehti saastua jo ennen kuin asennus oli edes valmis. Noin kärjistettynä, koska on paljon koti reitittimiä joissa on kyllä IPv6 tuki, mutta ei minkäänlaista palomuuria sille IPv6:lle vakiona, jolloin se IPv6 puolen turvaaminen jää täysin sen käyttäjän vastuulle. Kaikissa purkeissa ei edes ole kunnollista mahdollisuutta rakentaa IPv6 puolelle mitään palomuuria. Sinällään tilanne on nykyisin parempi koska windowsissa on defaulttina palomuuri päällä kuten älyluureissa. Mutta sitten meillä on näitä muita laitteita joissa saattaa olla joku dlna palvelu eikä mitään palomuuria tai vaikka olisi niin pitäähän se dlna olla auki ja sitten se itse dlna on niin vanha versio että siinä on mahdollisesti useita aukkoja joita hyväksikäyttäen se pahis saa ujutettua tuhmuuksia tekevän ohjelman ajoon ja käyttäjä ei yleensä tiedä asiasta mitään.
Ipv6 puolella homma ei vielä ole niin villiä kuin IPv4 puolella, eli porttiscannia ei tule jatkuvasti. Siihen on pari syytä. IPv6 ei ole vielä niin yleinen ja toinen syy on se että niitä scannattavia osoitteita on vaan niin älytön määrä että vaaditaan ihan toista kokoluokkaa oleva botnet että saadaan kaikki IPv6 osoitteet ja portit koluttua läpitte.
 
Kuten? Olisikohan kuitenkin niin että osaamattomuus on ollut se syy?

1-moneen NAT rikkoi yhteydet, ei siinä ole osaamattomuudesta kyse.



Kannattaa muistaa että internet on muutakin TCP protokolla ja TCPkin on muutakin kuin http(s)



Ja liikenne ei ole pelkästään jokin laite - palvelimen kiinteän IP:n välillä, vaan myös laitteiden välisiä yhteyksiä.


NAT on osaltaan ruokkinut näitä korporaatioiden palveluita (niillä resursseja kiertää NATita) yksityisen palveluiden/sovellusten kustannuksella.


IPv6 tuo potentiaalisesti uuden tietoturha katastrofin a´la Win XP aika jolloin kone ehti saastua jo ennen kuin asennus oli edes valmis.

- Kotiverkkoon aina palomuuri, jos se on julkiseen nettiin yhteydessä

- IPv6 lisää turvallisuutta.



Jos kytkee laitteen nettiin ilman palomuuria on se riski, varsinkin jos kytkee päivittämättömän laitteen on se riski. Koskee myös sitä verkkolaitetta.


Kun siitä NATista päästää eroon, niin

Palomuurin tehtävää helpottaa se että tiedetään mihin se haluttu tuleva liikenne on tarkoitettu, voidaan tunnistaa vakiintuneita yhteyksiä.

IPv6 Riskinä lähinnä se että voi tuoda turvallisuuden tunnetta, kun XP ei saastukkaan heti.

Jos siinä omassa nettiävasten olevassa reittimessä ei ole palomuuria, niin ensin IPv6ta, vaan ensin kaupan kautta.
 
Kylläpä taas DNA palveli IPv6:sen kanssa, Ihmettelin muutaman päivän että miksi jotkut satunnaiset nettipalvelut ei toimi. No vika oli siinä että ko. asiat tuki IPv6:tosta ja IPv6 routtaus oli rikki noin puoleen maailmaan. Laitteet sai nätisti osoitteet ja osaan kohteista reititys toimi ja osaan ei. Vika korjaantui kun buuttasi 5G tölkin. Tölkki siltaavana joten vika tuskin oli siinä, oikea vika on DNA:n päässä jossain, tässä varmaankin vaihtui jonkun kuormantasaimen perässä olevaa reititintä tms. ja arvonnassa sattui nyt ehjällä yhteydellä oleva härveli sieltä ajoon.

No jos vika uusii, niin pitänee tiputtaa IPv6 tuki pois kotiverkosta. Kyllähän tästä on jo "nautittu" useampi kuukausi. Olisi sitten yksi rikkoontuva asia vähemmän nettiyhteydessä.

Ei toimi DNA ipv6 myöskään täällä. Toimii hetken kunnes putoaa taas pois.
 
- Kotiverkkoon aina palomuuri, jos se on julkiseen nettiin yhteydessä

- IPv6 lisää turvallisuutta.
Koko tämä NAT keskustelu taisi lähteä liikenteeseen siitä, että Elisa ilmoitti vihdoinkin ottavansa ipv6:n käyttöön. Tässä on varsin hyvä potentiaali hoitaa asiat päin persettä ja todellakin vastassa on samanlainen tietoturvakatastrofi mihin @JiiPee:kin viittasi.

Lähettääkö Elisa kaikille kymmenille(sadoille)tuhansille asiakkailleen, joilla on käytössä joku 8 vuotta sitten kytkynä saatu dsl modeemi uuden modeemin ? Ei todellakaan lähetä. Välittääkö tai tietääkö joku Tauno Tavallinen mikä ipv6 on ? Ei.

Nyt jos näissä vanhoissa modeemeissa on ipv6 tuki, mutta ei kunnollista ipv6 palomuuria, tai niissä sattuu olemaan ipv6 palomuuri oletuksena pois päältä, koska 'eihän Elisa käytä ipv6:tta, otetaan tuo pois päältä' päätti joku Elisan insinööri vuonna 2010.

Sitten tulee se kaunis päivä kun Elisa mitään varoittamatta kytkee ipv6:n käyttöön kaikille asiakkailleen. Mitä tapahtuu ? Kaikki Tauno Tavallisen kotilaitteet on julkisessa (ipv6) netissä. Voidaan vain arvailla, kuinka äkkiä Taunon älytelevisio on osa botnettiä.

Pahimmillaan hommat etenee ylläolevan kaltaisesti. Toivottavasti Elisa hoitaa ipv6:n käyttöönoton fiksummin.
 
1-moneen NAT rikkoi yhteydet, ei siinä ole osaamattomuudesta kyse.

Rikkoi? Mutta ei riko enää? Mikä siis on ongelma?

Ittellä ja monella muullakaan ei ole mitään ongelmia ollut NAT:n kanssa enää vuosiin. Itte täällä esitin yhden keissin eli IPSEC joka oli joskus rikki RFC:n mukaan, mutta sekään ei ole enää ongelma nykyisin kun googlettaa IPSEC NAT.
Tule pois sieltä kivikaudelta. Kehitys kehittyy, aina kun tulee jotain uutta niin niissä tahtoo olla ongelmia jotka sitten ajan myötä korjataan ja lopulta ongelmia ei enää ole.

Kannattaa muistaa että internet on muutakin TCP protokolla ja TCPkin on muutakin kuin http(s)

Tiedän kyllä, sinä et tuo mitään faktaa että mikä ON rikki, sinä vaan mutuilet ja rakentelet olkikukkoja asian ympärille.

Ja liikenne ei ole pelkästään jokin laite - palvelimen kiinteän IP:n välillä, vaan myös laitteiden välisiä yhteyksiä.

Ja tämä on ongelma miten? Jos et esitä mitään esimerkkejä niin silloin ainakin minun tulkinta on että tämä on sinun omaa mutuilua / tietämättömyyttä.

NAT on osaltaan ruokkinut näitä korporaatioiden palveluita (niillä resursseja kiertää NATita) yksityisen palveluiden/sovellusten kustannuksella.

Voisitko nyt tarkentaa että mitä ihmettä tämäkin taas tarkoittaa?

- IPv6 lisää turvallisuutta.

Ei tuo juurikaan. Se tarjoaa jotain parannuksia verrattuna IPv4:n mutta ei se että otetaan IPv6 käyttöön auitomaattisesti tuo mitään turvaa vaan kuten on jo moneen kertaa kerrottu, niin se voi potentiaalisesti tuota aikamoisen tietoturha sopan mukanaan.


Siinä hyvä kuva joka osoittaa miten paljon UUSIA potentiaalisia mahdollisuuksia ipv6 tuo tullessaan.

Jos kytkee laitteen nettiin ilman palomuuria on se riski, varsinkin jos kytkee päivittämättömän laitteen on se riski. Koskee myös sitä verkkolaitetta.

No kerrotko mistä saa sellaisen verkkolaitteen joka on ajantasalla ja joka on myös 5v päästä ajantasalla? Niin sellaista ei saa! Tai saa mutta sellainen maksaa sitten ihan toista luokkaa rahaa kuin nämä ISP purkit joissa melkein tuki loppuu sillä hetkellä kun kannat sen ulos kaupasta.
Sitten kun näihin nykyisin integroidaan jos jonkiimoista palvelua, niin yksikin interwebbiä vasten avattu portti voi vaikka 5v päästä ollakin sellainen että sen kautta koko purkki voidaan korkata.

Palomuurin tehtävää helpottaa se että tiedetään mihin se haluttu tuleva liikenne on tarkoitettu, voidaan tunnistaa vakiintuneita yhteyksiä.

Ja taas unohtuu se NAT:n kirjanpito. Se NAT tietää tasan tarkkaan minne niitä paketteja pitää ohjata ja myös se pystyy tekemään jotain koneoppimis mumbojumboa jota ilmeisesti tarkoitat tuolla "voidaan tunnistaa vakiintuneita yhteyksiä"
Itte en kyllä tuollaisia virityksiä kytkisi koskaan päälle. Lisäksi sitä tunnistamista heikentää todella paljon se fakta että lähes kaikki liikenne on salattua, joten ei siellä ole hirveäasti mitään mitä tunnistella. Käytännössä IP osoitteet, käytetty liikennöinti protokolla (pääsääntöisesti tcp, udp ja icmp) ja portit (lähde portilla oikeastaan tässä tee mitään kun se on joka yhteys sessiolla eri).
 
  • Tykkää
Reactions: jad
Aikoinaan sai pyytämällä kokonaisia julkisia IPv4 rangeja käytettäväksi sisäverkossa, palomuurista oli sitten operaattorille reititysverkko ja säännöt sai tehdä suoraan ip osoitteiden välille. Sitten tuli NAT "viritykset", jotka tuottivat ongelmia. Nyt niiden kanssa on totuttu taas elämään, protokollat optimoitu kiertämään NAT rajoitukset ja paluu takaisin suoriin julkisiin tuntuu oudolta.
Tämä, siksi jaksoikin naurattaa hervottomasti kun jengi puhuu että onko siltaava vai reitittävä liittymä. Eipä oo näkynyt paljon reitittäviä liittymiä kuluttajilla hetkeen. ;) Mutta juuri kuten sanoit. Tämähän toki pätee myös IPv6:n ei siinä mitään. mm. Kuusitunnelin kanssa tulee sitten "reitittävä" yhteys, kun on erikseen käyttö ja reititys osoitteet, haha.

Se reititin/gateway/palomuuri/nat pitää kirjaa kaikista yhteyksistä mitkä on muodostettu ja välittää liikennettä ainoastaan sinne mistä on pyydetty.
Joskus pitää, joskus ei. mm. Halvemmissa laitteissa on usein suorituskykyä varten optiot NAT ja Stateful NAT. Näistä tosissaan NAT (full cone / perinteinen) NAT mappaa vain sisä IP:n ja port:in WAN rajapinnan port:iin. Ja kaikki tuohon ulko porttiin kohdistuva liikenne ohjataan takaisin sisälle. Eli suorituskyky on parempi ja muistia tarvitaan vähemmän. Stateful aka Symmetric NAT on selvästi raskaampi. Ja varsinkin mm, torrent / P2P / pelikäytössä se on mahtavuutta, että tuo sallii yhdellä ohjauksella muistissa, tuhansien koneiden kommunikoida sisään esim. DHT:n tai muun vastaavan UDP pohjaisen laajasti hajautetun ratkaisun tapauksessa ilman ylimääräistä kuormaa. Joka saattaisi kyykätä / kaataa halvat laitteet. Mutta tämän sanoinkin tuossa jo aikaisemmin. - Siinä on hyvät ja huonot puolet.

First rule of IPv6 NAT is that you don't talk about IPv6 NAT.
 
Viimeksi muokattu:
No nyt on dna mobiilissa openwrt:n avustamana otettu ipv6 käyttöön, vielä on virittelyt kesken mutta openwrt tuntuu hoitavan ipv6 puolella palomuurin tehtävät mallikkaasti.
SLAAC:n käyttöönotto ei ollut ihan selkeimmästä päästä, mutta aikansa kun lueskeli niin lopulta ne oikeat viritykset löytyi.

Sitten alkoikin ihmettely kun mulla on ovh:n vps ranskassa niin sinne ssh muuttui todella lagittavaksi. Syy selvisi kun ajoin tracerouten.

Koodi:
 3  rai1-sr3.dnaip.fi (2001:14b8:1040:104::1c:0)  35.758 ms  35.894 ms  43.007 ms
 4  2001:14b8:1040:0:3e4e:641e:: (2001:14b8:1040:0:3e4e:641e::)  48.083 ms  48.241 ms  48.229 ms
 5  * * *
 6  as16086-20g-ix1.sthix.net (2001:7f8:3e:0:a500:1:6086:1)  60.449 ms  60.436 ms  60.211 ms
 7  as6939-20g-sk1.sthix.net (2001:7f8:3e:0:a500:0:6939:1)  53.238 ms  53.427 ms  53.417 ms
 8  * * *
 9  ve951.core1.ewr5.he.net (2001:470:0:593::2)  129.615 ms  126.823 ms  131.023 ms
10  100ge2-2.core1.nyc5.he.net (2001:470:0:559::1)  136.432 ms  136.625 ms  136.614 ms
11  * 100ge4-2.core1.nyc4.he.net (2001:470:0:20a::1)  136.593 ms  136.789 ms
12  * * *
13  ::ffff:64.230.15.228 (::ffff:64.230.15.228)  200.072 ms ::ffff:64.230.15.227 (::ffff:64.230.15.227)  210.857 ms  221.474 ms
14  ::ffff:64.230.15.60 (::ffff:64.230.15.60)  215.410 ms  231.501 ms  231.166 ms
15  ::ffff:64.230.193.225 (::ffff:64.230.193.225)  199.798 ms  212.322 ms  212.113 ms
16  ::ffff:64.230.15.148 (::ffff:64.230.15.148)  196.631 ms  194.838 ms  202.519 ms
17  ::ffff:64.230.15.183 (::ffff:64.230.15.183)  201.871 ms  202.177 ms  202.269 ms
18  * * *
19  2001:4958:1::b (2001:4958:1::b)  192.778 ms  208.761 ms  205.865 ms
20  * * *
21  be300.pdx-pdx02-sbb1-nc5.oregon.us (2607:5300::259c)  200.629 ms * *
22  2001:41d0:aaaa:100::3 (2001:41d0:aaaa:100::3)  231.154 ms  223.955 ms 2001:41d0:aaaa:100::5 (2001:41d0:aaaa:100::5)  217.965 ms
23  * * *
24  chi-1-a9.il.us (2607:5300::2554)  219.910 ms  207.093 ms *
25  be103.bhs-g2-nc5.qc.ca (2607:5300::1d0)  220.537 ms  215.469 ms  209.900 ms
26  * * *
27  * * *
28  * * *
29  vl100.gra-d1-a75.fr.eu (2001:41d0::42d)  209.533 ms vl100.gra-d2-a75.fr.eu (2001:41d0::437)  215.468 ms  215.239 ms
30  be5.gra-z1g2-a75.fr.eu (2001:41d0::22b)  215.066 ms be5.gra-z1g1-a75.fr.eu (2001:41d0::229)  215.218 ms be7.gra-z1g1-a75.fr.eu (2001:41d0::22d)  220.777 ms
31  po5.gra-z1b12-a70.fr.eu (2001:41d0:0:1:1:b12:1:0)  221.162 ms  220.935 ms  220.925 ms
32  2001:41d0:302:b12::11 (2001:41d0:302:b12::11)  215.384 ms  228.426 ms  211.310 ms
33  * * *
34  vps (2001:41d0:302:2200::x)  222.285 ms !X  217.304 ms !X  217.206 ms !X

Hiukan kusee reititykset kun ameriikkoja myöten pitää mennä...
 
Tämä, siksi jaksoikin naurattaa hervottomasti kun jengi puhuu että onko siltaava vai reitittävä liittymä. Eipä oo näkynyt paljon reitittäviä liittymiä kuluttajilla hetkeen. ;).
Mulla oli ensimmäinen dsl yhteys reitittävä. Mikäköhän se elisan patentin nimi oli... Reititin sai 10. sarjan osoitteet, jota oli kuitenkin 1:1 natattu julkisen osoitteiden kanssa, niin että jos mitään palomuuria ei asettanut, niin kone oli paljaana internetissä vaikka vaikka olikin nat.

Se oli vielä sellainen systeemi että jotkut firmat kuulemma käyttivät sitä sisäisiin yhteyksiin tilaamalla pelkästään sen adsl yhteyden, mutta ei internet yhteyttä, liikenne kulki sen adsl verkon "sisäverkossa" oli puolet halvempi.
 
Mulla oli ensimmäinen dsl yhteys reitittävä. Mikäköhän se elisan patentin nimi oli... Reititin sai 10. sarjan osoitteet, jota oli kuitenkin 1:1 natattu julkisen osoitteiden kanssa, niin että jos mitään palomuuria ei asettanut, niin kone oli paljaana internetissä vaikka vaikka olikin nat.

Muistan tuon hyvin, Arena net oli tuo palvelu (muistaakseni), joka siis hoisi yhteydet ja sitten sen internet yhteyden saattoi ostaa usealta eri operaattorilta. Sinänsä ihan fiksu konsepti. Eikös se ainoa oikea "avoinkuitu" ole sellainen, johon voi sitten valita vapaasti operaattorin jonka palvelua haluaa käyttää. Riittää että operaattorit tuo yhteydet johonkin POP:iin joka on yhteydessä verkkoon.
 
Hiukan kusee reititykset kun ameriikkoja myöten pitää mennä...
Tulee vanhat hyvät ajat mieleen, silloin kun Ficixi feilasi alkoi liikenne pääsääntöisesti kiertää nykin kautta, ja sitä tapahtui vielä yllättävän usein. Oli oikein viihdyttävää ottaa shellit yliopistolle jostain normi kuluttajaliittymästä silloin.
 
Viimeksi muokattu:
Alkaa varmaan pikkuhiljaa IPv6 yleistymään, koska nyt mm. Hetzner tarjoaa palvelimet halvemmalla, jos jätttää IPv4 legacyn pois, eli IPv4 maksaa extraa:
Monet muut palveluntarjoajat kuten Scaleway on jo pitkään tarjonnut tuollaista optiota. Mutta Hetzner on tosi iso Euroopan mittakaavassa.
 
Tämä on muuten aika jännä projekti. Peer-to-Peer (P2P) NAT64 verkko.

Mahdollistaa IPv6 käyttäjille IPv4 yhteydet ja myös IPv4 käyttäjille IPv6 yhteydet. Jotain tämän kaltaista on kaivattu kovasti, että saataisiin vihdoinkin ratkaistua tilanne jossa sopivia yhteyksiä ei ole saatavissa:

Huom. Tämä on toteutettu niin, että toimii myös NAT:n takaa, toisin kuin mm. Kuusitunneli ja 6in4 palvelut yleisesti. On ilmainen, avoin ja ei vaadi rekisteröitymistä.
 
Tämä on muuten aika jännä projekti. Peer-to-Peer (P2P) NAT64 verkko.

Mahdollistaa IPv6 käyttäjille IPv4 yhteydet ja myös IPv4 käyttäjille IPv6 yhteydet. Jotain tämän kaltaista on kaivattu kovasti, että saataisiin vihdoinkin ratkaistua tilanne jossa sopivia yhteyksiä ei ole saatavissa:

Huom. Tämä on toteutettu niin, että toimii myös NAT:n takaa, toisin kuin mm. Kuusitunneli ja 6in4 palvelut yleisesti. On ilmainen, avoin ja ei vaadi rekisteröitymistä.

Vähän kuulostaa liian hyvältä, mutta kuinkakohan hyvin tulee abusea on eri asia. :D
 
Huom. Tämä on toteutettu niin, että toimii myös NAT:n takaa, toisin kuin mm. Kuusitunneli ja 6in4 palvelut yleisesti. On ilmainen, avoin ja ei vaadi rekisteröitymistä.
Siis miten tuo kuusitunneli ei muka natin takaa toimisi? Sehän on tunneli joka avataan sieltä natin takaa tarvittaessa.
 
Wireguardillahan saisi tehtyä Kuusitunnelin tapaisen tunneli sydeemin, mikä toimisi myös ilman julkista v4 osoitetta.
 
Siis miten tuo kuusitunneli ei muka natin takaa toimisi? Sehän on tunneli joka avataan sieltä natin takaa tarvittaessa.
Ei toimi NATin takaa, jos käytössä olisi Teredo, niin sitten toimisi. Ref: Protokolla 41 - Trex tosin tarjoaa Teredolla palvelua ja toimii hienosti ja ilmaiseksi.

Wireguardillahan saisi tehtyä Kuusitunnelin tapaisen tunneli sydeemin, mikä toimisi myös ilman julkista v4 osoitetta.
Ai vähän niinku tää? Ungleich:in IPv6 VPN.
 
Viimeksi muokattu:
Suomessa ollaan jo yli 40%, vielä on matkaa jäljellä.


Samalla voidaan todeta että Euroopassa on nyt IPv4:t ihan oikeasti loppu ja hinta nousee hyvää vauhtia. Melkein vitsinä voisi pitää, että IPv4 osoittet on nyt NFT veroisia, hinta nousee ja voi ostaa ja myydä. Kannattaa ostaa vain siksi että hinta nousee? ;)

Ripen tilastot, ei oo hetkeen herunut, eikä taida herua, ellei joku halua luopua osoitteistaan:

Vielä kun noi pari isoa vastaanhagoittelevaa operaattoria osaisi pistää settinsä kuntoon, niin tilanne muuttuisi radikaalisti.

Samalla vois muuten mainita, että Yhdysvallat on myös ylittänyt 50% rajapyykin.
 
Viimeksi muokattu:
Putkahti uusi IPv6 palveluiden tarjoaja, tää on kyllä paras ja helpoin mitä oon tähän mennessä nähnyt. Selkeä, helppo, toimiva ja silti tehokas ja monipuolinen.
BGP, ASN, LOA, rDNS, ZeroTier, WireGuard, 6in4 tuet löytyy.

Nyt kukaan ei voi sanoa enää, ettei IPv6 taipuisi: Route48 :: IPv6 Tunnel Broker

Toimii mm. NAT:n takaa ja tarjoaa VPN salatut yhteydet mm. WireGuardilla.
 
Viimeksi muokattu:
Globaali IPv6 käyttö osunut jo 40% markeriin hetkittäin, kyllä se tästä, hitaasti mutta varmasti:
Suomi viipottaa 44% ja Saksa ja Ranska on jo 65%.
 
Jos vähän tarkemmin katsoo Suomen tilannetta, niin varsin surkeaa on. Telialla ei mobiilissa mitään, Elisa+DNA:lla /64 eikä PD:stä tietoakaan.
Kiinteissä yhteyksissä Telia vähän paikkaa 6rd:llä, Elisalla ei oikein mitään ja vain DNA tarjoaa asiallisesti PD:ia ja /56:tta ainakin.
 
Hyvinhän Suomi on mukana :confused:

1654181895044.png
 
Route48 tarjoaa IPv6 yhteydet kaikille ilmaiseksi, tämä toimii myös NAT:n takaa ja tukee VPN protokollia kuten WireGuard, toisin kuin monet muut palvelut:
 
Viimeksi muokattu:
Kertokaapa viisaammat mikä homma, kun ei operaattorilta onnistu IPv6.

Kuvio siis, että taannoin Telia alkoi kaivaa tänne Avoin kuitu -valokuitua, ja tämän projektin aikana nämä Avoin kuitu -hommat irtaantuivat Teliasta omaksi firmakseen, Valokuituseksi. Kuitu lopulta saapui todella torppaan.

Vaihdoin tässä tovi sitten varsinaista nettioperaattoria Lounealle ja he mainostavat nettiliittymiinsä IPv6:sta. Kuitenkin kun tätä pyysin, niin ei kuulemma onnistu Valokuitusen verkkoon. Vissiin siis vain jos olisi Lounean oma kuituverkko.

Joten mistä on siis kyse? Valokuitunen mielikuvieni mukaan vuokraa Telialta runkoverkkoa, joten onko Telialta/Valokuituselta IPv6 jotenkin disabloitu tai jokin vastaava tekninen rajoite? Vai eivätkö Avoimen kuidun palveluntarjoajat ole maksaneet jostakin IPv6 palveluista Telialle/Valokuituselle ja näin ollen niitä ei saada?

Tässä siis mietin mitkä on tekniset tai sopimukselliset seikat miksi ei IPv6:sta, varsinkin kun palveluntarjoaja sellaista mainostaa oman verkkonsa liittymiin, joten ei pitäisi olla ainakaan palveluntarjoajan kyvykkyyksistä kiinni.
 
Kertokaapa viisaammat mikä homma, kun ei operaattorilta onnistu IPv6.
Muna-Kana-ongelma.
IPv4-verkon taikominen vie rahaa X, IPv6-verkko toiset X.
Kuluttaja maksaa saman, oli IPv6 tai ei. Eipä tosta oikein saa syytä, miksi se pitäisi laittaa.
Viestintäviraston uhkasakko lienee ainoa, jolla asiaa vois nopeuttaa.
 
Kertokaapa viisaammat mikä homma, kun ei operaattorilta onnistu IPv6.

Kuvio siis, että taannoin Telia alkoi kaivaa tänne Avoin kuitu -valokuitua, ja tämän projektin aikana nämä Avoin kuitu -hommat irtaantuivat Teliasta omaksi firmakseen, Valokuituseksi. Kuitu lopulta saapui todella torppaan.

Vaihdoin tässä tovi sitten varsinaista nettioperaattoria Lounealle ja he mainostavat nettiliittymiinsä IPv6:sta. Kuitenkin kun tätä pyysin, niin ei kuulemma onnistu Valokuitusen verkkoon. Vissiin siis vain jos olisi Lounean oma kuituverkko.

Joten mistä on siis kyse? Valokuitunen mielikuvieni mukaan vuokraa Telialta runkoverkkoa, joten onko Telialta/Valokuituselta IPv6 jotenkin disabloitu tai jokin vastaava tekninen rajoite? Vai eivätkö Avoimen kuidun palveluntarjoajat ole maksaneet jostakin IPv6 palveluista Telialle/Valokuituselle ja näin ollen niitä ei saada?

Tässä siis mietin mitkä on tekniset tai sopimukselliset seikat miksi ei IPv6:sta, varsinkin kun palveluntarjoaja sellaista mainostaa oman verkkonsa liittymiin, joten ei pitäisi olla ainakaan palveluntarjoajan kyvykkyyksistä kiinni.
Eiköhän Telia halua tuosta vain lisää rahaa että reititys nieluun sisältää myö IPv6:sen. En jaksa uskoa että siihen mitään ylitsepääsemätöntä teknistä rajoitetta olisi. Siitä sitten tiedä keiden välisessä sopparissa on määritelty että IPv4 riittää.
 
Muna-Kana-ongelma.
Munakana konkretisoitui, kun tiedustelin sekä Lounealta, että Valokuituselta mikä homma ja vastaukset olivat:

Lounea sanoi:
Valokuitusen verkkoon ei ole saatavilla IPV6 käyttöön.

Valokuitunen sanoi:
IPv6 palvelu on enemmän ”yritystason” palvelu. On siis palveluntarjoajasta kiinni, tarjoavatko he sellaista lisäpalvelua asiakkailleen.
Syytä siihen miksei Lounealta palvelua ole saatavilla, tulee tiedustella suoraan heiltä.

Sinänsä sivuraide itse asiastani: vai oikein yritystason palvelu ja lainausmerkeissä :)
 
Munakana konkretisoitui, kun tiedustelin sekä Lounealta, että Valokuituselta mikä homma ja vastaukset olivat:


IPv6 palvelu on enemmän ”yritystason” palvelu. On siis palveluntarjoajasta kiinni, tarjoavatko he sellaista lisäpalvelua asiakkailleen.
Syytä siihen miksei Lounealta palvelua ole saatavilla, tulee tiedustella suoraan heiltä.


Sinänsä sivuraide itse asiastani: vai oikein yritystason palvelu ja lainausmerkeissä :)
Juuuuuu, yritystasonpa hyvinkin. Paskapuhetta sanon minä. Jos valokuitusen kanta on tuo (tiedä kuinka toisen IPv6 osaajan Telian perintöä tuo on) niin ei ihme että suomi teknologian huippu maa on sellainen IPv6 kehitysmaa.
 
Juuuuuu, yritystasonpa hyvinkin. Paskapuhetta sanon minä. Jos valokuitusen kanta on tuo (tiedä kuinka toisen IPv6 osaajan Telian perintöä tuo on) niin ei ihme että suomi teknologian huippu maa on sellainen IPv6 kehitysmaa.
Olisko kuituoperaattorin kommentin taustalla se että kaikkien nettioperaattorien valikoimassa ei ole ollut IPv6 palveluita ja vähän sen on paha mennä lupaileen muiden puolesta.
 
Olisko kuituoperaattorin kommentin taustalla se että kaikkien nettioperaattorien valikoimassa ei ole ollut IPv6 palveluita ja vähän sen on paha mennä lupaileen muiden puolesta.
No tässäpä juuri se muna-kana, kun Lounea sanoo ettei Valokuitusen verkkoon saa ipv6:sta ja Valokuitunen antaa rivien välistä ymmärtää, että kyllä heidän verkossa ipv6 kulkee. Lounea kuitenkin itse rakentamiinsa verkkoihin tarjoaa ipv6:n veloituksetta.

Juuuuuu, yritystasonpa hyvinkin. Paskapuhetta sanon minä. Jos valokuitusen kanta on tuo (tiedä kuinka toisen IPv6 osaajan Telian perintöä tuo on) niin ei ihme että suomi teknologian huippu maa on sellainen IPv6 kehitysmaa.
Tämäpä justiinsa. En omaa riittävää asiantuntemusta, mutta hihasta ravistaisin ettei tuo ipv6:n tukeminen olisi kovinkaan suuri taloudellinen panos verkko-operaattorille enää sen jälkeen, kun verkko on jo rakennettu ja ipv4 kulkee siellä.
 
No tässäpä juuri se muna-kana, kun Lounea sanoo ettei Valokuitusen verkkoon saa ipv6:sta ja Valokuitunen antaa rivien välistä ymmärtää, että kyllä heidän verkossa ipv6 kulkee. Lounea kuitenkin itse rakentamiinsa verkkoihin tarjoaa ipv6:n veloituksetta.

Ok, tarjoaako Lounea muilla Avoimenkuidun operaattorien verkoissa IPv6ta ?
 
No tässäpä juuri se muna-kana, kun Lounea sanoo ettei Valokuitusen verkkoon saa ipv6:sta ja Valokuitunen antaa rivien välistä ymmärtää, että kyllä heidän verkossa ipv6 kulkee. Lounea kuitenkin itse rakentamiinsa verkkoihin tarjoaa ipv6:n veloituksetta.


Tämäpä justiinsa. En omaa riittävää asiantuntemusta, mutta hihasta ravistaisin ettei tuo ipv6:n tukeminen olisi kovinkaan suuri taloudellinen panos verkko-operaattorille enää sen jälkeen, kun verkko on jo rakennettu ja ipv4 kulkee siellä.
Seltimilin liittymiin saa IPv6:n Avoimen Kuidun liittymissäkin (ml. Valokuitunen). Eli varmaankin enemmän Lounean asia, etteivät ole tuota implementoineet hieman erilaiseen ympäristöön.
 
Juuuuuu, yritystasonpa hyvinkin. Paskapuhetta sanon minä. Jos valokuitusen kanta on tuo (tiedä kuinka toisen IPv6 osaajan Telian perintöä tuo on) niin ei ihme että suomi teknologian huippu maa on sellainen IPv6 kehitysmaa.

Onhan se merkillistä että DNA sen IPv6 on saanut toimimaan jopa mobiilissa jo vuosia sitten.
 
Tuntuu olevan kuuma aihe operaattoreille. mm. Telia harrastaa aiheen sensurointia niiden palstoilla, eikä mm. tunneli vaihtoehdoista saisi puhua. Harmillista tällainen.
 
Telia harrastaa aiheen sensurointia niiden palstoilla, eikä mm. tunneli vaihtoehdoista saisi puhua. Harmillista tällainen.
Ainakin aiemmin "tuki" palstalla oli ihan ohjeet heidän tunneliin.

Jos kommentillasi viittaat siihen että joku postannut jostain kolmannen osapuolen tunnelista "mainosta", niin sellaisten osalta kai syytäkin olla varsin korkea kynnys.
 
Ranska on ylittänyt 70% IPv6 käytössä jo.

Saatinkin tuosta hyvä syy bumpata taas kun on kuukausi edellisestä postauksesta.

Mielestäni kolmannen osapuolen tunneleita ei tietenkään tarvittaisi, jos operaattorit hoitaisivat asiat kuten kuuluu. Mutta kun ei hoida.
 
Mulla on Elsan 4G -liittymä kotona ja ipv6 toimii hyvin täällä. Nopeampi netti tosin olisi tarpeen.
 
Mulla on Elsan 4G -liittymä kotona ja ipv6 toimii hyvin täällä. Nopeampi netti tosin olisi tarpeen.

Ai elisa saanu IPv6 mobiiliin, hienoa. Nyt sitten odotellaan että saako telia sen aikaiseksi tässä 5v sisällä. Itte siirryn telialta dna:n asiakkaaksi pitkälti IPv6 puutteen takia kun ei jaksa pelata enää minkään tunneleitten kanssa 2020 vuosikymmentä kuitenkin mennää. Tunneleitten kanssa tuli pelatttua 15-20v sitten.
 

Statistiikka

Viestiketjuista
262 710
Viestejä
4 555 061
Jäsenet
75 048
Uusin jäsen
Lymppä

Hinta.fi

Back
Ylös Bottom