IPv6, не дожидаясь провайдера

Держу пари: немногие из читателей обратили внимание на то, что 8 июня 2011 г. прошел так называемый World IPv6 Day. В этот день многие сетевые операторы, интернет-провайдеры и владельцы сайтов перевели свои ресурсы в режим работы, предполагающий полноценную одновременную поддержку и привычного нам IPv4 (который мы до сих пор знали как просто IP), и нового IPv6. Отсутствие громких сообщений и широкого резонанса свидетельствует о том, что достаточно масштабный эксперимент завершился вполне удачно и в дальнейшем мы по-прежнему можем рассчитывать на гладкую работу Интернета. Отвлеченному человеку вышесказанное может показаться пустяком, но с World IPv6 Day действительно были связаны определенные переживания.

Прежде всего, давайте разберемся, что же именно в этот день произошло, и каким образом это касается (или нет) каждого из нас. Дело в том, что по сей день подавляющее большинство веб-сайтов доступны исключительно по протоколу IPv4, т. е. даже если их инфраструктура формально и поддерживает IPv6, то символьное имя разрешается DNS именно в IPv4. Для заведомого использования IPv6-ресурсов, как правило, нужно указывать специальные имена — к примеру, ipv6.google.com (хотя сама по себе комбинация символов «ipv6» ни о чем не говорит).

Рис. 1. Отсутствие доступа к Интернету по IPv6 пока еще не сулит никаких проблем, в каком-то смысле без него даже спокойнее. Однако постепенно уже стоит начинать разбираться с новым протоколом.

Так вот, 8 июня одни и те же имена сайтов участников (а это порядка 400 официально зарегистрированных крупнейших компаний и, наверняка, некоторое количество более мелких) разрешались как в IPv4, так и в IPv6 — в недалеком будущем именно таким образом будет функционировать весь Интернет. При этом надо иметь в виду, что все современные ОС не только поддерживают IPv6, но и отдают ему предпочтение как более прогрессивному, обращаясь к IPv4 лишь в случае неудачи. Соответственно, у тех, кто не заметил никаких проблем, либо IPv6 был настроен корректно, либо по старинке использовался только IPv4. Признаком неправильной конфигурации IPv6 на пользовательских компьютерах либо у провайдера должны были стать ощутимые задержки при обращении к некоторым сайтам, связанные с обработкой тайм-аутов, которые составляют порядка:

• 4 секунды для Mac OS X;
• 20 секунд для Windows;
• 0—180 секунд для Linux.

Причем если конкретный сайт доступен по нескольким IPv6-адресам, то задержка вырастает в соответствующее число раз. Как при этом поведут себя различные программы, предсказать довольно сложно. Но в любом случае, эта проблема не должна была стать массовой, эксперты оценивали долю возможных «потерпевших» всего в 0,05% от общей Интернет-аудитории, хотя, конечно, любому было бы неприятно попасть в их число. Поэтому участники World IPv6 Day больше заботились не о нас, а о собственной репутации: ведь для непосвященного ситуация выглядела бы так, будто их ресурс «лежит». Это, кстати, и есть основная причина, по которой никто не торопится обеспечивать доступ по IPv6.

Впрочем, определенная забота о простых смертных все же имела место. Та же Google, к примеру, еще в Chrome 11.0.696.71 ограничила таймауты при работе по IPv6 величиной всего 300 мс. В свою очередь, Microsoft выпустила специальный FixIt-апплет для тех пользователей Windows, у кого все-таки возникли бы проблемы с доступом к популярным Интернет-ресурсам; он просто делает приоритетным протокол IPv4.

С подобными проблемами, конечно, можно будет столкнуться и в будущем — крупнейшие интернет-компании настолько вдохновились успехами World IPv6 Day, что оставили часть второстепенных ресурсов функционировать в «экспериментальном» режиме. В качестве примеров — www.xbox.com или developers.facebook.com, а в дальнейшем таких сайтов будет становиться все больше.

Рис. 2. Сайт www.xbox.com отзывается и по IPv4, и по IPv6 — чтобы убедиться в этом, достаточно использовать в команде ping ключи -4 и -6 соответственно. Без ключей ping использует приоритетный протокол, которым по умолчанию является IPv6 — если он, конечно, активен.

Также специалисты опасались, что World IPv6 Day привлечет внимание хакеров, которые могут поставить собственный эксперимент — к примеру, попытаться атаковать какие-то узлы сетевой инфраструктуры. Аргументом служило то, что поддержка IPv6, особенно его новых возможностей, еще недостаточно отлажена и вполне может оказаться легко уязвимой. Но ведь хакеры находятся в аналогичном положении, им тоже нужно адаптировать свои инструменты и методы. Кроме того, с их стороны это был бы чисто «научный» эксперимент, так как пользователи все еще предпочитают не задумываться о IPv6: хотя у некоторых крупных сетевых операторов 8 июня IPv6-трафик удваивался (причем львиная доля его приходится на P2P), в абсолютных цифрах он все равно не поднялся выше доли процента. Так или иначе, но ни о каких инцидентах информации не поступало, хотя, опять же, исключить их в будущем нельзя.

Почему IPv6?

В этом месте у многих наверняка возникнет закономерный вопрос: зачем вообще внедрять IPv6, если без него все прекрасно работает, а с ним могут быть связаны различные проблемы? Однако ответ на него не менее очевиден для тех, кто хоть немного в курсе дела: адресов IPv4 очень мало, свободных практически не осталось — занимающаяся их распределением организация IANA (Internet Assigned Numbers Authority) раздала последние блоки еще 3 февраля 2011 г. Естественно, в распоряжении региональных интернет-регистраторов (RIR) какое-то количество адресов еще имеется, но предположительно через год по крайней мере один из них тоже останется с пустыми руками. Также свободные адреса имеются у локальных провайдеров и крупных организаций (вроде Google и Microsoft), которые в свое время запрашивали их с большим запасом. Последние даже нашли юридические лазейки, чтобы выкупать остатки друг у друга (хотя в принципе это не было предусмотрено). Но так или иначе — ясно одно: 30 лет назад создатели IPv4 слишком самонадеянно посчитали 4 миллиарда (2³²) достаточно большим числом.

Западные журналисты склонны излишне драматизировать сложившуюся ситуацию, называя ее не иначе как IPcalypse или ARPAgeddon (от названия организации ARPA, или Advanced Research Projects Agency, чья сеть ARPAnet была прообразом Интернета). На самом деле все не так страшно, особенно в ближайшей перспективе. Во-первых, World IPv6 Day подтвердил состоятельность идеи так называемого «двойного стека», подразумевающей длительное сосуществование протоколов IPv4 и IPv6, которое позволит постепенно решить все возникающие технические проблемы. Во-вторых, в нашем распоряжении имеется технология NAT, позволяющая прекрасным образом пользоваться «фиктивными» адресами.

Однако долгосрочная перспектива, если не приложить достаточных усилий, выглядит не такой уж радужной. После реального исчерпания IPv4-адресов новые ресурсы будут работать уже только по IPv6, так что никакой «двойной стек» сам по себе не поможет добраться до них по IPv4. Далее, масштабное внедрение NAT провайдерами и сетевыми операторами таит в себе целый ряд неприятных моментов — и ограничения в работе с P2P-системами на самом деле еще мелочь. Массовая трансляция адресов существенно увеличит нагрузку на сетевую инфраструктуру, а кроме того может вызвать неадекватные реакции со стороны систем безопасности, которым, к примеру, будет сложно отличить наплыв пользователей из-за NAT от настоящей DDoS-атаки.

Справиться с этими и подобными явлениями как раз и призван протокол IPv6: давайте разберемся, за счет чего.

Что нового в IPv6

Главная новость для конечных пользователей состоит в том, что IPv6 оперирует 128-битными адресами против 32-битных в IPv4. Типичный IPv6-адреc записывается шестнадцатеричными цифрами таким образом:

2001:0db8:11a3:09d7:1f34:8a2e:07a0:765d

В каждой группе, отделенной двоеточиями, ведущие нули могут опускаться, а двойное двоеточие (которое может встречаться только один раз) обозначает последовательность нулевых групп, обеспечивающую корректную длину всего адреса. Т. е. нулевой адрес может выглядеть просто как «::». Хотя в общем случае пытаться запоминать такие конструкции практически бесполезно, их все же можно использовать — к примеру, в адресной строке современных браузеров, заключая в квадратные скобки.

Даже если не вдаваться в математические подсчеты, понятно, что количество IPv6-адресов измеряется в полном смысле астрономическим числом. На самом деле, на текущий момент бо́льшая часть адресного пространства, порядка 85%, зарезервирована на будущее (к примеру, если нынешняя система распределения окажется не совсем удачной, будет возможность быстро ее скорректировать), но все равно ясно, что оперировать каждым конкретным адресом невозможно — слишком велики будут таблицы маршрутизации. Поэтому система задумана иерархической: в частности, адреса будут распределяться подсетями /48, т. е. первые 48 бит формируют так называемый глобальный идентификатор (префикс), следующие 16 бит будут определять подсеть, а следующие 64 — интерфейсы. С одной стороны, это обеспечит все разумные и неразумные потребности, с другой — существенно упростит маршрутизацию. Понятно, что префикс длиной в 64 бита позволяет зашить довольно много информации — так, если глобальные («обычные») IPv6-адреса выделяются в диапазоне 2000::/3, то, забегая несколько вперед, 2001::/32 обозначают Teredo-адреса, а 2002::/16 — 6to4. Соответственно, с корректным выявлением и обработкой двух последних не должно возникнуть никаких проблем.

Кроме того, в IPv6 имеются так называемые «уникальные локальные» адреса (диапазон fc00::/7) — по сути, аналоги зарезервированных в IPv4 для организации NAT. Они автоматически выделяются каждому интерфейсу, причем специальный алгоритм генерирует их на основе MAC-адреса таким образом, чтобы с высокой вероятностью действительно обеспечить их уникальность. В частности, это свойство означает априори готовность любой локальной сети к работе по IPv6 без дополнительной настройки и даже без DHCP, что, к примеру, очень удобно для организации так называемых спонтанных (ad-hoc) сетей.

Как видите, IPv6 — вовсе не «расширенный IPv4», тем более что обратной совместимости между ними нет. Разрабатывать IPv6 (первоначально его называли IPng, IP next generation) начали еще в 1992 г., первые спецификации появились в 1996 г., и только в 2004 г. началось, по сути, его реальное использование — с добавления соответствующих DNS-записей (обычно их условно обозначают AAAA, против A для IPv4) для японского и корейского национальных доменов. Кстати, нет никакой тайны и в том, почему за IPv4 следует сразу IPv6 — номер 5 успели задействовать для еще одного экспериментального протокола, предназначавшегося для передачи аудио и видео.

Соответственно, IPv6, как более прогрессивный и созданный с пониманием реальных ограничений своего предшественника, содержит немало и функциональных улучшений, прежде всего в области маршрутизации. Кроме уже упоминавшейся иерархической системы сюда же можно отнести освобождение маршрутизаторов от разбиения пакетов (теперь этим должна заниматься передающая сторона, что при определенных обстоятельствах как раз и может стать одним из источников уязвимостей) и подсчета контрольных сумм (на уровне IP они просто исчезли за ненадобностью). При этом максимальный размер пакетов может достигать 4 ГБ (так называемые «джамбограммы»), что, впрочем, найдет применение только в каких-то специальных случаях — к примеру, в суперкомпьютерах. Появились также многоадресное вещание, новые возможности QoS (к примеру, специальное поле срочности доставки, что особенно пригодится при потоковой передаче аудио и видео), IPSec стал обязательным и пр.

Таким образом достоинства IPv6 очевидны. Исключив необходимость в NAT и упростив маршрутизацию на уровне корневой инфраструктуры, он должен обеспечить даже лучшую производительность Интернета, а выделение «белых» адресов любым сетевым устройствам (обычно в качестве примера приводятся холодильники, но более интересно выглядят всевозможные счетчики и сенсоры, которые благодаря автоконфигурации смогут легко объединяться в локальные сети) наверняка откроет какие-то совершенно новые возможности. При этом теоретически должна улучшиться и ситуация с безопасностью — «белые» адреса усложнят жизнь спамерам и владельцам ботнетов, сканировать адресное пространство IPv6 не в пример сложнее IPv4, да и обнаруживаться такая деятельность будет легко.

Откуда берутся проблемы с IPv6

Но раз все должно быть хорошо, то почему мы говорим о каких-то проблемах? Действительно, на сегодняшний день можно считать, что сам по себе Интернет (на уровне корневой инфраструктуры) к IPv6 вполне готов, и то же самое, скорее всего, можно сказать о крупных сетевых операторах. Гораздо хуже дело обстоит с провайдерами доступа — вот они совсем не торопятся: тех, что официально начали поддерживать IPv6 на просторах СНГ, можно пересчитать по пальцам. Хотя отчасти их можно понять — на самом деле мало кто из их абонентов может полноценно воспользоваться IPv6. Дело в том, что подавляющее большинство пользовательского оборудования (модемы, маршрутизаторы, беспроводные точки) IPv6 не поддерживают. Соответствующие устройства непросто найти даже среди новых моделей — что уж говорить о тех, что были выпущены несколько лет назад.

При этом не факт, что ситуацию можно исправить обновлением их микропрограмм. Во-первых, это серьезная работа, на которую решится не всякий производитель; во-вторых, это не всегда возможно в силу аппаратных ограничений; в-третьих, очевидно, что гораздо выгоднее продать нам новое устройство, чем с непонятным результатом возиться со старым. Кое-что, конечно, можно предпринять и самостоятельно. К примеру, популярная альтернативная микропрограмма для беспроводных маршрутизаторов DD-WRT поддерживает IPv6, и ею можно воспользоваться на свой страх и риск (хотя, как известно, делается это не всегда просто). Правда, мне не встречалась информация о том, насколько надежно она работает.

И все же, снова утешу читателей — не все плохо. Описанные выше проблемы ни для кого не тайна, и IPv6 содержит целый ряд стандартных механизмов для своего использования даже без поддержки со стороны провайдера. К тому же, все сравнительно современные ОС и значительная часть прикладного ПО прекрасно работают с IPv6.

Как приобщиться к IPv6

Итак, очевидно, что ситуация, когда и провайдер, и ваше оборудование поддерживают IPv6 — все еще редкость. Поэтому придется обратиться к дополнительным ухищрениям, благо о них предусмотрительно позаботились и сетевые операторы, и разработчики ПО. Все они построены на технологиях туннелирования, т. е. инкапсуляции IPv6-трафика в IPv4-пакеты, которые, соответственно, где-то и кем-то должны быть расшифрованы и переданы по назначению.

Все дальнейшее относится к Windows 7, в которой IPv6 по умолчанию включен. В Windows Vista отличий быть не должно, в Windows XP с последним сервис-пакетом IPv6 необходимо предварительно установить, к примеру, таким образом:

netsh interface ipv6 install

Эта и другие команды должны выполняться от имени администратора, в Windows 7 для этого проще всего запустить с административными полномочиями командную строку.

Вариант первый — 6to4. Использование возможно в том случае, если у компьютера статический «белый» IPv4-адрес. Это принципиально, так как именно на его основе должен быть сформирован уникальный глобальный IPv6-адрес. Для активации достаточно выполнить всего одну команду:

netsh int ipv6 6to4 set relay 192.88.99.1 enabled 1440

Здесь 192.88.99.1 представляет специальный широковещательный (anycast) адрес, посредством которого находятся шлюзы 6to4. Один из них, независимо от своего размещения (маловероятно, что у отечественного провайдера), и будет задействован в результате, и на него будет маршрутизироваться весь 6to4-трафик. Соответственно, возможны проблемы с производительностью, хотя, учитывая малую распространенность IPv6, ни о чем подобном пока не сообщалось.

На случай, если компьютер находится за NAT, имеется другой способ под названием Teredo (аналог в Linux и Mac OS X — Miredo). Он более универсален, но требует и дополнительной настройки. Прежде всего, в Windows 7 Teredo присутствует, но в основном предназначен для самостоятельного использования различными сетевыми приложениями. Поэтому, в частности, в отсутствие IPv6-трафика ОС его быстро деактивирует. Соответственно, вначале нужно изменить такое положение дел в редакторе групповых политик (gpedit.msc): найти в разделе Computer Configuration → Administrative Templates → Network → TCPIP Settings → IPv6 Transition Technologies параметр Teredo Default Qualified и установить его в значение Enabled.

Рис. 3. Во избежание недоразумений и дополнительных действий, Teredo лучше сразу сделать постоянно активным.

Затем нужно в сетевых настройках назначить явный IPv6-адрес, к примеру 2002:c0a8:102:: (это аналог 192.168.1.2; при желании другие можно вычислить здесь), и указать длину префикса подсети — 48.

Затем — выполнить команду

route print

и в разделе Interface List выяснить номер интерфейса Teredo. Допустим, он равен 21, тогда осталось выполнить последнюю команду

netsh interface ipv6 add route ::/0 interface=21

подождать несколько секунд и проверить работоспособность IPv6:

ping ipv6.google.com

В некоторых случаях, впрочем, и после этого Teredo остается неактивным, тогда его нужно активировать принудительно:

netsh int teredo set state type=client
netsh interface ipv6 delete route ::/0 interface=21
netsh interface ipv6 add route ::/0 interface=21

Если внешний IPv4 выделяется динамически, две последние команды придется повторять после каждого выключения/включения маршрутизатора/модема либо при каждой смене адреса (обычно раз в сутки), для чего лучше всего создать пакетный файл.

Также в зависимости от настроек вашего маршрутизатора в первой команде иногда нужно указать другой тип клиента:

netsh int teredo set state type=enterpriseclient

Вообще-то он предназначен для доменной среды, но, по не вполне ясным причинам, иногда требуется и в других ситуациях.

Teredo имеет ряд особенностей, о которых следует знать. Во-первых, его поддержку формируют два типа серверов: вспомогательные, которые нужны только на этапе конфигурирования (один из них развернут самой Microsoft), и шлюзы, обеспечивающие обращение к реальным IPv6-адресам путем расшифровки инкапсулированного трафика (взаимодействие между Teredo-адресами происходит напрямую). Соответственно, производительность может зависеть от загрузки последних. Во-вторых, надо иметь в виду, что Teredo позволяет принимать входящие соединения, что создает потенциальную брешь в защите. На текущий момент это вряд ли является большой угрозой, т. к. сканировать IPv6-адреса (а Teredo даже сложнее, чем реальные) бесперспективно, да и мало какие приложения «слушают» IPv6. Но в принципе стоит предусмотреть дополнительную защиту с помощью брандмауэра — Windows Firewall будет достаточно.

В некоторых случаях, однако, Teredo также не будет работать. Например, из-за симметричного NAT или в случае фильтрации UDP. Кроме того, Teredo позволяет задействовать только один IPv6-адрес, т. е. раздать с его помощью IPv6 в локальной сети не удастся. На эти случаи имеется еще один вариант — так называемые туннельные брокеры. Сегодня их уже немало, причем многие поддерживаются сетевыми операторами, т. е. предположительно с их производительностью не должно быть больших проблем. При этом данные услуги предоставляются бесплатно, хотя взамен от пользователя обычно требуется регистрация.

Одни брокеры предполагают определенную ручную настройку, другие предлагают специальные клиентские утилиты, выполняющие все необходимые действия автоматически, но принцип остается неизменным — необходимо соответствующим образом настроить оба конца туннеля. Каждый из вариантов имеет свои преимущества и недостатки. В первом на самом деле также не придется слишком вникать в подробности — скорее всего, всё, что понадобится, это выполнить на своем компьютере предложенный набор готовых команд. Однако имейте в виду, что эту процедуру придется повторять при каждой смене внешнего IPv4-адреса (к примеру, создав пакетный файл и назначив с помощью планировщика его запуск при каждом старте системы). Во втором почти наверняка придется установить дополнительный драйвер, который зато сможет достаточно интеллектуально выполнять автоконфигурирование при каждой перезагрузке.

В общем случае второй вариант кажется более простым и потому предпочтительным. В случае сервиса gogo6 он реализуется следующим способом:

1. Чтобы скачать клиентское ПО, придется зарегистрироваться. Хотя, забегая вперед, в дальнейшем регистрационные данные не являются обязательными. Более того, gogoCLIENT вроде бы распространяется с некоторыми дистрибутивами Linux.
2. Установка клиентского ПО проходит достаточно традиционно, поэтому англоязычный интерфейс не является большим ограничением. Как обычно, придется согласиться с лицензией и при необходимости выбрать инсталляционную папку.

   Рис. 4. Инсталляционная процедура ориентирована на наиболее стандартное применение, так что вмешиваться в настройки нет необходимости

3. По умолчанию для установки отмечены все необходимые компоненты, рекомендую так и оставить. Tunnel Driver необходим для «пробивания» NAT (а также для более экзотического и совершенно не актуального сегодня туннелирования IPv4 через IPv6).
4. Драйвер подписан, но его установку все равно необходимо подтвердить.

   Рис. 5. Сетевой драйвер будет делать за вас всю техническую работу.

5. Перезагрузка не потребуется, можно автоматически запустить gogoCLIENT с последнего инсталляционного экрана.

   Рис. 6. Как правило, нет необходимости вникать в настройки gogoCLIENT, не обязательно даже вводить свои регистрационные данные — достаточно нажать кнопку Connect

6. Вкладки Basic достаточно в подавляющем большинстве случаев; она предполагает, что клиентское ПО самостоятельно выберет оптимальные параметры. Advanced и Log нужны разве что для экспериментов и решения проблем (с которыми мне столкнуться ни разу не довелось). Подключаться можно анонимно или со своими регистрационными данными. Во втором случае вы получите статический IPv6-адрес и возможность использования своего компьютера в качестве IPv6-маршрутизатора. Для обычного доступа к Интернету по IPv6 все это лишнее. Флажок «Launch the gogoCLIENT service at system startup» также следует оставить включенным, это обеспечит автоконфигурацию, необходимую, если IPv4-адрес вам назначается динамически.

   Рис. 7. При желании можно поэкспериментировать с настройками — к примеру, чтобы добиться лучшей производительности соединения.

7. Через несколько секунд после нажатия кнопки Connect связь с сервером gogo6 будет установлена и IPv6 активизирован (напомним, теперь при обращении к Интернету приоритет будет отдаваться именно ему).

   Рис. 8. Вуаля! Все работает без малейших усилий с вашей стороны.

Проверка

На сегодня существуют множество ресурсов, позволяющих проверить корректность функционирования IPv6. Самое простое — зайти в любом современном браузере на сайт, заведомо доступный только по IPv6 — к примеру, на ipv6.google.com. Также несложно убедиться в приоритетности нового протокола:

ping www.xbox.com

При этом адрес должен разрешаться именно по IPv6.

На сайте www.kame.net вы должны увидеть «пляшущую» черепашку (в случае использования Teredo она обычно остается неподвижной).

Более подробную диагностику соединения можно выполнить на сайте test-ipv6.com:

Рис. 9. Полная готовность к использованию обоих протоколов.

Наконец, уже имеются и специальные ресурсы для проверки производительности IPv6-соединения, хотя туннелирование вносит слабо предсказуемые флуктуации. Speedtest на ipv6.wcclan.net слишком нестабилен и дает чересчур большой разброс результатов, но среднее значение скорости загрузки в моем случае составляет около 10 Мбит/с:

Рис. 10. К сожалению, адекватно провести тест в Интернете крайне сложно. К примеру, ipv6.wcclan.net как правило показывает для IPv6 пропускную способность, вдвое меньшую, чем она есть в реальности для IPv4.

Примерно такие же результаты и на другом ресурсе — ipv6-test.com/speedtest (скорость по IPv4 соответствует действительности):

Рис. 11. На ipv6-test.com картина похожая, лучший результат, которого удалось добиться в одном из повторов — потеря 25% пропускной способности по сравнению с IPv4. Вероятно, несколько улучшить ситуацию можно, поэкспериментировав с выбором сервера в gogoCLIENT.

Понятно, что потери производительности будут всегда — как минимум, они обусловлены накладными расходами на туннелирование пакетов. Однако значительную роль играют расположение и загрузка туннельного сервера, который можно явно выбирать на вкладке Advanced утилиты gogoCLIENT.

В заключение еще раз обращу внимание читателей на то, что туннелирование является потенциально опасной операцией и ее стоит использовать при включенном локальном брандмауэре, благо IPv6 поддерживают как Windows Firewall, так и многие сторонние продукты.

Пример подключения к туннельному брокеру IPv6 компании Hurricane Electric – Keenetic

Туннели IPv6 через IPv4 используются для доступа к интернет-ресурсам по протоколу IPv6, когда ваш публичный IP-адрес версии 4 (IPv4). Чтобы настроить подключение, зарегистрируйтесь на сайте виртуального провайдера IPv6 (туннельного брокера), работающего по технологии 6in4. Параметры подключения вы получите при регистрации.

NOTE: Важно! Необходимыми условиями для подключения к туннельному брокеру IPv6 являются:
— наличие выделенного (статического) публичного IP-адреса на внешнем интерфейсе;
— должен быть разрешен пинг роутера со стороны Интернета: ваш провайдер не должен блокировать входящие ICMP-пакеты и в Keenetic нужно создать правило Межсетевого экрана для ответа на пинг-запросы.

Перейдите на страницу туннельного брокера Hurricane Electric.

Нажмите кнопку Register для регистрации на сервисе.

В окне IPv6 Tunnel Broker Registration укажите необходимую информацию для регистрации и нажмите кнопку Register.

Для создания туннеля нажмите по ссылке Create Regular Tunnel.

В окне Create New Tunnel в поле IPv4 Endpoint (Your side) укажите выделенный публичный IP-адрес интернет-центра. Посмотреть его можно в веб-конфигураторе на странице «Системный монитор».

В таблице Available Tunnel Servers выберите туннельный сервер. Вы можете самостоятельно выбрать наиболее близкий к вам сервер по территориальному признаку или оставить тот, который был выбран автоматически. Для продолжения нажмите кнопку Create Tunnel. 

Затем в разделе Configured Tunnels нажмите по ссылке созданного туннеля для получения подробной информации о туннеле IPv6.

В окне Tunnel Details на вкладке IPv6 представлена вся необходимая информация для настройки туннеля IPv6 через IPv4 в Keenetic.

В Routed /48 сразу не показывается информация о префиксе. Для получения префикса нажмите Assign.

Понадобится следующая информация:

1. Server IPv4 Address (IPv4-адрес сервера)
2. Client IPv6 Address (IPv6-адрес клиента)
3. Routed /48 (Префикс IPv6)

Подключитесь к веб-конфигуратору интернет-центра.

Для работы с протоколом IPv6 в Keenetic должен быть установлен компонент системы «Протокол IPv6». Убедитесь, что он установлен. Сделать это можно на странице «Общие настройки» в разделе «Обновления и компоненты», нажав на «Изменить набор компонентов».

Если компонент «Протокол IPv6» не установлен, установите его.

Затем перейдите на страницу «Другие подключения» и в разделе «Подключения IPv6 через IPv4» нажмите кнопку «Добавить подключение». 

В окне «Параметры подключения» обязательно включите опцию «Использовать для выхода в Интернет». В поле «Имя подключения» укажите любое имя для описания подключения. В поле «IPv4-адрес» нужно вписать адрес сервера для подключения (он указан в панели управления брокера в «Server IPv4 Address»). В поле «IPv6-адрес» вставьте адрес клиента, указанный в панели управления в «Client IPv6 Address» (добавьте адрес без префикса /64). И в поле «Префикс IPv6» вставьте адрес из «Routed /48».

Нажмите «Сохранить» для записи конфигурации роутера.

На странице «Другие подключения» для активации туннеля переведите переключатель в состояние Включено.

Для проверки подключения перейдите на страницу «Диагностика», в разделе «Проверка сетевого соединения» поставьте переключатель на «Ping IPv6» и нажмите кнопку «Запустить проверку».

При успешном соединении с туннельным брокером в результатах выполнения пинга должны отсутствовать потерянные пакеты (0% packet lost). Все пакеты должны быть отправлены (5 packets transmitted) на проверяемый хост и от него получены ответы (5 packets recieved).

TIP: Полезные ссылки:

— Пример подключения Keenetic к туннельному брокеру IPv6 компании IP4Market

— Подключение Keenetic к Интернету по протоколу IPv6

— Актуальный список российских провайдеров, поддерживающих доступ в Интернет по протоколу IPv6

— Зачем нужен протокол IPv6 (с точки зрения простого пользователя)?

— Сервисы проверки скорости соединения с поддержкой IPv6

Cвой собственный IPv6 сервер брокер (6in4) / Хабр

IPv6 шагает по планете, во многих странах поддерка IPv6 уже есть нативно от своего провайдера, если у вас еще нет IPv6 но вы хотите что бы у вас он был — вы сможете это сделать используя эту инструкцию.

Что важно — трафик мы будем пускать через свой собственный арендованный сервер, а не через непонятно какого брокера.

Для начала вам потребуется сервер который обладает IPv6 подключением, я буду использовать сервер от DigitalOcean за 5$ c OS Ubuntu последней версии.

Настраиваем сервер

После получения сервера вам надо обновить доступные пакеты на нем:

sudo apt-get update -y
sudo apt-get upgrade -y

Установить git, sipcalc, apache и php (2 последних — опционально)

sudo apt-get -y git sipcalc

sudo apt-get -y apache2 php libapache2-mod-php php-mcrypt

Теперь настала время скачать скрипт который поможет настроить туннель

git clone https://github.com/sskaje/6in4.git

cd 6in4

Копируем скрипт в /bin для привычного нам вызова

sudo cp ./bin/6to4 /bin/6to4

Выдаём права за на запуск

sudo chmod +x /bin/6to4

Копируем файл настроек

sudo cp ./etc/config.ini /etc/config.ini

Редактируем файл с настройками

ifconfig | grep 'inet6 addr:'

$ ifconfig | grep 'inet6 addr:'
          inet6 addr: fe80::000:000:000:000/64 Scope:Link
          inet6 addr: 2a03:000:0:000::00:0000/64 Scope:Global
 

Нам нужен тот который с препиской Global:

inet6 addr: 2a03:000:0:000::00:0000/64 Scope:Global

Открываем файл с настройками для редактирования:

sudo nano /etc/config.ini

Убираем «;» у строчек:

IPV6_NETWORK=

IPV6_CIDR=

и указываем:

IPV6_NETWORK=2a03:000:0:000::
IPV6_CIDR=48

Нажимаем CNTRL+x, сохраняемся и переходим к добавлению сети:

sudo 6to4 add 1 8.8.8.8

где 8.8.8.8 — ваш внешний IP, узнать его можно, например

.

В ответ вы получите примерно это:

Please set up tunnel on your machine with following parameters:
    Server IPv4 Address:        99.99.9.9
    Server IPv6 Address:        2a03:000:0:000::1/64
    Client IPv4 Address:        88.8.88.8
    Client IPv6 Address:        2a03:000:0:000::2/64
    Routed /64:                 2a03:g0e0:00g0:3402::/64
 
 

Теперь осталось прописать данные настройки в вашем роутере

Пример ниже — настройка Apple Airport:

Другие роутеры настраиваются аналогично.

Настройка маршрутизации на сервере

Теперь вернемся к серверу и настроим маршрутизацию из виртуального интерфейса IPv6 — в основной:

sudo ip6tables -t nat -A POSTROUTING -s 22a03:g0e0:00g0:3402::/64 -o eth0 -j MASQUERADE

Разрешаем форвар трафика:

sudo sysctl -w net.ipv6.conf.all.forwarding=1

Можно проверять

После этого, сохраните настройки на роутере, перезагрузите роутер. У вас должен был заработать IPv6. На подключенные устройства придут IPv6 адреса.

Проверить работу IPv6 можно тут — ipv6.google.com или ipv6-test.com

Обратите внимание — при смене IP адреса (внешнего), IPv6 у вас пропадет, обновления доступа после смены адреса будет рассмотрено в следующей статье (или же вы можете использовть инструкцию из репозитория github.com/sskaje/6in4)

После настройки IPv6 надо быть бдительным — все ваши устройства внутри вашей домашней сети получат публичный IPv6 адрес! если вы не уверены в защищенности устройств — включите блокировку входящих ipv6 подключений на вашем роутере.

PS Telegram/Youtube/Google сервера работают через IPv6 как и многие другие. Проверить это вы можете выполнив ping6 google.com

Аренда сервера в Европе, США, Азии » IPv6 адреса

Каждое устройство, подключенное к Интернету должно иметь уникальный номер, чтобы он мог соединиться с остальными устройствами в сети. Эти цифры или интернет-протоколы (IP) адреса являются критически важными для работы в интернете.

В течение последнего десятилетия новые пулы IP-адресов IPv4 не выделяются и все работают на выделенных ранее адресах. Многие провайдеры уже сейчас ощущают недостаток IPv4 адресов.

Имея это в виду, техническое сообщество в середине 1990-х годов  разработало следующее поколение IP-адресов, IPv6, многих триллионов доступных IPv6-адресов, будет достаточно, чтобы обеспечить рост и развитие Интернета.

Сегодня, провайдеры сталкиваются с серьезной проблемой — так как IPv4-адреса закончились, интернет-сообществу необходимо принимать глобальное решение о внедрении IPv6.

Зачем Вам это знать? Потому что IPv4 и IPv6 не работают друг с другом напрямую. Это означает, что если ваш контент и сервисы доступны только по протоколу IPv4, потенциальный клиент с использованием протокола IPv6 не сможет получить доступ к вашему сайту.

Цены на получение PI IPv6-адресов*

^* PI — провайдеро-независимое адресное пространство;
^** Если договор заключается 1 октября текущего года или позднее, то регистрационный взнос покрывает также и взнос за сопровождение на следующий календарный год.

Аренда IPv6-адресов совместно с арендой выделенного сервера***

^*** по запросу через центр поддержки.

Понимание адреса IPv6 Link-Local — Cisco

Введение

Цель этого документа — обеспечить понимание адреса IPv6 Link-Local в сети. Локальный адрес для канала представляет собой одиночный адрес IPv6, который может быть автоматически настроен на любом интерфейсе посредством префикса локальных адресов для канала FE80::/10 (1111 1110 10) и идентификатора интерфейса в модифицированном формате EUI-64. Адреса Link-Local не обязательно связаны с MAC-адресом (настроенным в формате EUI-64).

Эти адреса обращаются только к определенному физическому каналу и используются для адресации на одном канале в таких целях, как автоматическая конфигурация адреса и протокол обнаружения соседей. Адреса Link-local можно использовать для достижения соседних узлов, подключенных к тому же каналу. Для обмена данными между узлами глобально уникальный адрес не требуется. Маршрутизаторы не перенаправляют датаграмму с использованием адресов Link-local. Маршрутизаторы IPv6 не должны перенаправлять пакеты, у которых исходные или целевые адреса Link-local относятся к другим каналам. Все интерфейсы с поддержкой IPv6 имеют одиночный адрес Link-local.

Предварительные условия

Требования

Убедитесь, что вы ознакамливаетесь с Форматами Адреса IPv6 перед попыткой этой конфигурации.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Конфигурации в этом документе основываются на Маршрутизаторе серии Cisco 3700 с Выпуском 12.4 (15) T1 программного обеспечения Cisco IOS.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Настройка

В данном примере маршрутизаторы R1, R2 и R3 подключены через последовательный интерфейс, и для них настроены адреса IPv6, как упомянуто в схеме сети. Адреса обратной связи настроены на маршрутизаторах R1 и R3, а для связи друг с другом маршрутизаторы используют OSPFv3. В данном примере используется команда ping для демонстрации возможности подключения между маршрутизаторами с использованием адресов Link-local. Маршрутизаторы R1 и R3 могут пропинговать друг друга с глобальным адресом индивидуальной рассылки IPv6, но не с адресом Link-local. Однако маршрутизатор R2, напрямую подключающийся к R1 и R3, может связываться с обоими маршрутизаторами с их адреса Link-local, поскольку адреса Link-local используются только в той локальной сети, которая относится к конкретному физическому интерфейсу.

Схема сети

В настоящем документе используется следующая схема сети:

Конфигурации

В этом документе используются следующие конфигурации:

Вот ссылка на видео (доступное на сайте сообщества Cisco Support), которое демонстрирует основное различие между адресом IPv6 Link-local и глобальным индивидуальным адресом рассылки в маршрутизаторах Cisco IOS:

Понимание адреса IPv6 Link-Local

!
hostname R1
!
ipv6 cef
!
ipv6 unicast-routing
!
interface Loopback10
 no ip address
 
 ipv6 address 2010::/64 eui-64

!--- Assigned a IPv6 unicast address in EUI-64 format.

  ipv6 ospf 1 area 1

!--- Enables OSPFv3 on the interface and associates the interface looback10 to area 1.

!
interface Loopback20
 no ip address
 
 ipv6 address 2020::/64 eui-64
 ipv6 ospf 1 area 2

!--- Associates the Interface loopback20 to area 2.

!
interface Serial0/0
 no ip address
 
 ipv6 address 2001::1/124
 ipv6 ospf 1 area 0

!--- Associates the Interface serial0/0 to area 0.

 clock rate 2000000
!
ipv6 router ospf 1
 router-id 1.1.1.1

!--- Router R1 uses 1.1.1.1 as router id.

 log-adjacency-changes
!
end

hostname R2
!
ipv6 cef
!
!
!
!
ipv6 unicast-routing
!
!
!
interface Serial0/0
 no ip address
 
 ipv6 address 2001::2/124
 ipv6 ospf 1 area 0
 clock rate 2000000
!
!
interface Serial0/1
 no ip address
 
 ipv6 address 2002::1/124
 ipv6 ospf 1 area 0
 clock rate 2000000
!
!
!
ipv6 router ospf 1
router-id 2.2.2.2
log-adjacency-changes
!
end

!
hostname R3
!
ipv6 cef
!
ipv6 unicast-routing
!
interface Loopback10
 no ip address
 
 ipv6 address 1010::/64 eui-64
 ipv6 ospf 1 area 1
!
interface Loopback20
 no ip address
 
 ipv6 address 2020::/64 eui-64
 ipv6 ospf 1 area 2
!
interface Serial0/0
 no ip address
 
 ipv6 address FE80::AB8 link-local
 ipv6 address 2002::2/124
 ipv6 ospf 1 area 0
 clock rate 2000000
!
ipv6 router ospf 1
 router-id 3.3.3.3
 log-adjacency-changes
!
end

Проверка

Проверка конфигурации OSPF

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Для того чтобы убедиться, что OSPF был настроен правильно, используйте команду show ipv6 route ospf на маршрутизаторах R1 и R3.

R1#show ipv6 route ospf
IPv6 Routing Table - 10 entries
Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP
       U - Per-user Static route, M - MIPv6
       I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary
       O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
       ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
       D - EIGRP, EX - EIGRP external
OI  1010::C002:1DFF:FEE0:0/128 [110/128]
     via FE80::C001:1DFF:FEE0:0, Serial0/0
O   2002::/124 [110/128]
     via FE80::C001:1DFF:FEE0:0, Serial0/0
OI  2020::C002:1DFF:FEE0:0/128 [110/128]
     via FE80::C001:1DFF:FEE0:0, Serial0/0

R3#show ipv6 route ospf
IPv6 Routing Table - 10 entries
Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP
       U - Per-user Static route, M - MIPv6
       I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary
       O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
       ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
       D - EIGRP, EX - EIGRP external
O   2001::/124 [110/128]
     via FE80::C001:1DFF:FEE0:0, Serial0/0
OI  2010::C000:1DFF:FEE0:0/128 [110/128]
     via FE80::C001:1DFF:FEE0:0, Serial0/0
OI  2020::C000:1DFF:FEE0:0/128 [110/128]
     via FE80::C001:1DFF:FEE0:0, Serial0/0

Проверка достижимости адреса Link-Local

Маршрутизаторы могут пропинговать друг друга с глобальным адресом индивидуальной рассылки. Однако при использовании адреса Link-local могут связываться только непосредственно подключенные сети. Например, R1 может пропинговать R3 с помощью глобального адреса индивидуальной рассылки, но эти два маршрутизатора не могут обмениваться данными с помощью адресов Link-local. Это показано с помощью команд ping и debug ipv6 icmp на маршрутизаторах R1 и R3. В этом разделе содержатся сценарии для улучшения понимания адресов Link-local.

Пингование адреса Link-Local из удаленной сети

Когда маршрутизатор R1 пытается связаться с маршрутизатором R3 с помощью адреса Link-local, маршрутизатор R1 возвращает сообщение о таймауте ICMP, указывающее, что адрес Link-local определен локально и не может связаться с адресами Link-local, находящимися за пределами непосредственно подключенной сети.

R1#ping FE80::AB8

!--- Pinging Link-Local Address of router R3.

Output Interface: serial0/0

!--- To ping LLA, output interface must be entered.

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to FE80::AB8, timeout is 2 seconds:
Packet sent with a source address of FE80::C000:1DFF:FEE0:0
.....
Success rate is 0 percent (0/5)

!--- The ping is unsuccessful and the ICMP packet cannot reach the destination through serial0/0. !--- This timeout indicates that R1 has not received any replies from the router R3.

Пингование адреса Link-Local из непосредственно подключенной сети

Для маршрутизатора R2 маршрутизаторы R1 и R3 напрямую подключаются и могут пропинговать адрес Link-local обоих маршрутизаторов R1 и R2 путем упоминания соответствующего интерфейса, подключенного к маршрутизатору. Выходные данные показаны здесь:

R2#ping FE80::C000:1DFF:FEE0:0

!--- Pinging Link-Local Address of router R1.

Output Interface: serial0/0

!--- Note that, to ping LLA, output interface should be mentioned In our case, R2 connects to R1 via serial0/0.

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to FE80::C000:1DFF:FEE0:0, timeout is 2 seconds:
Packet sent with a source address of FE80::C001:1DFF:FEE0:0
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 0/19/56 ms

R1#
*Mar  1 03:59:53.367: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 03:59:53.371: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0
*Mar  1 03:59:53.423: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 03:59:53.427: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0
*Mar  1 03:59:53.463: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 03:59:53.463: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0
*Mar  1 03:59:53.467: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 03:59:53.467: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0
R1#
*Mar  1 03:59:53.471: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 03:59:53.471: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0

!--- The debug output shows that the router R2 can ping router R1's link-local address.

R2#pingFE80::AB8 

!--- Pinging Link-Local Address of router R3.

Output Interface: serial0/1

!--- Note that,to ping LLA,output interface should be mentioned. In our case, R2 connects to R3 throught serial0/1.

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to FE80::AB8, timeout is 2 seconds:
Packet sent with a source address of FE80::C001:1DFF:FEE0:0
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 0/18/60 ms

R3#
*Mar  1 04:12:11.518: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 04:12:11.522: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0
*Mar  1 04:12:11.594: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 04:12:11.598: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0
*Mar  1 04:12:11.618: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 04:12:11.618: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0
*Mar  1 04:12:11.622: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 04:12:11.622: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0
R3#
*Mar  1 04:12:11.626: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 04:12:11.630: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0

!--- The debug output shows that the router R2 can ping router R3's link-local address.

Адрес Link-local, как подразумевает его название, определен только в соответствующей локальной сети. Другими словами, маршрутизаторы могут иметь один и тот же адрес Link-local, и при этом непосредственно подключенные сети могут обмениваться данными друг с другом без конфликтов. Это не будет так же в случае глобального адреса индивидуальной рассылки. Глобальный адрес индивидуальной рассылки, являющийся маршрутизируемым, должен быть уникальным в сети. Команда show ipv6 interface brief показывает информацию об адресе Link-local на интерфейсе.

R1#show ipv6 interface brief
Serial0/0                  [up/up]
    FE80::AB8
    2001::1
Loopback10                 [up/up]
    FE80::C000:1DFF:FEE0:0
    2010::C000:1DFF:FEE0:0
Loopback20                 [up/up]
    FE80::C000:1DFF:FEE0:0
    2020::C000:1DFF:FEE0:0

R3#show ipv6 interface brief

Serial0/0                  [up/up]
    FE80::AB8
    2002::2
Loopback10                 [up/up]
    FE80::C002:1DFF:FEE0:0
    1010::C002:1DFF:FEE0:0
Loopback20                 [up/up]
    FE80::C002:1DFF:FEE0:0
    2020::C002:1DFF:FEE0:0

!--- Shows that R1 and R3's serial interface has same link-local address FE80::AB8.

В данном примере маршрутизаторам R1 и R3 назначен одинаковый адрес Link-local, а R2 все равно может достигнуть обоих маршрутизаторов, указав соответствующий выходной интерфейс.

R2#ping FE80::AB8
Output Interface: serial0/0

!--- R2 is connected to R1 through serial0/0.

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to FE80::AB8, timeout is 2 seconds:
Packet sent with a source address of FE80::C001:1DFF:FEE0:0
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 0/26/92 ms

R1#
*Mar  1 19:51:31.855: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 19:51:31.859: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0
*Mar  1 19:51:31.915: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 19:51:31.919: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0
*Mar  1 19:51:31.947: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 19:51:31.947: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0
*Mar  1 19:51:31.955: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 19:51:31.955: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0
R1#
*Mar  1 19:51:31.955: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 19:51:31.955: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0

R2#ping FE80::AB8
Output Interface: serial0/1

!--- R2 is connected to R1 through serial0/1.

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to FE80::AB8, timeout is 2 seconds:
Packet sent with a source address of FE80::C001:1DFF:FEE0:0
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/28/76 ms

R3#
*Mar  1 19:53:38.815: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 19:53:38.819: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0
*Mar  1 19:53:38.911: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 19:53:38.915: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0
*Mar  1 19:53:38.923: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 19:53:38.927: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0
*Mar  1 19:53:38.955: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 19:53:38.955: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0
R3#
*Mar  1 19:53:38.963: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 19:53:38.963: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0

 Примечание. R2 может пропинговать адрес Link-local R1 и R3 только потому, что они подключены напрямую. R2 не может пропинговать адрес Link-local интерфейсов обратной связи в маршрутизаторах R1 и R3, поскольку они непосредственно не подключены. Эхозапрос работает для адресов Link-local только в случае непосредственно подключенных сетей.

 Примечание. Трассировки маршрутов не работают в случае адресов Link-local и возвращаются с ошибкой % No valid source address for destination (Нет допустимого исходного адреса для назначения). сообщение об ошибке. Это вызвано тем, что маршрутизаторы IPv6 не должны перенаправлять пакеты, у которых адреса источника или назначения % No valid source address for destination ведут к другим каналам.

Дополнительные сведения

Технология преобразования сетевых адресов NAT

Одной из проблем в развитии сетей является ограниченное количество существующих IPv4 адресов — их около 4,3 миллиарда. С повсеместным распространением интернета и взрывообразным ростом количества пользователей, стало очевидно, что этого недостаточно. Возникла потребность в инструменте, способном решить эту проблему (по крайней мере до момента, когда будут внедрены IPv6) — и одним из таких инструментов стала технология NAT (Network Address Translation).

Что такое NAT

При проектировании сетей обычно применяются частные IP-адреса 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16. Их используют внутри сети площадки или организации для поддержания локального взаимодействия между устройствами, а не для маршрутизации во всемирной сети. Чтобы устройство с адресом IPv4 могло обратиться к другим устройствам или ресурсам через интернет, его частный адрес должен быть преобразован в публичный и общедоступный. Такое преобразование — это главное, что делает NAT, специальный механизм преобразования приватных адресов в общедоступные.

Поддержка NAT в сочетании с приватными IPv4 адресами стала эффективным способом сохранения общедоступных адресов IPv4. Механизм дает возможность многочисленным устройствам, каждое из которых имеет собственный приватный адрес, использовать единый общедоступный адрес IPv4. Дополнительным плюсом NAT является повышение уровня безопасности и конфиденциальности сети, за счет того, что он скрывает приватные адреса IPv4.

Маршрутизатор NAT можно настроить с одним или несколькими общедоступными IPv4-адресами, которые называют пулом NAT. При отправке трафика устройством из внутренней сети во внешнюю сеть, маршрутизатор преобразует его внутренний IPv4-адрес в один из адресов, входящих в состав пула. В результате действия такого механизма весь, исходящий из сети трафик внешние устройства «видят» с общедоступным адресом IPv4, который можно назвать NAT IP адресом.

Действие маршрутизатора NAT осуществляется на границе тупиковой сети, получившей название Stub-сети. Она связана с соседней сетью одним соединением, имеет один вход и один выход. При установлении связи между устройствами внутри и снаружи Stub-сети пакет отправляется пограничному маршрутизатору, который исполняет процесс NAT. В результате этого процесса внутренний приватный адрес устройства преобразуется в публичный наружный адрес, поддающийся маршрутизации.

Терминология NAT

В соответствии с принятой терминологией NAT внутренняя сеть понимается как набор сетей, которые подлежат терминологии. Под внешней понимают все другие сети.

Чтобы определить, что такое NAT-адрес, нужно учитывать его нахождение в частной сети или в интернете, а также тип трафика (входящий или исходящий). В зависимости от этих факторов устанавливаются следующие четыре обозначения:

• Inside local address (внутренний локальный) — видимый во внутренней сети адрес источника, собственный локальный адрес устройства.
• Inside global address (внутренний глобальный) — видимый из внешней сети адрес источника. При передаче трафика, например, с локального компьютера на веб-сервер, его Inside local address преобразуется маршрутизатором во внутренний глобальный адрес.
• Outside local address (внешний локальный) — видимый из внешней сети адрес получателя. Присвоенный хосту глобально маршрутизируемый адрес IPv4.
• Outside global address (внешний глобальный) — видимый из внутренней сети адрес получателя. Часто совпадает с локальным внешним адресом.

Нужно учитывать, что терминология NAT всегда строится с позиции устройства с транслируемым адресом.

Типы NAT

Для понимания, что такое NAT в сети, необходимо разобраться с классификацией трансляции. В частности, по способу сопоставления адресов, бывают такие типы трансляции NAT:

• Static NAT — статическая адресная трансляция. Предусматривает сопоставление между глобальными и локальными адресами «один к одному».
• Dynamic NAT — динамическая адресная трансляция. Сопоставление адресов осуществляется по принципу «многие ко многим».
• Port Address Translation (NAT Overload) — трансляция с использованием портов. Предусматривается многоадресное сопоставление.

Рассмотрим подробнее, что такое каждый из этих типов NAT.

Статический NAT

Этот тип NAT использует принцип «один к одному» при сопоставлении локальных и глобальных адресов. Настройки сопоставлений, установленные сетевым администратором, остаются неизменными. При отправке сетевыми устройствами трафика в интернет выполняется преобразование их внутренних локальных адресов в настроенные администратором глобальные внутренние адреса. Для внешних сетей устройства, которые работают во внутренней сети со статическим NAT, имеют общедоступные адреса IPv4.

Static NAT Type — это то, что хорошо подходит для веб-серверов, а также для устройств, которым необходим доступный из интернета согласованный адрес. Реализация статистического NAT требует наличия числа общедоступных адресов, достаточного для удовлетворения общего числа одновременных пользовательских сеансов.

Пример статической NAT таблицы:

Динамический NAT

Тип динамического NAT работает с пулом публичных адресов, которые назначаются на основе принципа «первым пришел, первым обслужен». При запросе внутренним устройством доступа к интернету динамическим NAT производится назначение из пула общедоступного адреса IPv4. Как и в случае со статическим, для динамического типа NAT необходимо достаточное число общедоступных адресов, чтобы удовлетворить совокупное число одновременных пользовательских сеансов.

Пример динамической NAT таблицы:

Port Address Translation (PAT)

Это наиболее распространенный тип NAT. При использовании Port Address Translation NAT подключение осуществляет трансляцию нескольких приватных адресов на один или несколько общедоступных. Этот принцип используется в большинстве маршрутизаторов, которые устанавливаются дома у частных абонентов. Адрес назначается провайдером маршрутизатором. При этом одновременный доступ к интернету могут получать несколько домашних пользователей.

Применение PAT позволяет сопоставлять несколько адресов с одним или несколькими. Это возможно благодаря отслеживанию каждого приватного адреса по номеру порта. После начала сеанса TCP/IP устройство генерирует номер порта источника TCP или UDP, что позволяет идентифицировать сеанс. При получении пакета от клиента NAT-маршрутизатором, он однозначно идентифицирует перевод NAT, используя номер собственного исходного порта. Схема PAT гарантирует использование разных портов TCP устройствами для каждого сеанса. При поступлении ответа от сервера при этом типе NAT номер порта источника уже используется как номер порта получателя. Это позволяет маршрутизатору однозначно правильно передавать пакеты.

Маршрутизатор выполняет обработку каждого пакета и определяет устройство, с которого он выслан, используя номер порта. Адресом источника (Source Address) в этой схеме будет локальный адрес устройства с добавлением номера порта, который был назначен TCP/IP. Адресом назначения (Destination Address) при использовании TAP будет внешний локальный адрес с добавлением номера служебного порта, например, порта службы 80: HTTP. При ответе веб-сервера производится обратная трансформация адресов.

Часто на маршрутизаторе порты клиента изменяются, поскольку ранее назначенные порты могут закрепляться за другими работающими сеансами. В процессе NAT сессии PAT стремится сохранить исходный порт источника. Если же этот порт уже занят, выполняется назначение первого из доступных номеров. Поиск свободного номера начинается с начала группы портов 0–511, 512–1023 или 1024–65535. В случае если свободных портов не остается и имеется больше одного внешнего адреса в пуле адресов, PAT переходит на новый адрес для поиска исходного порта источника.

Между традиционным NAT и PAT есть существенные отличия. NAT осуществляет перевод IPv4-адреса на основе принципа «один к одному» между приватными и общедоступными IPv4-адресами. С другой стороны, PAT трансформирует и адрес, и номер порта. Перенаправление входящих пакетов в NAT интернете выполняется на заданный хостом IP-адрес источника. В схеме PAT предусматривается только один или небольшое число публично открытых адресов IPv4, поэтому перенаправление входящих данных осуществляется на основе NAT таблицы маршрутизатора.

Преимущества и недостатки NAT

Понимая, как работает NAT, можно выделить комплекс серьезных преимуществ, которые предоставляет этот механизм при организации сетей. В том числе к основным плюсам относятся такие свойства Network Address Translation:

• Сохранение зарегистрированной схемы адресации благодаря разрешению на приватизацию внутренних сетей. При использовании PAT возможно использование для внешних соединений одного общедоступного адреса IPv4 внутренними хостами. Эта схема требует малого количества внешних адресов для поддержки значительного числа внутренних хостов.
• Повышение гибкости коммуникации с интернетом. Обеспечение надежных сетевых подключений достигается благодаря многочисленным пулам адресов, пулам балансировки нагрузки и резервному копированию.
• Поддержка согласованной работы внутренних схем сетевой адресации. Если сеть не использует NAT и приватные адреса IPv4, то для изменения общей схемы адресов приходится проводить переадресацию всего комплекса хостов. Это может значительно повышать стоимость переадресации. При использовании NAT обеспечивается возможность сохранения действующей частной схемы адресов, что позволяет намного легче вносить изменения в общедоступную схему адресации. На практике это означает, например, возможность смены провайдера компании без внесения изменений в собственные внутренние клиенты.
• Поддержание высокого уровня сетевой безопасности. При использовании NAT частные сети не транслируют свою внутреннюю топологию и адреса, что повышает их надежность. При этом нужно учитывать, что NAT не является заменой решений сетевой безопасности, например, брандмауэра.

Особенностью NAT является организация прямого взаимодействия хостов в интернете с устройством, поддерживающим Network Address Translation, а не с фактическим хостом в локальной сети.

Тут выявляются некоторые недостатки механизма, в том числе:

• Определенное снижение производительности сети из-за увеличения задержке переключения при трансформации в пакетах каждого IPv4-адреса. Снижение производительности может быть чувствительным для VoIP и других протоколов реального времени.
• Потеря сквозной адресации, необходимой для работы ряда приложений и протоколов. Если приложение использует не квалифицированное доменное имя, а физические адреса, то пакеты не попадают к получателям через NAT-маршрутизатор. В некоторых случаях проблема устраняется при помощи статических сопоставлений NAT.
• Потеря сквозной трассировки IPv4. Из-за множества изменений адресов пакетов осложняется трассировка, определение и устранение неполадок.
• Осложнение работы IPsec и других протоколов туннелирования в результате изменения значений в заголовках, что затрудняет проверки целостности.
• Возможность нарушения работы stateless протоколов или служб, которые требуют инициирования TCP-соединений из внешней сети, если NAT-маршрутизатор не настроен для их поддержки.

В то же время NAT остается эффективным и удобным механизмом, применяемым для организации работы сетей с использованием адресов IPv4.

Подпишитесь на рассылку Смарт-Софт и получите скидку на первую покупку

За подписку мы также пришлем вам white paper «Основы кибербезопасности в коммерческой компании».

Email*

Подписаться

Интернет 2.0 (по протоколу IPv6)

Большая часть пользователей пользуется интернетом через протокол IPv4. Чем же тогда хорош протокол IPv6 и почему мы предлагаем его подключение?

Протокол IPv6 позволяет осуществлять назначение существенного большего количества IP-адресов, чем это можно было сделать при помощи протокола IPv4.

Используя IPv6, пользователь получает фиксированный IP-адрес и максимальную скорость к ресурсам, использующим этот протокол.

Выделенный IP-адрес для всех ваших компьютеров

Одним из основных преимуществ IPv6 является возможность предоставить пользователям в распоряжение подсеть, в которую можно подключить до 2⁶⁴ устройств, каждое из которых будет иметь выделенные статические IPv6-адреса в интернете.

Более высокая скорость скачивания торрентов и вообще всего

Пользователь, выходящий в интернет через протокол IPv6, полностью независим от NAT на своем роутере (NAT — это механизм преобразования IP-адресов), а это значительно снижает нагрузку на него.

В случае доступа к какому-либо ресурсу по IPv6, никакой трансляции IP-адресов не требуется, а для этого хватит гораздо меньших вычислительных ресурсов.

Популярные ресурсы, которые будут работать ещё быстрее при подключении IPv6

 apt-get install aiccu 

 aiccu start 

 /etc/init.d/aiccu start 

pi @ raspberrypi / $ ping6 ipv6.google.com
PING ipv6.google.com (bud02s21-in-x0e.1e100.net) 56 байт данных
64 байта из bud02s21-in-x0e.1e100.net: icmp_seq = 1 ttl = 58 time = 12,4 мс
64 байта из bud02s21-in-x0e.1e100.net: icmp_seq = 2 ttl = 58 time = 12,3 мс
64 байта из bud02s21-in-x0e.1e100.net: icmp_seq = 3 ttl = 58 время = 12,4 мс
64 байта из bud02s21-in-x0e.1e100.net: icmp_seq = 4 ttl = 58 time = 12,2 мс
 

 остановка aiccu 

pi @ raspberrypi / $ ping6 ipv6.google.com
подключиться: сеть недоступна
 

home @ mypc / $ ping6 2a01: ****: ****: **** :: 2
PING 2a01: ****: ****: **** :: 2 (2a01: ****: ****: **** :: 2) 56 байтов данных
64 байта из 2a01: ****: ****: **** :: 2: icmp_seq = 1 ttl = 64 time = 5.1 мс
64 байта из 2a01: ****: ****: **** :: 2: icmp_seq = 2 ttl = 64 time = 5,3 мс
64 байта из 2a01: ****: ****: **** :: 2: icmp_seq = 3 ttl = 64 time = 5,1 мс
64 байта из 2a01: ****: ****: **** :: 2: icmp_seq = 4 ttl = 64 time = 5.5 мс