Omezování IPv6 tunelovacích technologií

Před několika lety ještě nebyl protokol IPv6 tak rozšířen jako dnes. Proto jsme se v červnu 2010 rozhodli zprovoznit první veřejný 6to4 relay router v České republice. V dubnu 2011 pak ještě také technologii Teredo v podobě Teredo serveru a Teredo relay routeru. V obou případech měli uživatelé, nemající nativní podporu IPv6 od svého poskytovatele internetu, možnost pomocí tunelovacích technologií získat IPv6 adresu a přístup do sítě. Současně se vzhledem k blízkosti serverů přímo v peeringovém uzlu NIX.CZ zlepšila dostupnost a kvalita spojení. Více informací o obou technologiích si můžete přečíst na našem blogu.

Provoz po IPv6 se výrazně zvyšuje a tím pádem klesá potřeba a využitelnost tunelovacích technologií. Velice výmluvné jsou níže uvedené grafy společnosti Google, které ukazují, kolik uživatelů přistupuje na jejich služby pomocí IPv6 protokolu. První graf znázorňuje postupný nárůst nativní podpory v posledních letech. Druhý pak ukazuje detail do roku 2012, kde je patrný pokles tunelovacích technologií.

Trend nárůstu nativní podpory IPv6 pozorujeme i v naší síti, aktuálně v rámci našeho AS získáváme z tranzitu přes 50000 IPv6 prefixů. Pohledem na níže uvedený graf DNS dotazů je pak IPv6 protokol zastoupen přibližně z jedné pětiny.

Dalším argumentem je také zjištění, které autonomní systémy prefixy obou technologií propagují. Tedy konkrétně prefix 2001::/32 v případě Teredo a prefixy 2002::/16 a 192.88.99.0/24 v případě 6to4. Pohledem do RIPE statistik je patrné, že prefixy těchto technologií dnes propaguje převážně Hurricane Electric (AS6939). Následují pak CZ.NIC (AS25192), TREX (AS29432), SURFNET (AS1103 a AS1101), ITGATE (AS12779) nebo NWN (AS12816).

RIPE statistiky pro Teredo

RIPE statistiky pro 6to4

Je zřejmé, že nativní podpora IPv6 protokolu roste a ve světě postupně dochází k opouštění provozu obou tunelovacích technologií jejich provozovateli. To má však paradoxně za následek, že nám narůstá provoz Teredo a 6to4 tunelů přicházející ze zahraničních konektivit. Rozhodli jsme se, že také začneme s postupným omezováním těchto technologií.

V prvním čtvrtletí 2018 jsme přestali propagovat Teredo prefix 2001::/32 do zahraničí a ponechali propagaci prefixu do peeringových uzlů NIX.CZ a NIX.SK. Pro uživatele v České a Slovenské republice, jejichž poskytovatel Internetu je připojen přímo nebo přes další subjekt do obou peeringových uzlů, to tedy neznamená žádné omezení. Zbytek uživatelů a okolní svět využijí jiné servery, s největší pravděpodobností ze sítě Hurricane Electric. Používání Teredo technologie propagované z naší sítě budeme i nadále sledovat, abychom mohli případně v budoucnu rozhodnout o jejím úplném vypnutí.

Provoz technologie 6to4 zůstává prozatím beze změny, nicméně i v tomto případě lze očekávat podobný scénář.

Autor:

Komentáře (3)

  1. Vladimír Ambrož říká:

    Je sice pěkné propagovat Teredo jen lokálně, ale problém této technologie je dvojcestnost putování paketů. Takže skrze teredo relay CZ.NIC paket doputuje třeba na žádanou adresu, ale z této adresy odezva nedojde, protože paket buď žádné blízké teredo relay nenajde nebo najde, ale nefunkční nebo zahlcené. Takže spolehlivost tereda (6to4) není velká. Řešení by bylo v teredo relay nahradit teredo adresu nativní IPv6 adresou v rozsahu prefixu teredo relay, něco jako NAT 1:1, aby pakety přicházely do stejného teredo relay, odkud přišel požadavek na odezvu. Potom by komunikace skrze teredo byla relativně spolehlivá a přínosná pro rozšíření IPv6. Takto je to jen polotovar pro nadšence na vyzkoušení IPv6.

  2. Jiří Sluka říká:

    Omezování tunelovacích technologií a přechod na nativní IPv6 je pěkná myšlenka. Ale její vyznění může mít poněkud nevraživou odezvu od některých uživatelů. Asi tak, jako když radíte Jemenci umírajícímu hladem, že světovým trendem nyní je přechod na méně energeticky vydatnou, jednodušší a ekologickou stravu a že by se tomu měl přizpůsobit. Tak podobně vyznívají doporučení, že by si uživatelé měli hledat nativní IPv6 připojení. Svého (jinak dobrého) poskytovatele Netbox už mnoho let každoročně žádám o IPv6 a vždy se mi dostává stejné nebo podobné odpovědi. Protože jsem se svým požadavkem ojedinělý a přechod na IPv6 by si vyžádal velké náklady na výměnu technologie, ať použiji jejich experimentální 6RD tunel, když IPv6 tak potřebuji.
    Jsem opravdu takový šílenec, když považuji masově používaný překlad adres za zvrhlost a když si myslím, že je v pořádku mít routovatelnou veřejnou adresu pro každé svoje zařízení (ať už na firewallu povolím nebo zakáži přístup)?

  3. M říká:

    Netbox už řadu let IPV6 poskytuje. Je pravda, že pomocí tunelu, není to nativní připojení. Tunel vede z domácího routeru na veřejnou IP adresu. Na helpdesku mně tvrdili, že domácí adresa musí být veřejná. Teoreticky může být privátní, protože oba konce tunelu jsou v jejich síti. Tunel není dokonalé řešení, ale asi nechtěli měnit nějak zásadně svoji síť a proto zvolili tunel. Tunel funguje,, zkoušel jsem to na Windowsech, nakonec na Mikrotiku https://radyinternet.webnode.cz/l/tunel-6in4-od-netboxu-na-routeru-mikrotik/.

Napsat komentář: M Zrušit odpověď na komentář

Všechny údaje jsou povinné. E-mail nebude zobrazen.

Tato stránka používá Akismet k omezení spamu. Podívejte se, jak vaše data z komentářů zpracováváme..