V roce 2018 jsem přinesl v článku Omezování IPv6 tunelovacích technologií informace o aktuálním vývoji a využití technologií Teredo a 6to4. Závěrem jsem pak informoval, že Teredo prefix 2001::/32 přestáváme propagovat do zahraničních upstreamů a propagujeme jej jen v rámci peeringových uzlů NIX.CZ a NIX.SK, kde však peerují také globální hráči, tudíž určitý provoz ze zahraničí i přesto odbavujeme Technologii 6to4 jsme v té době nijak neomezili. V tomto blogpostu uvedu důvody, proč chceme tyto dvě technologie vypnout.
6to4
Pro zrušení námi provozované technologie 6to4 jasně hovoří RFC 7526, které označuje provoz přes anycast adresu jako deprecated (zastaralou), a to již od roku 2015. Současně tato technologie vykazuje značnou chybovost, na kterou poukazuje i příspěvek na webu labs.ripe.net z roku 2010. Z těchto důvodů jsme již neanalyzovali tento provoz, zaměřili jsme se více na Teredo server/relay a rovnou přistoupíme k vypnutí. Nicméně datový tok přes 6to4 je v zásadě srovnatelný s tokem přes Teredo.
Teredo
Pro oživení jak funguje Teredo doporučuji prostudovat tento článek a také prohlédnout toto schema. V CZ.NIC provozujeme obě součásti, tedy jak Teredo server na adrese teredo.nic.cz, tak i Teredo relay.
Abychom si udělali konkrétní představu o fungování obou součásti, prostudovali jsme síťový provoz jednoho pracovního dne ve vzorku deseti minut. Na základě získaných IP adres a GeoIP databáze jsme určili jednotlivé státy, ze kterých provoz pochází a kde terminuje, a připravili grafy TOP 10 států světa s největším procentuálním zastoupením v celém datovém provozu dle zvolených kritérií.
Co ukazují jednotlivé grafy? Ten první (oranžový) znázorňuje, kdo nejvíce používá Teredo server. Jedná se tedy o ty klientské stanice, které ve své konfiguraci používají přímo adresu teredo.nic.cz. Druhý graf (modrý) pak reprezentuje, kdo pro komunikaci s IPv6 světem využívá náš Teredo relay. A nakonec třetí graf (zelený) ukazuje cílové destinace, kde skutečně končí provoz.
Když si dáme jednotlivé grafy do souvislostí, můžeme uvažovat následující skutečnosti:
- Teredo server je nejvíce používán z České republiky a Ruska,
- Teredo relay instance je vlastně z naší republiky zastoupena méně než jedním procentem. To tedy znamená, že cílové servery, kam provoz tunely proudí, pravděpodobně nejsou v České republice a blízkém okolí, protože by jinak takový provoz odbavila přímo naše Teredo relay instance,
- naopak provoz z naší Teredo relay instance nejvíce končí v Holandsku a USA. Česká republika je zastoupena přibližně jedním procentem.
Má smysl dále provozovat Teredo tunely, abychom uživatelům v České republice zlepšili komfort a odezvy? Jsme přesvědčeni o tom, že ne, protože:
- jedná se o službu, která je postupně různými subjekty vypínána. Zajímavým počinem byl test společnosti Microsoft, kdy v roce 2013 vyzkoušeli na pár dní Teredo vypnout,
- Teredo je technologie, která může být často použita pro útoky na jiné subjekty,
- sdružení CZ.NIC je součástí kritické infrastruktury státu a tak by nerado i nadále poskytovalo nástroj, který lze snadno použít pro útoky na kohokoliv,
- Teredo má obecně velkou ztrátovost a tato technologie je značně komplikovaná, viz strana 286 až 287 knihy IPv6 čtvrté vydání,
- zrušení tunelovacích mechanismů by mohlo přispět k dalšímu rozšiřování nativní podpory IPv6 protokolu namísto obcházení různými přechodovými mechanismy.
V původním článku Omezování IPv6 tunelovacích technologií jsem také uváděl grafy společnosti Google o tom, kolik uživatelů přistupuje na jejich služby pomocí IPv6 protokolu. V polovině roku 2018 měly tunelovací technologie 6to4/Teredo zastoupení ještě 0,05 %. Po cca třech a půl letech je to už čistá 0.
K vypnutí chceme přistoupit i ze zcela pragmatického důvodu. Hardware, na kterém služba běží, dosluhuje a investice do nového (stejně jako práce s migrací a následnou správou) nám prostě nedávají smysl.
Vypínáme na zkoušku
Na základě výše uvedeného jsme se rozhodli, že obě IPv6 tunelovací technologie na zkoušku vypneme 25. října 2021 na dobu 24 hodin.
Vypínáme!
Pokud se neobjeví žádný zásadní problém, provoz obou služeb definitivně ukončíme v pondělí 1. listopadu 2021. Uživatelé v České republice však o blízký uzel služeb Teredo a 6to4 nepřijdou, neboť je stále provozuje (jako jeden z posledních mohykánů) společnost Hurricane Electric, která také peeruje v NIX.CZ. Tuto společnost budeme samozřejmě před finálním vypnutím s předstihem informovat.
Vsak je to defacto mrtvy kun, co mel byt pohrbeny uz davno… :-)
Palec nahoru. Uz je na case.
I na to tunelovani existuje rada spolehlivejsich provideru/technologii.
Ale nejlepsi nakonec bude, pokud uzivatele (jsou-li takovi) zajdou za svym ISP a reknou si o nativni IPv6.
Svého poskytovatele (Nej.cz) jsem se ptal několikrát – nezájem. Na stránkách ani v obchodních podmínkách žádná zmínka o IPv6.
A místní ISP totéž. Jejich obchodníci ani netuší, co to IPv6 je a proč to chci. To je pak těžké.