IPv6, hvor udbredt i Danmark?

Hvilken boligforening i Odense S refererer du til?

Jeg har ikke noget IPv6 endnu (har Telenor, men deres router har IPv6 aktiveret på routeren, og jeg kan også få interne IPv6-adresser på den, men ikke noget eksternt endnu)

IPv6 er noget de bruger i asien, vestens etablerede ISP'er er slet ikke indstillet på at rulle det ud, eftersom de har hamstret nok IPv4 blokke til ikke at have et problem. Den langsomme udrulning af IPv6 var en af grundene til at ITU ville overtage fra ICANN i foråret.

Hvis ikke du allerede kender til fordele og ulemper med IPv6, har globalconnect udgivet et whitepaper:

http://www.globalconnect.dk/media/31760/whitepaper_ipv6_low.pdf

IPv6 er på vej. Der er tale om forberedelse til IPv6, ikke at du får det med det samme. Det sker formentlig først om et år eller to.

#3:
IPv6 er på vej. Der er tale om forberedelse til IPv6, ikke at du får det med det samme. Det sker formentlig først om et år eller to.

Det har de sagt i snart et årti. Basalt set er problemet at der er en masse ISP'er med gammel infrastruktur der ikke har nogen real lyst til at opgradere, især fordi deres hamstrede blokke af IPv4 adresser giver en "barrier of entry" nyere ISP'er har svært ved at matche.

Altilernativet carrier grade NAT vil fungere fint for http, men giver en frygteligt masse problemer for folk der ikke bare anser internettet og http for det samme, og det gør effektiv krypteret trafik temmeligt besværligt.

Spøgsmålet er så hvad der vælges i sidste ende.

#4: Det har de sagt i snart et årti.

Ja, men der er tale om #0's boligforenings IPv6 implementering. Det kunne se ud som om #0 er af den opfattelse, at boligforeningen nu overgår til IPv6. Det er endnu tvivlsomt som du også er inde på.

Læser man globalconnect's whitepaper, løber europa tør for IPv4 om et års tid og USA om fire år ifølge dem. Holder det stik, så er ISP'ernes IPv4's adresse sortiment underordnet overgangen, eftersom det handler om hele EU. Vil ISP'erne kunne vokse, skal de se at få gang i systemudviklingen. Deres IPv4 adresse pools vil blive værdiløse når IPv6 udrulles for alvor.

Så vidt jeg har forstået, giver IPv6 bedre IPsec (VPN) muligheder end IPv4, og formentlig også DNSsec, men der er ikke fuld enighed iht emnet (firewalls, geolocation m.v.).

iana.org har således denne information:

https://www.iana.org/about/presentations/davies-sofia-dnssec+ipv6-08090…

http://fedv6-deployment.antd.nist.gov/

http://www.internetsociety.org/deploy360/blog/2013/08/ipv6-dnssec-and-r…

#5:
Læser man globalconnect's whitepaper, løber europa tør for IPv4 om et års tid og USA om fire år ifølge dem.

Ripe er løbet tør http://www.ripe.net/internet-coordination/ipv4-exhaustion/last-8-phases, se også wikipedia http://en.wikipedia.org/wiki/IPv4_address_exhaustion#Regional_exhaustion Det er basalt set kun amerikanerne der har frie ip'er tilbage.

Problemet er at man ikke kan reclaime IP puljer når først de er tildelt det vil sige de ISP'er der fik søgt før man begyndte med restriktioner har IP'er mens nye ISP'er skal ud og købe puljer et eller andet sted.

Vi er løbet tør men kun asien føler realt problemet.

Fordelingen af IP til de regionale puljer er iøvrigt mere end bare en smulse skæv, jeg har et regneark derhjemme der viser precist hvor skæv jeg kan uploade når jeg kommer hjem.

#5:
Så vidt jeg har forstået, giver IPv6 bedre IPsec (VPN) muligheder end IPv4, og formentlig også DNSsec, men der er ikke fuld enighed iht emnet (firewalls, geolocation m.v.).

IPv6 introducere derudover multicast hvilket kan give en masse hovedpiner for netværks admins at håndtere i situationer hvor et netværk skal værre "låst ned", og geolocation er tilsvarende noget rod. DNSSEC er svjv ikke direkte relateret til IPv6.

#6: jeg har et regneark derhjemme der viser precist hvor skæv jeg kan uploade når jeg kommer hjem.

Glimrende. Det vil jeg gerne se ;)

#6: IPv6 introducere derudover multicast hvilket kan give en masse hovedpiner for netværks admins at håndtere i situationer hvor et netværk skal værre "låst ned", og geolocation er tilsvarende noget rod. DNSSEC er svjv ikke direkte relateret til IPv6.

Jeg er rimeligt sikker på, at det kommer til at give en smule hovedpine.

DNSSEC er ikke direkte relateret til IPv6. Man skal se relationerne i helhed, så der er tale om indirekte relationer, hvor sikkerhed er involveret.

Hej igen

#1 Det er andelsboligforeningen Bjørnemosen http://bjoernemosen.dk/ .

Det er mig, der står for at administrere internet-forbindelsen i boligforeningen.
Hidtil har vi, som de fleste andre, kun haft mulighed for ipv4, hvor vi har haft to vdsl-linjer fra TDC, som jeg har bundlet sammen til en linje set indefra boligforeningen.

Efter vi overgik til Energifyns erhvervsløsning (den store, af de to muligheder http://energifyn.dk/erhverv/fibernet/produkter , som hedder Erhverv Pro), så er det nu muligt af få ipv6 over den 100/100 fiber, som vi har fået trukket ind her i efteråret.
Vi er rigtigt mange, der er glade for, at have gået over til fiber-forbindelsen pga. den er hurtigere, den synkrone hastighed og lavere latency (ping-tid). Energifyn har været meget fine at tale med omkring løsningen og vores ønsker.

Mht. ipv6, der er der en del nye typer adresser, begreber, protokoller og sikkerhedsmæssige ting, man skal kigge på.
Bl.a. skal jeg have sat mig ind i de forskellige ICMP-typer, som ipv6 benytter og hitte ud af hvilke man kan blokke, uden at det giver problemer. Potentielt (hvad jeg har læst indtil nu), så kan en udefra spoofe icmp-beskeder eller bruge det til dos-angreb, og det er ingen jo interesseret i.

Vi bruger pfSense 2.1. pfSense der understøtter ipv6, så her i den næste tid, skal vi igang med at teste det inden vi for alvor sætter det i drift. Der er dog lige et enkelt teknisk problem omkring noget routning uden for boligforeningen, jeg venter på bliver løst, (som vi i boligforeningen ikke helt er herre over,) men det bliver forhåbentligt løst inden så længe.

Til at starte med, er det selvf. mest for os nørder. Men netop i vores situation, der er det rart at vi kan give alle i boligforeningen en serie af offentligt tilgængelige adresser, så at man kan hoste lidt småtterier privat, lave backup, eller som nogen gør, bruge det i forbindelse med deres selvstændige arbejde. Jeg vil selv fx nu kunne sætte noget direkte backup eller lign. nørderier op mellem min raspberry pi og min virtuelle server i Italien, da de i så fald begge kommer til at køre ipv6.

Jeg har selv tænkt lidt på, at jeg burde få lavet noget intro-materiale, der tager folk i hånden omkring de forskellige emner, og hvordan man skal forholde sig. Så når jeg har fået nogle erfaringer, så tror jeg, jeg vil begive mig ud i det. Der findes allerede en del gode sider om emnet, men lige omkring pfsense 2.1 og opsætning af ipv6, der er det lidt mangelfuldt indtil videre, da pfsense 2.x-bogen endnu ikke er udkommet. Men ellers findes der generelt om ipv6 nogle cheat sheets omkring begreber, adresser osv.

Jeg har læst, at tdc fra dette efterår er begyndt at tilbyde fiber med ipv6 til flere af deres erhvervskunder, men problemet er, at de er meget dyre, og der er sikkert ikke mange private, der har råd til det. Jeg har dog også læst at hvis man fx har kabelmodem, der understøtter docsis 3.0, så burde antenneforeninger med flere også kunne tilbyde ipv6.

Derudover så tilbyder Hurricane Electric via http://tunnelbroker.net/ gratis ipv6, hvor man får et /48-prefix! Det bliver så tunnellet igennem ipv4, men så har man i det mindste mulighed for at teste det og bruge det til at få erfaringer med indtil man får muligheden for direkte ipv6 igennem sin leverandør af internet.

#8: Det er mig, der står for at administrere internet-forbindelsen i boligforeningen.

Tillykke med fiberen. For at teste sikkerheden udefra, vil jeg foreslå jer blandt andet ShieldsUP. Vi brugte den selv hvor vores server er placeret da vi fik fiber. Vi brugte den uden teknikeren viste det, og morede os over at han kom rendende helt rød i hovedet over hvad troede var hacker forsøg.

Det giver temmelig meget information over hvad der i virkeligheden sker.

https://www.grc.com/x/ne.dll?bh0bkyd2

Jeg glemte at sige, at der gerne skulle returneres True Stealth Analysis (der har meget med ICMP at gøre), fra en browser på en klient maskine, og at vi også kørte nogle tilfældige torrent downloads, og nogle andre ting jeg ikke lige kan huske.

Det er også vigtigt at man ved at det er main routeren der testes med ShieldsUp, ikke eventuelt installerede software firewalls som iptables, eller andre firewalls på Windows maskiner.

#7: Glimrende. Det vil jeg gerne se ;)
som lovet http://sciuridae.eu/misc/ipvpop.ods og i billedform
http://sciuridae.eu/misc/IP.png
Samlet for et års tid siden mest for lige at tjække om min forståelse af talne var rigtig.

#7: an skal se relationerne i helhed

DNSSEC er svjv mere eller mindre fuldt implementeret for en del TLD'er f.eks. .eu(http://www.eurid.eu/en/news/sep-2010/eu-dnssec-key-material-now-root-zo…) IPv6 handler mere om at slippe ud af alle det workarounds der er nødvendige når man gemmer flere noder bag en ip.

#9

Takker for oversigten.
Det er en god ting hvis DNSSEC implementeres worldwide.
Det er også godt at slippe for NAT og DHCP m.v..

#0

Mens jeg husker det, husk at tjekke det trådløse LAN i boligforeningen.

Lige efter installeringen på vores fiber, kunne jeg uden problemer connecte til andre routere, og fordi de pågældende husstande ingen sikkerhed havde konfigureret, var der fuld adgang til deres interne LAN.

#12
ja, sikkerhed er en stor del af det hele. Og tak for linket tidligere :-) Ved dog ikke, om ShieldsUP håndterer alle icmp-beskeder, som er i ipv6, men det må jeg teste, når vi endelig får hul igennem. I hvert fald er det et felt der skal læses op på.

Mht. IPv6, så tror jeg, at jeg manuelt vil uddelegere nogle adresseområder/64-subnet til folk, der vil teste til at starte med.
pfSense 2.1 ser nemlig ud til at have problemer med at nægte tildeling af adresser til hosts via DHCPv6, hvis man har valgt det som standard "Deny unknown clients". Det vil jeg nemlig gerne, for at opnå nogle erfaringer først og undgå at folk oplever problemer, enten tekniske som mht timeouts, ting der ikke måtte virke eller i den mere seriøse del mht sikkerhedsproblemer - netop fordi vi kommer til at køre en dualstack.
Jeg har skrevet om det her http://forum.pfsense.org/index.php?topic=69348.0
Jeg har sørget for at routeren "advertiser" sig som managed, så at folks udstyr _ved_, at de kun skal tildele sig adresser via dhcp og ikke via NDP mht at få en global routed adresse.

Og så kommer vi over til den anden type af sikkerhed. Nemlig den folk selv står for.
Man bør fortælle folk om, at de selv har en interesse i og ansvar for at sørge for, at deres enheders og netværks sikkerhed er i orden. De lavt hængende frugter er selvf. at de anskaffer sig en router (det har langt de fleste, hvis ikke alle) så folk udefra som standard ikke kan initiere skadelig trafik ind i folks LAN, men reel sikkerhed kommer først, når brugeren har interesse for dette i hverdagen, omkring hvad der sker på computeren.

For noget tid siden havde vi en "incident", hvor jeg tilfældigvis ved en søgning på mxtoolsbox's blacklist-side ( http://mxtoolbox.com/blacklists.aspx ) så at en af vores ip-adresser var faldet i CBL-listen. Så skulle jeg igang med detektivarbejdet. Det viste sig at en bruger havde fået et rootkit og noget andet stads ind ad bagvejen. Det er en af ulemperne med få ipv4-adresser, som folk/boligforeningen deles om via NAT.
Så er det dejligt, at IPv6 betyder mange adresser til alle, så er det kun den ene det går ud over og ikke alle i foreningen. Brugeren indrømmede ikke at have noget forstand på, hvad der foregik på computeren, men ja jeg tror det var en øjenåbner for ham, og ja folk tænker ikke over, at de hver især har en motorvej, der løber ind i deres hjem, når de er på nettet :o)

Og nu, 5 år senere, er IPV6 stadig en sjældenhed. Men der er fremskridt, ser stadig flere hjemmesider og ISP'er der bruger dette, og har også hørt fra en supporter fra [spamlink slettet] at det er begyndt at blive en standard

Jeg bruger pfsense 2.4.2 og sat rigtig op og smidt den router fra Altibox lang ind i et hjørne og sat VLAN 102 op på WAN kort. Jeg har så dual stack IP v4 og v6 og det virker fint.
Hvis andre har mod på det så har jeg en meget fin guide på hvordan man sætter pfsense op på Altibox.