Jak obejít nefunkční IPv6 na justice.cz

Jedním z nešvarů při nasazování IPv6 do provozu je neschopnost správců. Jednou z ukázek takové neschopnosti je implementace nasazení IPv6 na webové prezentaci Ministerstva spravedlnosti (dostupné na adrese portal.justice.cz). Pokud patříte mezi uživatele s funkční IPv6 konektivitou, na weby justice.cz se už téměř dva roky nemáte šanci dostat. Pojďme si shrnout příčiny a možné způsoby obejití tohoto problému.

Problém

by se dal charakterizovat tak, že někdy během roku 2010, ve snaze naplnit Usnesení vlády č. 727 ze dne 8. června 2009 (mimochodem, předně dva roky před World IPv6 Day :-)), správce Justice.cz tento portál „zprovoznil“ i pomocí protokolu IPv6. Od té doby je práce s tímto webem doslova utrpením – tedy pokud na svých klientských počítačích máte IPv6.

IPv6 má jak adresa www.justice.cz, tak i skutečná adresa portálu – portal.justice.cz. Adresy se ale liší, ale chování za nimi schovaných serverů je shodné, možná tedy ukazují na jeden počítač s více IPv6 adresami. Nebo na více počítačů se stejně špatným nastavením.

Při přístupu na Justice.cz se objevuje několik problémů:

  • MTU problémy: pokud máte IPv6 konektivitu s MTU nižším, než 1500 (jakýkoli tunel, včetně nativního IPv6 poskytovaného přes PPPoE u DSL přípojek), může dojít k navázání spojení, ale data od webserveru k vám nedorazí, protože routery v cestě zahazují ICMPv6. ICMPv6, zejména jeho zprávy Packet too big, jsou ovšem pro správné fungování IPv6 vyžadován. Nesprávné filtrování pak vede k tomu, že data od jedné nebo druhé strany TCP spojením neprojdou. O správném filtrování ICMPv6 si můžete přečíst např. v RFC4890. Tento problém se u webserveru Justice.cz vyskytoval dřív, dneska už je, zdá se, opraven (alespoň něco).
  • Problémy s navázáním spojení: pokud si tcpdumpem zachytíte pokus o přenos úvodní stránky justice.cz, můžete zaregistrovat chování, kdy data začnou přicházet právě 21 sekund po odeslání GET požadavku. Tato prodleva napovídá, že na straně justice.cz existuje problém s navazováním spojení (např. od webserveru k backend serveru), kdy po 21 sekundách dojde k přepnutí z jednoho IP protokolu na druhý. 21 sekund je timeout, který pro navázání TCP spojení existuje ve Windows. A justice.cz používá právě servery na platformě Windows. Data chodí v podivných 536 bajtových blocích, hluboko pod hodnotou minimálního IPv6 MSS. Zajímavé je, že tenhle problém se neprojeví při pokusu o stažení z Linuxu, kde se ale projevuje následující:
  • Problémy s „blokovým“ přenosem dat od serveru: tento problém jsem zaregistroval na tunelovaném i nativním připojení. Pokud se připojíte telnetem k IPv4 adrese portal.justice.cz, tcp port 80, a zašlete GET požadavek na adresu /Justice2/Uvod/u­vod.aspx (úvodní stránka portálu Ministerstva spravedlnosti), data k vám dorazí během mrknutí oka.Pokud to samé ale zkusíte po IPv6, budete pozorovat, jak přicházejí po cca dvoukilobajtových blocích (rychlostí 2 kB za sekundu!). Problém se neprojevuje na Windows, ale naopak je ho možné pozorovat na Linuxu, data v TCP chodí ve 1208 bajtových blocích.

Všechny zmiňované problémy by nevadily, pokud by šlo o neveřejné testování. Státní správa ale jde cestou ‚nejprve zveřejnit AAAA záznamy v DNS a pak odstraňovat problémy‘. Dvouleté testování si tedy naplno můžeme užívat my všichni, kdo již IPv6 využíváme.

Samozřejmě, dlouho to vydržet nejde, pokud s Justicí pracovat _potřebujete_. Správným řešením by bylo, z DNS odebrat AAAA záznamy, konfiguraci a konektivitu serverů opravit a pak AAAA záznamy do DNS vrátit. Jenže k tomu se MSp nemá. A proto přichází různé formy hacků.

Hacky

Využít můžete různé hacky. Např. pan Stanislav Petr z Hostingu 90 filtruje AAAA záznamy pro DNS jména portal.justice.cz a www.justice.cz, takže se klienti s IPv6 k Justici ani nepokoušejí připojit po IPv6. Jenže selektivní filtrování jen některých AAAA záznamů je featura, kterou ve většině rekurzivních DNS serverů nenajdete. Řešení pro nový BIND využívá volby filter-aaaa.

Proto nabízím druhý hack, funkční, pokud máte na routeru systém založený na GNU/Linuxu. Prostě pošlete klientovi TCP reset. V takovém okamžiku i ten nejhloupější Internet Explorer okamžitě přejde na IPv4 spojení! Z pohledu klienta praktické a funkční řešení, z pohledu správce pak řešení, které nejmíň zasahuje do infrastruktury a konfigurace routeru.

TCP reset lze vyřešit jednoduchým pravidlem ve firewallu (zmíním jen řetězec FORWARD, pokud potřebujete řešení pro přístup z lokálního serveru např. kvůli HTTP proxy, stačí místo -A FORWARD zapsat -A OUTPUT, stejně tak můžete v proměnné $WAN nastavit jakékoli rozhraní s přístupem do IPv6 internetu):

ip6tables −A FORWARD −o $WAN −d 2001:af0:ffee:200::/64 −p tcp −j REJECT −−reject-with tcp-reset

Prefix 2001:af0:ffee:200::/64 patří Ministerstvu spravedlnosti a jsou v něm obě IPv6 adresy Justice.cz, a možná i dalších, podobně špatně nastavených serverů. Věřím, že podobně půjdou nastavit i routery od Cisca, Juniperu, Brocade. Pokud podobné řešení na některé z těchto platforem používáte, podělte se o něj prosím v diskusi 🙂

Na závěr bych jen zdůraznil, že problém jsem reportoval loni v červenci po akci World IPv6 Day paní Hatlapatkové z MPO, která k oznamování podobně rozbitých webů státní správy vyzývala, ale nedočkal jsem se žádné reakce. Letos jsem týden před akcí World IPv6 Launch napsal na podatelnu Ministerstva spravedlnosti, ale doteď jsem bez reakce. Zatím posledním krokem tedy bylo zaslání mailu panu Novákovi z MPO, který letos vystoupil na konferenci IPv6 Day pořádané organizací CZ NIC a dalšími. Pan Novák promptně odpověděl, že problém předá MSp a bude trvat na vyřešení.

Jen doufám, že se dočkáme dne, kdy budou existovat weby funkční i bez podobných hacků.

P. S., pokud tohle čte někdo z GTS/MSp, kdo je za nastalou situaci zodpovědný, měl by se nad svým přístupem zamyslet. OK, kdyby to nefungovalo týden, tak nad tím mávnu rukou. Ale dva roky…?

Aktualizováno: O2 a IPv6? Až naprší a uschne

Nemohl jsem si odpustit bulvarizující titulek. K sepsání tohoto miničlánečku mě vybudila reakce zástupců Telefóniky O2 na čtvrteční konferenci Internet a technologie ’09, kde se (mimo jiné) diskutovalo i na téma IPv6. A samozřejmě i to, že nejeden návštěvník tohoto blogu přichází z Google při hledání sousloví O2 a IPv6. Pojďme se tedy podívat, jak na tom náš největší maloobchodní poskytovatel konektivity je…

Že IPv4 adresy brzy dojdou, o tom nepochybuje nikdo. Do dvou let by to mělo potkat centrální autoritu pro přidělování IPv4 adres (IANA), posléze regionální registrátory a úplně nakonec i jednotlivé lokální registrátory (povětšinou poskytovatelé konektivity k internetu nebo poskytovatelé obsahu).

O náročnosti příprav a implementace IPv6 by mohl vykládat každý správce sítě, ve které protokol nové generace už dnes můžete používat. Rozhodně se to nedá zvládnout za měsíc. Všechny fáze (plánování, identifikace nekompatibilních zařízení, upgrade hardwaru a firmwaru, příprava adresního plánu, konfigurace sítě, testování a pilotní provoz a nakonec provoz komerční) zaberou u menších sítí minimálně několik měsíců, u větších půjde bezpochyby o roky.

Jaký je současný stav?

Telefónica O2 v dnešní době spravuje několik autonomních systémů, minimálně tyto tři:

  • ASN 5610, hlavní autonomní systém bývalého Internetu OnLine
  • ASN 20884, používá se zřejmě pro interní účely v O2 (např. pro službu Carrier IP Stream)
  • ASN 28725, autonomní systém bývalého Eurotelu

Z těchto tří autonomních systémů pouze jeden oznamuje do světa IPv6 prefix. Jde o autonomní systém 28725 a prefix 2001:41d8::/32. Podle toho se v bývalém Eurotelu s IPv6 experimentovalo – alespoň na té úrovni, že na páteři IPv6 konektivita byla.Bohužel, dnešní stav je tristní. Zatímco dříve měl Eurotel aktivní IPv6 tranzity a tak byla jeho síť dostupná po celém světě, dnes je tento prefix viditelný pouze v českém NIXu.

Proč tomu tak je?

Odpověď je jednoduchá. Telefónica se už pár měsíců snaží zkonsolidovat infrastrukturu Eurotelu a IOLu a postupně ruší všechny peeringy a tranzitní spojení, které bývalý Eurotel měl. Při pohledu do Looking Glass je vidět, že by dnes veškerý IPv6 provoz měl jít přes IP síť a autonomní systém IOLu.

Tahle změna je možná trošku pochopitelná z pohledu nákladů, nikoli však z pohledu technického. Ten, kdo o takovéto konsolidaci rozhodl, zahodil všechnu práci techniků Eurotelu. Síť IOLu IPv6 neumí a podle vyjádření pánů z Telefóniky na zmiňované konferenci ani neběží žádný interní projekt, který by měl tuto situaci změnit.

O IPv6 se v O2 na odpovědných místech nikdo nezajímá, zmiňovaní pánové se při dotazu, jestli s tím někdo něco alespoň zkoušel dělat a testovat IPv6, pouze ušklíbli a poznamenali „možná někde v labu…“

Mému kolegovi, který se zástupcem O2 o IPv6 jednal loni v létě, bylo přislíbeno, že snad ke konci roku (2008) by to jejich síť měla umět. Máme tu léto 2009 a ze strany IOLu není vidět absolutně žádný pokrok. Interně se IPv6 netestuje, peeringy ani tranzitní IPv6 konektivitu IOL nemá a ani mít nemůže, protože – ač jsou největším českým operátorem – dodnes nemají ani vlastní IPv6 prefix (!).

Zmiňovaní pánové taktéž na můj dotaz, proč s tím něco nezkoušejí dělat, odpověděli „a kdo to zaplatí?“ – a já odpovídám: tvrdě to zaplatíte vy, až zbytek světa bude přecházet na IPv6, po IPv6 budou k dispozici služby a klienti ADSL nebudou mít možnost takové služby plnohodnotně využít. Je s podivem, že Telefónica O2 dnes považuje IPv6 za vysoce nadstandardní službu a od svých klientů (nikoli maloobchodních) by chtěli za IPv6 konektivitu připlácet nemalé peníze, zatímco ostatní operátoři (zmiňme Dial Telecom, Sloane, ČD Telematiku a mnohé další) dokáží alespoň na velkoobchodní úrovni IPv6 nabídnout – a bez příplatků (!). Samozřejmě, nelze čekat SLA na stejné úrovni, jako pro IPv4. IPv6 svět není dokonalý, bohužel.

Co s tím?

Zdá se mi, že v Telefónice úspěšně chrápou všichni zodpovědní – technici i manažeři. Zatímco odborníci na konferencích už roky varují před koncem IPv4 světa tak, jak ho známe, varují, že implementovat IPv6 je nutnost, a rok od roku prezentují děsivější grafy s blížícím se koncem dostupných IPv4 adres, Telefónica nedělá vůbec nic. A zřejmě jí to nevadí.

Jako kdyby si snad ani manažeři neuvědomovali, že jde o jejich fatální selhání. Další ignorování IPv6 může totiž znamenat výrazný odliv zákazníků. A nemusí to trvat dlouho…

Za sebe mám jasno: chystám se sepsat dopis o tomto selhání a adresovat ho přímo generálnímu řediteli TO2 Czech Republic, panu Salvadoru Anglada Gonzalesovi. Jako (minoritnímu) akcionáři Telefóniky O2 se mi totiž tento přístup firmy k IPv6 nelíbí a protože dopisy adresované zákaznické podpoře končí zřejmě v koši a k vyššímu managementu se nedostanou, nezbývá než jít až k nejvyššímu řediteli…

Aktualizace 23. 6. 2009: V Telefónice se zřejmě chytli za hlavu a konečně začali konat. 19. června jim RIPE oficiálně přidělilo IPv6 prefix 2a00:1028::/32, bohužel zatím tento prefix není v globální routovací tabulce vidět. Ale i tak je dobře, že se konečně něco děje.

Nedávné změny ve světě IPv6

Ač v září a říjnu byly poznat dozvuky letních měsíců a na poli IPv6 bylo poměrně klidno, rozhodl jsem se vyzobat a zrekapitulovat ty události, které za zmínku stojí. Pojďte si přečíst o zmatcích ohledně IPv6 a NATu, IPv6 jako potenciální hrozbě, o tom, zda má smysl IPv6 v systému vypínat a jak to správně udělat a o mnoho dalších tématech.

V srpnu bylo na poli IPv6 poměrně klidno. Nejen já jsem trávil teplé letní dny spíše u kornoutu zmrzliny a odpočinkem. Během září a října se situace u ostatních mírně zlepšila, u mě však nikoli :-) V zaměstnání jsme měli takříkajíc frmol a tak na aktualizaci nebylo moc času. Pojďme se tedy vrhnout na změny, které by neměly Vašim očím utéct.

NAT a IPv6

Jedním z cílů IPv6 je pokud možno úplné vymýcení (a nezavlečení) překladů adres. Zatím se to daří velmi dobře, až na jednu výjimku. Jediným opravdu plánovaným využitím NATu je překlad mezi IPv6 a IPv4 světem – tedy v přechodovém mechanismu.Z ně­kolika nenápadných zpráv se však v nedávné době rozšířila fáma, že do IPv6 bude implementován NAT v takové podobě, v jaké ho známe dnes – tedy pro skrytí sítě počítačů s tzv. privátními adresami za jednu vnější (často veřejnou, ale ani to v poslední době nemusí být podmínkou) IP adresu. Tak přátelé, zachovejte klid, takhle to nebude. Alespoň doufám, zatím to tak nevypadá.

IPv6 jako bezpečnostní hrozba

Další bomba, kterou vypustili do světa ‚IT odborníci‘, se týká automaticky vytvářených IPv6 tunelů. Pokud máte počítač s rozumně starým operačním systémem (Windows, Linux, …), může se stát, že už dnes váš počítač dokáže využít IPv6 zdroje. K tomu může využít buď tunelovací mechanismus 6to4 (to v případě, že máte přímo na PC veřejnou IP adresu) nebo Teredo (kteréžto je automaticky aktivní pouze v operačních systémech Windows). Až sem jde o vlastnost systému, která možná nemusí být vítaná, ale rozhodně není kritická.

Problém může plynout z toho, že ne všechny firewally si s IPv6 poradí, nemluvě o tom, že někteří uživatelé (mezi nimi i autor tohoto blogu) firewall nemají vůbec aktivní. Pak samozřejmě v případě existence výše zmíněných automatických tunelů může dojít k tomu, že porty, které máte otevřené, budou dostupné i potenciálnímu útočníkovi zvenčí.

Proto pokud se chcete podobnému nebezpečí vyhnout, zkontrolujte, zda váš firewall v počítači podporuje i IPv6, případně zakažte automatické vytváření tunelů.

Zakazování IPv6 protokolu

Mimo zákazu automatického vytváření tunelů může dojít i k situaci, že nemáte aktivní žádný tunel a váš poskytovatel internetového připojení nenabízí nativní IPv6 konektivitu a proto nemáte zájem IPv6 jakkoli v počítači mít. V moderních operačních systémech už však často IPv6 najdete a dokonce je i aktivní. Týká se to zejména Windows Vista, Windows Server 2008, rozumně mladých distribucí Linuxu a dalších *NIXových operačních systémů.

V případě systému Linux to sice může přinést kýžený efekt, kdy se počítač nezkouší připojit na IPv6 adresy, v případě systémů Windows Vista a Server 2008 jde však dle mého názoru o zbytečnost. Síťová vrstva Windows Vista a Server 2008 – jakkoli je zkriplená – má totiž jednu úžasnou schopnost či vlastnost. Když totiž nastavíte IPv6 síť mezi vaším počítačem a routerem, systém se pokouší zjistit, zda mimo lokální IPv6 konektivity máte i IPv6 konektivitu do internetu. A pokud ne, nevrací při běžné práci aplikacím AAAA záznamy a tyto se tedy na IPv6 adresy nepřipojují a tudíž by nemělo docházet k žádnému zpoždění při načítání stránek či podobných činnostech.

Pokud už však opravdu musíte IPv6 zakázat, udělejte to pořádně, tedy editací systémového registru. Pokud totiž pouze odškrtnete zaškrtávátko před protokolem IPv6 ve vlastnostech síťového adaptéru, mohou vás potkat velké nepříjemnosti, zejména pokud používáte Windows Server 2008, SBS edici.

Afrika jako lídr v zavádění IPv6

Podle oficiálního blogu ICANN, mezinárodní organizace pro přidělené internetové názvy a čísla, vede v zavádění IPv6 Afrika. Protože takovéto prohlášení od jedné z nejdůležitějších organizací na internetu má velkou váhu, chytla se ho okamžitě média. Ve skutečnosti však jde pouze o relativní čísla, kdy je porovnáván počet IPv6 prefixů a celkový počet čísel autonomních systémů konkrétního regionu.

Ve skutečnosti jde jen o důsledek efektu, kdy se Afrika k ‚internetizaci‘ dostala jako poslední a tak na ni dnes připadá jen malé procento ze všech přidělených čísel autonomních systémů a IPv4 adres. Kvůli různým tunelům dnes nelze jednoznačně říci, kdo v zavádění IPv6 vede, vezmeme-li ale absolutní počet čísel autonomních systémů, které oznamují do světa své IPv6 směrovací informace, bude na tom nejlépe asi Evropa. Není bez zajímavosti, že na druhém místě v počtu viditelných (ku všem přiřazeným) IPv6 prefixů je Německo, Česká Republika je „až“ devátá.

Zajímavým úhlem pohledu by taktéž mohlo být srovnání dostupnosti IPv6 koncovým uživatelům – tam bychom se asi moc vysoko neumístili, protože koncový uživatel u nás prakticky nemá šanci získat nativní IPv6 konektivitu – ani kabeloví operátoři ani poskytovatelé ADSL se do IPv6 nehrnou.

A tím se dostáváme k dalšímu bodu, kterým je

Nepodpora IPv6 v DSL síti Britského Telecomu

Ano, čtete správně. Když jsem nedávno dělal miniprůzkum mezi našimi ADSL operátory, nikdo z nich nebyl schopen IPv6 nabídnout ani odhadnout, kdy jej nabízet budou. Alespoň u nás bez problémů fungují různé 6to4, 6in4 a další tunelovací mechanismy.Ve Velké Británii jsou na tom uživatelé hůře. Nejen že jim operátoři (až na výjimky) IPv6 nedokážou nabídnout, ale dokonce nová síť (honosně nazvaná „21CN, Síť dvacátého prvního století“) tamního dominantního operátora, Britského Telecomu, oficiálně protokol IPv6 nepodporuje. To mimo jiné znamená, že Britský Telecom není schopen zaručit, že skrz jeho síť projdou v pořádku pakety, které mají co do činění s IPv6. A to jak nativním, tak tunelovaným.

A co kabeloví operátoři

Kabeloví operátoři jsou na tom o něco lépe, i když ani oni nemají na růžích ustláno. Podporu IPv6 v kabelových sítích oficiálně doplňuje totiž až standard DOCSIS 3.0. Migrace na nový standard si ovšem vyžádá nákladný upgrade síťového hardware na různých úrovních, od centrálních řídících prvků sítě až po koncové modemy. Vezmeme-li v potaz, že čeští operátoři mnohde pracují ještě s verzí (Euro)DOCSIS 1.0, není důvod migrovat na verzi 2.0, aby posléze při vyčerpání IPv4 adres migrovali na  verzi 3.0.

Hybatelé pokroku

Mezi hybatele pokroku můžeme jednoznačně zařadit aplikace, které uživatele motivují k zavádění IPv6 a tlačení na své poskytovatele, aby pokud možno poskytovali nativní IPv6 konektivitu. Mezi tyto hybatele můžeme zařadit např. webové služby či torrenty.

Mezi webovými službami jednoznačně vyniká projekt ipv6porn.com, který si klade za cíl nabídnout uživatelům s IPv6 zdarma lechtivý obsah, za který by při použití pouze IPv4 museli na jiných serverech platit. Realizace tohoto projektu se ovšem neustále oddaluje a tak se objevily jiné projekty, které se snaží tuto myšlenku zrealizovat. U nás jde o server prujem.cz a na Novém Zélandu vznikl ipv6porn.co.nz, který se mi však (na rozdíl od našeho Průjmu) nepodařilo v prohlížeči ani načíst.

Mezi torrenty sice zatím není mnoho obsahu, který by uživatele nalákal, postupně se ale objevují služby, kde lze pomocí IPv6 získat různý obsah. Mezi prvními byl bezesporu IPv6 tracker na SixXS.org a nedávno se přidal i IPv6 tracker pro distribuci oblíbené linuxové distribuce Ubuntu.

Samotné trackery však nemohou fungovat bez kompatibilních klientů a tak přichází na scénu nová verze populárního klienta BitTorrent protokolu, program uTorrent. Ten ve své verzi 1.80 nabízí nejen kompatibilitu s IPv6 trackery, ale zároveň i možnost uživateli automaticky nainstalovat a nakonfigurovat IPv6 protokol a Teredo tunel.

Právě torrenty mohou být – pokud IPv6 implementuje i některý z velkých populárních torrent trackerů – dost velkým hybatelem. Jakožto peer-to-peer síť totiž naplno využijí možnosti přímé komunikace mezi dvěma IPv6 uzly, která v IPv4 kvůli všemožným NATům silně pokulhává.

Windows Server 2008, Microsoft Exchange 2007 Service Pack 1 a IPv6

Mnozí uživatelé produktů Microsoftu, kteří jsou zároveň zastánci IPv6 protokolu, zajisté dlouho vyhlíželi možnost využití IPv6 v operačním systému i v poštovním serveru Exchange. Po dlouhé době se konečně dočkali, první servisní balíček pro Microsoft Exchange 2007 konečně přidává rozumnou podporu IPv6. Ovšem pozor, to vše pouze na Windows Serveru 2008, pokud jste tedy uvažovali o tom, že budete používat Exchange 2007 na Windows Serveru 2003, IPv6 nebudete moci využít.I zde ale platí: pokud IPv6 naopak využívat nechcete, nezakazujte bezhlavě IPv6 ve vlastnostech síťového připojení.

Pavel Satrapa – IPv6, druhé vydání

Pokud jste hledali česky psané tištěné zdroje o IPv6, určitě vám neunikla kniha pana Pavla Satrapy, která je nazvaná prostě IPv6. Její první vydání z roku 2002 však už nekoupíte a její obsah taktéž není v některých částech aktuální.

Pavel Satrapa se proto rozhodl knihu aktualizovat o možnosti nových operačních systémů, změny a doplnění jak protokolu IPv6 samotného, tak různých podpůrných mechanismů (IPv6 a DNS, přechodové mechanismy NAT-PT, NAT64, atp.) a to vše nejprve konzultuje s vámi, potenciálními čtenáři!

Kniha vyjde v Edici CZ.NIC a její aktuální pracovní verze je dostupná na adrese http://knihy.nic.cz/ipv6/ – tamtéž můžete panu Satrapovi v komentářích pod jednotlivými kapitolami zanechat komentář a knihu tak obohatit.

A jedna perlička: pan Satrapa v knize uvádní i adresu tohoto blogu jako jednoho z nejaktuálnějších míst na českém internetu, kde lze najít informace k IPv6. Pane Satrapo, děkuji!

Síťové programování a IPv6

Mezi mnoha Google Alerty mi na téma IPv6 přistál v e-mailové schránce i odkaz na zajímavou knihu o programování v IPv6 sítích.

IPv6 novinky v zemích Českých

A na konec jsem si nechal novinky, které se týkají IPv6 v zemích Českých. Není toho moc, vlastně jen jedna. Na začátku září obdržela IPv6 prefix společnost STARNET, s.r.o., která nabízí své služby v jižních Čechách. Ať už si prefix pořizují z nějakého konkrétního důvodu nebo jen pro testování, oznamují jej do globálních směrovacích tabulek již od třicátého září, čímž předbíhají většinu „velkých poskytovatelů.“

IPv6 sotva dělá setinu procenta internetového provozu

Podle Studie o průběhu implementace IPv6 činil loni IPv6 provoz ve špičce „zhruba setinu procenta všeho internetového provozu“, což se ze statistického pohledu „zhruba blíží množství nečistot, které ještě může obsahovat voda, aby byla označena za pitnou.“ Více než deset let od započetí migrace je to nepochybně ostuda. A situace se zřejmě nebude o mnoho zlepšovat. Ač já sám věřím, že Windows Vista bude jedním z hybatelů přechodu na IPv6, pořád jsou zde problémy s implementací IPv6 stacku. Asi mám štěstí (nebo protokol využívám tak málo), ale všechny mnou používané Visty fungují s IPv6 spolehlivě…

Seznam.cz testuje IPv6

Období letních prázdnin a dovolených není zrovna dobou, ve které bychom mohli očekávat významené změny na poli IPv6. Oproti nedávno zveřejněné tabulce IPv6 alokací se skoro nic nezměnilo – ti, kdo už konektivitu měli, ji mají stále, většina nováčků si dává v létě oddech. NetAir zprovoznil IPv6 tranzit a jeho IPv6 síť je tedy už dostupná ze světa (využívají konektivitu od Casablanky INT). A také Seznam.cz začíná pomaloučku testovat IPv6. Partnerem Seznamu je jeho dlouholetý poskytovatel tranzitní konektivity, firma Dial Telecom (dříve to byl Net4Net s původním názvem TransgasNet, kterého Dial Telecom pohltil zhruba před rokem).

Nejprve začneme rekapitulací:

Seznam.cz si o IPv6 prefix požádal v červnu letošního roku. Na začátku července jej od RIPE dostal. Poté bylo nějaký ten pátek ticho, až tento týden začal být vytrubován IPv6 prefix do světa :-)

Protože se jedná o úplně první test, moc od toho nečekejte. Je dostupná homepage, web Spolužáků a chat.lide.cz. Výběr stránek, které jsou zkušebně zprovozněny, byl a je náhodný. Jde o první krůček, který má demonstrovat, že to jde, když se chce.

Služby samotné zatím nebyly pro IPv6 nijak optimalizovány, v některých případech využívají své hlavní domény (tj. např. „www.spoluzaci.cz“) a tak i když do prohlížeče zadáte následující adresy, po chvilce se můžete ocitnout zpět na IPv4 verzi. V takovém případě se nebojte v adresním řádku opravit doménu na „šestkovou“ – obsah by se měl načíst. Názory mi můžete napsat do komentářů pod příspěvkem.

A teď tedy konkrétní adresy služeb:

A ještě jednou: jde o test. Nejde o produkční prostředí. Buďte prosím shovívaví :-)

[Disclaimer: Autor příspěvku má v této akci prsty a nemůže proto působit nezaujatě]

ADSL a IPv6

Po obecném přehledu společností, které působí v ČR a mohly by umět poskytovat IPv6 konektivitu, jsem se vrhl na zjišťování, zda je někdo vůbec schopen poskytnout IPv6 na ADSL, tedy dnes pravděpodobně nejrozšířenějším typu připojení. A výsledek? Posuďte sami.

Aktualizace červen 2009: Tento článek je z roku 2008. V polovině roku 2009 je situace bohužel stejně tristní. Stav příprav na IPv6 u Telefóniky O2 jsem shrnul v článku O2 a IPv6? Až naprší a uschne. Doporučuji k přečtení.

Protože poskytovatelem ADSL může být téměř kdokoli, kdo má dostatečný kapitál, nebudu zmiňovat všechny ADSL providery. Ani to není v mých silách, zdroje v pevnolinkové části Telecomu (pardon, O2) nemám, a tak nevím, kolik ADSL poskytovatelů u nás vlastně působí.

Rozhodl jsem se ale oslovit ty největší:

  • AVONET, s.r.o.
  • ČRa, a.s.
  • Dial Telecom, a.s.
  • EMEA s.r.o
  • GTS NOVERA a.s.
  • INTERNET CZ, a.s.
  • SkyNet, a.s.
  • Telefónica O2 Czech Republic, a.s.
  • Telekom Austria Czech Republic, a.s. (VOLný)
  • Tiscali Telekomunikace Česká republika s.r.o.
  • WIA

Jde o jedenáct poskytovatelů, někteří se orientují převážně na firemní klientelu, někteří na domácnosti. Všem jsem na kontaktní e-maily technické podpory rozeslal následující e-mail (příp. jsem ten samý text zaslal přes webový formulář v kontaktních sekcích):

Subject: IPv6 konektivita na ADSL připojeníDobrý den,

nabízí Vaše společnost IPv6 konektivitu u připojení přes technologii ADSL? Pokud ano, u jakých služeb, jak lze službu aktivovat, k jakým službám a jaké jsou poplatky? Pokud ne, budete IPv6 nabízet v dohledné době?

Předem děkuji za odpověď.

Zároveň jsem se rozhodl monitorovat rychlost odezvy – čistě ze zajímavosti. Dotazy jsem rozesílal v neděli odpoledne a nečekal jsem, že by někdo odpověděl. To ostatně ani nemám nikomu za zlé. Rozhodl jsem se tedy počítat rychlost odezvy od pondělních osmi hodin ráno.

Nejrychleji, za dvě a půl hodiny, odpověděli ze společnosti WIA. IPv6 na ADSL nenabízí, ale hledají kompatibilní koncová zařízení a na páteři jim šestka funguje v testovacím režimu.

Po pěti hodinách přišla stručná odpověď ze společnosti Telekom Austria (VOLný) – toto neumožňují.

Po dvanácti hodinách (tedy v pondělí v osm večer) dorazil e-mail z AVONETu, ve kterém s lítostí oznamují, že službu neposkytují, časový horizont není znám, jisté ale je, že v nejbližších měsících poskytovat nezačnou.

Druhý den, po 25 hodinách, dorazila odpověď od O2. Informační hodnota nulová, operátor se tiketu zbavil s textem „V uvedené záležitosti kontaktujte prosím naši technickou podporu na 800 184 084“. Informační hodnota nulová, odpověď na konkrétně specifikovaný dotaz žádná.

Zavolal jsem tedy na linku technické podpory a zeptal se tam. Zatím neprobíhají žádné testy, v dohledné době se s tím nepočítá a výhled či plán do budoucna nemají. Co je smutné, operátor pronesl větu, že „I kdyby to bylo v plánu, operátoři o tom vědět nebudou“. Inu, komunikace v rámci firmy zjevně funguje stejně špatně, jako komunikace se zákazníkem po e-mailu.

O další hodinu později dorazil anonymní e-mail ze společnosti Tiscali Telekomunikace, ve kterém oznamují, že uvedené služby již nenabízí. Zvláštní, pravděpodobně tedy nabízeli, ale přestali. Nabízí se otázka proč…

Těsně před úterní jedenáctou hodinou dorazil i e-mail ze SkyNetu. IPv6 v dohledné době nabízet nebudou. Pokud se jejich postoj změní, budou informovat na webových stránkách.

Ve středu po půl desáté dorazila odpověď od firmy GTS Novera: O IPv6 pro ADSL vůbec neuvažují. Pro větší služby dělali nějaké testy, nicméně o nasazení v blízké budoucnosti neuvažují.

DOPLNĚNO: Dodatečně jsem našel ve spamkoši e-maily od Dial Telecomu a EMEA Telecomu:

Dial Telecom poskytuje služby ADSL.Way (zděděné po odkoupené InWay) na infrastruktuře O2, která dle sdělení Dial Telecomu IPv6 nepodporuje. Ve zbytku sítě IPv6 mají, což už ovšem víme :-)

EMEA Telecom používá jako dodavatele služeb společnost GTS, která se ovšem výše vyjádřila, že IPv6 podporovat u ADSL (zatím?) nehodlají. Takže ani u nich nepořídíme.

A ti ostatní? Ani po dvou pracovních dnech se nenamáhali napsat jedinou odpověď. Takže podpora IPv6 u nich zůstává neznámá.

PODCAST: Nevyčkávejte se zavedením IPv6

Zřejmě nadchází ten pravý čas a myšlenky na implementaci protokolu IPv6 do sítí a služeb provozovaných významnými hráči by měly být na pořadu dne. A to i pro společnosti, které v minulosti získaly velké rozsahy IPv4 adres a dnes je do změny nic netlačí. „To, že dnes máte adres dostatek a nebolí vás zaplatit něco navíc na upgrade vašich NATů, neznamená, že se vám potřeba implementace IPv6 vyhne,“ říká Chip Popoviciu, vedoucí technického oddělení společnosti Cisco a autor publikace „Strategie globálního přechodu na IPv6“. „Přechod na IPv6 by neměly doprovázet otázky jako ‚Co tím získáme‘, ale spíše ‚Co ztratíme, když nepřejdeme‘.“

Zmiňovaný podcast rozebírá možnosti, jaké mohou nastat, pokud společnosti budou i dále přehlížet IPv6 – ztráty partnerství, obtížnou implementaci nových technologií, atd.

Nejlepší strategie přechodu na IPv6 podle pana Popoviciu je postupná: nejprve (a to nejlépe nyní) je vhodné přechod pečlivě naplánovat, poté postupně zavádět IPv6 do jednotlivých částí sítí a nakonec na IPv6 zprovoznit i služby. „Nebude to hotové lusknutím prstu. Největším problémem nejsou datové sítě, ale různé firemní zásady, kompatibilita služeb a aplikací. Pokud začnete s integrací včas, můžete se věnovat kvalitnímu plánování strategie přechodu a pečlivé integraci.“

Zároveň varuje, že společnostem, které upgrade sítě odloží na neurčito, později vyletí náklady raketově vzhůru. Dnes lze plánování přechodu spojit s procesem pravidelné obměny hardware. Zároveň s tím lze zaměstnancům poskytnout potřebné kursy, aby přechod na IPv6 společnost zvládla s minimálními dodatečnými náklady.

Společnosti s působností po celém světě by měly obzvláště zvážit svou strategii přechodu – právě ty totiž pravděpodobně brzy narazí na rychlou adaptaci IPv6 v některých částech světa, zejména v Asii.

Pokud vládnete angličtinou, určitě neváhejte a podcast si poslechněte.

Via techtarget.com.au

IPv6 v českých luzích a hájích

IPv6, protokol, který byl navržen a vyvinut s cílem odstranit historické i technické neduhy IPv4, by měl být lékem na vyčerpání IPv4 adres. Jeho implementace však za posledních deset let pokračuje hlemýždím tempem. Ve světovém měřítku jsou s IPv6 nejdále v asijských zemích, jmenovitě Japonsko, Čína, Jižní Korea. Tyto země mají totiž veliký počet internetových přípojek, avšak málo IPv4 adres. V tomto článku se podíváme na stav IPv6 v českých luzích a hájích.

Jak jsou na tom ve světě

Ve Spojených státech, kolébce internetu, se do implementace IPv6 společnostem moc nechce. Důvod je jediný – Spojené státy totiž mají největší množství IPv4 adres na světě, takže je jejich nedostatek tolik netlačí. Zároveň jsou Spojené státy zemí kapitalistickou a implementace IPv6 stojí peníze…

Ale ledy se hýbou. Všechny státní instituce v USA měly stanoveny termín 30. června 2008, do kterého musely být schopny předvést připravenost svých páteřních sítí na IPv6. Podle dostupných informací žádná státní instituce neselhala, jejich páteře jsou tedy schopné s IPv6 pracovat.

I v Evropě se začaly ozývat evangelizační hlasy – docházejících IPv4 adres si všimla Evropská unie a vyzvala členské státy, aby věnovaly IPv6 pozornost dříve, než bude pozdě.

A co na to Češi?

Přístup českých úřadů k této výzvě je však zatím poměrně laxní. Ani české soukromé společnosti se do implementace IPv6 nehrnou. Z 84 poskytovatelů internetu a služeb, kteří jsou sdruženi a propojeni v NIX.cz (datový uzel, který má zjednodušit a zlevnit výměnu dat mezi sítěmi k tomuto uzlu připojenými), jich jen necelá třicítka experimentuje s IPv6 a z této třicítky zhruba polovina poskytovatelů IPv6 svým klientům skutečně nabízí. A ani jeden z největších poskytovatelů internetu (O2, UPC, Radiokomunikace, …) dodnes s IPv6 nezačal koketovat.České webové portály s IPv6 také moc nepočítají. MAFRA (iDNES.cz) a Seznam.cz již mají přidělen IPv6 prefix, ale zatím služby přes šestkovou síť nenabízí. Centrum/Atlas je připojen ke dvěma poskytovatelům, GTS a O2, přičemž GTS s IPv6 experimentuje zřejmě jenv laboratořích a O2 nemá ani IPv6 prefix, není tedy schopno IPv6 konektivitu nabídnout.

IPv6 u poskytovatelů internetu a obsahu

Pojďme si sesumarizovat, kdo je opravdu schopen IPv6 nabídnout – jako směrodatná budeme brát data dostupná na oficiálních webech, z vyjádření poskytovatelů, data z peerovací tabulky v NIXu a data z routovacích tabulek distribuovaných pomocí IPv6. Nebudeme uvažovat některé nadnárodní společnosti peerující v NIXu, jmenovitě LeaseWeb, RETN a IP Exchange.

Poskytovatelé obsahu

Mezi poskytovatele obsahu s IPv6 konektivitou dnes můžeme zařadit pouze společnost Visual Connection, která zajišťuje streamovací služby (mimo jiné i) pro Českou Televizi. Jejich síť, servery i služby IPv6 podporují. Zkušebně přes IPv6 pouštějí stream ČT24 v plném PAL rozlišení (je nutná linka cca 1,5Mbps) a některé zaznamenané pořady. Ne všechny jejich servery mají v DNS záznam s IPv6 adresou, podporu ale postupně rozšiřují.

Seznam.cz a MAFRA s IPv6 koketují – alespoň v takovém rozsahu, že mají od RIPE přidělen IPv6 prefix. V RIPE lze najít informace o tom, kdo s kým peeruje: Obě organizace peerují s českým O2, které IPv6 ve své páteřní síti nenabízí (Eurotel ano) a je otázkou, kdy nabízet začne. MAFRA dále peeruje s GTS, která dle NIXu IPv6 umí, ale prakticky nikomu nenabízí. Seznam má druhý peering s Dial Telecomem (býv. Net4Netem, býv. TransgasNetem), který IPv6 klientům nabízí a je tedy technicky schopen zajistit Seznamu tranzitní konektivitu.

Necháme se tedy překvapit, kdo z nich přijde první.

Poskytovatelé připojení (velkoobchod)

Není zrovna lehkou úlohou roztřídit poskytovatele připojení mezi velko- a maloobchodní, ale přesto se o to pokusím.Z peerovací tabulky v NIXu je vidět, že IPv6 umí následující poskytovatelé:

  • GTS Novera
  • Tiscali
  • Telekom Austria CZ (VOLný)
  • IPEX
  • T-Systems
  • Dial Telecom
  • CLNET

Není jich moc, co říkáte? IPEX podle diskuse na Lupě IPv6 implementováno má a požadavky s klienty řeší individuálně. Dial Telecom má IPv6 funkční (běží přes něj i tato stránka) a klientům ho nabízí na požádání. GTS Novera IPv6 má zřejmě na páteři, ale podle diskuse na Lupě nenabízí IPv6 svým zákazníkům. Jak jsou na tom ostatní se nedá jednoznačně říci, na webu o IPv6 moc informací nemají (prakticky žádné).

Poskytovatelé připojení (maloobchod)

Pokusím se shrnout i ty poskytovatele, které jsem zmínil výše a kteří se dají zařadit zároveň do obou kategorií.

  • GTS Novera
  • Tiscali
  • Telecom Austria CZ
  • NFX
  • T-Systems
  • CLNET
  • Eurotel
  • SMART Comp
  • MIRAMO

A to je vše ze společností, které jsou v NIXu. Seznam je tentokrát delší, ale bohužel reálná dostupnost IPv6 zůstává nízká. Pro velké společnosti (GTS, Tiscali, VOLný, IPEX, T-Systems, CLNET) platí to, co jsem napsal výše.

NFX je zájmové sdružení právnických osob poskytujících připojení k internetu na principu CZFree.net. IPv6 peering mají, konektivitu taktéž. Na jejich infrastruktuře běží například IPv6 verze serveru prujem.cz (což je jakási alternativa serveru IPv6porn.com). Dostupnost v koncových sítích se ale liší síť od sítě. NFX obecně používá IPv6 prefix sítě kLfREE.net (a announcuje zároveň i prefix HKfree.org).

Eurotel sice vytrubuje svůj IPv6 prefix přes NIX do světa, na můj oficiální dotaz však reagovali stylem „klientům nenabízíme ani zkušební provoz“.

MIRAMO pravděpodobně nemá IPv6 tranzitní konektivitu a spoléhá tak na peering v NIXu, který je ovšem zatím poměrně chudý. Nepředpokládám tedy, že by IPv6 klientům oficiálně nabízeli.

SMART Comp, provozovatel jihomoravské sítě NETBOX, má na webu pár zmínek o IPv6. Mohl by tedy jako jeden z mála poskytovatelů IPv6 konektivitu skutečně nabízet.

Poskytovatelé housingu serverů a hostingu stránek

Tato kategorie je zvláštní v tom, že ji nelze rozumně zmapovat. V NIXu peerují tito poskytovatelé housingu:

  • Casablanca
  • Master Internet
  • Ignum
  • CoolHousing

Z těchto operátorů se Master Internet, IGNUM a CoolHousing podporou IPv6 chlubí, Casablanca o tom mluví (a prezentuje na konferencích)­.Pokud chcete jen hosting, máte na českém trhu velmi omezený výběr. Zatím jsem narazil na jediného poskytovatele hostingu, který opravdu IPv6 umí: Hosting90.cz společnosti Hosting90, s.r.o.

Ti ostatní

Zbytek NIX – IPv6 peerujících operátorů jsou organizace, které vám konektivitu běžně nenabídnou.

NIX.cz a NIC.cz sice peerují, ale konektivitu neprodávají (dobré je, že NIC.cz provozuje i české DNS  servery přes IPv6).

CESNET je institucí akademickou, která v síti IPv6 má a máte-li štěstí a jste na správném uzlu, můžete je i využívat. Ale ne všechny akademické instituce mají v celé své síti IPv6.

Sloane, poskytovatel, který se začal aktivněji projevovat před pár lety a od té doby poměrně roste, má svůj IPv6 prefix a propaguje ho do světa. Ovšem nemá peering v NIXu, pouze tranzitní konektivitu od Tiscali.

Úspěšní však můžete být u malých „přeprodejců“ konektivity (lokální bezdrátoví provideři a jim podobní). Hlavně u těch, kteří berou konektivitu od velkých poskytovatelů jako je Dial Telecom. Zmínit mohu například síť Všebořice.net či DaLuNET.cz. Proto máte-li zájem o IPv6 konektivitu a jste připojeni k malému poskytovateli, zkuste se zeptat, třeba zjistíte, že jeho síť už IPv6 dávno podporuje ;-)