Il lento passaggio ad IPv6: cosa succede con il protocollo che avrebbe dovuto salvare Internet dalla fine degli indirizzi IP?

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/web/il...ip_132182.html

Al momento il protocollo IPv6 è supportato dal 40% di Internet: alcune evoluzioni non così prevedibili hanno reso meno pressante la sua adozione negli anni recenti

Click sul link per visualizzare la notizia.

[aqua84]

Stop a nuovi indirizzi IPv4 dopo il 2035 e miliardi di ecoincentivi per IPv6.

Anche Hybrid IPv6 va bene

[pachainti]

Quote:

Originariamente inviato da aqua84

Stop a nuovi indirizzi IPv4 dopo il 2035 e miliardi di ecoincentivi per IPv6.

Anche Hybrid IPv6 va bene

Esatto, ottima proposta

[nyo90]

Il NAT come soluzione pratica senza alternativa è ciò che rende problematici alcuni operatori telefonici, per chi deve accedere alla propria rete dall'esterno.
Preferirei avere un indirizzo pubblico IPv6 che stare sotto NAT IPv4.

[marcram]

Quote:

Originariamente inviato da nyo90

Il NAT come soluzione pratica senza alternativa è ciò che rende problematici alcuni operatori telefonici, per chi deve accedere alla propria rete dall'esterno.
Preferirei avere un indirizzo pubblico IPv6 che stare sotto NAT IPv4.

Viceversa, per chi non ha bisogno di accesso dall'esterno, l'IPv4 nattato è preferibile, meno tracciabilità e più protezione...

[Totix92]

Se non erro l'unico operatore in Italia che offre IPv6 è Iliad

[marcram]

Quote:

Originariamente inviato da Totix92

Se non erro l'unico operatore in Italia che offre IPv6 è Iliad

No. Anche PianetaFibra, ad esempio...

[DjLode]

Quote:

Originariamente inviato da nyo90

Il NAT come soluzione pratica senza alternativa è ciò che rende problematici alcuni operatori telefonici, per chi deve accedere alla propria rete dall'esterno.
Preferirei avere un indirizzo pubblico IPv6 che stare sotto NAT IPv4.

Avevo un operatore nattato fino a qualche mese fa, usando Tailscale potevo accedere dall'esterno ai miei dispositivi. Alla fine l'ho mantenuta.

[danylo]

Ho configurato il mio mini-server come IPv6-only (ormai tutti fanno pagare IPv4).
Dai successivi test ho visto che la maggior parte dei dispositivi mobile (con la configurazione base), non accedeva.
Ho anche configurato IPv6 sul mio smartphone Android, ma dopo qualche ora la configurazione IPv6 e' sparita.

Se IPv6 viene ostacolato, non ci sara' mai il passaggio a IPv6.

[Notturnia]

Fino a che ipv6 resta fuori dalle mie reti sono contento.. basta che si usi ip4 dentro alle reti private e poi ipv6 può andare dove vuole.. è una rottura e costringe a cambiare switch che funzionano per switch che fanno la stessa cosa di prima..

Ma lunga vita a ipv6 .. se paga pantalone..

[destroyer85]

Il NAT non è mica gratis, devi avere un dispositivo molto performante che si tenga un botto di NAT table in memoria quando con Ipv6 basta uno switch o un router "stupido".
Non ho capito cosa c'entra il TLS.

[Tasslehoff]

Quote:

Originariamente inviato da nyo90

Il NAT come soluzione pratica senza alternativa è ciò che rende problematici alcuni operatori telefonici, per chi deve accedere alla propria rete dall'esterno.
Preferirei avere un indirizzo pubblico IPv6 che stare sotto NAT IPv4.

E' già da diversi anni che questo non è più un problema.
L'esigenza di "nattare" un servizio su un ip pubblico non serve più d quando esistono le CDN e i servizi di ZTNA.

Dai un'occhiata a Cloudflare Tunnel, ti permette di esporre praticamente qualsiasi servizio che stia in ascolto su una porta TCP, senza fare nessun nat, senza ip pubblici attestati su un tuo router/host (siano essi dinamici o statici), senza dns dinamici o altro.

Ti basta far comunicare (in modo sicuro e cifrato) il demone cloudflared con la CDN di Cloudflare, stabilire un tunnel che identifichi quale servizio cloudflared vuoi usare, ed esporre il servzio che vuoi (raggiungibile dal servizio cloudflared sulla tua rete privata) con l'hostname che preferisci (il DNS è gestito direttamente da Cloudflare, quindi non devi nemmeno preoccuparti quale ip pubblico verrà usato per permettere al traffico di raggiungere il tuo servizio esposto mediante Cloudflare Tunnel.

[destroyer85]

Ah una cosina proprio semplice semplice come un routing...
E poi quello è un servizio di protezione dagli attacchi, non un protocollo base.

[nyo90]

Quote:

Originariamente inviato da Tasslehoff

Ti basta far comunicare (in modo sicuro e cifrato) il demone cloudflared con la CDN di Cloudflare, stabilire un tunnel che identifichi quale servizio cloudflared vuoi usare, ed esporre il servzio che vuoi (raggiungibile dal servizio cloudflared sulla tua rete privata) con l'hostname che preferisci (il DNS è gestito direttamente da Cloudflare, quindi non devi nemmeno preoccuparti quale ip pubblico verrà usato per permettere al traffico di raggiungere il tuo servizio esposto mediante Cloudflare Tunnel.

Già.. Se cerco su google mi dice direttamente di contattare il reparto vendite per un preventivo Più devo mettermi a configurare tutta questa roba al posto del router, che necessita veramente di quattro click.

È stato più semplice contattare TIM e chiedere l'indirizzo IP pubblico, sulla mia SIM con giga "illimitati" e gestire tutto il resto direttamente dal router, impostando una VPN e rendendo Plex raggiungibile da remoto. Facile, veloce, sicuro e cifrato.

Continuo a non vedere il NAT come una soluzione e preferirei mille volte un indirizzo IPv6 pubblico disponibile facilmente, piuttosto che dover lottare per un IPv4

[kbios]

Quote:

Originariamente inviato da Totix92

Se non erro l'unico operatore in Italia che offre IPv6 è Iliad

In realtà sono decine: https://docs.google.com/spreadsheets...kFgM/htmlview#

[Tasslehoff]

Quote:

Originariamente inviato da destroyer85

Ah una cosina proprio semplice semplice come un routing...
E poi quello è un servizio di protezione dagli attacchi, non un protocollo base.

Non si tratta di creare o di inventarsi un protocollo nuovo, sempre si tratta di protocollo TCP/IP, è un modo diverso di esporre i servizi, molto più flessibile, molto più semplice e che permette di superare i limiti della classica pubblicazione basata su NAT (con tutte le sue rotture, nat, regole fw, dns) che in alcuni casi (es provider che non ti assegnano un ip pubblico perchè "nattano" a loro volta) non sono proprio utilizzabili.

Che poi aggiunga anche un layer di protezione dovuto a WAF e controlli di sicurezza della CDN Cloudflare è un altro paio di maniche, ma quello è un "di più" che non c'entra nulla con quello che stavo citando.

Se vuoi puoi aggiungerci (for free) anche Cloudflare Access per avere accesso autenticato (e con MFA) o federato (se hai già un tuo Identity Provider) anche ad applicazioni ad accesso anonimo, ma anche questo è fuori dal tema che stavamo trattando.

Quote:

Originariamente inviato da nyo90

Già.. Se cerco su google mi dice direttamente di contattare il reparto vendite per un preventivo Più devo mettermi a configurare tutta questa roba al posto del router, che necessita veramente di quattro click.

Evidentemente non hai cercato bene, perchè se cerchi anche solo banalmente "cloudflare tunnel howto" il primo risultato dopo la documentazione di Cloudflare (giustamente in cima ai risultati, perchè sta gente sa come si lavora e sa cosa vuol dire SEO) è un sito che presenta un tutoria passo passo su come usare Cloudflare tunnel (LINK).

E' tutto free, poi se vuoi sottoscrivere i piani a pagamento sei libero di farlo, ma tutto quello che descrivo è free, l'unico costo è quello della registrazione di un dominio (che si può trovare anche al ridicolo costo di 0,99 €/anno)

1. Configuri i dns di Cloudflare come nameserver autoritativi per il tuo dominio (da fare una tantum per dominio, quindi una volta fatto te ne dimentichi) e usi Cloudflare come DNS per il tuo dominio (pannello di amministrazione top tra l'altro)
2. vai nella sezione Zero Trust, crei un tunnel e ottieni il token di quel tunnel (oltre alle istruzioni su come installare cloudflared o farlo girare come container con docker, consigliatissimo)
3. installi cloudflared (o lo fai girare come container) e lo configuri per usare il token che ti ha dato allo step precedente la procedura di creazione del tunnel; fai partire cloudflared e hai stabilito il tunnel
4. dal pannello di amministrazione del tunnel scegli un hostname a piacere del tuo dominio e gli dici a che indirizzo e porta trovare il servizio sulla tua lan che deve esporre a web tramite il tunnel

Punto, fine, non c'è altro.

• Configurazione NAT sul router? Non serve
• Configurazione regole firewall sul router? Non serve
• Configurazione dns dinamico? Non serve
• Configurazione record dns? Non serve
• Acquisto certificato https o generazione con Let's Encrypt? Non serve, ci pensa Cloudflare creandoti automaticamente gratis un certificato https wildcard per il tuo dominio, e ti fa direttamente la riscrittura da http a https
• Monitoraggio certificato e cron per aggiornare il certificato? Non serve, ci pensa Cloudflare e lo fa in automatico con la propria CA trustata da chiunque.
• Se il tuo provider non ti da ip pubblico non devi chiedere nulla o sostenere alcun costo, pubblichi tutto in autonomia.

Aggiungo nel caso non fosse abbastanza evidente:

1. Cambi provider? Chissenefrega, automaticamente quello che esponi a web sarà automaticamente pubblicato anche col nuovo provider
2. Cambi router? Chissenefrega, non hai alcun nat o regola firewall da aggiungere al nuovo router o di cui ricordarti
3. Sposti il tuo servizio altrove (chessò su un VPS)? Chissenefrega, nel momento in cui configuri cloudflared con lo stesso token sul nuovo sistema hai tutto già perfettamente funzionante senza cambi DNS, spostamento di certificati https, riconfigurazione dei cron per rinnovare i certificati https, etc etc...
4. Sei un'azienda e ti sta sulle palle il tuo fornitore di sistemi attuale (es AWS, Azure o Google Cloud o i server in un rack nel bagno dell'ufficio) e vuoi spostarti su altro? Chissenefrega, sposti tutto fregandotene dei casini cosmici legati a cambi dns, tempi di propagazione, magheggi vari per rendere accessibili i servizi nel transitorio, regole firewall, stupide DMZ, reverse proxy, certificati da spostare... sposti i servizi + cloudflared e hai spostato tutto e tutto è raggiungibile sul nuovo provider senza porti tutti questi problemi, se poi gira tutto dentro dei container tutto diventa estremamente flessibile.

Quote:

Originariamente inviato da nyo90

È stato più semplice contattare TIM e chiedere l'indirizzo IP pubblico, sulla mia SIM con giga "illimitati" e gestire tutto il resto direttamente dal router, impostando una VPN e rendendo Plex raggiungibile da remoto. Facile, veloce, sicuro e cifrato.

Il fatto che sia cifrato non significa necessariamente che sia sicuo, certamente aggiunge uno strato di sicurezza ma da qui a lavarsene le mani e pensare di essere in una botte di ferro ce ne passa.
Stai sempre esponendo servizi direttamente dal tuo indirizzo ip pubblico attestato su un'interfaccia del tuo router (che in molti casi è un router ridicolo, spesso con buchi sw clamorosi, spesso con firmware arcaici o risorse così ridicole da mandarlo in freeze con un flood da anni '90).

Se oltre alla porta 80 o 443 (tipiche per i servizi con interfaccia web) stai esponendo via NAT altri servizi (chessò l'interfaccia di amministrazione del nas di casa, o la ip camera di turno o l'interfaccia web della stampante di casa) pensi che da web nessuno se ne accorga solo perchè anzichè porte standard stai usando porte fantasiose a piacere? Seriously?
Siamo ancora al trito e ritrito "security by obscurity"?

Esporre i servizi via CDN è un enorme balzo in avanti dal punto di vista della sicurezza "per design".

Poi che c'entra la VPN?
Qui non stiamo parlando di VPN, se vuoi anche per quella è ormai diventato TOTALMENTE INUTILE avere un ip pubblico (statico o dinamico) e puoi benissimo collegarti in vpn a casa tua anche se hai un provider che ti piazza dietro nat, ti basta usare Tailscale.
Fa giusto eccezione IPSec, che però ormai è una tecnologia usata praticamente solo per le vpn site-to-site e che in tutti gli altri ambiti è stata soppiantata dalle ben più flessibili vpn ssl.

Anche qui, Tailscale è un servizio di ZTNA completamente free che ti permette di creare una mesh di vpn basate su Wireguard in modo trasparente e senza dover contattare direttamente l'ip dell'interfaccia pubblica del router.

Ragazzi, sia per l'esposizione dei servizi a web che per le vpn il mondo si è un cincinino evoluto, non è che ci sono solo supercazzole tipo AI in giro, c'è ancora gente che si da da fare e cerca di superare i limiti delle tecnologie esistenti proponendo qualcosa di migliore, di più flessibile e che non abbia i limiti delle vecchie tecnologie che girano da 40 anni...

E lo dice uno che è FORTEMENTE conservativo e tutt'altro che propenso a lanciarsi su ogni novità che viene presentata, e anzi, quando c'è una novità la guarda sempre con scetticismo e cerca di capire dov'è la fregatura e dove il marketing sta pompando.

Quote:

Originariamente inviato da nyo90

Continuo a non vedere il NAT come una soluzione e preferirei mille volte un indirizzo IPv6 pubblico disponibile facilmente, piuttosto che dover lottare per un IPv4

Non devi lottare per nessun IPv4, e il motivo è semplice: non ce n'è alcun bisogno.
I primi anni in cui ho iniziato a lavorare era appena uscito il protocollo HTTP 1.1 e ricordo con stupore (e anche molta ritrosia) l'ostinazione di certe cariatidi che trovavo dai clienti (aziende di prodotto, l'ostinazione e la ritrosia tecnologica sono sempre state una caratteristica tipica delle aziende di quel tipo) che si ostinava a pubblicare servizi ciascuno con il proprio ip pubblico, il nuovo protocollo aveva introdotto il concetto di virtualhost ma loro lo ignoravano e si opponevano dicendo che era "insicuro".

Già da allora fu piantato il primo chiodo nella bara di IPv6, potenzialmente una azienda poteva usare un solo ip pubblico che pubblicare quello che voleva, ovviamente non era così semplice perchè c'erano tanti altri servizi che ne richiedevano (smtp, ipsec etc etc), ma era già un balzo epocale.

Oggi in 10 minuti su AWS puoi tirar su un cluster Kubernetes con EKS dargli quanti nodi worker vuoi, anche migliaia, ed esporre tutto lo scibile possibile con un paio di ip pubblici di un load balancer AWS (almeno 2 per garantire un minimo di ridondanza usando due reti), e persino il traffico di outbound puoi farlo uscire TUTTO (per tutte le migliaia di worker nodes e le migliaia e migliaia di applicazioni che ci possono girare sopra) con 2 ip pubblici (usando i nat gateway, anche qui 2 per ridondanza sulle reti).

Ripeto, stiamo parlando di qualcosa che si tira su in mezz'ora massimo, e che può soddisfare le necessità anche di una mega azienda da migliaia e migliaia di dipendenti, il tutto con l'uso di 2 (max 4) ip pubblici, quando fino a qualche anno fa sarebbe stato necessario dotarsi di diverse classi C di ip pubblici, centinaia e centinaia o migliaia di ip pubblici.

E' questo il motivo per cui probabilmente nessuno di noi avrà mai bisogno di usare IPv6 in tutta la sua carriera lavorativa, e non mi riferisco solo alle cariatidi del forum come il sottoscritto, ma nemmeno il ragazzino adolescente che ha sentito parlare oggi di hwupgrade e si è iscritto oggi al forum...

[barzokk]

Quote:

Originariamente inviato da aqua84

Stop a nuovi indirizzi IPv4 dopo il 2035 e miliardi di ecoincentivi per IPv6.

Anche Hybrid IPv6 va bene

Quoto la proposta, è tutta colpa degli NO-ipv6, e della narrazione dei giornalisti italiani pagati dai venditori di switch ipv4.
In Norvegia ormai nessuno usa più gli ipv4

[matsnake86]

@Tasslehoff Complimenti. Finalmente qualcuno che parla con cognizione di causa


Uso un tunnel sul mio personale server di casa. Inutile ripetere tutti i vantaggi che tu hai già esposto benissimo.

[Bello&Monello]

Quote:

Originariamente inviato da Notturnia

Fino a che ipv6 resta fuori dalle mie reti sono contento.. basta che si usi ip4 dentro alle reti private e poi ipv6 può andare dove vuole.. è una rottura e costringe a cambiare switch che funzionano per switch che fanno la stessa cosa di prima..

Ma lunga vita a ipv6 .. se paga pantalone..

Scusa ma che cos'ha a che fare IPv6 con degli switch?!
Non c'è nessun motivo per cui dovresti sostituire un apparato L2 adottando IPv6...

[Bello&Monello]

Quote:

Originariamente inviato da destroyer85

Il NAT non è mica gratis, devi avere un dispositivo molto performante che si tenga un botto di NAT table in memoria quando con Ipv6 basta uno switch o un router "stupido".
Non ho capito cosa c'entra il TLS.

Per fare NAT NON serve un dispositivo performante.
Ci sono degli ASA di almeno 15 anni con centinaia di NAT in pancia e funzionano ancora benissimo. Figuriamoci qualsiasi dispositivo moderno...