Когда IP-адресов будет хватать всем?

    Количество IP-адресов для устройств, доступных в глобальной сети по протоколу IPv4, достигло порядка 4,3 млрд и уже практически исчерпано из-за длины IP-адреса в 32 бита. В адресном пространстве IPv6 задействовано 128 бит, что делает практически бесконечным количество адресуемых устройств. Прямой и простой совместимости друг с другом у протоколов IPv4 и IPv6 нет. Именно из-за этого быстрого и дешевого перехода на IPv6 only не будет. Страшно? Да нет. Просто нужно вступить на эту дорогу — и рано или поздно мы войдем в эру «чистого» IPv6. Хорошо это или плохо?

    image

    Недавно у абонентов МТС Центрального федерального округа появилась возможность опробовать выход в интернет с использованием IPv6. За одну сессию по этому протоколу абоненту выдается адресация сразу в двух стандартах: IPv4 и IPv6. Такой режим называется Dual-Stack. Для того, чтобы ваше устройство работало с IPv6, необходимо подключить бесплатную услугу «Доступ к IPv6», а также произвести некоторые настройки на абонентском терминале. В этом посте подробнее о новой услуге расскажет наш специалист Олег Ермаков, его ник на Хабрхаб — eov. Передаем ему слово.

    Всем привет! Мой рассказ будет состоять из двух частей. Первая описывает пользовательские настройки и способы контроля, что все у вас идет по плану. Вторая — уже дает краткий экскурс в технологию: как это сделано на сети сотового оператора в поле «3GPP-access». Сегмент «non-3GPP» затрагиваться не будет. Это тема для отдельной статьи.

    Часть I

    В результате перехода на новый протокол абонент имеет следующее:

    1. Сервисы, которые работают с IPv6 адресацией, будут получать и передавать трафик БЕЗ использования NAT. Не знаю, все ли сталкивались с тем, что на поисковый запрос в Google иногда требуется ввести Captcha-код, или Google вообще отказывает в поиске. Причина в том, что Google считает, что с одного public IP идет слишком много запросов, и это воспринимается им как роботизированный опрос.

    image image

    2. Абонент получит public IPv6 адрес, и на него будет доступен «входящий» трафик из интернета. Сейчас же из-за применения NAT сделать это не просто.

    3. Абонент, который «раздает» интернет, получит возможность на каждое устройство, которое находится за «раздающим», иметь свой IPv6 адрес. Предлагаю обсудить плюсы и минусы этого в комментариях…

    Не скрою, что от перехода на IPv6 выигрываем и мы (оператор): чем больше абонентов перейдет на IPv6, тем меньше потребуется IPv4 адресов для NAT/PAT трансляций. Уверен, что 99% абонентов не задумывается о том, что в итоге финансовые затраты на закупку дополнительного пространства IPv4 понесут именно они.

    Предвижу вопрос: «Когда данная услуга станет доступна абонентам всей страны»? Отвечаю. Мы работаем над этим и постараемся запустить на большей части сети доступ до конца лета этого года.

    На нашем сайте есть инструкция настройки, там расписаны общие положения. Дополнительно хочу пояснить несколько моментов:

    1. Пока Dual-Stack работает только на устройствах с ОС Android, Windows и на некоторых роутерах. В ближайшее время IPv6 можно будет включить и на мобильных устройствах Apple. Однако, для обеспечения работоспособности с устройствами на iOS нам нужно пройти ряд дополнительных тестов. Прошу отнестись к этому с пониманием и набраться терпения. Пока получить IPv6 на устройствах Apple можно путем подключения к «мобильной точке доступа» с работающей услугой IPv6 через Wi-Fi.

    2. На текущем этапе услуга ориентирована в первую очередь на продвинутых пользователей, которые понимают, что и зачем делают. Вы приобщаетесь к высоким технологиям, а мы изучаем ваш клиентский опыт, что на данном этапе крайне важно. Мы рассчитываем получить отзыв пользователей, доработать и усовершенствовать услугу. В дальнейшем мы планируем упростить подключение и отказаться от «услуги» как таковой и сделать функционал IPv6 доступным в настройках телефонов по умолчанию «из коробки». В идеале переход на IPv6 в мобильных сетях МТС планируется бесшовным.

    3. В настройках подключения в ОБЯЗАТЕЛЬНОМ порядке нужно указать APN internet.mts.ru и тип протокола IPv4v6 (это ВАЖНО). Основным признаком верного указания APN является то, что абоненту выдается IPv4 адрес из диапазона 10.0.0.0/8 RFC1918, а не из диапазона 100.64.0.0/10 RFC6598. Если же в настройках телефона выбран протокол IPv4 или IPv6, то сеть выдаст ровно то, что и запрошено (IPv4 ИЛИ IPv6). В первом случае все будет работать по IPv4, а во втором — бОльшая часть интернет-ресурсов станет недоступна просто потому, что далеко не все перешли на IPv6. Если все сделано правильно, то будет выдано два адреса IPv4 и IPv6 (Dual-Stack). Мы пока намеренно не планируем распространять решение на «неверные настройки» (с неверным APN). Поступая таким образом, мы исходим из принципа «не навреди».

    4. Для доступа к интернет-ресурсам в IPv6-адресации необходимо, чтобы и система DNS работала как положено. Для абонентских сессий с IPv4v6 выдается и IPv6 DNS сервер. Наличие IPv6 DNS серверов не обязательно, потому что и IPv4 сервера успешно резолвят AAAA записи. При подключении к сети мы выдаем оба сервера исключительно для того, чтобы все было «по фэншую».

    5. Обратите особое внимание на то, что абоненту выдается public IPv6 адрес (на самом деле блок адресов /64), который доступен из сети интернет! Не стоит пренебрегать элементарными мерами безопасности. Крайне желательно установить антивирус и Firewall.

    Таким образом, абоненты имеют IPv4 и IPv6 адрес. Резолвинг интернет-ресурсов осуществляется и по IPv4, и по IPv6. Дело за приложениями. По нашему опыту, браузер Google Chrome в первую очередь использует протокол IPv6 для ресурсов, которые имеют возможность работать по IPv6. Например, такие популярные ресурсы как Yandex и Google уже давно работают по IPv6.

    Для проверки можно использовать ресурс test-ipv6.com. Если все настроено верно, то тест покажет оценку 10 из 10.

    Если это не так, то нужно убедиться в том, что выключены оптимизаторы трафика в настройках браузера.

    image

    Часть II

    Здесь мы углубимся в профессиональную область. Те, кто предпочтет ограничиться прикладной частью повествования, прошу комментировать или писать в личку свои вопросы. Сразу скажу, что не смогу помочь всем, но готов рассмотреть особо интересные случаи. Спасибо за понимание.

    IPv6 как таковой появился в 1998 году и описан в RFC2460, поддержка IPv6 в мобильных сетях появилась в рекомендациях 3GPP Rel99 (2000 г). Широкого распространения технология не получила. Вероятно, тогда мало кто в мире знал, что такое IPv6, а недостатка в IPv4 адресах не предвиделось. Спустя 10 лет острой необходимости так и не возникло, поэтому мы проводили внутреннее тестирование, но внедрять не стали.

    Начиная с 3GPP Rel8 для сетей LTE возникает эпоха Dual-Stack. Преимущества — налицо. Dual-Stack делает ненужными такие технологии как NAT64 и DNS64, при сохранении «обратной совместимости» с сетями на IPv4, по сути, делая плавный переход между технологиями.

    Стало лучше, и это уже можно было использовать. К сожалению, при установлении соединения сеть поднимает два PDP контекста и неэффективно использует ресурсы сети.

    image

    Дальнейшее развитие Dual-Stack получило в 3GPP Rel9. В нем появилась поддержка для сетей 2G/3G и в нем же появилась возможность выдавать IPv4 и IPv6 адрес в рамках одного PDP контекста (bearer-а). Именно эта технология и применяется на сети МТС.

    image

    Если заглянуть чуть глубже, можно сказать, что 3GPP Rel10 описывает технологию DHCPv6 Prefix Delegation (DHCPv6-PD). Сейчас необходимость ее использования в мобильной сети неочевидна. Если есть конкретные предложения — пишите в комментариях или в личку.

    Для того чтобы технология заработала, была включена поддержка необходимого функционала на сетевых элементах HLR/HSS, SGSN/MME, GGSN/PGW, PCRF, OCS, CDR-коллектор, ну и, конечно, на транспортной сети.

    image

    HLR/HSS
    Подключение услуги приводит к тому, что в HLR и в HSS меняется тип протокола в настройках APN-а с IPv4 на IPv4v6 (или both). В спецификации TS 29.272 (Rel9) дословно говорится следующее:

    7.3.62 PDN-Type...
    7.3.62 PDN-Type
    The PDN-Type AVP is of type Enumerated and indicates the address type of PDN. The following values are defined:

    IPv4 (0)
    This value shall be used to indicate that the PDN can be accessed only in
    IPv4 mode.

    IPv6 (1)
    This value shall be used to indicate that the PDN can be accessed only in IPv6 mode.

    IPv4v6 (2)
    This value shall be used to indicate that the PDN can be accessed both in IPv4 mode, in IPv6 mode, and also from UEs supporting dualstack IPv4v6.

    IPv4_OR_IPv6 (3)
    This value shall be used to indicate that the PDN can be accessed either in IPv4 mode, or in IPv6 mode, but not from UEs supporting dualstack IPv4v6. It should be noted that this value will never be used as a requested PDN Type from the UE, since UEs will only use one of their supported PDN Types, i.e., IPv4 only, IPv6 only or IPv4v6 (dualstack). This value is only used as part of the APN subscription context, as an authorization mechanism between HSS and MME.

    Как Вы уже догадались, мы используем опцию 2.

    SGSN/MME
    Настройка этих устройств для поддержки IPv6 несложная, она, по сути, ограничивается активацией соответствующей лицензии и включением поддержки dual-address-pdp для сервисов SGSN и MME, а также в настройках RNC, подключенных к SGSN.

    PGW/GGSN
    Уже не все так просто. Модернизации подвергаются:
    — интерфейсы в сторону транспортной сети (поднимается address-family ipv6), и прописывается IP маршрутизация;
    — прописываются ip-pool, из которых абонентам выдаются адреса;
    — активируется поддержка IPv6 на APN;
    — прописывается IPv6 DNS, который будет выдаваться абоненту при подключении.

    PCRF/OCS
    Обмен PGW c PCRF и OCS производится по протоколу Diameter (интерфейсы Gx и Gy соответственно). Особенность активации IPv6 только в том, что в этом сигнальном обмене появляется AVP Framed-IPv6-Prefix и добавляется еще одна AVP PDP-Address c IPv6 адресом. Соответственно, PCRF и OCS должны их принимать и учитывать (сохранять).

    CDR-коллектор
    Ожидаемо, что изменился формат CDR записей. Абонентский IPv4 адрес переместился в новое поле servedPDPPDNAddressExt, а IPv6 адрес будет записываться в servedPDPPDNAddress (это поле изначально поддерживало и IPv4 и IPv6).

    recordType...
    recordType PGWRECORD
    servedIMSI 25001**********
    p-GWAddress 213.87.x.x
    chargingID 15934348563
    servingNodeAddress 213.87.x.x
    accessPointNameNI internet.mts.ru
    pdpPDNType IPV4+IPV6
    servedPDPPDNAddress 2a00:1fa0:800::5c:7ef:201
    servedPDPPDNAddressExt 10.21.12.11
    servinggNodePLMNIdentifier 250, 01
    servedIMEISV 35915***********
    rATType eUTRAN
    mSTimeZone +03:00,

    Транспортная сеть
    Поднимается address-family ipv6 и прописывается маршрутизация.


    В заключение я хочу задать вам вопрос.
    Должны ли операторы закрывать доступ из сети интернет (в случае IPv6 и от других абонентов) к TCP/UDP портам диапазона 0-1023 к абонентским устройствам?

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    МТС 25,24
    Компания
    Поделиться публикацией

    Вакансии компании МТС

    Комментарии 109
    • +5
      Когда перестанут блокировать незапрещённые сайты?
      image
      • 0

        По этому поводу много статей на хабре. Причина понятна. В данном конкретном случае, я запршу безопасность о возможности внести этот сайт в исключения блок-системы.

        • 0

          Попробовал со своего мобильного устройства. Вышел без проблем.
          По иронии судьбы, у меня с домашнего провайдера, достаточно долго был заблокирован habrahabr и geektimes. Я даже писал об этом администрации хабра. На мой запрос провайдер ответил, что в DNS-е есть их IP адреса. Не ограничивать доступ к ним доступ оснований нет. DPI-я по анализу SNI у них нет.

        • 0
          А в Поволжье когда ждать ipv6?
          • 0

            В Поволжье и Северо-Западе мы протестировали без влияния на коммерческий трафик. На боевой контрукции планируем завершить тесты на слудующй неделе. Запуск, как я и писал, мы планируем в ближайшее время.

          • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              Конечно нет — это же очередная статья дохода, зачем убивать курицу с золотыми яйцами.
              • +2

                Возможность подключения абонентам фиксированной сети в данной статье не обсуждался. Я сделаю запрос в профильное подразделение и, по возможности, отвечу.
                Статичный адрес (префикс /64) для мобильных абонентов пока тоже не доступен. Если мы поймем, что это востребовано, сделаем. Тут сложность в том, что абонентов со статическими IP (не важно v4 или v6) нужно «приземлять» в «домашем» регионе. В случае, если мы говорим про APN internet.mts.ru, то «приземление» осуществляется по кротчайшему маршруту (так проще и нам и лучше сервис абонентам) вне зависимости от того где реально находится абонент. Соответственно, мы можем говорить про услуги “Real IP” или корп. APN.

                • НЛО прилетело и опубликовало эту надпись здесь
                  • 0

                    Попробуйте Dynamic DNS для этих целей. Я пользовался русским сервисом DNS Master для этого (он приятно недорогой), когда я жил в доме, где был провайдер с IPv6 и даже написал скрипт для поддержания актуальности DNS-записей: https://gist.github.com/Envek/9aa53b06e7df369626a9

                    • 0

                      Пинганите 192.88.99.1 и если ответит то попробуйте 6to4. Если внешний IP постоянный.

                    • 0
                      Нужно, и очень востребовано. И не для пресловутых «юрлиц», а всем.
                      Зачем «приземлять» абонента в домашнем регионе?

                      Пользовался корпоративным Мегафоном со статикой на имеющейся в наличии карте: выдавались ip-адреса Москвы и Санкт-Петербурга, в зависимости от точки доступа. Yota без статики: абсолютно все ip-адреса выдаются из Москвы. И это при том, что находился вообще в Екатеринбурге.

                      У Мегафона apn-ы прописывались через FixedIP.nw и еще через aems.msk.
                      Можете как-либо прокомментировать, как реализуется схожая вещь у МТС?

                      И, наконец самый серьезный вопрос: почему услуга статики традиционно доступна только для корпоративных клиентов? Позицию ряда других операторов я уже слышал, теперь интересна позиция МТС.
                      • 0

                        У нас APN internet.mts.ru "приземляется" на ближайший узел. К примеру, если абонент переместился из Москвы в Ижевск, то точка приземления изменится с Москвы на Н.Новгород.
                        Корпоративные APN-ы (с префиксами msk, sib и др.) жестко "прибиты" к узлам в соответствующих регионах. При этом куда бы не перемещался абонент, его трафик будет затягиваться именно в этот регион. К примеру, абонент с APN-ом с префиксом sib переместился из Сибири на Дальний Восток. В этом случае трафик все равно будет дотягиваться до Новосибирска.
                        По поводу статики я скажу, что мы и корпоративных абонентов отговариваем себе ее включать. Это накладно и для абонента и для нас. В большинстве случаев, спасает корпоративный APN с приватными статическими адресами.

                        • 0
                          В общем и целом, не вижу ничего сильно плохого в том, что трафик приземляется в другом регионе. Накладки разве что с пингом могут быть. Или тут затруднения с созданием чрезмерной нагрузки на сеть?

                          И почему же вы все-таки отговариваете людей от статики? В основном ведь она нужна для доступа к удаленной сети (например, серверу с видеонаблюдением).

                          И все-таки любопытно, почему ее не предоставляют физическим лицам! Во всяком случае, официально. Это очень, ОЧЕНЬ досадный факт. И я правильно понимаю, что при сугубо большом желании можно и как физлицо получить оформление как корпоративного клиента?
                          • 0

                            С учетом того, что у нас 99% трафика APN internet.mts.ru "приземляется" на ближайший узел, проблем с пробросом трафика "префиксованных" APN-ов по месту их приписки нет. Да, задержка Москва — Владивосток 110ms — 120ms, но с этим ничего не поделаешь...


                            Мы планируем завершить настройки для APN internet.mts.ru, а чуть позже распространить на услугу "Real IP" (на этих APN-ах будет выдаваться динамические public IPv4 и public IPv6 адреса).


                            Public IPv4 адреса в последнее время покупаются на "свободном рынке" и за живые деньги. Закупочные процедуры в больших компаниях не простые и довольно длительные. Один IP адрес в NAT-пуле используется значительно эффективнее. А если кратко, то "Да, мы экономим IPv4 адреса".


                            Как тут уже было предложено, можно использовать DynDNS.

                    • 0
                      <s-m>
                      Как же нам не хватает реестра пожизненных статичных IP адресов
                      </s-m>
                      • 0

                        Вместе с пожизненными статичными провайдерами?

                    • +9

                      по поводу опроса… ну я бы не был так радикален в ответе НЕТ. Учитывая кучи легаси оборудования безовсяких файрволлов, светить им в мир тоже не айс.
                      Может имеет смысл таки включить блок по умолчанию с галочкой в личном кабинете "отключить фильтрацию"? Для тех, кто понимает что делает.

                      • 0

                        Эту позицию я услышал. Спасибо!

                        • +1
                          Это самый адекватный вариант, и не только для портов до 1024, а можно вообще для всех портов.

                          Скажем, на современном и продвинутом портативном LTE-роутере Netgear 810s по умолчанию включен adbd (ADB-сервер Android) на порту 5555, который доступен из WAN, без пароля и подтверждений со стороны пользователя. Подключившись к этому серверу, вы получаете shell-доступ от имени root на устройстве ­— большая дыра безопасности.

                          Я за то, чтобы ограничивать все новые входящие соединения для клиентов по умолчанию, с возможностью отключения этой функции. Или, не знаю, какой-нибудь upnp/NAT-PMP можно установить в сеть.
                          • 0
                            Главное, чтобы галочка, открывающая доступ к портам, не превратилась в очередную платную услугу
                          • 0

                            Я надеюсь, все понимают, что даже в случае "НЕТ" такие порты, как 135-139 и 445 все равно должны быть закрыты в обе стороны?

                            • 0

                              Тут я бы сказал и «да» и «нет». На основном APN internet.mts.ru у нас закрыт доступ с приватного ip на приватный. Отчасти, это было сделано потому, что были случаи когда абоненты «шарились» по открытым «шарам» windows машин. Чего там только не встречалось (от проектов сайтов, до бухгалтерских документов)… В случае с приватным IPv4 закрыли и ладно. Никто сильно не пострадал. IPv6 изначально паблик адреса и формальной причины закрывать к ним доступ у нас нет. Они должны быть доступны из интернет. Если общественность за закрыте, не вопрос — закроем. Именно то этой причина и был организован опрос.

                              • 0
                                Если общественность за закрыте, не вопрос — закроем.

                                Ну, вообще-то общественность о этом говорит с 2003 года.
                                Netbios порты windows уязвимы уже больше 20 лет, с момента своего появления в windows 9x и остаются уязвимы по текущий день.
                                Эти порты использовались для распространения WannaCry.
                                И эти порты — первое, что закрывают все провайдеры, точки обмена трафика и магистральные операторы, которые хоть как-то хотят защититься от ботнетов в сетях клиентов.


                                Я рекомендую посмотреть статьи про эти порты, самая частая рекомендация — просто закрывать их.
                                И если этого вам будет недостаточно, вы можете создать опрос "закрыть ли netbios порты клиентов или оставить открытыми миру".
                                Я думаю, общественность хабра недвусмысленно подскажет правильный ответ :)

                                • 0

                                  Да, я услышал. Завтра обсужу это с "коллегами по цеху".

                                  • 0
                                    Не все используют Windows-реализации CIFS. Я долгое время держал Samba-сервер с анонимным доступом из интернета с медиаконтентом, и это было удобно. В Samba значительно меньше уязвимостей, по сравнению с Windows-версией, и закрывать доступ к какому-то конкретному сервису провайдеру, по моему мнению, глупо. Сейчас так делают считанные провайдеры, и я о них не высокого мнения.
                                    Почему тогда не закрыть, например, порт 161 или 23?
                                    • 0
                                      Почему тогда не закрыть, например, порт 161 или 23?

                                      Им очень далеко до netbios по величине уже нанесенного урона.


                                      Просто на одного крутого эксперта — вас, есть тысячи обычных win пользователей, которые три месяца назад пострадали (в том числе финансово) от WannaCry, просто потому, что у них были открыт порт 445.


                                      Алгоритм распространения WannaCry

                                      Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar, через который загружается и запускается исполняемый код программы WannaCry.


                                      А насчет CIFS я согласен.
                                      Правда, вот critical уязвимость 2 месячной давности и в ней.
                                      Если у вас ещё есть открытая самба, рекомендую проверить, вдруг она уязвима.

                                      • +1

                                        Все верно. Только для IPv6 даже зная /64 префикс потенциальной жертвы еще нужно найти конкретный /128 адрес, чтобы "стукнуться" к нему по TCP/445.
                                        В любом случае, firewall на конечном устройстве лишним не будет.

                                  • 0
                                    В своё время, когда строились пионерлокалки, мне один админ такой же локалки сделал прогу настройки компа для работы сети. По сути скрипт. Прога автоматом отрубала службы связанные с Netbios, Обозреватель компьютеров и ещё что-то. Юзер запускал у себя на компе эту прогу.
                                    В итоге:
                                    1. широковещалки в сети становилось меньше (знаю, знаю, сейчас оборудование режет его за портом юзера, но всё же)
                                    2. комп работал быстрее
                                    3. безопасность лучше
                                    А если закрыть все порты, то лишите народ торрента. Сейчас и так мало кто пробрасывает порт.
                                    Пусть лучше юзер сам решает свои проблемы. Если он попросит IPv6, значит и подумать ему заранее как оно будет работать так же нужно.
                                  • 0

                                    А на этих портах по IPv6 что нибудь есть? Поскольку это другой протокол программы и драйвера отдельно открывают порт для ipv4 и ipv6. А скорей всего для ipv6 вообще не открывают если специально не настроить.

                                    • 0
                                      Если программа поддерживает стек IPv6, порт она биндит. Практически всё ПО, скопилированное со стандартными библиотеками, поддерживает IPv6 даже без специального желания авторов
                                      • 0

                                        Естественно. Если в программе прописали открытие порта по ipv6 то она естественно сможет его открыть. А если нет то нет. Даже если ОС и стандартные библиотеки ipv6 поддерживают. Но я про Windows и C++.

                                  • 0

                                    Уже 8-й год, как минимум, слышу эти прохладные истории про IPv6. А воз и ныне там.

                                    • +3

                                      Мы стараемся сдвинуть воз. Надеемся на конструктивное содействие.

                                      • 0
                                        10% пользователей антизапрета используют IPv6 — не такая и малая цифра.
                                        3 из 9 российских домашних проводных провайдеров, опрошенных мной, поддерживают IPv6.
                                        Мобильный оператор T-Mobile в США раздает клиентам (не всем, но многим) доступ только в IPv6 с 2014 года. Доступ в IPv4 осуществляется через протокол 464XLAT.
                                        • 0
                                          То, что в России по мнению гугла(и видимо по вашему) 1.16% пользователей IPv6 не значит, что в мире так.
                                        • +1
                                          Закрытие портов (всех) лучше оформить как услугу (подключена по умолчанию), чтобы можно было открыть при необходимости.

                                          Стоит ли ждать абонентам домашнего проводного интернета от МТС такое благо?
                                          • 0

                                            Ответил чуть выше.

                                          • +1
                                            Подключил, но test-ip6.com при проверке выдает на втором тесте:
                                            «Внимание! IPv6 работает, но большие пакеты, видимо, теряются. Это даже может выглядеть так, как будто сайт сломан......»
                                            Итого 1/10 тестов пройдено.
                                            • +1

                                              Можно скриншот и номер для связи в личку?

                                              • 0
                                                Отправил.
                                                • 0

                                                  В итоге, по данному кейсу я склоняюсь к тому, что на телефоне стоит что-то, что мешает прохождению пакета ICMPv6, type 2 (Packet Too Big) от сети. По логам обмена телефона с сетью видно, что в сторону трубки пакеты ушли. Подробное описание вот здесь.

                                            • 0

                                              Есть еще одна неучтенная деталь — маршрутизация ipv6 требует больше ресурсов маршрутизатора.

                                              • 0
                                                Для сетей без белых IP-адресов, с Carrier-grade NAT, ситуация обратная — NAT заметно затратнее маршрутизации IPv6.
                                                • 0

                                                  +1
                                                  Да, CGNAT масштаба мобильного оператора — весьма затратная штука. Тут даже дело не столько в количестве белых адресов… Основное отличие мобильного оператора от фиксированного в том, что при сравнимом количестве трафика, мобильный оператор одновременно обслуживает бОльшее количество абонентов (сетевых устройств). Они создают бОльшую нагрузку на NAT (количество одновременных трансляций) и DNS (количество запросов на различные (ключевое слово)) ресурсов.

                                              • 0

                                                Доля трафика IPv6 пока крайне мала. В настоящий момент проблем с этим не вижу.
                                                Куда бОльшую нагрузку создают технические средства блокировки по спискам РКН.

                                                • 0
                                                  Вы, наверное, меня не поймете, но после долгих лет общения с сотовыми провайдерами читать текст после слов «необходимо подключить бесплатную услугу» уже не хочется. Прямо аллергия именно на эти слова.

                                                  А новость — отличная. Не знаю, каков ваш опыт, сколько мобильных телефонов у народа на руках со сломанных IPv6-стеком, и каково поведение устройств, если вдруг на вашей стороне IPv6 перестанет работать (как скоро трафик попробует пробраться через IPv4, если вообще попробует), но я очень рад, что всего через 11 лет с момента изобретения IPv6 его начинают более-менее массово внедрять в крупных сетях. Еще бы Билайны с Мегой подтянулись, там, глядишь, и IPv6-адреса на стороне сервисов окажутся более востребованными.

                                                  Но, пожалуйста, как-то поменяйте текст, уж очень глаз режет выражение «услуга IPv6»! Прямо как «услуга воздух для дыхания»!
                                                  • 0

                                                    Прошу прощение. Я тоже был против такого названия, но, к сожалению, она называется как называется…
                                                    По поводу того, что пока это именно услуга я писал как раз в части того, что если что-то перестанет работать, то услугу можно отключить и вернуть все как было. На самом деле я изначально выступал и по-прежнему выступаю за то, чтобы это не было услугой и включалось бы только в настройках телефона. В этой битве с маркетингом я пока проиграл, но надежду, естественно, не потерял. Просто, как мы все знаем, разные производители устройств и ОС к ним, дают разные возможности "ручной" настройки. Сравните настройки точек доступа в Android и в iOS. Так вот в последней крайне мало вариантов что-то руками "подкрутить", а возможностей со стороны оператора выслать правильные настройки тоже крайне скудны. А во времена, когда большинство телефонов поддерживало настройки "по воздуху", большая часть абонентов не соглашалась получить и применить настройки.

                                                    • 0

                                                      Всего через 21 год ведь :) Написал и взгрустнул...

                                                    • 0
                                                      Быть может я не заметил в статье указания, в каких регионах эта услуга уже доступна?
                                                      • 0

                                                        Москва, Ярославль, Тверь, Кострома, Калуга, Смоленск, Рязань, Тамбов, Тула, Владимир, Иваново, Липецк, Орел, Курск, Воронеж, Брянск, Белгород.

                                                        • 0
                                                          Когда будет доступна в других городах (интересует Екатеринбург)? И будет ли доступна частным лицам (судя по ссылке — только корпоративные клиенты)?
                                                          • 0

                                                            Во всех регионах, кроме регионов Дальнего Востока, целевой срок запуска — август (повторюсь, что прошу не сильно "бить" если не чуток задержимся). Вся техника готова (завершаем тесты).
                                                            Дальний Восток начнем делать осенью этого года.


                                                            Услуга будет доступна всем абонентам.

                                                            • 0

                                                              А с ДВФО то что не так? :(

                                                              • +1

                                                                С ДВ все так. Просто, там завершается процесс миграции на более современное оборудование. Расчетный срок — конец августа. В начале сентября начнем подготовку инфраструктуры под IPv6 и до конца года, мы планируем завершить тесты и запустим.

                                                                • 0

                                                                  Жаль что так поздно… Хотелось бы раньше :(

                                                                  • 0

                                                                    Я учту Ваше желание и думаю, что смогу продолжить поучаствовать в тестировании до официального запуска.

                                                            • 0
                                                              В Е провайдер «Планета» по умолчанию даёт IPv6.

                                                              Привет!
                                                            • 0
                                                              Олег, а информацию о доступности где можно будет унать? Будет реклама или вы отпишитесь или надо будет проверять появление опций для подключения?
                                                              г. Вологда.

                                                              Спасибо, жду с нетерпением :).
                                                              • 0
                                                                Ответил в личку. Поздравляю, Вы превый абонент Северо-Запада, не считая наших сотрудников, получивший возможность потестировать.
                                                                • 0
                                                                  По ощущениям, возможно мне «кажется», но сайты которые поддерживают IPv6 в часы пик шевелятся лучше (youtube,google). яндекс на тестах показывает скорость по 6 чуть выше.
                                                                  Тест IPv6 показывает 9/10 из за отсутствия реверс DNS.
                                                                  Из не оправданных ожиданий — android(strongswan) не умеет создавать IPSec поверх IPv6 из за ограничений не привелегированного пользователя на доступ к интерфейсу ядра.

                                                                  Есть у меня ещё вопрос, а умеет ли «сеть» посылать какие-либо сигналы клиенту если для него есть входящий трафик, для того чтобы клиентский телефон включился и получил его (где-то я раньше про это читал, но очень давно)? Дело в том что например когда открываешь машину с брелка на телефон прямо в тот же момент прилетает уведомление от сигнализации (не смс). Если запустить ping6 на адрес телефона то пока его кнопкой не включишь он пинговаться не начинает. Это не зависит от того как долго он лежал без пробуждения. «Жёра» батарейки при этом нет. Тело — Xiaomi Mi5s, сеть в режиме LTE. То же самое с Hangout — сообщения приходят сразу.
                                                                  • 0
                                                                    Тест IPv6 показывает 9/10 из за отсутствия реверс DNS.
                                                                    Покажите, пожалуйста, скриншот теста.
                                                                    Есть у меня ещё вопрос, а умеет ли «сеть» посылать какие-либо сигналы клиенту если для него есть входящий трафик, для того чтобы клиентский телефон включился и получил его
                                                                    Если для абонентского устройства, которое находится в сети и имеет IP адрес, получен IP трафик то со стороны сети инициируется процедура paging. Если устройство отвечает на paging, то трафик доставляется.
                                                                    Если запустить ping6 на адрес телефона то пока его кнопкой не включишь он пинговаться не начинает.
                                                                    Я это потестирую на Samsung-е и посмотрю на трассировки с оборудования.
                                                                    • 0
                                                                      Действительно реверс не прописан. Пока нет понимания как это делать. Все адреса даже одного /64 префикса прописать не просто, а вообще все абонентские адреса внести в зону видится пока утопично. Тут нужно искать решение с масками (пулами) или писать свой софт. Только необходимость этого не очевидна.
                                                                      • 0
                                                                        Да, тут ни какой GENERATE из bind не поможет :).
                                                                    • 0
                                                                      Выражаю благодарность за предоставленную возможность тестирования!
                                                              • 0
                                                                > появилась возможность опробовать выход в интернет с использованием IPv6

                                                                Если уж хочется попробовать, то элементарно поднять бесплатный тунель 6in4 от тех же HE или прокинув socks5 на какой-нибудь VPS.
                                                                Да, трафик будет ходить через какой-нибудь Стокгольм (для кого-то это плюс =), зато без подключения бесплатных услуг.
                                                                Хотя нормальный v6 хочется давно и везде, но провайдеры чешутся медленно.

                                                                • +1

                                                                  Это можно опробовать и через whonix… Мы стараемся сделать "нативный" выход в сеть без дополнительных "приколов".

                                                                  • 0

                                                                    HE давно уже посылают в лес пинать своего провайдера включить IPv6 и новые регистрации не принимают. :sad_trombone:

                                                                    • 0
                                                                      В июне этого года у них регистрировался, да и форма регистрации на месте.
                                                                      • 0

                                                                        И чего вам 6to4 не нравится? Нигде регистрироваться не надо. Или он только у меня через НАТ провайдера нормально работает? Главное дополнить префикс до 64х бит случайными числами чтоб с соседями не конфликтовать.

                                                                        • 0
                                                                          А у меня не работает 6to4. Причём кажется, что сознательно отрублен, раньше работал, потом перестал пинговаться, сейчас пингуется, но 6to4 не проходит. + ходят слушки, что провайдеры блочат 6to4 в рамках блокировок…
                                                                          • 0

                                                                            Попробуйте уменьшить MTU.


                                                                            Как установить 6to4?

                                                                            После применения сгенерированных настроек, проверьте, чему равен MTU созданного 6to4-интерфейса. В силу расходов на инкапсуляцию IPv6-пакета в IPv4, MTU должен быть на 20 байт меньше, чем MTU находящегося уровнем ниже IPv4-интерфейса.
                                                                    • 0
                                                                      А можно только ipv6, без ipv4?
                                                                      • 0

                                                                        Можно, но бОльшая часть интернет ресурсов будет недоступна. У них просто нет IPv6 адресов и адресоваться к ним без дополнительных приколов будет не просто...

                                                                        • 0
                                                                          я в курсе ограничиений ipv6, так как это сделать?
                                                                          • 0

                                                                            подключенная услуга + IPv6 (не IPv4v6) в настройках APN.

                                                                          • 0
                                                                            Планируете ли вы 464XLAT для Android-устройств? Такие IPv6-only-сети с выходом в IPv4 работают в T-Mobile и SK Telecom.
                                                                            • 0

                                                                              не планируем

                                                                        • +6
                                                                          Если заглянуть чуть глубже, можно сказать, что 3GPP Rel10 описывает технологию DHCPv6 Prefix Delegation (DHCPv6-PD). Сейчас необходимость ее использования в мобильной сети неочевидна. Если есть конкретные предложения — пишите в комментариях или в личку.
                                                                          Раздавать пользователям префикс меньше /64, например, /56. RFC 6177 настоятельно рекомендует выдавать от /48 до /56 конечному клиенту.

                                                                          МТС продает стационарные LTE-роутеры, что подразумевает использование мобильного интернета в качестве основного канала дома или в офисе. Для полноценного использования, даже домашнего, вполне может потребоваться 3 /64-подсети для корректной настройки: одна для проводного интернета, вторая для гостевой сети Wi-Fi, третья для VPN. Продвинутый пользователь может выделить отдельную /64 в качестве подсети для виртуальных машин, например.
                                                                          Даже для раздачи интернета по Wi-Fi с телефона может использоваться отдельная /64.

                                                                          Статичный адрес (префикс /64) для мобильных абонентов пока тоже не доступен. Если мы поймем, что это востребовано, сделаем. Тут сложность в том, что абонентов со статическими IP (не важно v4 или v6) нужно «приземлять» в «домашем» регионе. В случае, если мы говорим про APN internet.mts.ru, то «приземление» осуществляется по кротчайшему маршруту (так проще и нам и лучше сервис абонентам) вне зависимости от того где реально находится абонент. Соответственно, мы можем говорить про услуги “Real IP” или корп. APN.
                                                                          Посмотрите в сторону Mobile IPv6. Я до конца не разбирался, как он работает, но мне кажется, что он сделан именно для этого, и позволит вам корректно «приземлять» статические подсети, не гоняя трафик в другой регион.

                                                                          Пожалуйста, не раздавайте клиентам только одну /64. Вы большие молодцы, что занялись вредрением IPv6 первыми, но хочется, чтобы все было по уму, а не тяп-ляп. Я готов помогать вам советами и тестами, если они вам нужны: у меня есть Android-телефон, на который можно установить почти любую версию ОС (от 2.3.5 до 6.1), есть Blackberry, есть несколько LTE-модемов и роутеров разных производителей.

                                                                          Пожалуйста, добавьте пост в хаб IPv6.
                                                                          • +1

                                                                            Услышал, спасибо!
                                                                            С mobile ip предвижу проблемы с СОРМом. Подумаем на эту тему.
                                                                            Про префикс делегейшн для cpe поже возьму в проработку.

                                                                            • 0

                                                                              добавили в хаб IPv6

                                                                            • +1

                                                                              Вот это я понимаю: конкурентное преимущество одного оператора перед другим.


                                                                              P.S> Включайте ещё IPv6 для домашнего интернета и подключайте мой дом. Пожалуйста!

                                                                              • 0
                                                                                eov, у нас в Беларуси МТС так же недавно запустил IPv6. Вот обсуждение его и попытка настройки со стороны юзеров http://forum.onliner.by/viewtopic.php?t=4356152&start=34220#p96677100
                                                                                Хочу вам перенести некоторые цитаты-вопросы из той темы, если можно
                                                                                тестировали ipv6 от мтс и натив в дц, трафик в минск пошел через he немецкий на минск

                                                                                Проблема заключается в том, что многие SOHO устройства поддерживают IPv6 для галочки. Шаг влево или вправо — не работает. Да и у самого МТС бывают проблемы в зависимости от области подключения

                                                                                если вставить кабель мтс в сетевую карту компа, в свойствах сетевухи отключить ипв4, то никаково ипв6 я не получаю


                                                                                P.S Так же у нас есть один Ethernet провайдер, который продаёт пользователям локальные дополнительные IP адреса вида 10… по цене 0,3 $ в месяц.
                                                                                • 0

                                                                                  Можно номер для связи в личку? Наши Белорусские коллеги свяжутся и помогут.

                                                                                  • 0
                                                                                    Я пока на другом провайдере. Но если можно, попросите их просто зайти в ту ветку обсуждения, раньше иногда они там появлялись и отписывались.
                                                                              • 0
                                                                                Поддержку / СММ бы просветили. Они мне с апреля на слова «на iOS не работает» твердили «проверьте настройки».
                                                                                • 0

                                                                                  Я не понял первое предложение. Если речь идет про IPv4v6 на iOS, то скажу, что мы работаем с Apple. Поддержка IPv4v6 (и не только) включается так называемым Carrier Bundle, который вшивается в прошивку. Перед тем, как CB появляется в новом релизе ПО, производится его тестирование и оператором и самим Apple. Повторюсь, что мы работаем над этим.

                                                                                  • 0
                                                                                    Это я прочитал, что вы с Эппл работаете. Поддержка ваших (МТС) абонентов (и соцсетей) не умеет говорит «на iOS услуга Ipv6 сейчас недоступна». Я их с апреля терзал — ничего конкретного мне ответить не могли.
                                                                                    • 0

                                                                                      Надеюсь, все встало на свои места. Я сам использую устройства с iOS и MacOS и, поверьте, лично заинтересован...

                                                                                • 0

                                                                                  Когда в Удмуртии можно ждать? Конкретно Ижевск интересует.

                                                                                  • 0

                                                                                    Постараемся запуститься в августе. Не "бейте" сильно если чуток задержимся.

                                                                                    • 0
                                                                                      Задерживаетесь? :)
                                                                                      Просто всё ещё не наблюдаю в доступных услугах ничего связанного с IPv6.
                                                                                      • +1
                                                                                        К сожалению, да…
                                                                                        Техника на всей территории кроме Дальнего Востока и «города-спутника» Норильск настроена. Абоненты Москвы и соседних областей уже не должны «терять» IPv6 адрес при перемещении по бОльшей части страны. Август оказался крайне непродуктивным месяцем для работ. Нам осталось добить бумажно-административные формальности.
                                                                                        • +1
                                                                                          Доделали Норильск.
                                                                                          • 0

                                                                                            Any updates?
                                                                                            Саратов.
                                                                                            Готов поучаствовать в тестировании)

                                                                                    • 0
                                                                                      Подключил, с настройками APN IPv4+IPv6 сайт test-ipv6.com работает, показывает 10 из 10.
                                                                                      Если поставить исключительно IPv6 — сайт даже не открывается. :)
                                                                                      • 0
                                                                                        Предполагаю, что выдается только IPv4 DNS, и если отключить IPv4, DNS работать не будет.
                                                                                        • 0

                                                                                          Если запрошен IPv6 only, то сеть выдает только IPv6 DNS.
                                                                                          Выдавать IPv4 DNS абоненту у которого нет IPv4 адреса смысла нет.

                                                                                          • 0
                                                                                            нет, выдаются так, какие опции запрашиваются, проверено.
                                                                                            адрес IPv6 доступен снаружи, проверял запуском веб-сервера.
                                                                                            • 0

                                                                                              Я перед тем как написать предыдущий пост, специально проверил. Вот выдержка из сигнального обмена.
                                                                                              Адресную часть я подзатер, чтобы не было лишних соблазнов...


                                                                                              CREATE_SESSION_RESPONSE

                                                                                              [PGW-S5/S2a/S2b]GTPv2C Tx PDU, from 213.87.xx.xx:2123 to 213.87.xx.xx:30512 (135)
                                                                                              TEID: 0x81900020, Message type: EGTP_CREATE_SESSION_RESPONSE (0x21)
                                                                                              Sequence Number: 0x4EA420 (5154336)
                                                                                              GTP HEADER
                                                                                              Version number: 2
                                                                                              TEID flag: Present
                                                                                              Piggybacking flag: Not present
                                                                                              Message Length: 0x0083 (131)


                                                                                              INFORMATION ELEMENTS
                                                                                              CAUSE:
                                                                                              Value:
                                                                                              Cause: EGTP_CAUSE_REQ_ACCEPTED (0x10)
                                                                                              PCE: 0
                                                                                              BCE: 0
                                                                                              CS: 0


                                                                                                  PGW-CONTROL FTEID:
                                                                                                      Value:
                                                                                                          Interface: PGW S5/S8-C
                                                                                                          IPv4 Flag: 1
                                                                                                          IPv6 Flag: 0
                                                                                                          Teid: 0x83242121
                                                                                                          IPV4 Addr: 213.87.xx.xx
                                                                                              
                                                                                                  PDN ADDRESS ALLOC:
                                                                                                      Value:
                                                                                                          PDN Type: IPV6
                                                                                                          IPV6 Addr: 2a00:1fa0:4680:bbbb:cccc:dddd:eeee:ffff
                                                                                              
                                                                                                  APN RESTRICTION:
                                                                                                      Value: 0
                                                                                              
                                                                                                  AGGREGATE MAX BIT RATE:
                                                                                                      Value:
                                                                                                          Uplk AMBR: 314573 kbps
                                                                                                          Dnlk AMBR: 314573 kbps
                                                                                              
                                                                                                  PCO:
                                                                                                      Container id: 0x0003 (IPv6-DNS-Server)
                                                                                                      Container length: 0x10 (16)
                                                                                                      Container content:
                                                                                                           IPv6 DNS Address: 2a02:28:2:3::116
                                                                                                      Container id: 0x0010 (Link MTU)
                                                                                                      Container length: 0x02 (2)
                                                                                                      Container content:
                                                                                                          Link MTU: 1500
                                                                                              
                                                                                                  BEARER CONTEXT CREATED:
                                                                                                      Value:
                                                                                                          EPS BEARER ID:
                                                                                                              Value: 5
                                                                                              
                                                                                                          CAUSE:
                                                                                                              Value:
                                                                                                                  Cause: EGTP_CAUSE_REQ_ACCEPTED (0x10)
                                                                                                                  PCE: 0
                                                                                                                  BCE: 0
                                                                                                                  CS: 0
                                                                                              
                                                                                                          PGW-DATA FTEID:
                                                                                                              Value:
                                                                                                                  Interface: PGW S5/S8-U
                                                                                                                  IPv4 Flag: 1
                                                                                                                  IPv6 Flag: 0
                                                                                                                  Teid: 0x814DC1221
                                                                                                                  IPV4 Addr: 213.87.xx.xx
                                                                                              
                                                                                                          CHARGING ID:
                                                                                                              Value: 0x0A5489FE

                                                                                              В телефоне, обычно, можно настроить DNS сервера руками.

                                                                                        • 0
                                                                                          Блокировать или не блокировать — слишком категорично.
                                                                                          Разумно будет блокировать по-умолчанию, чтобы оградить рядовых пользователей, которым это и не нужно, но предоставить возможность убрать эту меру защиты по инициативе пользователя. Если есть, конечно, такая техническая возможность.
                                                                                          • 0
                                                                                            А как обстоит дело с поддержкой IPv6 в connect manager идущем в комплекте с LTE модемами?
                                                                                            • 0
                                                                                              Запрос в сторону моих коллег, замимающимся общением с поставщиками абонентского оборудования, я сделал год назад. Очень надеюсь, что все современные модемы/роутеры будут поддерживать IPv6. Будем надеяться, что этот паровоз уже не остановить. Справедливости ради, скажу, что сам на Мас-е использую не наш брэндированный Connect manager, а оригинальный Mobile Partner. Правда получить на старом модеме Huawei мне пока не удалось.
                                                                                              • 0
                                                                                                У всех модемов и портативных маршрутизаторов Huawei, которые есть у меня, по умолчанию отключен IPv6. Huawei продает это как дополнительную опцию при брендировании. Включается довольно просто, но для этого нужно модифицировать прошивку.

                                                                                                Хотелось бы проверить IPv6 на МТС не в Москве. Как это возможно устроить?
                                                                                                • 0
                                                                                                  Услуга на картах Москвы и соседних с Москвой областей уже будет работать в Северо-Западе и на Юге. В остальных регионах (кроме Дальнего Востока) поддержку IPv4v6 для этих SIM карт планируем включить на следующей неделе. Возможность подключения на местные карты планируем сделать уже совсем скоро.
                                                                                            • +1
                                                                                              Всем привет!
                                                                                              Сегодня день запуска IPv6 на бОльшей части страны. Если возникнут проблемы — пишите в личку и я постараюсь помочь.
                                                                                              Прошу прощение за задержку. Техника действительно была готова в середине августа.

                                                                                              Дальний Восток делаем. Уже боюсь что-то обещать, но у меня цель доделать все регионы до конца этого года.
                                                                                              • 0
                                                                                                Появилась новость на региональных сайтах МТС.

                                                                                                image

                                                                                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                Самое читаемое