アカウント名:
パスワード:
自宅に IPv6 を導入して使ってみた経験がありますが(今は嫌気がして完全に無効にしていますが)、IPアドレスが長すぎるので、不便極まりないです。
256^4 だったIPv4 アドレスが足りなくなって困りだしたとき、 256^5 にすればよかったのに、256^16 なんかにしたのが間違いだったと思います。
IPv4: 4,294,967,296 個 (例) 10.51.45.123このぐらいで十分足りたはず: 1,099,511,627,776 個 (例) 10.51.45.123.45IPv6: 340,282,366,920,938,463,463,374,607,431,768,211,456 個 (例) fc00:0123:2580:af05:454f:4b7e
また足りなくなったら? と思うかもしれませんが、無駄に大きなブロックでの割り当てと、プライベートIPアドレスで十分なところへの割り当てを行わなければ、1兆個で足りなくなるはずはありません。
この 256^16 がどれだけ馬鹿げているかを電話番号に例えると、電話番号が11桁(090-1234-5678)で足りなくなったから、 34桁(090-1234-5678-1234-5678-9012-3456-7890-123)にしたようなものです(比はほぼ等しくしています)。
「IPアドレスを直接打たずにコピペすれば良い」なんて意見は「電話番号を直接打たずに電話帳アプリを使えばよい」と同レベルの考えです。現実的には、IPアドレスを直接手書きでメモで書いたり、機器にポストイットで貼り付けたりする機会もあるでしょう。
そのうえならば、IPv4 のときは事実上LAN内ではローカルIPアドレスを1つ割り当てるだけですみましたが、事実上1つの端末に最低3個のIPアドレスが必要なので不便極まりないです。IPv6でNATが必要なくなるのがメリットという話がありましたが、どう考えてもNATの方が楽です。
例 [IPv4]プライベートIPアドレス : 10.0.1.1 と 外部向けに共通グローバルIP [IPv6]固定IPv6アドレス : fc00:0123:2580:af05:454f:4b7e一時IPv6アドレス : fc00:0123:b5a5:c2f7:164f:6de4リンクローカルIPv6アドレス : fe80:0123:2580:af05:454f:4b7e%9
ただ、IPv6のアドレスが今より短かったとしても移行が進まない問題は同じように発生したでしょうけど。
ipv6は、なんで8でなくて、16バイトなの、という話は超FAQで、「インターネットの経路集約しやすくするためだ」ってのが答えのはず。そして、「プライベートIPアドレス嫌い、昔の全部グローバル時代がよかった」人がつくったので、全部グローバルにする前提。(エンドツーエンドの原則って名前が付いてるけど)下64bitは自動割り振りだけど、スタティックな割り振りができないわけじゃあないから、ルータはみんな::1だ、とか1Fの機械はみんな::1:0/120で2Fは::2:0/120で、とか運用できるよ別に。したいならだけど。上64bitの方はネットワークで同一なわけで、覚えてなくても自分のIPV6アドレスがあれば解るし。
あと、なんかリンクローカルアドレスを誤解しているけど、アレはほとんどプロトコルの内部用で、一般人が使う用途じゃないし。IFが複数あったときに、アドレス+IF指定しないとつながらないから不便すぎるし。
IPv6をパススルーするだけの安物ルーターは論外だけど、NTTのHGWとか多少まともなIPv6対応のルータなら、IPv4と同様にポート指定のフィルタリングができるから、きちんと定義すればよい。
ファイアーウオールを立てればすむ話、というのが答えだったはず。デフォルト動作として、外から中は全拒否して、中から外は許可にすればよくて、そういう機能をいまでいう「ブロードバンドルータ」なり「ワイヤレスルータ」が持てばいい。そういう機械なくてもグローバルアドレス降ってくるよね、っていうのはその通りだけど、今だってPCに直接PPPoE喋らせるような構成はあるわけで。
あ、あとは、「IPv6の64bit空間はポートスキャン無理ですから」ってところ。どちにしろ初手は中から外へ通信して相手を決定する必要がある、みたいな話。
となると、バッファロー、 NEC 、エレコム、 IO-DATA 等のブロードバンドルータベンダの活躍を期待ですね。 FortiGate などの専業ベンダがお安いモノを出してくれてもいいんですが、オーバースペックになりそうだし…… IPv4 が足りなくて、 IPv6 へ移行しつつあるところのユーザはどうしてるんでしょうね、そんな NIC 管轄エリアはまだない?
>PIP (プライベート IP アドレス)嫌いで NAPT または IP マスカレード嫌いなのはいいんですけど、セキュリティどうしたらいいのかすごーく疑問です。
NAPT、IPマスカレードとネットワークセキュリティは直接は関係ないよね。ACLをどう設定するかだけのはなしだけではない?
なるほど。一般家庭ではファイアウォールちゃんといれてないよ、という話だったのですね。そりゃ、たしかに危ない。
デフォルト設定でインバウンドのTCP SYN すべて拒否、みたいなのを必ずいれるようにしとけ的な話ですね。
v4のグローバルとv6のグローバルを同一視してはいけないと思うな。v4なんかしょっちゅうポートスキャンが回ってて、無防備なホストはたちまちそこからセキュリティホールを突かれてしまうけど、v6だと/64をポートスキャンするとか無理な話だし、使うアドレス自体エフェメラルになるからまず一般人の(DNS登録されてない)v6アドレスを得るのが難しい。
一応、家庭用ルータのガイドラインで、デフォルトで外から内側への接続を遮断する事が必須、とされています。 IPv6家庭用ルータガイドライン【第2.0版】 [v6pc.jp](「4.1.1 外部からのアクセスの制限」参照)
実際、NVR-500 で普通に設定すると、そんなフィルタがデフォルトで有効になっていました。もっとも自分は、あれこれいじっている最中、IPv6 に一切フィルタがない状態が一週間ぐらいあったのですが、おうちサーバへの IPv6 による SSH アクセスは全くありませんでした。
IPv6 がマイナー、という事もあると思いますが、アドレス空間が大きすぎて、スキャンの効率が悪すぎる、というのはあると思います。通常、ISP からは 64bit のプレフィックスが渡ってきて、残り 64bit を契約者は自由に使えます。仮に、自分に割り当てられている 64 bit のプレフィックスがターゲットになっても、残り 64 bit のアドレス空間の中から、実際に生きている数個のアドレスを当てるのは、気が遠くなります。
全員グローバルなら、ブラックリスト・ホワイトリストが発達するんじゃないかな。ヒューリスティックにブラックさが判別できるようになったり。
IPv6の場合、ルータとかグローバル公開しているサーバとかを除けば、基本的にはDHCPv6等での配布や自動設定だから、クライアントレベルではアドレス設定することはまずない。LAN内のローカル通信ならIPv4のプライベートアドレスで十分だし、インフラSEでもなければ、わざわざIPv6アドレスを入力して使うなんて、かなり稀だ。せいぜい、疎通確認でpingするときに使うぐらいじゃないの?
基本的にはDHCPv6等での配布や自動設定だから、クライアントレベルではアドレス設定することはまずない。
確かに、IPv6ではMACアドレスなどをもとに自動設定されるのが基本ではありますが、IPv4 でもルータなどがDHCPでIPアドレスを自動割り当てするのが一般的だったので、IPv4 と大差ありません。
IPv4 環境でしょっちゅうIPアドレスを打ち込む使い方をしている人ならば、なんだかんだいっても結局 IPv6 になっても頻繁に打ち込むはめになると思います。勿論、LAN内にDNSサーバを立てればその回数は減らせるでしょうが、構築・メンテナンス・トラブル時には結局打ち込むはめになるでしょう。
LAN内のローカル通信ならIPv4のプライベートアドレスで十分だし、インフラSEでもなければ、わざわざIPv6アドレスを入力して使うなんて、かなり稀だ。
「IPv4のプライベートアドレス」を使うのでしたら IPv6 に移行したとはいえないのでは? IPv6 の「リンクローカルアドレス」と IPv4 のプライベートIPアドレスの両方を割り当てることになって管理が大変になると思います。IPv6 には「リンクローカルアドレス」というものがあるのに、それを使わないのはIPv6アドレスが長すぎる故に入力が面倒だし覚えられないからですよね。
LAN内のローカル通信だと、IPv4 であれば例えばルータの設定画面に行きたかったら、ブラウザ起動して「10.0.0.1」と入れるだけだったり、プリンタの設定を変えたかったら「10.0.0.4」と入れるだけ、3階のPCにWindowsネットワークでつなぎたかったらエクスプローラに「\\10.0.3.2」と入れるだけ、と簡単に記憶できる数値とドットを入れるだけですぐ自由自在に好きなところにつなげるのがメリットだと思います。
(IPv4の場合の例) (IPv6の場合の例)10.0.0.1 … ルータ fe80::223:4567:89ab:cdef%5 のようなMACアドレスをもとに自動生成されたリンクローカルアドレス10.0.0.2 … NAS 110.0.0.3 … NAS 210.0.0.4 … プリンタ10.0.1.1 … 1階PC110.0.1.2 … 1階PC210.0.2.1 … 2階PC10.0.3.1 … 3階PC110.0.3.2 … 3階PC2
一方、IPv6 だとリンクローカルアドレスが長くて覚えにくいしうち込みにくい。自分のパソコンのブラウザのブックマークに「プリンタの設定用のIPアドレス」を入れてしても、例えば家族のPCから入りたかったらわざわざ自分のパソコンを立ち上げてメールで長ったらしい「IPv6リンクローカルアドレス」を送るといった面倒な作業をすることになります。
せいぜい、疎通確認でpingするときに使うぐらいじゃないの?
トラブル解決のためにIPアドレスを含むコマンドを打ち込む回数は、IPv6 になって固定IPv6アドレス、一時IPv6アドレス、リンクローカルIPv6アドレス(IPv4を併用しているならそのアドレスも)と1つの端末に割り当てられたIPアドレスの数が増えたことによって増加することになります。
プライベートアドレスの代わりはリンクローカルアドレスじゃなくて ULA。
インターネット10分講座:IPv6アドレス~技術解説~ [nic.ad.jp](「3.4 ユニークローカルIPv6ユニキャストアドレス(ULA)」参照)
リンクローカルアドレスは同一セグメント限定で、近隣探索(IPv4 での ARP に相当)とか DHCPv6 とかで使うものなので、これを意識する必要はない(DHCPv6 とかのトラブルを調べるのにパケットをキャプチャして、その時のリンクローカルアドレス...、でも、その手のトラブルの時は MAC アドレスをキーにして調べるから、やっぱりリンクローカルアドレスは見ないなぁ)。
なんで、
トラブル解決のためにIPアドレスを含むコマンドを打ち込む回数は、IPv6 になって固定IPv6アドレス、一時IPv6アドレス、リンクローカルIPv6アドレス
少なくとも、ping で疎通確認するのに相手のリンクローカルアドレスを使うことは無いなぁ。一時アドレスが振られているなら、その時点で、リンクアップして RA なり DHCPv6 なりのパケットを取れていることになるし。
自分が一番はまったのは、内部では一時アドレスは使わないけど、インターネットに抜けていくときにはグローバルな一時アドレスにしたい、と思うと、少なくとも Windows 7 までのポリシーテーブルだと、内部の通信でもグローバルな一時アドレスが優先されること。この辺の顛末は、下記のページに。
おうちに IPv6 がやってきた - その5 [hatena.ne.jp]
IPv4 環境でしょっちゅうIPアドレスを打ち込む使い方をしている人ならば、なんだかんだいっても結局 IPv6 になっても頻繁に打ち込むはめになると思います。
なら、v6 も手動で振れば?
IPv4 10.0.0.1, IPv6 fe80::1IPv4 10.0.0.2, IPv6 fe80::2IPv4 10.0.0.3, IPv6 fe80::3
これぐらいならそれほど面倒ではありませんよ。リンクローカルアドレスが手動設定できない困った OS を使っているとしても、それはその OS の問題であって、IPv6 の問題ではありませんね。
そもそも不足しているのはグローバル IP アドレスであって、グローバル IPv4 の代わりに IPv6 への移行が言われているわけで、プライベートな 10.0.0.1 を IPv6 アドレスに置き換えるという話をするのが筋違いです。
グローバルアドレスをIPv4からIPv6に移行したとして、内部を移行しないとすれば、どこかでIPv4/v6トランスレートが必要になる。あれもまた簡単な話じゃないんだが。(なによりデファクトスタンダードといえるものがない。どれも一長一短で。)
IPv6を使う場合でもDNS登録しておけばいいのだし、イントラネット内はIPv4で、外部へはPROXYサーバ経由のみにして、PROXYサーバがIPv6サイトにもアクセス可能になっていれば、当分間に合うよな。無理にイントラネット内をIPv6対応する必要性を感じない。社内からの基本Web以外のアクセスを全部禁止するポリシーだしね。不要アクセスの制限もその方が楽だしね。
httpsの通信はどうするの。proxyを通してIPv4/v6変換をするってことは、proxyサーバで一度復号するの?クライアントが確認できるのは、Proxyサーバの証明書だけ?
すくなくともSquid3をフォワードプロキシとして使うならその辺うまいこと暗号は保持したままIPv4/IPv6トランスレートしてしてくれる心配しなくてよろしい。クライアント←→Squid間IPv4, Squid←→目的サーバ間はIPv6で通信できる。証明書云々は気にしなくてよい。
https(SSL)はセッション層(第5層)レベルでの暗号化です。
トランスポート層(第4層、TCPやUDP)レベル以上のデータは(暗号化されたものでも)そのまま素通しする形で、ネットワーク層(第3層)をIPv4からIPv6に変換すれば、アプリケーション層レベルの通信での暗号を「復号・再暗号化」する必要はありません。
#「データリンク層(第2層、WiFiやイーサネットなど)レベルでの変換とかをしても、ネットワーク層以上の通信には影響しない」のと同じことが、ネットワーク層でも言えるわけです。
ただし、HTTPSは問題ありませんが、上述の変換が実現可能となる前提としては「アプリケーション層レベルプロトコルでの通信内容にIPアドレスの情報が含まれない」ようなプロトコルである必要があります。
例えばFTPは、そのアプリケーション層プロトコルレベルで「データコネクションについての情報交換」というIPアドレスについての情報交換がありますので、暗号化したままIP変換することはできません。これは、V4-V6変換にかぎった話ではなく、いわゆる普通の「NAT」でも問題になります。
そのため、ただのNATでも、httpなんかはデータを素通しさせるだけですが、ftpだけはNATルーターなどの内部でアプリケーション層レベルでのパケット内容の改変が行われています。
そういうものですから、そのままの素のFTPの場合、over SSL でNATを超えることはできません。その対策としては、FTPのプロトコルが拡張されて、IPアドレスを使わない情報交換コマンドEPRT/EPSVが定義されています。 [biglobe.ne.jp]FTPSでNATやv4-v6変換を通したい場合は、EPSV対応のサーバとクライアントを使う必要がある、ということになります。
一般的なプロトコルでこういう問題があるのはFTPぐらいですが、その他、独自のプロトコルを使ってるものでは、そのプロトコルによってはv4-v6ゲートウェイを通して通信ができない可能性はあります。でも、まあとりあえず、HTTPSについてはv4-v6変換しても問題ない、ということで。
そうだよ。だからとても危険なの。誰がどう運用しているのかわからないようなPublic PROXYサーバなんか、セキュリティを気にしているなら使うなってことでもある。やろうと思えば、PROXYで覗き見し放題だしね。
~気がします。~じゃないかと。~じゃないかなとか思ったり。~だと感じています。~とみています。~と思うんです。~と願ってます。
事実を一個も書かずに感想だけを書き続けられるのはすごい才能だと思います。
中途半端に増やすと、また増やすとき問題があるからだろ 全宇宙レベルでも使うかもしれないし
人類より進んだ宇宙人がいたとして遅れた地球のIPでの通信を強要できるのか??
そこはゲートウェイを使って ごにょごにょと でも宇宙人だとしても 基本原理は変わらないと思うけど
たぶん逆の状況になるでしょうね。地球ローカルネットで、なにグローバルアドレス割り当てまくってるんだよと怒られるの必至。
CPUのアドレス空間だって、32bitで足りなくなった時に64bitにしたけどやっぱ長すぎたんで48bitとか40bit以上は無効にして使ってるよ。
MACアドレスに先見の明?
なんかビルゲイツがメモリは640Kで充分だろとか言ってたのと同じ臭いがする。IPv4の使い方そのままでv6にすればそれは不便だろうに。
> なんかビルゲイツがメモリは640Kで充分だろとか言ってた このデマを吹いてまわる人、なかなか減らないなぁ...ネットがIPv6に切り替わる頃には、いなくなってるだろうか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
IPv6 のアドレスは長すぎた (スコア:4, 興味深い)
自宅に IPv6 を導入して使ってみた経験がありますが(今は嫌気がして完全に無効にしていますが)、IPアドレスが長すぎるので、不便極まりないです。
256^4 だったIPv4 アドレスが足りなくなって困りだしたとき、 256^5 にすればよかったのに、256^16 なんかにしたのが間違いだったと思います。
また足りなくなったら? と思うかもしれませんが、無駄に大きなブロックでの割り当てと、プライベートIPアドレスで十分なところへの割り当てを行わなければ、1兆個で足りなくなるはずはありません。
この 256^16 がどれだけ馬鹿げているかを電話番号に例えると、電話番号が11桁(090-1234-5678)で足りなくなったから、
34桁(090-1234-5678-1234-5678-9012-3456-7890-123)にしたようなものです(比はほぼ等しくしています)。
「IPアドレスを直接打たずにコピペすれば良い」なんて意見は「電話番号を直接打たずに電話帳アプリを使えばよい」と同レベルの考えです。現実的には、IPアドレスを直接手書きでメモで書いたり、機器にポストイットで貼り付けたりする機会もあるでしょう。
そのうえならば、IPv4 のときは事実上LAN内ではローカルIPアドレスを1つ割り当てるだけですみましたが、事実上1つの端末に最低3個のIPアドレスが必要なので不便極まりないです。IPv6でNATが必要なくなるのがメリットという話がありましたが、どう考えてもNATの方が楽です。
ただ、IPv6のアドレスが今より短かったとしても移行が進まない問題は同じように発生したでしょうけど。
Re:IPv6 のアドレスは長すぎた (スコア:5, 参考になる)
ipv6は、なんで8でなくて、16バイトなの、という話は超FAQで、「インターネットの経路集約しやすくするためだ」ってのが答えのはず。そして、「プライベートIPアドレス嫌い、昔の全部グローバル時代がよかった」人がつくったので、全部グローバルにする前提。(エンドツーエンドの原則って名前が付いてるけど)
下64bitは自動割り振りだけど、スタティックな割り振りができないわけじゃあないから、ルータはみんな::1だ、とか1Fの機械はみんな::1:0/120で2Fは::2:0/120で、とか運用できるよ別に。したいならだけど。
上64bitの方はネットワークで同一なわけで、覚えてなくても自分のIPV6アドレスがあれば解るし。
あと、なんかリンクローカルアドレスを誤解しているけど、アレはほとんどプロトコルの内部用で、一般人が使う用途じゃないし。IFが複数あったときに、アドレス+IF指定しないとつながらないから不便すぎるし。
Re:IPv6 のアドレスは長すぎた (スコア:1)
NAPT 使ってると、外部から直接端末にアクセスするには難易度が高いわけで、 IPv6 になるとエンドツーエンドの名目でお外から直接アプローチできちゃうことが予想されます。 現在でも bot が多いのに、どうすんだ?と。
個人的には今の家庭用ブロードバンドルータ君にガンバってもらって、おうちでは外側には GIP つかってもらって、内側では全部リンクローカルで通信してくれると今の NAPT 風になるかなーと期待していますが、そんなの売ってないみたいだし。 端末まで GIP ほしいなら DHCPv6-PD でも使ってもらえばいいかなと。
Re:IPv6 のアドレスは長すぎた (スコア:1)
IPv6をパススルーするだけの安物ルーターは論外だけど、NTTのHGWとか多少まともなIPv6対応のルータなら、IPv4と同様にポート指定のフィルタリングができるから、きちんと定義すればよい。
Re:IPv6 のアドレスは長すぎた (スコア:1)
ファイアーウオールを立てればすむ話、というのが答えだったはず。
デフォルト動作として、外から中は全拒否して、中から外は許可にすればよくて、そういう機能をいまでいう「ブロードバンドルータ」なり「ワイヤレスルータ」が持てばいい。
そういう機械なくてもグローバルアドレス降ってくるよね、っていうのはその通りだけど、今だってPCに直接PPPoE喋らせるような構成はあるわけで。
あ、あとは、「IPv6の64bit空間はポートスキャン無理ですから」ってところ。どちにしろ初手は中から外へ通信して相手を決定する必要がある、みたいな話。
Re:IPv6 のアドレスは長すぎた (スコア:1)
となると、バッファロー、 NEC 、エレコム、 IO-DATA 等のブロードバンドルータベンダの活躍を期待ですね。 FortiGate などの専業ベンダがお安いモノを出してくれてもいいんですが、オーバースペックになりそうだし…… IPv4 が足りなくて、 IPv6 へ移行しつつあるところのユーザはどうしてるんでしょうね、そんな NIC 管轄エリアはまだない?
Re:IPv6 のアドレスは長すぎた (スコア:1)
>PIP (プライベート IP アドレス)嫌いで NAPT または IP マスカレード嫌いなのはいいんですけど、セキュリティどうしたらいいのかすごーく疑問です。
NAPT、IPマスカレードとネットワークセキュリティは直接は関係ないよね。
ACLをどう設定するかだけのはなしだけではない?
Re:IPv6 のアドレスは長すぎた (スコア:1)
私のようなシロートが、 GIP を割り振られる PC を ONU やモデムに直結しているとアタックされて、 bot に仕立て上げられて、 bot ネットに組み込まれるのだろうなと思います。
GIP であっても適切に制御されたファイアウォールがあれば、リスクは下がるのでしょうが、そういう教育を受けたこともない、レベルの低い一般ユーザにそれを求めるのはムリがあります。 なんでも OK ボタンを押しちゃう人、反対に怖いからといって、 update を求めてくる表示があってもすべて「後で」とか「キャンセル」しちゃって全然セキュリティアップデートされない人、そういう人らをたくさん見ています。
そんなわけで、完全フールプルーフにしろとは思いませんが、今のお安いブロードバンドルータ程度のお値段で、現在の NAPT 程度には PC やスマホ等の端末類を守ってくれるモノ(ソフトでもハコでも)がほしいのですが、見当たらなくて、どうしたものかと途方にくれます。 IPv4 が枯渇すると必然的に IPv6 で接続せざるを得なくなってくるハズですが、「そのころには安い、そこそこのものが出てるから安心しろ」とはだれも言えなさそうで、杞憂に終わることを願っていつつも心配しています。
Re:IPv6 のアドレスは長すぎた (スコア:1)
なるほど。一般家庭ではファイアウォールちゃんといれてないよ、という話だったのですね。
そりゃ、たしかに危ない。
デフォルト設定でインバウンドのTCP SYN すべて拒否、みたいなのを必ずいれるようにしとけ的な話ですね。
Re:IPv6 のアドレスは長すぎた (スコア:1)
v4のグローバルとv6のグローバルを同一視してはいけないと思うな。
v4なんかしょっちゅうポートスキャンが回ってて、無防備なホストはたちまちそこからセキュリティホールを突かれてしまうけど、
v6だと/64をポートスキャンするとか無理な話だし、使うアドレス自体エフェメラルになるからまず一般人の(DNS登録されてない)v6アドレスを得るのが難しい。
Re:IPv6 のアドレスは長すぎた (スコア:1)
一応、家庭用ルータのガイドラインで、デフォルトで外から内側への接続を遮断する事が必須、とされています。
IPv6家庭用ルータガイドライン【第2.0版】 [v6pc.jp](「4.1.1 外部からのアクセスの制限」参照)
実際、NVR-500 で普通に設定すると、そんなフィルタがデフォルトで有効になっていました。もっとも自分は、あれこれいじっている最中、IPv6 に一切フィルタがない状態が一週間ぐらいあったのですが、おうちサーバへの IPv6 による SSH アクセスは全くありませんでした。
IPv6 がマイナー、という事もあると思いますが、アドレス空間が大きすぎて、スキャンの効率が悪すぎる、というのはあると思います。通常、ISP からは 64bit のプレフィックスが渡ってきて、残り 64bit を契約者は自由に使えます。仮に、自分に割り当てられている 64 bit のプレフィックスがターゲットになっても、残り 64 bit のアドレス空間の中から、実際に生きている数個のアドレスを当てるのは、気が遠くなります。
Re:IPv6 のアドレスは長すぎた (スコア:1)
NVR500 の現在の入手価格は 15 年くらい前のルータのお値段くらいですかね。 同じペースで入手価格が下がるとあと 5 年で一万円くらいになると期待しています。
プロバイダが IPv6 対応してくれないので、自宅の IX2105 が IPv6 しゃべる前に陳腐化・老朽化しそうです。 こんな高いルータは勧められませんしね。
Re: (スコア:0)
全員グローバルなら、ブラックリスト・ホワイトリストが発達するんじゃないかな。ヒューリスティックにブラックさが判別できるようになったり。
Re:IPv6 のアドレスは長すぎた (スコア:2, すばらしい洞察)
IPv6の場合、ルータとかグローバル公開しているサーバとかを除けば、基本的にはDHCPv6等での配布や自動設定だから、クライアントレベルではアドレス設定することはまずない。LAN内のローカル通信ならIPv4のプライベートアドレスで十分だし、インフラSEでもなければ、わざわざIPv6アドレスを入力して使うなんて、かなり稀だ。せいぜい、疎通確認でpingするときに使うぐらいじゃないの?
Re:IPv6 のアドレスは長すぎた (スコア:2, オフトピック)
確かに、IPv6ではMACアドレスなどをもとに自動設定されるのが基本ではありますが、IPv4 でもルータなどがDHCPでIPアドレスを自動割り当てするのが一般的だったので、IPv4 と大差ありません。
IPv4 環境でしょっちゅうIPアドレスを打ち込む使い方をしている人ならば、なんだかんだいっても結局 IPv6 になっても頻繁に打ち込むはめになると思います。勿論、LAN内にDNSサーバを立てればその回数は減らせるでしょうが、構築・メンテナンス・トラブル時には結局打ち込むはめになるでしょう。
「IPv4のプライベートアドレス」を使うのでしたら IPv6 に移行したとはいえないのでは? IPv6 の「リンクローカルアドレス」と IPv4 のプライベートIPアドレスの両方を割り当てることになって管理が大変になると思います。IPv6 には「リンクローカルアドレス」というものがあるのに、それを使わないのはIPv6アドレスが長すぎる故に入力が面倒だし覚えられないからですよね。
LAN内のローカル通信だと、IPv4 であれば例えばルータの設定画面に行きたかったら、ブラウザ起動して「10.0.0.1」と入れるだけだったり、プリンタの設定を変えたかったら「10.0.0.4」と入れるだけ、3階のPCにWindowsネットワークでつなぎたかったらエクスプローラに「\\10.0.3.2」と入れるだけ、と簡単に記憶できる数値とドットを入れるだけですぐ自由自在に好きなところにつなげるのがメリットだと思います。
一方、IPv6 だとリンクローカルアドレスが長くて覚えにくいしうち込みにくい。自分のパソコンのブラウザのブックマークに「プリンタの設定用のIPアドレス」を入れてしても、例えば家族のPCから入りたかったらわざわざ自分のパソコンを立ち上げてメールで長ったらしい「IPv6リンクローカルアドレス」を送るといった面倒な作業をすることになります。
トラブル解決のためにIPアドレスを含むコマンドを打ち込む回数は、IPv6 になって固定IPv6アドレス、一時IPv6アドレス、リンクローカルIPv6アドレス(IPv4を併用しているならそのアドレスも)と1つの端末に割り当てられたIPアドレスの数が増えたことによって増加することになります。
Re:IPv6 のアドレスは長すぎた (スコア:5, 参考になる)
プライベートアドレスの代わりはリンクローカルアドレスじゃなくて ULA。
インターネット10分講座:IPv6アドレス~技術解説~ [nic.ad.jp](「3.4 ユニークローカルIPv6ユニキャストアドレス(ULA)」参照)
リンクローカルアドレスは同一セグメント限定で、近隣探索(IPv4 での ARP に相当)とか DHCPv6 とかで使うものなので、これを意識する必要はない(DHCPv6 とかのトラブルを調べるのにパケットをキャプチャして、その時のリンクローカルアドレス...、でも、その手のトラブルの時は MAC アドレスをキーにして調べるから、やっぱりリンクローカルアドレスは見ないなぁ)。
なんで、
少なくとも、ping で疎通確認するのに相手のリンクローカルアドレスを使うことは無いなぁ。一時アドレスが振られているなら、その時点で、リンクアップして RA なり DHCPv6 なりのパケットを取れていることになるし。
自分が一番はまったのは、内部では一時アドレスは使わないけど、インターネットに抜けていくときにはグローバルな一時アドレスにしたい、と思うと、少なくとも Windows 7 までのポリシーテーブルだと、内部の通信でもグローバルな一時アドレスが優先されること。この辺の顛末は、下記のページに。
おうちに IPv6 がやってきた - その5 [hatena.ne.jp]
Re:IPv6 のアドレスは長すぎた (スコア:3)
なら、v6 も手動で振れば?
IPv4 10.0.0.1, IPv6 fe80::1
IPv4 10.0.0.2, IPv6 fe80::2
IPv4 10.0.0.3, IPv6 fe80::3
これぐらいならそれほど面倒ではありませんよ。リンクローカルアドレスが手動設定できない困った OS を使っているとしても、それはその OS の問題であって、IPv6 の問題ではありませんね。
そもそも不足しているのはグローバル IP アドレスであって、グローバル IPv4 の代わりに IPv6 への移行が言われているわけで、プライベートな 10.0.0.1 を IPv6 アドレスに置き換えるという話をするのが筋違いです。
Re: (スコア:0)
グローバルアドレスをIPv4からIPv6に移行したとして、内部を移行しないとすれば、
どこかでIPv4/v6トランスレートが必要になる。あれもまた簡単な話じゃないんだが。
(なによりデファクトスタンダードといえるものがない。どれも一長一短で。)
Re:IPv6 のアドレスは長すぎた (スコア:2)
PC などの各ホストはプライベート IPv4, グローバル IPv6 のアドレスを両方振ることができるのですから、IPv4/v6 トランスレートは必要ありません。
Re: (スコア:0)
IPv6を使う場合でもDNS登録しておけばいいのだし、イントラネット内はIPv4で、外部へはPROXYサーバ経由のみにして、PROXYサーバがIPv6サイトにもアクセス可能になっていれば、当分間に合うよな。無理にイントラネット内をIPv6対応する必要性を感じない。社内からの基本Web以外のアクセスを全部禁止するポリシーだしね。不要アクセスの制限もその方が楽だしね。
Re: (スコア:0)
httpsの通信はどうするの。proxyを通してIPv4/v6変換をするってことは、
proxyサーバで一度復号するの?クライアントが確認できるのは、Proxyサーバの証明書だけ?
Re:IPv6 のアドレスは長すぎた (スコア:1)
すくなくともSquid3をフォワードプロキシとして使うなら
その辺うまいこと暗号は保持したままIPv4/IPv6トランスレートしてしてくれる心配しなくてよろしい。
クライアント←→Squid間IPv4, Squid←→目的サーバ間はIPv6で通信できる。
証明書云々は気にしなくてよい。
Re:IPv6 のアドレスは長すぎた (スコア:1)
https(SSL)はセッション層(第5層)レベルでの暗号化です。
トランスポート層(第4層、TCPやUDP)レベル以上のデータは(暗号化されたものでも)そのまま素通しする形で、
ネットワーク層(第3層)をIPv4からIPv6に変換すれば、
アプリケーション層レベルの通信での暗号を「復号・再暗号化」する必要はありません。
#「データリンク層(第2層、WiFiやイーサネットなど)レベルでの変換とかをしても、ネットワーク層以上の通信には影響しない」のと同じことが、ネットワーク層でも言えるわけです。
ただし、HTTPSは問題ありませんが、
上述の変換が実現可能となる前提としては「アプリケーション層レベルプロトコルでの通信内容にIPアドレスの情報が含まれない」ようなプロトコルである必要があります。
例えばFTPは、そのアプリケーション層プロトコルレベルで「データコネクションについての情報交換」というIPアドレスについての情報交換がありますので、暗号化したままIP変換することはできません。これは、V4-V6変換にかぎった話ではなく、いわゆる普通の「NAT」でも問題になります。
そのため、ただのNATでも、httpなんかはデータを素通しさせるだけですが、ftpだけはNATルーターなどの内部でアプリケーション層レベルでのパケット内容の改変が行われています。
そういうものですから、そのままの素のFTPの場合、over SSL でNATを超えることはできません。
その対策としては、FTPのプロトコルが拡張されて、IPアドレスを使わない情報交換コマンドEPRT/EPSVが定義されています。 [biglobe.ne.jp]
FTPSでNATやv4-v6変換を通したい場合は、EPSV対応のサーバとクライアントを使う必要がある、ということになります。
一般的なプロトコルでこういう問題があるのはFTPぐらいですが、
その他、独自のプロトコルを使ってるものでは、そのプロトコルによってはv4-v6ゲートウェイを通して通信ができない可能性はあります。
でも、まあとりあえず、HTTPSについてはv4-v6変換しても問題ない、ということで。
Re: (スコア:0)
そうだよ。だからとても危険なの。誰がどう運用しているのかわからないようなPublic PROXYサーバなんか、セキュリティを気にしているなら使うなってことでもある。やろうと思えば、PROXYで覗き見し放題だしね。
Re:IPv6 のアドレスは長すぎた (スコア:1)
でもって、 IPv4 と互換性がないのが最も使いにくいところだと感じています。 ま、個人の感想なので、根拠もヘッタクレもありませんけど、互換性がないから枯渇とかいう話が出てくるし、移行もやりにくいとみています。 互換性があれば、特に IPv6 を使っているときには IPv4 の機器にも通信できるようになるなどしていれば、両方に通信できる IPv6 を早く使いたくなると思うんです。 IPv4 でも IPv6 でも意識せずに使えるように早くならんかなぁと願ってます。
Re: (スコア:0)
~気がします。
~じゃないかと。
~じゃないかなとか思ったり。
~だと感じています。
~とみています。
~と思うんです。
~と願ってます。
事実を一個も書かずに感想だけを書き続けられるのはすごい才能だと思います。
Re: (スコア:0)
中途半端に増やすと、また増やすとき問題があるからだろ 全宇宙レベルでも使うかもしれないし
Re: (スコア:0)
人類より進んだ宇宙人がいたとして
遅れた地球のIPでの通信を強要できるのか??
Re: (スコア:0)
そこはゲートウェイを使って ごにょごにょと でも宇宙人だとしても 基本原理は変わらないと思うけど
Re: (スコア:0)
たぶん逆の状況になるでしょうね。
地球ローカルネットで、なにグローバルアドレス割り当てまくってるんだよと怒られるの必至。
Re: (スコア:0)
CPUのアドレス空間だって、32bitで足りなくなった時に64bitにしたけど
やっぱ長すぎたんで48bitとか40bit以上は無効にして使ってるよ。
Re:IPv6 のアドレスは長すぎた (スコア:1)
MC68000「そうだそうだ」
Re:IPv6 のアドレスは長すぎた (スコア:1)
Re: (スコア:0)
MACアドレスに先見の明?
Re: (スコア:0)
なんかビルゲイツがメモリは640Kで充分だろとか言ってたのと同じ臭いがする。
IPv4の使い方そのままでv6にすればそれは不便だろうに。
Re: (スコア:0)
> なんかビルゲイツがメモリは640Kで充分だろとか言ってた
このデマを吹いてまわる人、なかなか減らないなぁ...
ネットがIPv6に切り替わる頃には、いなくなってるだろうか。