Thấy mấy thím bàn ipv6 xôm tụ quá....mà hiện tại ngoài mấy dịch vụ của google ra có cái dịch nào chạy được ipv6 chưa mấy thím
. Ứng dụng thực tiễn của ipv6 là gì?
Nhiều dịch vụ lắm rồi bác ạ. Nhà em thống kê trên firewall IPv6 và IPv4 thì từ lúc reboot router hôm qua (để chắc ăn vụ VLAN MTU đã fix) traffic IPv6 bằng 3.4 lần IPv4 ạ. Thường hàng tháng nhà em ít nhất cũng gấp 2. Hầu hết các site và dịch vụ lớn hỗ trợ hết, khi đó thì thiết bị của bác sẽ ưu tiên sử dụng IPv6.
Thiết bị dùng mạng di động giờ đa phần cũng dùng IPv6, IPv4 di động thì 100% bị NAT phải share địa chỉ với người khác. Ở nhà bác có IPv6 thì mấy trò mở cổng hay bật VPN cứ sử dụng mỗi IPv6 thôi ạ, đóng sạch bên IPv4, không cần quan tâm bị CGNAT. Nhất là không bị bọn nó quét cổng như bên IPv4 ạ. Dải địa chỉ IPv4 quá nhỏ, quét quá dễ. Còn với IPv6 thì bác chọn phần interface ID (IID) của địa chỉ (nửa 64bit cuối của địa chỉ) nó random (không phải kiểu chỉ chọn ::123) là không thằng nào scan hàng loạt nổi ạ. Nó chỉ mò ra địa chỉ của router bác nếu nó biết subdomain bác gán cho địa chỉ đó thôi. Và với IPv6 thì mỗi thiết bị của bác có địa chỉ riêng, khác với địa chỉ của router, và phần đuôi IID thì, để giúp privacy, các thiết bị thay đổi thường xuyên (vài giờ - hàng ngày tùy thiết bị), nên bác dùng thiết bị nối vào các trang hay dịch vụ thì bọn chúng cũng không biết router của bác ở đâu (chỉ biết phần prefix).
Tất nhiên khi dùng IPv6 thì sẽ bị hi sinh mất 20 bytes mỗi packet so với IPv4, coi như hi sinh mất 1.3% băng thông. Bù lại bác không bị lo phải chen chúc với người khác (trường hợp CGNAT) hoặc quay PPPoE vớ phải địa chỉ IPv4 bị các dịch vụ nó ban.
Nat port là đc mà thím
. Hãy tưởng tượng client không đi qua NAT firewall thì nguy cơ bảo mật bị hack nó cao dã man
Vì không có NAT nên các thiết bị đều có địa chỉ từ ngoài nối trực tiếp vào được. Nhưng không có nghĩa là bị phơi ra cho bọn khác tấn công ạ. Tường lửa IPv6 nếu bác cấu hình đúng (thí dụ dùng cái default của MikroTik) thì mặc định sẽ block forwarding từ ngoài tới các thiết bị, nên không khác gì trường hợp dùng IPv4 với NAT. Muốn từ ngoài nối thẳng vào cổng nào đó của 1 thiết bị thì bác vẫn phải bật rule accept chain forward với cổng đó mà thôi, khác một cái là không cần dst-nat và bên ngoài sẽ dùng địa chỉ IP của thiết bị chứ không phải của router. Và nếu nối từ ngoài thì bác thường sẽ sử dụng địa chỉ EUI64 với phần 64bit IID cố định của thiết bị (thường các thiết bị sẽ tự tạo cho mình 2 địa chỉ, một cái với đuôi random, dùng khi nối ra ngoài, một cái đuôi cố định).
Bất tiện chỉ là ở chỗ ISP ở Việt Nam cung cấp prefix IPv6 động thay đổi mỗi khi quay lại PPPoE, nên thường bác sẽ phải chạy một đống script để nó tự update lại prefix trong các address list hay rules này nọ mỗi khi DHCPv6 Client nhận được prefix mới.
Cái bất tiện nhất hiện giờ là khi muốn sử dụng IPv6
bên trong WireGuard (như trường hợp ở ngoài chỗ không đáng tin cậy nối qua WG về nhà để dùng router nhà ra internet và sử dụng các dịch vụ IPv6). Thường gán địa chỉ IPv4 cho các thiết bị WG thì đơn giản (phần Allowed addresses / Allowed IPs) vì chỉ việc chọn địa chỉ cố định trong dải IPv4 private. Nhưng khi muốn các thiết bị có cả địa chỉ IPv6 và dùng được địa chỉ này vào internet thì phải điền địa chỉ IPv6 với prefix đúng vào mục này, tức là phải viết script update mục Allowed addresses của các peers mỗi khi DHCPv6 Client nhận được prefix mới. Cái này thì đơn giản rồi. Tuy nhiên trên các thiết bị vẫn cần phải update địa chỉ IPv6 ở phần Addresses của từng thiết bị, và cái này không tự động hóa được
. Giờ em ở ngoài nối về mà thấy không dùng được IPv6 là lạ phải tắt đi, lấy app query DNS để xem prefix IPv6 ở nhà có bị đổi không, rồi copy cái prefix mới vào cái cấu hình WG trên điện thoại. Rất là thủ công.
Giải pháp sử dụng dải địa chỉ ULA fd00::/8 để có prefix cố định không khả thi vì các thiết bị giờ hạ ưu tiên prefix ULA thấp hơn IPv4 nên sẽ không dùng IPv6 nếu server bên kia hỗ trợ cả IPv4 lẫn IPv6 và thiết bị chỉ có địa chỉ fd00::/8
drive.google.com
docs.google.com
