เนื่องจากเดือนนี้เมื่อ 7 ปีที่แล้ว วันที่ 6 เป็นวัน World IPv6 Launch Day ทั่วทั้งโลกต่างออกมางานตีปี๊บว่า IPv6 มันดีมากๆ รวมทั้ง ISP ไทย ก็ออกมาบรรยายสรรพคุณของ IPv6 ว่า มันดีอะไรบ้าง?
ผ่านมาจากวันนั้นจนกระทั่งวันนี้ ประเทศไทยมี ISP ที่ประสบความสำเร็จในการ deploy IPv6 เพียงไม่ราย ที่เห็นอย่างจริงจังก็ AIS และ 3BB ที่เริ่มให้บริการแล้ว...แต่ก็ถือว่าเป็นส่วนน้อย เพราะ ISP ส่วนใหญ่ รายอื่นๆ เช่น CAT, True, TOT ยังไม่ให้บริการ IPv6 เลย
ผมเลยมีคำถามว่า ทำไม ISP และอินเทอร์เน็ตไทย ถึงไม่ไปไหน? ทำไมเวลาผ่าน 7 ปีก็ยังเงียบกันอยู่? ถ้า IPv6 มันดีจริงแล้ว ทำไม ISP ถึงยังไม่ใช้ ไม่ปรับเปลี่ยนล่ะ? อย่างน้อยๆ ก็ให้บริการในบางพื้นที่เพื่อให้เห็นความเปลี่ยนแปลงก็ยังดีครับ
หลักๆ ก็อุปกรณ์แหละ ติด LSNAT คงบริหารจัดการง่ายกว่ามั้ง
ส่วนต่อมาก็บุคคลากรที่จะมีความรู้พื้นฐานเกี่ยวกับ IPv6 เพื่อแก้ไขปัญหาภายใน และให้บริการต่อลูกค้ายังมีไม่มากพอด้วย เพราะมันจะมีความซับซ้อนมากขึ้น ทำให้ต้นทุนการบริหารจัดการสูงตามไปด้วย ก็เลยมีสภาพทรงๆ กันแบบนี้
อย่างน้อยก็น่าจะให้ขอเปิดเองได้นะครับ นี่ผมตื๊อยังไงก็ไม่มีให้ ?
ป.ล. Blognone ก็ยังไม่มี
ป.ล.2 Blizzard Overwatch ก็ยังไม่รองรับ
ป.ล.3 Google Firebase ก็ยังไม่รองรับ
ถ้าระดับพวก IDC นี่พูดยาก อย่างของผมไปใช้ IDC บางที่มีให้เลยนะ แต่พอเอามาใช้ เวลาติดต่อ NOC จะปวดหัวหน่อยๆ เพราะ trace ให้เรายาก โดนบอก IPv4 อะไรพี่ สรุปปวดหัวเช่นเดิม ใช้ IPv4 อย่างเดียวคุยกันง่ายกว่า
แล้วคำถามก็วนลูป ><"
น่าจะเพราะขี้เกียจและผลประโยชน์ครับ
เปิด IPv6 ก็ต้องทำ dual stack อยู่ดี สู้เปิดแต่ IPv4 NAT ใครอยากได้ public IP ก็จ่ายตังมา แถมค่า manage ค่า service ก็ไม่เพิ่มขึ้นด้วย
ในฐานะที่เคยใช้(เห่อ) dual stack มาซักพัก ตอนนี้ปิด IPv6 ไปละครับ ผมชอบ private IPv4 มากกว่า(ยกเว้นต้องการทำอะไรแบบ public หล่ะนะ)
ส่วน TOT ที่ยังแจก public IP อยู่นี่โดนโจมตีจากจีนกับรัสเซียรัวๆครับ firewall ดักได้อื้อ
Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)
อันนี้เห็นด้วยเลย อีกอย่าง เปิด IPv6 แล้วตั้งค่า security filter ไม่ดี เครื่องภายใน แต่ public ข้างนอกเข้ามาถึงภายในได้หมดนี่ตายเลย พวกเปิดกล้องวงจรปิดงี้ NAS Share ไฟล์งี้ คือ basic practice ของการตั้งค่าให้ปลอดภัยมันยังไม่เยอะพอแบบ IPv4 ด้วยแหละ ><"
แล้วแบบนี้คณะทำงาน IPv6 เขาเข้ามาปรับปรุงหรือกำลังปรับปรุงมาตรฐานหรือเปล่าครับ? เพราะถ้าเริ่ม deploy ให้คนธรรมดาแน่นอนว่า เขาไม่รู้จักการตั้งค่าความปลอดภัยแน่นอน แล้วแบบนี้ก็กลายเป็นว่าในอนาคตถ้าเกิด Windows มีบั๊กความปลอดภัยขึ้นมาก มันก็มีความไม่ปลอดภัยสินะครับ? เพราะปัจจุบัน IPv4 มี NAT คอย Mask ให้ทีนึง
ผมคิดว่าไม่น่าจะเป็นภาระหน้าที่ของคณะทำงานน่ะ
คงต้องให้ตลาดเรียกร้องหนักๆ มั้ง เพราะมันไม่ใช่แค่ ISP ด้วยซิ อุปกรณ์ระดับ consumer ทั้งที่ขายๆ กันอยู่ และที่ผู้ให้บริการต่างๆ มีให้กับลูกค้ามันมีความสามารถด้านนี้ไม่ดีนัก แถมมีปัญหาเสถียรภาพด้วยในบางครั้ง (ช่างบางพื้นที่เอาง่ายเข้าว่า ปิด IPv6 ให้เลย ถ้าเจอปัญหา ซึ่งมันก็แก้ไขได้จริงๆ แหละ)
มันก็เลยไก่กับไข่น่ะ คาราคาซังอยู่แบบนี้
ฝั่ง ipv6 เค้าถือว่ามันไม่ควรจะสแกนได้น่ะครับ ... (บ้านนึงได้ไป /64 ก็คือมี 2^64 ip ให้ scan) ชาตินึงก็ไม่เสร็จ โอกาส scan เจอแทบจะเป็น 0 -- ยกเว้น client ต่อออกไปข้างนอกถึงจะเห็นว่า client ip อะไร
ซึ่งก็มีระบบ temporary ip มาช่วยแก้ตรงนี้รึเปล่าครับ? แต่ implement ให้ใช้งานได้ดีจริงก็คงยากหน่อย
ที่กลัวคือมันโดนทำอะไรสักอย่างแล้วมันวิ่งออกไปข้างนอกเนี่ยแหละ
อ้าวทำไมล่ะครับ? มันมีข้อเสียตรงไหนหรือครับ? แล้วที่ว่า IPv6 เร็วกว่า IPv4 มันเร็วกว่าจริงไหมครับ? พวกเรื่อง ping กับ lantency น่ะครับ...
TOT ผมโดนจนชินแล้วครับ เคยใช้ Mikrotik+TOT เจอเรื่องแสกน IP และพอร์ตว่าเครื่องไหนเปิด ssh ทิ้งไว้จะโดนสุ่ม username กับ password จนต้องไปเขียนสคริปป้องกันการสุ่ม เดาผิด 3 เครื่องแบน IP 30 วัน
"เดาผิด 3 เครื่องแบน IP 30 วัน"
ผมใช้วิธีนี้... (ใน iptables และ ip6tables)
"ผิด 3 ครั้ง drop 5 นาที"
แค่นี้ Bruteforce ก็ต้องใช้เวลาเป็นชาติแล้วล่ะครับ
ประมาณต่อไปนี้ครับ (ไปต่อยอดกันเอาเอง)
filter
:SSH_CHECK - [0:0]
-A INPUT -i eth0 -p tcp --dport 22 -m conntrack --ctstate NEW -j SSH_CHECK
-A SSH_CHECK -m recent --set --name SSH
-A SSH_CHECK -m recent --update --seconds 300 --hitcount 4 --name SSH -j DROP
necessity: ผมยังมองไม่เห็นความจำเป็นในการใช้ครับ (ยกเว้นอยากได้ public IP เพื่อมาทำอะไรซักอย่างโดยเฉพาะ ซึ่งตอนนี้ไม่จำเป็นแล้ว)
reliability: ข้อนี้เป็นปัญหาหลักเลยคือ IPv6 จาก ISP มักมีปัญหาครับ ทั้งปัญหาการแจก prefix ให้ router(เพื่อ router จะได้แจกให้เครื่องลูกได้) ทั้งการ routing ที่มีปัญหาในบางเวลาจนต้อง fallback ไป IPv4 บ่อยๆ ซึ่งการ fallback ตรงนี้ทำให้เสียเวลาครับ(มี latency ประมาณ 50-500ms)
security: router ฝั่ง consumer(ของผม)ในปัจจุบันความสามารถเรื่อง IPv6 firewall ยังมีไม่พอครับ ตัวมันเองสามารถกรองได้แค่ ingress ว่าปลายทางเป็น IPv6 ตัวไหนจะให้ผ่านหรือไม่ให้ผ่าน(ทุก port) กลายเป็นว่าถ้าเราอยากให้ผ่านแค่ port เดียว(เช่นที่เราอยากเปิด public)ไม่สามารถทำได้ครับ ภาระจะไปตกที่เครื่องปลายทาง(ที่ผมไม่รู้ว่า config มายังไงแบบไหนอีกที)
ในกรณี TOT นี่ผมไม่กังวลเลยครับ กรณี IPv4 เราสามารถเลือก forward บาง port ได้อยู่แล้ว(+ปิด UPnP) port ไหนไม่ได้ forward ยังไงก็โดน firewall จับ DROP หมด
ปล. AIS IPv4 มี port ให้ public ได้ครับ(ไม่ใช่ public IP โดยตรงแต่เป็น forward port ที่ specify มาให้เรา) กรณีนี้ตรงกับความต้องการผมพอดีคือต้องการแค่ OpenVPN-server ไว้เชื่อมต่อกับเครื่องข้างในนี่แหละ แถมพอเปลี่ยนจาก IPv6 -> IPv4 นี่ยังเอา obfsproxy มาขั้นกลางได้อีก
Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)
โอเคครับ ขอบคุณมากครับ
ไอ้ที่ forward port มานี่ตอนนี้ผมล็อกอินเข้าไปไม่ได้ละครับ เหมือนมันจะพัง
ISP ที่เกิดใหม่ในยุค IPv4 ไม่พอ ส่วนใหญ่เตรียมตัวพร้อมกับ IPv6 อยู่แล้ว
ส่วน ISP เดิมที่อยู่ในยุค IPv4 มาก่อน ไม่ใช่ว่าไม่มีการเตรียมตัวนะครับ แต่ต้องค่อยๆ ขยับ เนื่องจาก IPv6 ต้องใช้ Routing แบบ IPv6
ผมยกตัวอย่างข้อมูล Routing Scale ของ Cisco ASR 9000 นะครับ https://community.cisco.com/t5/service-providers-documents/asr9000-xr-understanding-route-scale/ta-p/3108356#Understanding_IPv4_and_IPv6_route_scale
จะเห็นว่าอุปกรณ์รองรับ IPv6 Routing Table ได้น้อยกว่า IPv4 ถึงครึ่ง นั่นหมายความว่า ISP ต้องลงทุนในอุปกรณ์เพิ่มเติม เพื่อรองรับ Capability ของการใช้งาน IPV6 ดังนั้น อาจจะไม่ได้มีการเปลี่ยนแปลงทั้งประเทศในทันที เนื่องจากมันมี Core จำนวนมากเชื่อมต่อกันทั้งประเทศ ดังนั้นการเปลี่ยนแปลงจึงเป็นแบบค่อยเป็นค่อยไปครับ เช่นอาจจะเริ่มที่ IIG หรือ Datacenter ก่อน แล้วจึงค่อยขยับไปในแต่ละภาคครับ
อนึ่ง ISP ที่เคย Reserve IPv4 ไว้เป็นจำนวนมาก เขาเองก็ไม่รีบร้อนที่จะเปลี่ยนด้วยครับ อาจจะรออุปกรณ์ EOS ไปก่อน แล้วค่อย Design Routing ใหม่ ในช่วงที่ Install อุปกรณ์ใหม่ทดแทน
พอเข้าใจเรื่องเหตุผลการลงทุนได้ครับ แต่ประเด็น "อุปกรณ์รองรับ IPv6 Routing Table ได้น้อยกว่า IPv4 ถึงครึ่ง" อันนี้คือประเด็นที่ต้องปรับปรุงต่อไปหรือเปล่าครับ? หรือว่ามันคือข้อเสียของ IPv6 ครับ?
ขนาดของ v6 มันใหญ่กว่า v4 4 เท่าตัวน่ะครับ มันเลยเปลืองทรัพยากรมากกว่า v4 เป็นเรื่องปกติ
(แต่ในงานด้าน routing เราสนใจแค่ /64 แรกของ v6 เลยเปลืองขึ้นจริงๆ แค่ 2 เท่า)
True เขาบอกผมแล้วว่าให้บริการรายแรกเลยปี 2012 แต่เฉพาะธุรกิจ ผมก็ส่งสัยว่าธุรกิจใช้ แต่ตามบ้านไม่ได้ใช้ แล้วธุรกิจจะเอาไปทำไมในเมื่อ IPv4 ติดต่อได้ทั้งฝั่งธุรกิจและตามบ้านด้วยกันเองอยู่แล้ว แต่ IPv6 ใช้ได้ในวงจำกัด
สำหรับผมระบบ IPv6 ตอนนี้ก็เหมือน IPv4 เมื่อก่อนนั่นหล่ะในยุคที่ ADSL ช่วงต้นๆมั้งกับก่อนหน้านั้นที่เป็น Modem 56k ต่อ ไม่ก็เป็น card กับ PC เลยต่อตรง IP มาตรงไม่มี NAT จะระวังก็ต้องมี firewall ป้องกันเอาเอง
ส่วนกล่้องวงจรปิด จะ IP version ไหน ก็อันตรายพอๆกันนั่นหล่ะถ้าเปิดให้เชื่อมต่อกับภายนอกได้ NAS ก็ด้วย คนเข้ามาเขาจะมาติดแค่ user pass เท่านั้นล่ะ( แถมบางรุ่นลบ user pass แบบ default ไม่ได้ด้วย ถ้าคนรู้ IP ก็เขามาแล้วแล้วใช้ default เข้าเครื่องได้เลย) และทางเข้ามามันเปิดต้อนรับทุกคนอยู่แล้ว ยิ่งเปิด P2P ยิ่งแล้วเลย "ว่าแต่จะกรองด้วยอะไรกัน จะเพิ่มที่ Mac address หรือ certificate ที่ทำการเข้ารหัสเฉพาะไว้?" กรองด้วยอย่างอื่นผมไม่รู้แล้วล่ะ
ความเห็นส่วนตัวผม IPv6 จะปลอดภัยกว่าเพราะคนยังใช้ไม่เยอะ คนเล็งโจมตีเลยน่าจะยังน้อย
วรรคสุดท้าย อยากบอกว่า รัสเซียกับจีนมาเยี่ยมบ่อยมากครับ ไม่ต่างจาก v4 เลยแม้แต่น้อย
นั่นคือเมื่อสี่ปีก่อนครับ ตอนนี้คงบันเทิงกว่าเดิม
หรือนี่คือ ประเด็นที่ ISP ยังเป็นห่วงกันอยู่ ก็เลยเหมือนชะลอโครงการให้บริการ IPv6 เพื่อให้วิศวกรที่เกี่ยวข้องกับโครงการจะปรับปรุงเรื่องนี้ขึ้นครับ? ถ้าต้องมานั่งเซ็ต firewall ให้แต่ละเครื่อง IT Helpdesk คงทำงานไม่ไหวแน่นอนนะครับ ถ้าองค์กรนึงมี 300 เครื่อง แต่ helpdesk มีแค่ 2-3 คน...นี่จบเลยนะครับ
ผมเข้าใจว่า ถึงแม้ว่าทุกเครื่องจะเป็น public ip หมด (ถ้าคิดแบบ IPv4) แต่ตัว Router ก็ยังสามารถกรอง traffic ที่จะต่อไปที่เครื่องปลายทางได้นะครับ
อย่าง router ตัวที่ผมใช้ (Cisco Velop) ก็ต้องมาคอนฟิกว่าจะเปิดให้เข้าถึงพอร์ตไหนได้บ้างถ้าเข้าถึง IPv6 ของ NAS จากอินเตอร์เนต
ส่วนใหญ่กรองได้ถึงระดับ port ครับ ฝั่ง consumer เท่าที่ลอง AsusWRT/AsusWRT-merlin, Linksys(WRT), OpenWRT นี่ใส่ rule ระดับ port ได้ครับ
แต่ Netgear นี่แหละครับตัวปัญหา(ยกตัวอย่าง) ไม่รู้ตอนนี้ดีขึ้นรึยัง
Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)
IPv6 นี่ AIS เปิดแต่ Fibre กับ Mobile แต่ดันปิดที่ตัว Wifi ก็เลยกลายเป็นใช้งานจริงจังไม่ได้ เพราะชีวิตตอนนี้อยู่กับ AIS Wifi
อ้าว ไหงเป็นงั้น - -"
ผมว่าเค้าคงกลัวคนเปิด Server กลางห้างมั้งครับ...
คือ Throughput มัน 50MB/s สบาย ๆ เลยนะ AIS Wifi เนี่ย
ก็ไม่น่านะครับ - -"
ทำไมผมได้แค่ 10/1 Mbps หว่า....
แล้วแต่โปร WiFi ที่ได้ด้วยครับ
AIS WiFi จะได้ 10?/1? หรือเท่าไหร่ผมไม่แน่ใจ แต่ค่อนข้างน้อย
AIS Super WiFi จะได้ 50+(ขึ้นอยู่กับเครื่องลูกข่ายที่เชื่อมต่อด้วย)
โปรมือถือเก่าๆต่ำกว่า 500/เดือน ของ AIS มักจะได้แค่ AIS WiFi ธรรมดาครับ ต้องย้ายไปสมัครโปรใหม่ๆถึงจะเป็น Super WiFi ให้
Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)
ถ้ามุมมองคนใช้เน็ตบ้าน ผมว่าพอมี LSNAT มาแทนแล้วมันแก้ปัญหาเรื่อง IPv4 หมดโลกโดย consumer ทั่วไปไม่ต้องรับรู้ได้หมดแล้ว เลยไม่มีความจำเป็นต้องผลักดัน IPv6 มากนัก
ปัญหาเรื่อง consumer ระดับ advance อยากได้ public IP ก็แก้ได้โดยการหา SBC เล็กๆมาตั้งเป็น bastion host ไว้ตัวนึง ตั้ง forward port จาก ISP เข้ามาก็แทบใช้ได้ทุกอย่างแล้วมั้งครับ
แลกมาด้วยค่าใช้จ่ายที่แพงขึ้น และปัญหา latency ในบางกรณีอย่างหลีกเลี่ยงไม่ได้แค่ไม่รู้ตัวว่าจริงๆ มันดีกว่านี้ได้ครับ
เท่าที่ผมเจอปัญหากับ LSNAT คือ เล่นเกมผ่าน PSN แล้วเวลาต้อง join fireteam แล้วคุยผ่านเสียงเป็นกลุ่มจะติด NAT type และทำให้คุยกันไม่ได้