Path: csiph.com!weretis.net!feeder8.news.weretis.net!eternal-september.org!feeder3.eternal-september.org!news.eternal-september.org!.POSTED!not-for-mail From: Falk =?UTF-8?B?RMK1ZWJiZXJ0?= Newsgroups: de.sci.electronics Subject: Re: =?UTF-8?B?U2NobMO8c3NlbDo=?= Brute force Date: Thu, 9 May 2024 16:43:52 +0200 Organization: The fabulous Falk Lines: 51 Message-ID: <20240509164352.c28cd99ca75f94fce3cc28ff@duebbert.com> References: <20240507153348.d3ea2665475eda42c2be6a1c@duebbert.com> <20240508223147.86c7cb454a8feb3c471210ca@duebbert.com> MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit Injection-Date: Thu, 09 May 2024 16:43:53 +0200 (CEST) Injection-Info: dont-email.me; posting-host="7791088a404d6e8e8b37f8b6033916f0"; logging-data="760589"; mail-complaints-to="abuse@eternal-september.org"; posting-account="U2FsdGVkX1+X8yCQku1VC8tYrXHZHEnfksy1eyJT1s0=" Cancel-Lock: sha1:7dHxw6pzX6chIh7fbQAjYwLe0n0= X-Newsreader: Sylpheed 3.7.0 (GTK+ 2.24.30; i686-pc-mingw32) Xref: csiph.com de.sci.electronics:351383 On Thu, 9 May 2024 15:08:41 +0200 Helmut Schellong wrote: > > Bei Greenfields ziehe ich IPv6 mit, aber IPv6 follows IPv4 (= wir > > kopieren die Bitmuster der internen IPv4 Adressen hinter ein > > globales Präfix) und auch nur dann, wenn wir ein globales Präfix > > bekommen können und wenn man irgendwie Bedarf herbeireden kann. > > Entwickelt und gesteuert wird auf IPv4. Skripte und Automationen > > passen IPv6 dann jeweils an. > > Das erscheint so, als sei IPv6 in der Realität ungeeignet - eine > Fehlentwicklung. "Fehl" ist zu hart. Aber das befürchtete Problem - zu hoher Ram-Verbrauch für Routing-Tabellen bei starkem NAT-Gebrauch trat nicht ein bzw. wurde durch den Preisverfall von RAM nicht zum Problem. > IPv6 kam schon vor 2000, wird bald 30 Jahre alt. 1995... > Damals wurde oft darauf hingewiesen, daß IPv6 _nicht_ eine simple > Erweiterung etwa 123.123.123.123 --> 123.123.123.123.111.222 ist, > sondern eine erweiterte Struktur hat. Man sah die Bedeutung interner IP-Netze und die Absicherungskonzepte durch Zonenbildung nicht vorher. Die ersten session aware Firewalls kamen gerade frisch auf dem Markt und waren richtig teuer. Bei IPv6, wie es sich dessen Eltern vorstellen, muss ich am Anfang festlegen, welche Präfixlänge ich für welche Zonenebene vorsehe und wenn ich das Präfix nicht an allen Standorten zur Verfügungen stellen kann oder darf muss ich doch NAT66 machen. RFC4864 ist ein schönes Beispiel akademischer Überheblichkeit und Ahnungslosigkeit gepaart mit Interessen von damals Cisco und IBM. Damals wollte Cisco die Firewalls nicht weiter aufbohren und verweigerten sich ewig lange den NextGen-Firewalls. Folgerichtig gehörten sie zu den Treibern bei IPv6. Heute stelle ich für Cisco Viptela oder Meraki, aber auch für jedes andere Overlay-SD-WAN als erstes die IPv6-Priorisierung der Betriebssysteme aus. Falk D. -- Falk Dµebbert