[uylug-varios] Migrando a IPv6 (era: Pregunta sobre enlaces CES)

Arturo Servin arturo.servin at gmail.com
Wed Aug 1 07:53:50 PDT 2012 

	Bueno, cada quien platica como le va en la feria (no se si este dicho sea conocido aqui).

	Pero yo estoy a cargo de 2 centros de datos que soportan muchas aplicaciones externas, hechas en casa y hasta infraestructura critica para la operación del Internet y si, he tenido problemas, es mucho mayor el nivel de soportar 2 protocolos pero nada que no hayamos podido resolver. Nuestro plan en 2 años es eliminar IPv4 de la red interna de los datacenters y solo exponer los servicios a usuarios en v4 para hacer mas facil nuestra administración de la red.

	La opción es de cada uno, nadie está forzando a nadie a moverse a IPv6 pero creo que es importante y beneficioso hacerlo. Es un dolor, si, pero de todas formas los vas a hacer algun dia, mejor ahora que tienes tiempo a despues.

	Y sin ir por todo el correo de Eduardo, algunos problemas pueden verse como oportunidades:

	- GeoIP, no existe, igual sea interesante verlo como negocio.
	- Dyndns, oportunidad?
	- Problemas con servicio en v6 para algunos clientes, pon 3 nombres en el dns, algunos con AAAA y otros sin.
	- SPAM, oportunidad

	
Slds
as

On 1 Aug 2012, at 07:32, Eduardo Trápani wrote:

>> estas son solo algunas cosas que podes encontrar, por eso creo que pasar
>> a ipv6 puede ser un trabajo muy grande que se puede hacer despues de
>> trabajo enorme, o sea una atenta analisis y planificacion, y los dos
>> pueden absorbir muuuuucho tiempo para que todo funcione.
> 
> Sí, tocaste un punto súper importante.  No se trata solo de manejar el
> protocolo.  En aras de una implementación saludable se debería ser más
> honesto.  Si los programas no están listos ... los problemas te saltan
> por otro lado y después hay que poder atacarlos.  Y se necesita tiempo
> para eso.  No hablo en el aire, tengo ejemplos bien concretitos, propios
> y documentados.  Van algunos, tengo más:
> 
> Yo por ejemplo me pasé a la nativa ni bien pude y me llevé la primera
> sorpresa, el plugin de GeoIP de awstats no funciona para IPv6[1].
> Conclusión, me quedé sin parte de la información de las visitas en uno
> de los servidores.  O sea, a partir de IPv6 pierdo información.  Algo
> que andaba ahora no anda y no tiene arreglo todavía.  ¿Que hago?  Por
> ahora me jorobo, se escuchan sugerencias.
> 
> Después, aprovechando la conectividad punta a punta puse un repositorio
> git con dirección IPv6 estática.  ¡NO ANDUVO!  Después de buscar la
> razón (no todos tenemos siempre el tiempo de hacerlo) encontré el
> problema: el análisis de direcciones en el cliente git y el uso de un
> puerto no estándar.  Todo eso anda en IPv4, pero no en IPv6.  Lo reporté
> y sigue abierto el fallo aunque han intentado un par de parches[2].  De
> nuevo, perdí tiempo por algo que nunca hubiera fallado en IPv4.  Al
> final se arregla con DNS o /etc/hosts pero en IPv4 no hubiera tenido que
> hacer nada.
> 
> Claro, antes de eso quise tener dyndns para IPv6 y casi nadie me lo
> ofrecía y cuando sí, no había programa que lo actualizara, así que hice
> un parche[3] para ddnsclient y la verdad es que me quedé contento :)
> porque hay gente que lo usa[4].  Los desarrolladores, después de un
> breve intercambio[5] lo dejaron ahí sin más.  Yo lo sigo usando y con
> eso puedo dar soporte a los familiares que están atrás de NAT, con VNC.
> Pero cada vez que instalo el cliente tengo que meterle el parche
> manualmente.  Y tengo dejar el paquete en hold y perderme las
> actualizaciones o salir a poner el parche cada vez que haya una.
> Ninguna de las dos es una buena solución.
> 
> Tampoco fue tan fácil el acceso remoto porque Reminna (el cliente de
> VNC) que anda al pelo en IPv4 no tiene manera de darle prioridad a IPv6,
> así que con ese cliente tengo que hacer un ping6 al dns dinámico, copiar
> la dirección IPv6, ponerle los paréntesis rectos y el :0 y recién ahí
> conectarme.  Otra cosa rota e incómoda, pero bueno, sin IPv6 tenía que
> armar una VPN.  Dicho sea de paso, la rotura viene por el hecho de que
> dyndns no acepta solamente un registro AAAA (otros ni siquiera lo
> aceptan), así que cuando lo agregás te pone "de oficio" un A (IPv4)
> acompañándolo y reminna resuelve ese, que va al router.
> 
> Eso desde el punto de vista solamente de *programas*.  Recién ahí
> entraría la parte de conectividad.  Ya mostré en la lista (y cualquiera
> con IPv6 nativa desde Uruguay lo puede verificar) la diferencia de
> latencia con Google desde Uruguay en IPv4 e IPv6.  ¡20 veces más
> latencia por IPv6!  Después hay que configurar el firewall para la red
> local (no hablo de la DMZ).  En IPv4+NAT es casi trivial.  En IPv4 con
> varias públicas dejás las salientes y listo.  Pero en IPv6 *tenés*
> además que permitir ICMPv6 entrante.  *Suponiendo* que no estés usando
> proxies, en cuyo caso tenés que además ver que no te lo esquiven (con
> sus políticas de seguridad, límites de ancho de banda y acceso
> incluídas) por IPv6.  De hecho por lo menos hay que duplicar las
> políticas, ponerlas en los dos stacks y asegurarse de mantenerlas
> sincronizadas.
> 
> Carlos decía con gracia que IPv6 andaba y que ya recibía spam por ahí.
> Genial, súper divertido.  ¡Salvo que el dnsbl que uno esté usando no
> maneje IPv6!  En ese caso el bloqueo que tenías por IPv4 deja de andar
> en IPv6, cualquiera te puede mandar (hablo del bloqueo por dirección de
> origen, los demás, por ejemplo spamassassin, siguen en efecto).  Yo en
> IPv4 uso Barracuda, Spamhaus y Uce-protect.  ¿Qué hago al prender IPv6
> en un servidor de correo?  Cruzar los dedos y esperar que se detecten a
> más algo nivel.  Con IPv6 tendría una barrera menos para combatir spam
> (y ni siquiera entro en la discusión de para qué serviría un DNSBL con
> espacios de direcciones tan grandes, aunque pueden ver algo acá[6] de
> parte de alguien implementándolo, no suena esperanzador).  Y sí, hay
> otras cosas a futuro y ahora.  Pero el hecho es que lo que me funciona
> hoy bien, deja de andar tan bien al meter IPv6.
> 
> Sin inventario de servicios y programas y su adaptabilidad a IPv6 meter
> el stack en la red es, por lo menos, audaz.  O cuenta con un equipo
> capaz de dedicarse a resolver las cosas que vayan surgiendo.  Y ni
> siquiera mencioné los dispositivos.  Entiendo perfectamente a Ernesto y
> lo que dice y las prioridades.  Poner un AAAA y un servidor es juego de
> niños.  Recibir el prefijo en el router no es gran cosa.  Habilitar
> SLAAC tampoco.  Lo demás que puede pasar ... creo que queda claro que no
> es tan simple.
> 
>> Bueno, te recomendaría cambiarle la prioridad a v6. De entrada te quitas el NAT para sitios como Google, Facebook, Wikipedia, Yahoo, etc.
>> 
>> Y bueno, no NAT al menos para mi es una ganancia en desempeño y manejabilidad de la red.
> 
> Conclusión, está bárbaro IPv6.  Pero no es ni ahí "soplar y hacer
> botellas".  Intentar venderlo como que se trata de poner un stack más
> para "de entrada quitar NAT a Google", pretendiendo que eso es ya una
> mejora (suponiendo que no hay proxies y olvidando mencionar el aumento
> x20 de la latencia al día de hoy desde Uruguay), es de una simpleza que
> raya en el engaño.
> 
> "Mejorar la manejabilidad" de la red teniendo que poner políticas de
> firewall específicas para la red local, que antes no existían, y
> teniendo que duplicar y mantener duplicadas y sincronizadas las
> políticas actuales ... es difícil de entender.  Y no hablo por ejemplo
> de cosas simples como DDNS con DHCPv4.  Eso hay que migrarlo también o
> dejar que las IPv6 sean decorativas.
> 
> A eso me refería hace un tiempo con no apoyar IPv6 a ultranza y mucho
> menos informando a medias.  Sin tomarse el trabajo de verificar el
> funcionamiento de todos los programas (en mi caso mencioné que fallaron
> o tuve problemas con awstat, git, ddclient y reminna, pero hay más) lo
> que puede pasar es que a quien hayan convencido termine desactivando
> IPv6 o priorizando IPv4 (yo lamentablemente lo tuve que hacer en un proxy).
> 
> Y eso, más que empujar a IPv6 va a frenar su uso, y mucho, porque esos
> administradores van a volver a "subirse" solamente cuando ya no haya
> posibilidad de huir.  Seamos razonablemente cautos para que quienes se
> embarquen lo hagan sabiendo que puede haber problemas sin resolución,
> como los que mencioné y muchas cosas a tener en cuenta.  Doble stack
> tiene bastante de doble trabajo y algunas sorpresas en la manga.
> 
> Eduardo.
> 
> [1] http://awstats.sourceforge.net/docs/awstats_contrib.html
> [2] http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=646178
> [3] http://sourceforge.net/mailarchive/message.php?msg_id=28068392
> [4]
> http://www.ip-phone-forum.de/showthread.php?t=244692&p=1802791&viewfull=1#post1802791
> [5] http://sourceforge.net/mailarchive/message.php?msg_id=28068392
> [6] http://www.gossamer-threads.com/lists/nsp/ipv6/21944#21944
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy

More information about the Uylug-varios mailing list