Onneksi reitittimessäsi on tämä ominaisuus. Läheskään kaikissa niissä ei edes ole NAT reflection / NAT loopback ominaisuutta, jolloin olisit joutunut ostamaan paremman reitittimen saadaksesi pelin toimimaan.

Huomaa, että edes siltaaminen ei välttämättä auta tässä tilanteessa, sillä Elisan verkossa verkkosegmentin sisäiset yhteydet asiakkaiden välillä ovat nekin rikki. Suorat yhteydet kaverin verkkoon ei onnistu. Julkisia IPv4-osoitteita käytettäessä asiakkaan sisäinenkin liikenne voi kiertää Elisan kautta suoraan /dev/null:iin, ellei asiakas huomaa laittaa modeemin ja omien laitteiden väliin arp-suodatinta ja pommittaa dhcp-palvelinta niin kauan, kunnes sattumalta saa ip-osoitteet samasta aliverkosta.

IPv6 puute lisää kyllä kekseliäisyyttä, kun pitää keksiä, miten homma toteutetaan IPv4:llä tai pahimmillaan jopa kokonaan ilman IP-osoitetta. Minulla on mm. yhteen paikkaan VPN-yhteys, joka kiertää toisen paikan kautta, koska ensimmäisessä paikassa ei ole julkista IP-osoitetta. Tuonne toiseen paikkaan taas ei saa IPv6-osoitetta, joten koko paletti on pakko rakentaa kääteis-VPN:llä. Onneksi tässä tapauksessa käytössä ei ole mitään latenssiaikakriittisiä sovelluksia. Nyt kun viritelmä saatu rakennettua, se toimii tarkoituksessaan ihan hyvin.

PS4:lla ei ole IPv6-tukea, joten ei auttaisi yhtään mitään tässä tapauksessa. 

Kuka Elisalla tätä IPv6-projektia pyörittää? Yhteystiedot? Haluaisin tietää (kuten kaikki muutkin) missä mennään. Viikko taas kulunut eikä projektin etenemisestä ole mitään lisätietoa.

Viikko? Eiköhän tässä menee vielä useampi vuosi.

Niin varmaan menee, mutta tuo viikko on kulunut siitä, kun pyysin viikottaista raporttia IPv6-tuen etenemisestä, mutta mitään ei ole kuulunut eikä näkynyt.

Mitä hyötyä viikottaisesta “ylempiä tahoja ei vieläkään v*ttujakaan kiinnosta” olisi? Ei se raportointi sitä asiaa miksikään muuta.

Jospa se loisi paineita keksiä aina jotain sanottavaa seuraavaan “viikkopalaveriin”/”viikkoraporttiin” eikä vaan että “no surffasin netissä ja nostin liksaa”. Ja signaali että joku oikeasti odottaa että jotain tapahtuisi. Tämä IPv6:kin kun on ollut jo 10+ vuotta sitten esillä ja nyt sitten aletaan uudestaan kyselemään, että mihin sitä edes tarvitaan….

Eihän se mitään paineita ylemmille tahoille luo, ei ne tänne foorumeille tule mitään raporttia kirjottamaan. Kyllä se on nuo alemmat tahot, jotka raportin joutuu kirjoittamaan ja joilla ei ole sitä sananvaltaa asiassa. Se, että joku alempi taho sen raportin tänne kirjoittaa ei aiheuta mitään paineita kenessäkään, kuin korkeintaan siinä alemmassa tahossa itsessään.

Se olisi eri asia, jos saisit jonkun niistä päättävistä tänne, mutta ihan yhtä hyvin voi toivoa lottovoittoa ilman, että ikinä lottoaa.

Kun on kuulemma jokin projekti IPv6-tuen suhteen meneillään, niin luulisi, että sitä projektia jotenkin seurataankin. Tai sitten oikeasti mitään projektia ei ole edes käynnissä, vaan Elisalta niin vain väitetään. Yritin kysellä lankoja pitkin ja kyselen jatkossakin, jos vaikka joku Elisalla huomaisi, että IPv6:sta on joku kiinnostunut ja sen perään kysellään.

Näin etäyhteyksien aikaan olisi kiva, että liittymään saisi kiinteän IP-osoitteen, mielellään jokaiselle laitteelle oman, jotta yhteyksien muodostaminen on helpompaa. IPv4 osoitteilla tämä ei ole mahdollista.

Itsellä käytössä mm. plex-mediapalvelin, joka vaatii toimiakseen muuttumattoman IP-osoitteen, eikä se tykkää olla NATin takana. Samoin kotiverkkoon VPN:n avulla etäyhteyden muodostaminen luottaa kiinteään IP-osoitteeseen. Jos IP muutuu, pitää olla paikanpäällä, jotta saa yhteydet taas toimimaan.

Plex toimii ihan hyvin NATin takaa, minolen pyörittänyt Plexiä jo vuosikausia niin. Tuo VPN-yhteys ja IP-osoitteen muuttuminen taas hoituu helposti joko reitittimellä, joka osaa automaattisesti päivittää sen uuden IP-osoitteen DNS-palvelimelle tai sitten jollain miljoonasta eri dynamic dns - ohjelmasta pyörimässä paikallisella koneella -- se ohjelma vaan tarkistaa aika ajoin, minkä ulkoinen IP on ja päivittää sen sitten DNS-palvelimelle, jos on tarvis. Toisin sanoen, ihan on mahdollista saada nuo pelittämään ilmankin, että istuu itse paikan päällä.

IPv6 toki olisi tässäkin paljon helpompi vaihtoehto.

Sain vihdoin kiinni Elisalta jonkun, joka tiesi edes jotain tästä IPv6-projektista ja sen etenemisestä.

Kovin kummoista etenemistä ei tässä kyllä selvästikään ole tapahtunut, mutta tällä hetkellä ollaan kuulemma tekemässä suunnitelmaa, miten IPv6:n käyttöönotto (kiinteissä laajakaistaliittymissä) voidaan tehdä hallitusti. Olisin kyllä odottanut, että tähän mennessä asiaa olisi saatu edistettyä jo merkittävästi enemmän.

Hallitumpaa olisi toteuttaa teknologia kerrallaan (VDSL, kaapelimodeemi, valokuitu), vielä ei tiedetä mikä teknologia tehtäisiin ensin. Liiketoiminnallista estettä tai tahtotilaa ei ole. Päätöksiä ei olla vielä tehty. Eksaktia päivämäärää ei vielä ole. Ensi vuoden aikana ollaan etenemässä. Lisäksi IPv6 pitäisi saada jotenkin mukaan profiiliin ja huolehtia, että tukipalvelut ymmärtävät tekniikan ja osaavat auttaa ongelmatapauksissa ja etteivät vanhoilla laitteilla olevat yhteydet hajoa tässä muutoksessa. En kylläkään ymmärtänyt, miksei tukipuolella jo IPv6 olisi tuttu, kun se on arkipäivää mobiilipuolella...

Runkoverkot ovat hyvinkin IPv6-kykeneviä, onhan IPv6 ollut jo mobiililiittymissä pitkään. Kuulemma teknistä estettä ei ole sille, etteikö IPv6:a voisi kytkeä vaikka heti liittymään. Yritinkin kysellä, josko vaikka OmaElisan kautta voisivat asiakkaat halutessaan kytkeä IPv6:n päälle, ja kytkeä sen pois, jos yhteys meneekin rikki sen takia, mutta se ei tuntunut olemaan kelvollinen ratkaisu. Ja jos kuluttajan vanha laite ei osaa IPv6:a, niin eihän se lähettäisi edes esim. DHCPv6-kyselyä (tai miten se sitten toteutetaankaan), jolloin vanhat laitteet siitä tuskin edes hajoaisivat. Myöskään pilottiasiakkaisiin tai pilottiryhmiin ei tuntunut olevan kiinnostusta.

Lupasin (heh) kysyä tilannetta reilun kuukauden päästä eli ensi vuoden puolella uudestaan. Palaan asiaan tämän suhteen siinä vaiheessa.

“Liian helppoa, EI KÄY!”

No kiva, haistakaa työkin sit vaan pitkä...

Rauhassa vaan. Ei kannata hötkyillä. DNA:lla toimii natiivisti.

Sain taas vihdoin ja viimein yli viikon tavoittelun jälkeen Elisalla asiasta jotain tietävän kiinni ja kyselin projektin etenemisestä. Eli 04.12.2020-14.01.2021 mitään tunnettua etenemistä ei ole tapahtunut, ollaan kuulemma oltu lomailemassa ja nyt vasta ensimmäistä täyttä viikkoa taas paikalla, eikä mitään muutoksia verkkoon ole haluttu tehdä joulun aikana. No, kun projekti oli vasta analyysivaiheessa, niin eipä mitään muutoksia kyllä varmaan olisikaan ollut tarkoitus tehdä. Pisti muistilapun että pollaa tilannetta tuotannon puolelta.

Lupasin soitella taas kuukauden päästä uudestaan, ja hän arveli, että silloin olisi jotain edistystä asian suhteen tapahtunut.

Tilannepäivityshän se on tämäkin, vaikkakin aikamoinen pettymys.

Ei voi kyllä mitenkään ilouutisiks haukkua, mut kyllä näitä tilannepäivityksiä silti arvostetaan. Tai ainakin itse tulee arvostettua, kiitos vuan.

Jotain sentään kuitenkin tapahtunut tämän osalta. Toivottavasti pian alkaisi tuo iPV6 tuki tulemaan kiinteisiin laajakaistoihin

Itse olen pystyttämässä erään toimittajan langatonta verkkoa ja sen hallintakäyttöliittymää kotiin. Samanlaisia IoT-laitteita näkyy olevan mitä eriskummallisimpiin paikkoihin. Oletuksena, näissä on konffattuna jokin itseväärennetty laitesertifikaatti, jonka kanssa sitten tulee haasteita uudempien selainten kanssa.

Yksi vaihtoehto oli hommata useamman vuoden julkinen sertti, ja asentaa se kertaalleen, mutta uusimmissa selaimissa on hyväksi katsotun sertifikaatin voimassaoloaikaa on lyhennetty noin vuoteen.

Ratkaisuna on tietysti Let’s Encryptin sertti, ja sen käyttöönotto onkin yhtä asiaa lukuunottamatta kovin helppo: Yksinkertaisin asennus vain edellyttää, että Let’s Encryptin palvelimilta sallitaan yhteys laitteeseen, jolle sertifikaatti on tarkoitus myöntää. Jätän tarkoituksella DNS:ään liittyvät todennukset tästä pois, kun ne eivät ihan jokaisella palveluntarjoajalla toimi.

Hallintalaitteeseen pitää sallia yhteys porttiin 80 sillä DNS-nimellä, jolla laitteen varmenne on tarkoitus myöntää. Ongelma tulee päälle siinä kohden, kun NATatun IPv4-verkon taakse pitäisi saada kaksi eri hallintalaitetta, ja kummallekin yhteys porttiin 80. Siis näille hallintalaitteille pitäisi saada staattinen NAT ja oma, julkinen IP molemmille. Muut laitteet sitten konffattaisiin yhden yhteisen IP:n taakse. Löytyykö kovin helposti tällainen päätelaite?

Nyt kun käytössä on julkinen IPv6 (ei kylläkään kiitos Elisan), niin homma on paljon helpompaa. Sallitaan Let’s Encryptin palvelimista portti 80 kumpaankin hallintalaitteeseen ja sertifikaatin luonti menee läpi mainiosti.

Itse olisin kovin tyytyväinen, jos vaikka OmaElisan kautta saisi käyttöönsä /56-maskilla varustetun reitittyvän verkon, jonka sitten saisi konffata staattiseksi omaan kotiverkkoonsa. Nykyinen /48 on hieman yliampuva, mutta pelkällä /64:llä ei pärjää, jos kerran pienin suositeltu allokaatio yhteen VLANiin vaikka on tuo /64.

Onko molempien hallintalaitteiden liikenne ihan perus-https:ää ja niitä käytetään selaimella? Tällöin ratkaisu voisi olla https-proxy.

Eli portit 80 ja 443 ohjataan proxykoneelle, joka huolehtii myös Let’s Encryptin varmenteesta. IoT-laitteelle luodaan itse allekirjoitettu varmenne, jonka julkinen osuus asennetaan myös proxyyn. Proxy välittää liikenteen URL-pohjaisesti edelleen eteenpäin sisäverkossa. Esimerkiksi

https://mywlan.example/eteinen  → https://192.168.1.11/
https://mywlan.example/kellari → https://192.168.1.12/

Mikäli järjestelmän asiakaspää (esim. sovellus tai javascript-koodi) käyttää absoluuttisia viittauksia palvelimen juuritasolta alkaen, tämä ei tietenkään toimi. Esimeriksi, jos https://mywlan.example/kellari/login/logs/ ei kelpaa asiakaspäälle, vaan se vaatii ehdottomasti https://mywlan.example/login/logs/.

Jos molempien hallintalaitteiden tulee löytyä samoista hakemistopoluista, mutta niillä saa olla epästandardit porttinumerot, proxyn voi rakentaa hieman eri tavalla. Edelleenkin proxykone hoitaa Let’s Encryptin varmenteen, mutta välitys rakennetaan porttipohjaiseksi:

https://mywlan.example:1443/  → https://192.168.1.11/
https://mywlan.example:2443/ → https://192.168.1.12/

Koska Elisan kiinteissä laajakaistoissa on viisi julkista IPv4-osoitetta, tämäkin onnistuu, mutta se vaatii riittävän ammattimaisen reitittimen, jossa on kolme wan-porttia. Valitettavasti minulla ei ole yhtään Mikrotik:kiä, mutta ne voisivat olla riittävän vapaasti konfiguroitavia tällaisiin puujalkaviritelmiin.

Ennen sopivan laitteen löytämistä järjestelyn voi labrata kolmella kotireitittimellä. Esimerkiksi näin:

   puhelinlinja
        │
┌───────┴─────────┐                ┌─────────────────────┐
│ DSL-modeemi     |                | ethernet-kytkin     |
│                 │                └─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┘
│ nat-reititetty  │                  | │ │ │ │ │ │ │ │ │
│ ethernet-portti ├──────────────────┘ │ │ │ │ sisäverkon muut laitteet
│ 192.168.1.1     │                    │ │ │ │ 
│ dhcp-palvelin   │  ┌───────────────┐ │ │ │ │ ┌────────────────────┐
│ päällä          │  │ reititin 2    │ │ │ │ └─┤ hallintalaite A    │
│                 │  │ 192.168.1.2   │ │ │ │   │ 192.168.1.12       │
│ sillattu        │  │ dhcp-palvelin │ │ │ │   │ mask 255.255.255.0 │
│ ethernet-portti ├──┤ pois päältä   ├─┘ │ │   │ gw 192.168.1.2     │
│                 │  └───────────────┘   │ │   │ dns 192.168.1.1    │
│                 │                      │ │   └────────────────────┘
│ sillattu        │  ┌───────────────┐   │ │   ┌────────────────────┐
│ ethernet-portti ├──┤ reititin 3    ├───┘ └───┤ hallintalaite B    │
└─────────────────┘  │ 192.168.1.3   │         │ 192.168.1.13       │
                     │ dhcp-palvelin │         │ mask 255.255.255.0 │
                     │ pois päältä   │         │ gw 192.168.1.3     │
                     └───────────────┘         │ dns 192.168.1.1    │
                                               └────────────────────┘

Hallintalaitteille joutuu asettamaan ip-osoitteen käsin. Muut sisäverkon laitteet voivat käyttää dhcp:tä. Reitittimeen 2 tehdään portinohjaukset 80 ja 443 hallintalaitteelle A 192.168.1.12 ja reitittimeen 3 vastaavasti 80 ja 443 hallintalaitteelle B 192.168.1.13.

Tätä samaa järjestelyä voi soveltaa IoT hallintalaitteiden lisäksi myös mm. kahdelle pelikonsolille samassa sisäverkossa.

Varmaan hyvä vaihtoehto, niinkuin häkäpönttöautokin oli taannoin :-)

Kun IPv6 on käytössä, niin homma hoitui ekan ympäristön osalta laittamalla hallintaserverille julkinen AAAA-recordi ja palomuuriin avaus, että tuohon osoitteeseen on sallittua tulla Let’s Encryptin IPv6-koneilta, portit 80+443. Isoin työ, eli kokonaista kolme yritystä meni hakea tarvittavat verkot palomuurin logista ja päivittää ne palomuurisääntöön.

Nyt yhteys hallintaserveriin onnistuu kotiverkosta HTTPS:llä, ja selaimet eivät nalkuta sertistä yhtään mitään.

Tuo on kyllä mahtava vertaus! Sekä puukaasutinta että IPv4 NAT:ia joutuu esilämmittämään ennen liikeellelähtöä

Ihan on mahdollista käyttää eri domaineja, ei kaiken tarvitse osottaa samaan domainiin, esim. haproxyllä. Itsellä ollut jo vuosia käytössä haproxy ja portit 80 ja 443 on reitittimessä WANin puolelta mapattu haproxy-serverille; https://domain.link, https://palvelin1.domain.link ja https://palvelin2.domain.link kaikki osoittaa WANin puolella samaan IP-osoitteeseen, mutta haproxy katsoo, mitä domainia on pyydetty ja ohjaa liikenteen oikeaan koneeseen LANin puolella.

Huomattavasti helpompi ratkaisu, kun mitä sinä ehdotit.

@WereCatf, olet aivan oikeassa, unohdin SNI:n. Varmenteita tosin tarvitaan enemmän tai jokerivarmenne, mutta nykyään Let’s Encryptin pitäisi taipua myös noihin.

Kuten yllä kommentoitiin, pelkän IPv4:n kanssa elämiseen kuuluu erinäisiä Goldbergin koneita.

Vastaan käänteisesti: yli 90 % skriptikiddieiden softista ei (toistaiseksi) toimi IPv6:lla, joten sen hyöty on merkittävä.