12:31 <dadv> Народ, а как вообще должен работать релей 6to4?
12:32 <dadv> практически я не очень понимаю, как настроить релей при помощи stf94)
12:33 <dadv> практически я не очень понимаю, как настроить релей при помощи stf(4)
12:34 <dadv> Или например есть N локалок, внутри каждой IPv6 и каждый локальный хост может "напрямую" общаться с любым другим локальным хостом другой локалки без выстраивания полносвязки из туннелей и без пробросов портов.
12:35 <dadv> Но теория это одно, а как релей работает - непонятно.
12:37 <dadv> обчитался я википедии, статеек в сети и man stf, настроил якобы:
12:37 <dadv> # ifconfig stf0
12:37 <dadv> stf0: flags=41<UP,RUNNING> metric 0 mtu 1500
12:37 <dadv>         inet6 2002:bc7b:20f0::1 prefixlen 16
12:37 <dadv>         nd6 options=1<PERFORMNUD>
12:37 <dadv>         groups: stf
12:38 <dadv> только не пойму, это настройка для релея или для оконечного хоста
12:43 <mm> пакеты IPv6 могут проходить без VPN через IPv4 ???
12:43 <dadv> mm: типа того
12:44 <dadv> из всего астрономического пространства для этого дела выделен блок 2002::/48
12:44 <dadv> и определено отображение 4 миллиардов IPv4 внутрь этого блока, приписыванием 32-битного адреса IPv4 после 2002::
12:46 <dadv> Только чтобы это работало, на границе между локалкой IPv6 и миром IPv4 нужен релей, который бы упаковывал IPv6 внутрь нового пакета IPv4 и посылал по назначению, а с той стороны его кто-то должен развернуть.
12:46 <dadv> Это не VPN, но это туннелирование.
12:46 <dadv> Только без статически заданного конца туннеля.
12:47 <dadv> Я сам до конца не въехал, как оно суммарно пашет.
12:48 <dadv> Якобы каждая локалка, имея хотя бы один публичный IPv4, может общаться со всем миром IPv4 без трансляции.
12:49 <dadv> Я щас даже не касаюсь проблем с ресолвингом DNS (а они есть), мне хотя бы на уровне IP разобраться.
12:49 <mm> чем VPN отличается от этого "туннелирования" ?      что значит, "без статически заданного конца туннеля" ?  отправитель же должен знать кому послать пакет IPv4 в который завернут IPv6 ?
12:50 <dadv> mm: ну ты же посылаешь пакеты IPv4 в мир безо всяких VPN
12:50 <dadv> VPN отличается приватностью, которая достигается шифрованием
12:51 <dadv> а тут больше речь про доступ к публичным ресурсам IPv4 из локалки с IPv6
12:51 <dadv> "без статически заданного конца туннеля" ровно это и значит
12:52 <dadv> если нужно внутрь такой же локалки попасть, то инкапсулированный пакет приходит туда по сети IPv4, из него извлекается пакет IPv6 и доставляется внутрь локалки
12:52 <dadv> в теории
12:52 <dadv> на практике не очень понимаю детали
12:52 <mm> шифрование в VPN - это только опция, VPN - это замена выделенному каналу связи между филиалами, например, если я в выделенном канале этом не шифрую, то и в VPN  могу не шифровать
12:53 <mm>  отправитель же должен знать кому послать пакет IPv4 в который завернут IPv6 ?
12:53 <dadv> Если ты посылаешь трафик через недоверенные каналы, то для приватности тебе обязательно шифрование
12:54 <dadv> mm: ну ты же знаешь, кому послать пакет на ya.ru безо всякого VPN
12:55 <dadv> ничто не мешает прописать в DNS запись типа workstation5 IN AAAA 2002:aabb:ccdd:...
12:56 <dadv> там закодирован IPv4 (в aabb:ccdd) куда слать
12:56 <mm> dadv: не верь словам, приватный в VPN не означает зашифрованный ;-)  если я не буду шифровать, это не означает, что это уже не будет VPN
12:56 <dadv> ну и релей, получив IPv6 для такого IP, инкапсулирует его в IPv6 и посылает по указанному IPv4
12:57 <dadv> mm: означает или не означает - в каждом конкретном случае индивидуально
12:57 <dadv> в публичных сетях нет другого способа обеспечить приватность, кроме шифрования
12:57 <mm> dadv: включи виндовый VPN-клиент и там есть опция при настройке VPN "подключаться даже без шифрования" :-)