В Android в 2020-ом до сих пор сломанный IPv6

http://lostintransit.se/2020/05/22/its-2020-and-androids-ipv6-is-still-broken/
Нет, не сломан, категорически не согласен с автором. Они не хотят
добавлять и поддерживать DHCPv6.

* Обязаны? Нет.
* IPv6 обязывает иметь и реализовывать DHCPv6? Нет.
* Google в праве решать что хочет, а что нет для *своей* платформы и
  своих продуктов? Да.
* Они в ОС мешают вам реализовать свой DHCPv6 и использовать его? Нет.
* DHCPv6 будет полезен для преобладающего большинства пользователей? Нет!
* А он может им наоборот навредить из-за низкоквалифицированных админов,
  которые упорно умеют делать вещи только обмазавшись NAT-ом (а также
  DHCP и привычкой выдавать по одному IP адресу)? Никто точно не знает,
  но я солидарен с Google и уверен что да. Может быть в будущем, когда
  IPv6 окончательно потеснит IPv4 архаичный мир и большинство админов
  научатся жить в таком мире и правильно его настраивать, тогда DHCPv6
  не помешает
* Из коробки в большинстве дистрибутивов этот DHCPv6 стоит? Нет!
* И много кого в обычных ОС это волнует и он ругаясь ставит каждый раз
  отдельный пакет? Нет!

Какие причины автор для DHCPv6 называет?

* Ability to assign suffix such as megacorp.com
  Не понял про какой суффикс идёт речь. Ничего не могу сказать
* Register hosts in DNS
  У меня вот дома даже для IPv4 такого никогда не было, да и на
  большинстве работ в сетях так не делали. Горит эта вещь? Нисколько
* Keep track of what host had what IP at a certain time
  Ну вроде бы полезно, но... по хорошему никто не мешает использовать и
  не выданный DHCPv6 адрес и это проблематично будет связать с
  конкретным хостом (если только не по MAC). А вообще кто мешает делать
  ping ff02::1 и смотреть сколько машин ответило? Но это просто чтобы
  узнать количество машин. Не горит
* Image deployment via PXE (think DHCP options)
  Уж конечно, безусловно, для Android это очень актуально!
* Other DHCP options used for example for WLC
  Не знаю что это, но поисковик говорит про Cisco Wireless Controller.
  Причём тут Cisco-specific вещи?
* Ability to easily swap DNS server in entire network (think Umbrella deployment)
  SLAAC не мешает делать аналогичное, но поведение зависит от конкретной
  реализации SLAAC клиента. DHCPv6 для этого не нужен
* Dot1X deployment where you want RADIUS server to see DHCP request
  .1X я вообще не видел в жизни в живую. Верю что используют в
  корпорациях, но... зачем мешать enterprise вещи и решения и Android --
  платформу для, грубо говоря, для простых смертных, которым надо
  соцсети и чатики?
* Need to support IP phones
  Не в курсе как это связано с IPv6. Ничего не могу сказать.

    Please note that SLAAC didn’t even initially have the option of
    setting a DNS server.

Ау, это было десять лет назад! И действительно это сводило на нет
возможность полноценной замены DHCP* SLAAC-ом для домашнего
пользователя. И Windows в последних версиях всё же RDNSS начал
поддерживать, судя по Wikipedia. И по сути это Windows имеет наибольшие
проблемы для простого домашнего пользователя, не поддерживая (до
какой-то версии) RDNSS дьявольски усложняя жизнь администратору сети,
вынуждая его поднимать DHCPv6 сервер.

    Google is not willing to implement it, because they think they know
    better than their users. They will happily spy on you, serve you
    ads, and sell your data

Да, Google это компания, с этической точки зрения, плохая, шпионящая и
тому прочее. Однако дата центры, сети и всякие backend-ы они строить уж
точно умеют. И с IPv6 у них опыта поболее чем у многих других. И да, я
точно уверен что они гораздо лучше знают как делать IPv6 сети, в отличии
от миллионов админов, которые первым делом при знакомстве с IPv6
спрашивают: а где NAT, а как мне безопасность сделать? Эти то сведут на
нет все прелести IPv6, только дай им вволю (типа DHCPv6). И, кстати,
автор ссылается на слежку и приватность, но для DHCPv6 он приводил
аргумент что с ним можно точно знать кто и когда какой имел IP-адрес,
тогда как в SLAAC в общем-то хосты вольны хоть ежесекундно менять их
всех или вообще для каждой TCP сессии, что более приватно ибо stateless.

И как бы я не не любил Google, но с IPv6 они реально молодцы! Хотя я
уверен что как и в случае с Facebook и Yandex, IPv6 нужен в первую им
самим для удобства работы, но предоставив FB и Google по IPv6, можно
покрыть бОльшую часть всех надобностей большинства пользователей. Ради
интереса посмотрел на apple.com... ну как и следовало ожидать, никакого
IPv6. Microsoft вообще-то тоже с IPv6 молодец ибо поддерживает его
давным давно и во всяких tutorial-ах она по умолчанию регулярно всё
предлагает делать (LAN как минимум) на IPv6, намекая куда надо
двигаться.

комментарий 0:

From: kmeaw
Date: 2020-07-30 11:10:27Z

Всё-таки SLAAC и DHCPv6 решают разные задачи. SLAAC используют тогда,
когда состояние не нужно. И, наоборот, DHCPv6 используют для управления
инфраструктурой, для которой важно иметь состояние.

> * Ability to assign suffix such as megacorp.com
>  Не понял про какой суффикс идёт речь. Ничего не могу сказать

Вероятно, речь идёт про "search" в resolv.conf.

> * Register hosts in DNS
>   У меня вот дома даже для IPv4 такого никогда не было, да и на
>   большинстве работ в сетях так не делали. Горит эта вещь? Нисколько

Если L2 сильно растянуть, сеть будет работать плохо. Если сеть большая,
выгодно разбить её на много маленьких L2. В случае IPv6 рекомендуется
выделять по /64 на L2.

Если узел переместился из одного L2-домена в другой, то у него
поменяется L3-адрес. DNS позволяет не заметить этого.

Да и в домашних сетях это тоже не редкость — популярный dnsmasq умеет
своим DNS-сервером отвечать про те хосты, которым его DHCP выдал адреса.

> * Dot1X deployment where you want RADIUS server to see DHCP request
> .1X я вообще не видел в жизни в живую. Верю что используют в
> корпорациях, но... зачем мешать enterprise вещи и решения и Android
> -- платформу для, грубо говоря, для простых смертных, которым надо
> соцсети и чатики?

WPA3 всё больше и больше похож на enterprise вещи и скоро будет везде.
И зачем ограничивать возможности использование Android в корпорациях?

Правда 802.1x можно заставить работать на Android и без DHCPv6,
проверял. Похоже на проблему какого-то отдельно взятого RADIUS-сервера.

> * Need to support IP phones
>  Не в курсе как это связано с IPv6. Ничего не могу сказать.

Через DHCP-опции на них часто прилетают настройки.

От себя ещё добавлю, что DHCPv6 сильно помогает в реализации
динамического фаервола, у которого набор правил зависит от того, кто
подключился к сети.

По поводу IPv6 и Apple — не знаю, как у них устроена сеть внутри, но
если подключить их телефон к сети, то он начинает довольно активно
общаться с IPv6-адресами из AS714.

--
kmeaw

комментарий 1:

From: Sergey Matveev
Date: 2020-07-30 17:08:53Z

*** kmeaw [2020-07-30 13:51]:
>Всё-таки SLAAC и DHCPv6 решают разные задачи.

Согласен. Более того, они друг друга дополняют и не даром в RA
сообщениях есть галочка для DHCPv6.

>Вероятно, речь идёт про "search" в resolv.conf.

А, ясно. Ну конкретно это за счёт RDNSS можно сделать, который, вроде
бы, везде уже есть.

>Если узел переместился из одного L2-домена в другой, то у него
>поменяется L3-адрес. DNS позволяет не заметить этого.

Для мобильных клиентов, насколько понимаю, IPv6 (коммитет) подразумевает
использование Mobile IPv6. Я понимаю что его вроде толком никто не
держит, но и DNS это некий костыль. Нужно добавлять вполне красиво (на
мой вкус) сделанный MIPv6.

>И зачем ограничивать возможности использование Android в корпорациях?

Вот это хороший вопрос. Но если на весах: неудобства корпоративным
пользователям и риск того что все админы ринутся выдавать по жалкому
одному IPv6 адресу, урезая всё остальное на firewall-ах, то уж лучше
пожертвовать первыми, чем лишать IPv6-capable сети каких-либо
преимуществ и удобств из-за неквалифицированных админов. А я уверен что
именно так и было бы, ведь преобладающее большинство считает что IPv6
это только про увеличение длины адреса и достаточно просто перевести на
него, поменять адреса, оставить архитектуру сетей такой же как и прежде.

>От себя ещё добавлю, что DHCPv6 сильно помогает в реализации
>динамического фаервола, у которого набор правил зависит от того, кто
>подключился к сети.

DHCPv6 не плохой :-). Просто в неумелых руках его будут использовать где
не следует и как не следует. Насколько понимаю, этого и опасаются в
Google и это перевешивает. Да и у меня не было ни одного дистрибутива
GNU/Linux (когда я его ещё использовал) и ни одной FreeBSD где шёл бы
DHCPv6 клиент из коробки, что тоже не приятно.