PDA

Bekijk Volledige Versie : Gedwongen overgang naar IPv6



daankloek
19/11/12, 14:11
Hallo,

Ik heb wat colocatie servers draaien bij transip. Ik wou gisteren een paar extra ip-adressen aanvragen omdat ik een paar webapplicaties online moet zetten die een ssl-certificaat hebben, en die dus een exclusief ip-adres nodig hebben. Toen kreeg ik de melding dat ik geen IPv4 adressen meer kon aanvragen! Dat zou dus betekenen dat ik mijn toekomstige applicaties via IPv6 moet laten verlopen, in principe is dit geen probleem de servers zijn er klaar voor. Maar dan kan lang niet iedereen de online applicaties bereiken omdat de providers nog steeds niet volledig IPv6 hebben uitgerold.

Ik heb nu dus maar wat VPSen besteld bij Transip met ieder 2 IPv4 adressen, maar ik verwacht dat ik snel weer nieuwe adressen nodig heb. Hoe lossen jullie dit probleem op? En hebben jullie misschien adviezen of ervaringen?

Groeten,

Daan

mihosnet
19/11/12, 14:27
Het is mogelijk om met Apache SNI meerdere SSL certificaten op 1 IP te draaien. Probleem hiermee is alleen dat Windows XP/Explorer dat niet ondersteund.

http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI

golden
19/11/12, 14:49
Hangt er net af waarvoor de applicatie dient en wat voor type bezoekers (veel vanuit huis of kantoor).

Zelf hebben we ruim genoeg ip adressen maar proberen hier op elke manier wel in te besparen. Zo bieden we tegenwoordig veel via een VPN connectie aan. In meeste gevallen gaat dit om Idrac en ILO maar bij sommige SAAS applicaties ook.

Wij proberen onze klanten ook zorgvuldig om te laten gaan met ip adressen. Zo bieden we vaak ip adressen aan die men gratis kan krijgen maar vragen we altijd of ze hem direct willen of hem aanvragen op het moment dat ze hem daadwerkelijk nodig hebben.

Dus met andere woorden kijk of je op bepaalde manieren ip adressen vrij kan krijgen die je nu voor bepaalde zaken in gebruik hebt.

Mark17
19/11/12, 14:53
Een andere oplossing als Win XP icm IE ondersteund moet worden is een provider zoeken die wel kan leveren wat gewenst/vereist is. Wij wijzen nog steeds 1 IP per SSL certificaat toe (ook als er meerdere webservers gebruikt worden hoeft dit geen probleem te zijn).

Arieh
19/11/12, 14:55
Als je maar max. 2 IP adressen kunt krijgen dan valt er niet veel vrij te maken uiteraard. Bij de meeste providers is het gewoon mogelijk meer IP adressen te krijgen, zij het tegen een kleine betaling of gratis op RIPE voorwaarden. Als T.IP weigert meer adressen te geven en je hebt gewoon SSL nodig, dan zou ik een andere partij opzoeken. Je kunt moeilijk voor iedere website om alleen deze reden een hele nieuwe VPS afnemen.

golden
19/11/12, 14:57
Wellicht zien we straks een "aanbieding gezocht" topic verschijnen ;).

Tim.Bracquez
19/11/12, 18:07
Hoe je het ook draait of keert, op een moment gaat iedereen die hier zegt "wij hebben IP's genoeg" toch dezelfde reactie aan jou geven na enige tijd.
De IPv4's zijn op. Punt. Tijd om over te gaan naar IPv6 & geen IPv4's met SSL's te verspillen.

Probeer bij RIPE eens een nieuwe block aan te vragen voor SSL! Ze worden hier ook streng in !

Randy
19/11/12, 19:16
Probeer bij RIPE eens een nieuwe block aan te vragen voor SSL! Ze worden hier ook streng in !

RIPE geeft geen IPv4 meer uit, anders dan:
1) Een laatste /22 voor iedere LIR (1024 IP's) MITS je al IPv6 hebt;
2) Een /22 voor nieuwe LIR's.

Binnen de laatste /8 is er ruimte voor een ~16K /22-blokken op een totaal van (nu) ~8K LIR's dus dat moet nog genoeg zijn.
Het enige juiste antwoord is natuurlijk IPv6, met name voor de access providers.

(persoonlijke titel)

mgielissen
19/11/12, 19:48
Ik las net een bericht van cloudvps dat ze aan hun laatste IPv4 reserve beginnen en dat je nog maar standaard 1 ipadres per vps krijgt. Leaseweb heeft laatst ook hun prijs van 1 euro naar 2,50 verhoogd per extra ipadres. Kortom uitstel van IPv6 wordt afstel. Vooral in het zakelijk segment zal het tekort merkbaar worden omdat daar veel meer publieke adressen nodig zijn.

Alle bedrijven en consumenten zullen over moeten op IPv6. Als ik rondkijk hoeveel ICT dienstverleners kennis hebben van IPv6 en hun website via IPv6 benaderbaar is, dan is dat bedroevend laag. Bij hosters is dat een stuk beter geregeld.

golden
19/11/12, 19:56
Wat ik nog steeds de grootste verspilling vindt zijn de internet providers. Vraag een zakelijke ADSL lijn aan en je krijgt 8 ipv4 adressen terwijl je zit met je 1Mbit upload ofzo. Vraag een kabel aan bij ziggo of upc zakelijk en je krijgt 8 ip adressen.

Ik ken hoogstens een paar bedrijven die er 2 of 3 van gebruiken. Maar dat is pas pure verspilling!

Arieh
20/11/12, 00:02
Vooralsnog lijkt een IP adres voor een SSL certificaat nog nodig, maar het gaat op zich de goede kant op, nog zon 16% in NL zit op WinXP: http://gs.statcounter.com/#os-NL-monthly-201110-201210

Merendeel van overige besturingssystemen ondersteunen SNI meen ik.

Flaxe_eu
20/11/12, 12:03
Wat ik opzich ook wel grappig vind is dat Cpanel zover mij bekend nog steeds geen official ipv6 support heeft.
Helaas draaien bij ons een redelijk deel van de hosting op Cpanel waar ipv6 gewoon niet ondersteunt word.
onze directadmin admin server hebben allemaal een eigen ipv6 range en iedere website een eigen ipv6.
Wij proberen inmiddels ook al zoveel mogelijk ssl klanten op SNI te zetten (in overleg natuurlijk)

En ja de verspilling aan ipv4 mag ook wel eens ophouden.
Microsoft kocht vorig jaar nog 666,624 ipv4 adressen voor $7,5M
Waarom hebben ze in gods naam zoveel ipv4 adressen voor nodig?

steffann
20/11/12, 19:31
Er is weinig keus meer. RIPE NCC is sinds september door de voorraad IPv4 adressen op. De providers zijn aangewezen op de voorraden IPv4 adressen die ze nu hebben, en dat zijn er in veel gevallen niet veel meer... Daarom zullen de meesten heel zuinig worden op die laatste paar adresjes.

De oplossing was geweest als iedereen een paar jaar geleden al had geïnvesteerd in IPv6. Nu gaat het een tijdje pijn doen tot die achterstand is ingehaald en IPv6-only servers haalbaar worden. Tot die tijd is het voor SSL sites denk ik het verstandigste om SNI te gebruiken. Voor XP gebruikers houdt het dan wel op. De meeste XP machines hebben geen IPv6 én IE6 kan geen SNI aan.

Het is helaas niet anders...

Flaxe_eu
21/11/12, 13:29
Werkt Windows Xp met firefox en SNI ssl wel eigenlijk?

anders kan je je gebruikers gewoon een melding geven dat ze een andere browser moeten gebruiken.

drex
21/11/12, 13:50
Of een ISP zoeken die wel voldoende ip adressen ter beschikking heeft :-))

Arieh
21/11/12, 14:02
Er werd meen ik altijd gezegd dat het op geen enkele browser werkt onder XP, maar als ik de wiki even bekijk http://en.wikipedia.org/wiki/Server_Name_Indication
"Does not work on Windows XP before Service Pack 3, even Internet Explorer 8. Does work on Windows XP Service Pack 3 and Internet Explorer 8 (TLS 1.0 protocol must be enabled)."
Het zit 'm dus gewoon in de browser. Heb in m'n virtualbox WinXP SP2 staan, sni werkt gewoon in zowel chrome en firefox.

edit:
Je zou dus wel een melding kunnen doen maar dan moet je wel op http:// beginnen, want als je meteen op https komt zonder SNI krijg je dus een dikke waarschuwing.

Apoc
21/11/12, 15:42
Wat ik opzich ook wel grappig vind is dat Cpanel zover mij bekend nog steeds geen official ipv6 support heeft.

Je kan op cPanel wel IPv6 draaien, je kan het alleen niet via de cPanel interface instellen. De achterliggende infrastructuur ondersteunt het wel. Maar, het is inderdaad belachelijk dat cPanel dit nog niet op orde heeft - ik klaag hier al jaren over. Het zal met grote waarschijnlijkheid vanaf versie 11.36 (de eerstvolgende) ondersteund worden. Ik verwacht de release daarvan medio 2013 - ik ben nog even aan het uitvogelen of ik daar een bevestiging van kan krijgen.


En ja de verspilling aan ipv4 mag ook wel eens ophouden.
Microsoft kocht vorig jaar nog 666,624 ipv4 adressen voor $7,5M
Waarom hebben ze in gods naam zoveel ipv4 adressen voor nodig?

Je zou eens moeten weten hoeveel subnets er zijn waar helemaal niets mee gedaan wordt. Er zijn miljoenen IP adressen direct aan bedrijven toegewezen in de periode voordat RIRs (RIPE, ARIN, etc) bestonden - sommige van die bedrijven bestaan niet eens meer en er wordt niets met die IPs gedaan (althans, niets legitiems). De Amerikaanse defensie heeft meerdere /8's. En er zijn partijen die handelen in /16's die gewoon door RIRs zijn toegewezen. En dan zijn de IPs zogenaamd op? Onzin. Er wordt simpelweg niks gedaan om ongebruikte en onterecht toegewezen ranges terug te halen. Ergens ook wel logisch, aangezien het niet heel zinvol is om veel moeite te gaan steken in een protocol wat toch vervangen zal worden. Maar ik erger me er toch wel aan wanneer er maar geroepen wordt dat IPv4 op is. Ik denk dat in de praktijk nog niet de helft van alle IPv4 adressen daadwerkelijk gebruikt wordt.

Spyder01
21/11/12, 16:18
Je kan op cPanel wel IPv6 draaien, je kan het alleen niet via de cPanel interface instellen. De achterliggende infrastructuur ondersteunt het wel. Maar, het is inderdaad belachelijk dat cPanel dit nog niet op orde heeft - ik klaag hier al jaren over. Het zal met grote waarschijnlijkheid vanaf versie 11.36 (de eerstvolgende) ondersteund worden. Ik verwacht de release daarvan medio 2013 - ik ben nog even aan het uitvogelen of ik daar een bevestiging van kan krijgen.

cPanel is inderdaad enorm traag er mee. Je kunt het buiten cPanel om natuurlijk grotendeels gebruiken, maar dat is dan ook een halfgebakken oplossing. Je wilt immers dat de hele server op IPv6 draait. Inmiddels al heel wat loze beloftes gehoord van ze. De prioriteiten liggen daar af en toe nogal vreemd.

dennis0162
21/11/12, 17:19
Je zou eens moeten weten hoeveel subnets er zijn waar helemaal niets mee gedaan wordt. Er zijn miljoenen IP adressen direct aan bedrijven toegewezen in de periode voordat RIRs (RIPE, ARIN, etc) bestonden - sommige van die bedrijven bestaan niet eens meer en er wordt niets met die IPs gedaan (althans, niets legitiems). De Amerikaanse defensie heeft meerdere /8's. En er zijn partijen die handelen in /16's die gewoon door RIRs zijn toegewezen. En dan zijn de IPs zogenaamd op? Onzin. Er wordt simpelweg niks gedaan om ongebruikte en onterecht toegewezen ranges terug te halen. Ergens ook wel logisch, aangezien het niet heel zinvol is om veel moeite te gaan steken in een protocol wat toch vervangen zal worden. Maar ik erger me er toch wel aan wanneer er maar geroepen wordt dat IPv4 op is. Ik denk dat in de praktijk nog niet de helft van alle IPv4 adressen daadwerkelijk gebruikt wordt.

Ik denk dat het niet mogelijk is om deze terug te vragen (regels?), anders hadden ze dit al lang gedaan.

Heeft Cpanel al wel DNSsec ondersteuning?

Apoc
21/11/12, 17:21
cPanel is inderdaad enorm traag er mee. Je kunt het buiten cPanel om natuurlijk grotendeels gebruiken, maar dat is dan ook een halfgebakken oplossing. Je wilt immers dat de hele server op IPv6 draait. Inmiddels al heel wat loze beloftes gehoord van ze. De prioriteiten liggen daar af en toe nogal vreemd.

Qua loze beloftes vind ik het wel meevallen, ze hebben altijd duidelijk gesteld dat het pas in 11.36 zou komen. Gabaseerd op de normale release cycles was het dan ook wel duidelijk dat dat niet voor 2013 zou zijn. Maar inderdaad, het feit dat dat zo is, is erg vreemd. Het argument was altijd dat ze het in 1 keer helemaal goed willen doen, maar ik vind dat ze het ook al jaren terug al helemaal goed hadden kunnen (en moeten) doen.

Spyder01
21/11/12, 17:32
Heeft Cpanel al wel DNSsec ondersteuning?

Nee, dat helaas ook nog niet.


Qua loze beloftes vind ik het wel meevallen, ze hebben altijd duidelijk gesteld dat het pas in 11.36 zou komen. Gabaseerd op de normale release cycles was het dan ook wel duidelijk dat dat niet voor 2013 zou zijn. Maar inderdaad, het feit dat dat zo is, is erg vreemd. Het argument was altijd dat ze het in 1 keer helemaal goed willen doen, maar ik vind dat ze het ook al jaren terug al helemaal goed hadden kunnen (en moeten) doen.

Ik kan me herinneren dat ik mails voorbij heb zien komen dat het in 11.32 al helemaal klaar zou zijn en de releases daarvoor stap voor stap naar volledige ondersteuning zou gaan. Ze hebben de IPv6 release binnen cPanel volgens mij toch behoorlijk uitgesteld, begin 2012 of medio 2012 heb ik toch een paar keer mogen horen van onze cPanel accountant.

Apoc
21/11/12, 17:34
Ik denk dat het niet mogelijk is om deze terug te vragen (regels?), anders hadden ze dit al lang gedaan.

Daar ligt het probleem niet, het kan zeker wel.


Heeft Cpanel al wel DNSsec ondersteuning?

Nope, zelfde verhaal.

Apoc
21/11/12, 17:35
Ik kan me herinneren dat ik mails voorbij heb zien komen dat het in 11.32 al helemaal klaar zou zijn en de releases daarvoor stap voor stap naar volledige ondersteuning zou gaan. Ze hebben de IPv6 release binnen cPanel volgens mij toch behoorlijk uitgesteld, begin 2012 of medio 2012 heb ik toch een paar keer mogen horen van onze cPanel accountant.

Hm, dat is vreemd. Tegen mij is altijd heel duidelijk verteld dat het niet voor 11.36 zou komen.

Spyder01
21/11/12, 17:37
Hm, dat is vreemd. Tegen mij is altijd heel duidelijk verteld dat het niet voor 11.36 zou komen.

Misschien zat ik ze teveel op hun dak. Inderdaad vreemd, als ze het meteen duidelijk hadden gemaakt, had ik me er immers ook niet extra druk over te hoeven maken.