Nové IPv4 adresy došly. Nebudou ani pro nového mobilního operátora.
Jednou to přijít muselo: zásoba volných IPv4 adres v Evropě se vyčerpala. Internetoví provideři mohou ještě nějakou dobu žít z vlastních zásob, ale pak stejně budou muset přejít na IPv6. Nový mobilní operátor ale nebude moci čekat. Které weby veřejné správy stále nejsou dostupné přes IPv6?
Minulý pátek, 14. září 2012, se opravdu nesmazatelně zapsal do historie. A to nejenom vyhlášením prohibice v České republice. Stal se i „dnem, kdy došly IPv4 adresy“.
Abychom ale byli přesní: IP adresy právě došly v regionu Evropy, Ruska, Středního východu a centrální Asie, ve kterém je přiděluje organizace RIPE, jako tzv. RIR (Regional Internet Registry) pro tuto oblast. A nedošly zcela úplně: organizaci RIPE zbyl poslední blok o velikosti /8, neboli se 2 na 24 (cca 16,7 milionu) individuálními IPv4 adresami.
Za „konec IPv4 adres“ je to ale považováno z toho důvodu, že až do tohoto okamžiku platila v RIPE standardní pravidla přidělování IPv4 adres, v rámci kterých (zjednodušeně řečeno) mohl každý subjekt LIR (Local Internet Registry) získat tolik IPv4 adres, kolik jich doopravdy potřeboval. Nyní, když už zbyl jen opravdu poslední blok IPv4 adres, nastupují „krizová pravidla“, podle kterých může každý LIR (což jsou v praxi zejména jednotliví internetoví provideři) získat pouze jeden jediný blok /22, neboli 1024 individuálních IPv4 adres. I kdyby jich potřeboval sebevíce a dokládal to nade vší pochybnost.
Jinými slovy: každý internetový provider, ať je jakkoli velký, už může získat jen oněch 1024 adres, bez ohledu na počet svých zákazníků. Takže třeba celá Telefónica, celé UPC, celá GTS atd. už nemají šanci získat více jak 1024 individuálních IPv4 adres. Z jejich pohledu to tedy skutečně je „konec IPv4 adres“ ve smyslu jejich dalšího přidělování. Samozřejmě nikoli ve smyslu možnosti dalšího používání těch IPv4 adres, které již mají přidělené. Na tom se nic nemění.
Připomeňme si také, že Evropa (včetně Ruska, Středního východu a centrální Asie) je druhou oblastí, kde právě popsaným způsobem IPv4 adresy došly. První oblastí byla oblast Asie a Pacifiku, spadající pro RIR APNIC: zde došlo na poslední blok o velikosti /8, se stejnými „krizovými pravidly“ přidělování (každému jen 1 blok /22) již 15 dubna 2011. Přitom na nejvyšší úrovni, u organizace IANA, která spravuje celý adresový prostor IPv4, „došly“ volné IPv4 adresy již v únoru 2011, kdy tato organizace přidělila pěti organizacím RIR na světě poslední volné bloky /8. Právě tehdy RIPE dostal svůj poslední blok (185/8) – a od minulého pátku, 14.9.2012, má k dispozici už jen ten a přiděluje z něj na základě zmíněných „krizových pravidel“.
O aktuální situaci v ostatních částech světa se můžete dočíst v dnešním článku na Root.cz, který se věnuje stejné problematice.
Není to konec světa!
Ačkoli se o tom již psalo mnohokrát, připomeňme si znovu, co popisovaný „konec IPv4 adres“ konkrétně znamená. Rozhodně nejde o to, že by se již přidělené IPv4 adresy musely přestat používat. Nikoli, „svět IPv4“ bude existovat a fungovat i nadále. Změna se týká jen jeho rozrůstání, ve smyslu přidělování IP adres novým uzlům. A ani zde to nemusí být tak radikální, jak by to z hesel typu „konec IPv4 adres“ mohlo vyplývat.
Jedním z důvodů je to, že na úrovni jednotlivých LIR, tedy hlavně u konkrétních internetových providerů, může existovat ještě relativně velká zásoba dosud volných IPv4 adres, které provider může přidělit svým novým zákazníkům. Druhým důvodem pak je možnost používat privátní IP adresy za NATem – což není zdaleka ideální řešení, ale pro řadu situací a pro určité skupiny zákazníků vcelku postačuje.
Obojí je ale jen jakýmsi „odkladem“ definitivního řešení v podobě IPv6, na které stejně dojde, tak jako tak. Berme proto nynější „konec IPv4 adres“ jako další z impulsů pro přechod na IPv6. Což zdůrazňuje i podmínka, spojená s výše zmiňovanými krizovými pravidly pro čerpání z posledního /8 bloku: aby kdokoli mohl získat svůj definitivně poslední blok /22, tedy s 1024 IPv4 adresami, musí již mít přidělené nějaké IPv6 adresy. V současné době je má přiděleno asi 50% LIR, které spadají pod RIPE.
Co budoucí 4. mobilní operátor?
V zajímavé situaci ale budou takové subjekty, které teprve vstoupí na trh a začnou na něm poskytovat služby charakteru připojení k Internetu. Protože ty nebudou mít žádné „našetřené“ IPv4 adresy, se kterými by mohly ještě nějakou dobu vystačit a tím oddalovat svůj přechod na IPv6.
V ČR se v takovéto situaci může ocitnout společnost PPF, která se nedávno přihlásila do aukce o kmitočty pro mobilní broadbandu. Členem RIPE v roli LIR není, a IPv4 adresy má přidělené jen jako koncový zákazník od svého providera. Pokud v aukci uspěje a bude budovat nového mobilního operátora, dostane se do postavení internetového providera, který bude potřebovat dostatek nových IP adres pro své zákazníky. Podle výše popsaných „krizových pravidel“ bude moci získat jen 1024 IPv4 adres. Což je problém.
Pokud by nový mobilní operátor postupoval obvyklým způsobem a zákazníkům svých mobilních datových služeb přiděloval privátní IPv4 adresy (kterých může mít dostatek) a překládal je do veřejných IPv4 adres pomocí NATu, pak mu na to oněch 1024 veřejných IPv4 adres stačit nebude - vzhledem k očekávanému či aspoň plánovanému počtu uživatelů a obvyklém počtu spojení na uživatele.
Pro srovnání: třeba U:fon, resp. MobilKom, má od RIPE přiděleny dva bloky /18, tedy 2x 16 384 individuálních veřejných IPv4 adres. Alokace všech českých ISP (ale i dalších subjektů v roli LIR) najdete například v této přehledné tabulce.
Společnosti PPF by se možná podařilo získat potřebný počet IPv4 adres někde jinde, například z přídělu pro Afriku, pokud v mezidobí vznikne „trh“ s posledními zbytky veřejných IPv4 adres. Ale i to by zákazníkům jejího mobilního operátora mohlo přinášet nepříjemné problémy, například při určování polohy podle IP adresy.
„Čistým“ řešením je proto budovat nového mobilního operátora důsledně a od začátku již jen na bázi IPv6. Na úrovni jeho sítě by to neměl být problém – když bude budována jako zcela nová, měla by být podpora IPv6 samozřejmostí. Jiné to ale bude na straně zákazníků této sítě, kde podpora IPv6 v nejrůznějších mobilních zařízeních ještě asi nějakou dobu nebude zdaleka ideální. A to je u operátora, který má hodně sázet na mobilní datové služby, velmi podstatné.
Jestlipak byl i tento aspekt brán v úvahu při nejrůznějších rozvahách o podmínkách vstupu nového hráče na mobilní trh? Obávám se, že nikoli.
Jak je na tom veřejná správa?
Nynější „konec IPv4 adres“ je určitě vhodnou příležitostí i k malému ohlédnutí za tím, jak se zde v ČR daří přechod na IPv6. Celkový obrázek je velmi optimistický, když podle jedné statistiky jsme první na světě v zavádění IPv6, a podle jiné statistiky druzí v Evropě (za Slovenskem). Podobně optimistický je i pohled do detailních statistik o počtech cz domén podporujících IPv6, objemech IPv6 provozu atd.
Pokud ale půjdeme do konkrétních detailů, pak už to tak růžové není. Zejména ve veřejné správě, která má dokonce přikázáno podporovat i IPv6. Je tomu tak díky usnesení vlády č. 727 z 3.6.2009, které ukládá zajistit
do 31. prosince 2010 přístup k internetovým stránkám a veřejně dostupným službám eGovernmentu internetovým protokolem verze 4 (IPv4) i internetovým protokolem verze 6 (IPv6)
Zkusme se tedy dnes, v září roku 2012, podívat na některé konkrétní projekty českého eGovernmentu, zda toto usnesení naplňují a kromě IPv4 podporují i IPv6. Pro jednoduchost k tomu budu používat tento testovací nástroj, na kterém si můžeme vše vyzkoušet sami – stačí zadat adresu příslušného webu a hned se dozvíte, jak je na tom s podporou IPv6.
Tak třeba: do své datové schránky se dostanete i přes IPv6, protože web na adrese www.mojedatovaschranka.cz podporuje IPv6 tak, jak by měl.
Ovšem k informacím o datových schránkách, konkrétně na jejich informační web (na adrese www.datoveschranky.info) se přes IPv6 nedostanete, protože zde IPv6 podporováno není, viz obrázek.
Zkusme to ale jinde: ještě nedávno se hodně mluvilo o novém centrálním registru vozidel. Ten byl vyvíjen jako zbrusu nová aplikace, dokonce jako „internetová“ - ve smyslu používání po veřejném Internetu, přes webové stránky registru, které se nachází na adrese crv.mdcr.cz. Vzhledem k tomu všemu by se dalo očekávat, že podpora IPv6 bude samozřejmostí. Ale jak ukazuje následující obrázek, opak je pravdou.
Přitom samotný web resortu dopravy (www.mdcr.cz) IPv6 podporuje. Ale nová aplikace centrálního registru vozidel nikoli.
Zajímavou otázkou jistě je, zda je to ve sporu se zmiňovaným nařízením vlády, nebo nikoli. Šikovný úředník by jistě dokázal dovodit, že nikoli: v nařízení přeci stojí jasně psáno, že se týká pouze „veřejně dostupných služeb“. A aplikace registru vozidel přeci není úplně veřejná – je určena jen pro konkrétní úředníky.
Tak to zkusme jinde: co třeba největší chlouba českého eGovernmentu, kterou jsou CzechPointy? Ani www.czechpoint.cz IPv6 nepodporuje.
Možná by i zde někdo mohl argumentovat tím, že na www.czechpoint.cz nejsou poskytovány služby široké veřejnosti, ale jen určitému okruhu úředníků. Ale není to pravda, na stejném webu je provozováno například centrální úložiště ověřovacích doložek či úschovna dokumentů ke konverzi – a to už jsou věci, určené opravdu nejširší veřejnosti. Proto by se na tento web určitě mělo vztahovat zmiňované usnesení vlády. A to, že toto usnesení není vůbec zbytečné, si můžeme ilustrovat na příkladu nového mobilního operátora: na toho už veřejné IPv4 adresy nezbydou. S jeho veřejnou IPv6 adresou se ale občan nedostane k těm službám, které IPv6 nepodporují.
Podobně je tomu třeba u centrálního úložiště elektronických platebních rozkazů (a zřejmě i dalších důležitých dokumentů) na webu infodokument.justice.cz. Ani tento web IPv6 nepodporuje. Přitom ten, koho se platební rozkaz týká, jej dostane listovní poštou jako prostý „cár papíru“ (jako nepodepsaný výtisk, bez razítka), a o jeho autenticitě se může přesvědčit jen tak, že se podívá na elektronický originál ve zmíněném úložišti (podrobněji). Ovšem z IPv6 se nepodívá.
A co základní registry?
Na závěr se zastavme u další chlouby českého egovernmentu, kterou jsou základní registry. A rovnou si řekněme, že právě minulý týden vláda přes veškeré hledání úspor přeci jen našla peníze na jejich provoz a správu: ve výši přes 300 milionů každý rok (podrobněji).
Jak je to ale s IPv6 u základních registrů? Opět u takto nového řešení, na bázi nejnovějších technologií za stovky milionů, by se podpora IPv6 dala považovat za samozřejmou. Realitu ale najdeme v tomto dokumentu v této větě:
Pro komunikaci AIS s ISZR je možné používat pouze adresy IPv4, tj. nelze použít IPv6.
Upřesněme si ale, o co vlastně jde: o připojování agendových informačních systémů (AISů), které provozují jednotlivé orgány veřejné moci, s vnějším rozhraním základních registrů (s tzv. EGON rozhraním, které vytváří informační systém základních registrů, zkratkou ISZR). Toto propojení se původně mělo odehrávat v uzavřeném prostředí KIVSu, které je z pohledu adresování privátní sítí a používá privátní IPv4 adresy. Zde by absence podpory IPv6 nevadila, a usnesení vlády o podpoře IPv6 by se zřejmě neuplatnilo.
Jenže s KIVSem je to v letošním roce špatné, poté co vnitro nedokázalo včas vypsat tendry na dodavatele. Kvůli tomu nebylo možné trvat na tom, aby se jednotlivé AISy propojovaly se základními registry přes KIVS, ale bylo nutné toto propojení „otevřít“ a umožnit jeho realizaci přes veřejný Internet. To nastolilo řadu bezpečnostních otázek (podrobněji viz tento můj článek), a pochopitelně to vyžaduje použití veřejných IP adres. Z výše uvedené citace ale plyne, že to musí být jen IPv4 adresy, a nikoli IPv6 adresy.
Asi nepřekvapí, že IPv6 nepodporují ani weby, ke kterým se přes veřejný Internet připojují ti, kteří nějak udržují či spravují základní registry a jejich obsah. Jako třeba egon.gov.cz, edit.egon.gov.cz, rpp-ais.egon.gov.cz, iszr.gov.cz, či třeba kaas.czechpoint.cz a jip.czechpoint.cz.
Na druhou stranu: vše se ještě dá dohnat a podporu IPv6 zavést aspoň dodatečně. Jen doufám, že někoho v rámci úspor nenapadne nějaká specifická varianta, jako třeba postupný přechod: z IPv4 nejprve na IPv5, a teprve pak, až budou další peníze, z IPv5 na IPv6 J