Prosíme přihlašte se nebo zaregistrujte.

Přihlašte se svým uživatelským jménem a heslem.
Vaše pomoc je stále potřeba!

Autor Téma: IPv6 skrz router s NATem  (Přečteno 9257 krát)

Standa99

  • Host
IPv6 skrz router s NATem
« kdy: 02 Července 2017, 15:12:51 »
Na WANu mám veřejnou IPv4 a globální IPv6 přímo od poskytovatele. Zajímavé že v /etc/network/interfaces nemám žádnou konfiguraci ohledně IPv6. Na routeru mi ping6 + traceroute6 funguje a http://test-ipv6.com/ vyhodí 10/10. Za NATem mám vnitřní síť, ze které bych chtěl také přistupovat na IPv6, ale z různých návodů nemám jasno, co použít. Nejblíž se mi jeví radvd, ale nechci to jen tak zkoušet na funkčním routeru. Předem dík za rady.

jmp

  • Host
Re:IPv6 skrz router s NATem
« Odpověď #1 kdy: 02 Července 2017, 15:55:10 »
a to je fyzicky zapojeno jako (pc) <->|router|<->{isp/internet} a hledáte IPv6 na pc?

Standa99

  • Host
Re:IPv6 skrz router s NATem
« Odpověď #2 kdy: 02 Července 2017, 16:31:02 »
Ano přesně tak, jenom ještě podotknu, že na routeru/serveru běží Ubuntu 16.04 a na PC nepingnu ani globální IPv6 na WANu.

jmp

  • Host
Re:IPv6 skrz router s NATem
« Odpověď #3 kdy: 02 Července 2017, 18:02:58 »
máte přidělen IPv6 rozsah alespoň <něco>/56 a případně ještě <něco na spoj>/64 ?
 

Standa99

  • Host
Re:IPv6 skrz router s NATem
« Odpověď #4 kdy: 02 Července 2017, 18:25:58 »
Od poskytovatele vím prefix/64. Každý jeho klient má optický router a ve vnitřní síti mají všechny zařízení globální IPv6 (IPv4 NATuje). Já mám za jeho routerem svůj s veřejnou IPv4 a globální IPv6 na WANu, takže bych potřeboval nějak ty IPv6 předat do vnitřní sítě.

jmp

  • Host
Re:IPv6 skrz router s NATem
« Odpověď #5 kdy: 02 Července 2017, 18:34:36 »
jeden /64 opravdu nestačí (to je tak pro tu spojovací síť...)

Standa99

  • Host
Re:IPv6 skrz router s NATem
« Odpověď #6 kdy: 02 Července 2017, 19:01:03 »
Měl jsem představu, že za /64 je ještě hromada adres a když jsem se díval na ten radvd, což by měl být daemon, který by měl distribuovat IPv6 adresy dovnitř sítě, tak např. tady nebo tady je použit /64 prefix.

jmp

  • Host
Re:IPv6 skrz router s NATem
« Odpověď #7 kdy: 02 Července 2017, 20:46:07 »
no právě - máte router a chcete jej použít

pokud se však nechcete v budoucnu dostat s IPv6 do potíží, tak nebudete štípat síť na menší celky než /64

tedy minimálně  jedna síť /64 je u routeru na WAN rozhraní a druhá v LAN (tam případně bude radvd...)

Standa99

  • Host
Re:IPv6 skrz router s NATem
« Odpověď #8 kdy: 02 Července 2017, 21:26:14 »
Díky za Vaši snahu, ale já to mám stále pomýlené, myslel jsem, že z toho rozsahu /64 ty adresy budu moci použít i uvnitř. To jsou kvanta adres vniveč a přijde mi to jako plýtvání (podle tohoto kalkulátoru má /64 rozsah 18 ani nevím čeho adres).
Takže když mám jeden rozsah /64 na WANu, tak bych potřeboval další globální rozsah /64 uvnitř sítě a tím radvd bych to propojil a uvnitř bych je distribuoval přes DHCPv6 server? Link-local adresy by použít nešly?
« Poslední změna: 02 Července 2017, 21:31:39 od Standa99 »

jmp

  • Host
Re:IPv6 skrz router s NATem
« Odpověď #9 kdy: 03 Července 2017, 07:12:28 »
ono je to ještě veselejší...  :D

DHCPv6 používáme jen na dokonfiguraci DNS serverů protože ne všechny OS umí použít plnohodnotné DHCPv6 a ne všechny OS umí použít nastavení DNS z radvd ohlášení (ještě pozor na to, že to nepoužívá MAC pro identifikaci klienta ;-))

IPv6 link local adresy to použije stejně

můžete použít statickou IPv6 adresu

při ohlášení radvd OS použije autokonfigurovanou IPv6 adresu pomocí EUI-64 (tedy pokud to explicitně nepotlačíte v OS), mrkněte na https://networklessons.com/ipv6/ipv6-eui-64-explained/ - všimněte si, že to používá právě 64b z IPv6 adresy a proto přidělený blok IPv6 nikdy neštípejte na menší sítě než /64 - to by byl hned problém...

pak to také může použít Privacy Extensions a z toho náhodně vznikající a zanikající dočasné IPv6 adresy (pokud to nepotlačíte v nastavení OS)

z toho vidíte, že to v dané síti bude mít na rozhraní klidně čtyři IPv6 adresy a všechny budou platné

ještě je dobré vědět, že ICMPv6 je docela zásadní a pokud jej chcete blokovat, tak velmi opatrně (jinak pravděpodobně způsobíte nefunkčnost lecjakých služeb)

pokud jsem na něco zásadního zapomněl, tak to snad někdo doplní

BTW mrkněte se i na https://knihy.nic.cz/ hlavně na https://knihy.nic.cz/files/edice/ipv6_2012.pdf

Standa99

  • Host
Re:IPv6 skrz router s NATem
« Odpověď #10 kdy: 03 Července 2017, 09:50:24 »
Já moc na to učení nejsem, spíše někde obšlehnu nějaký příklad :)
Stejně jsem globální IPv6 uvnitř sítě nechtěl, četl jsem si něco o NAT64, proxy z IPv4 do IPv6, protože podvědomě mám NAT jako základ bezpečnosti. Takhle bude vše na odstřel, i když mám podsítě (3xLAN + WLAN), tak to všude nepustím, ale když uvažuju, tak i vnitřní rozhraní na routeru dostanou globální IPv6.
Zkusím prudit poskytovatele, jestli mi dá pár rozsahů IPv6 navíc.

jmp

  • Host
Re:IPv6 skrz router s NATem
« Odpověď #11 kdy: 03 Července 2017, 10:08:15 »
NAT rozhodně není základ bezpečnosti - to by byl zásadní omyl si něco takového myslet (je to jen taková potenciálně problémová obezlička navíc používaná poté, co bylo jasné, že dojdou IPv4 adresy)

pro bezpečnost potřebujete spíš paketové filtry nebo firewally

Standa99

  • Host
Re:IPv6 skrz router s NATem
« Odpověď #12 kdy: 03 Července 2017, 17:45:14 »
Stále si to o NATu myslím, mám trvale záplatovaný systém, takže to není žádná jednoúčelová krabička, které jsou děravé a často zapojené do botnetu. Takhle budu muset vše řešit až na koncových stanicích, kde např. u Windows stačilo mít desítky let jen antivir. Jednoduše mi do teď postačovalo hlídat WAN rozhraní, které bylo nedobytné. Vím o čem mluvím, mám 9 let veřejnou IP, kde veškeré profláknuté porty NATuju z nestandardních, na webovém serveru nepoužívám názvy jako phpmyadmin, wordpress, rainloop apod. a veškeré přihlašování hlídám fail2banem.

Edit:
Ještě mě napadlo, mám WAN (eth0) a za LAN (eth1) mám PC, ze kterého bych potřeboval přistupovat na IPv6 adresu kamerového systému (DVR Hivision) a kvůli tomuhle to celé podstupuji.
Když bych dal eth0 s eth1 do bridge br0, tak bych měl dostat IPv6 od poskytovatele na ten br0 a snad i na PC?
Asi úplně nejlepší bude tohle, protože už tak mi na routeru běží dva OpenVPN serery a taky má v tom návodu na WANu jen /64 rozsah.

Standa99

  • Host
Re:IPv6 skrz router s NATem
« Odpověď #13 kdy: 05 Července 2017, 14:51:09 »
Tak ten s návod OpenVPN tunelem funguje a bohatě mi to stačí, na ten Hikvision se přes IPv6 dostanu i z vnitřní sítě.

 

Provoz zaštiťuje spolek OpenAlt.