Prosíme přihlašte se nebo zaregistrujte.

Přihlašte se svým uživatelským jménem a heslem.
World of Warcraft

Novinky: Děkujeme všem návštěvníkům fóra, kteří ochotně radí ostatním. Vaše práce je velmi potřebná a vážíme si jí.

Autor Téma: IPv6 skrz router s NATem  (Přečteno 2072 krát)

Standa99

  • Stálý člen
  • ***
  • Příspěvků: 546
  • Karma: +51/-2
    • Zobrazit profil
IPv6 skrz router s NATem
« kdy: 02 Červenec 2017, 15:12:51 »
Na WANu mám veřejnou IPv4 a globální IPv6 přímo od poskytovatele. Zajímavé že v /etc/network/interfaces nemám žádnou konfiguraci ohledně IPv6. Na routeru mi ping6 + traceroute6 funguje a http://test-ipv6.com/ vyhodí 10/10. Za NATem mám vnitřní síť, ze které bych chtěl také přistupovat na IPv6, ale z různých návodů nemám jasno, co použít. Nejblíž se mi jeví radvd, ale nechci to jen tak zkoušet na funkčním routeru. Předem dík za rady.

Server#1 - GA-H170N-WIFI, Pentium G4400, 8GB RAM, 4xLAN Intel i211+i219+Dual 82571EB, WiFi Intel AC-8260, SSD+HDD, 16.04
Server#2 - Intel DN2800MT, 4GB RAM, 2xLAN Intel 82574L, WiFi Atheros AR5BHB92, SSD+HDD, 12.04

jmp

  • Závislák
  • ****
  • Příspěvků: 2536
  • Karma: +240/-32
    • Zobrazit profil
Re:IPv6 skrz router s NATem
« Odpověď #1 kdy: 02 Červenec 2017, 15:55:10 »
a to je fyzicky zapojeno jako (pc) <->|router|<->{isp/internet} a hledáte IPv6 na pc?

Standa99

  • Stálý člen
  • ***
  • Příspěvků: 546
  • Karma: +51/-2
    • Zobrazit profil
Re:IPv6 skrz router s NATem
« Odpověď #2 kdy: 02 Červenec 2017, 16:31:02 »
Ano přesně tak, jenom ještě podotknu, že na routeru/serveru běží Ubuntu 16.04 a na PC nepingnu ani globální IPv6 na WANu.

Server#1 - GA-H170N-WIFI, Pentium G4400, 8GB RAM, 4xLAN Intel i211+i219+Dual 82571EB, WiFi Intel AC-8260, SSD+HDD, 16.04
Server#2 - Intel DN2800MT, 4GB RAM, 2xLAN Intel 82574L, WiFi Atheros AR5BHB92, SSD+HDD, 12.04

jmp

  • Závislák
  • ****
  • Příspěvků: 2536
  • Karma: +240/-32
    • Zobrazit profil
Re:IPv6 skrz router s NATem
« Odpověď #3 kdy: 02 Červenec 2017, 18:02:58 »
máte přidělen IPv6 rozsah alespoň <něco>/56 a případně ještě <něco na spoj>/64 ?
 

Standa99

  • Stálý člen
  • ***
  • Příspěvků: 546
  • Karma: +51/-2
    • Zobrazit profil
Re:IPv6 skrz router s NATem
« Odpověď #4 kdy: 02 Červenec 2017, 18:25:58 »
Od poskytovatele vím prefix/64. Každý jeho klient má optický router a ve vnitřní síti mají všechny zařízení globální IPv6 (IPv4 NATuje). Já mám za jeho routerem svůj s veřejnou IPv4 a globální IPv6 na WANu, takže bych potřeboval nějak ty IPv6 předat do vnitřní sítě.

Server#1 - GA-H170N-WIFI, Pentium G4400, 8GB RAM, 4xLAN Intel i211+i219+Dual 82571EB, WiFi Intel AC-8260, SSD+HDD, 16.04
Server#2 - Intel DN2800MT, 4GB RAM, 2xLAN Intel 82574L, WiFi Atheros AR5BHB92, SSD+HDD, 12.04

jmp

  • Závislák
  • ****
  • Příspěvků: 2536
  • Karma: +240/-32
    • Zobrazit profil
Re:IPv6 skrz router s NATem
« Odpověď #5 kdy: 02 Červenec 2017, 18:34:36 »
jeden /64 opravdu nestačí (to je tak pro tu spojovací síť...)

Standa99

  • Stálý člen
  • ***
  • Příspěvků: 546
  • Karma: +51/-2
    • Zobrazit profil
Re:IPv6 skrz router s NATem
« Odpověď #6 kdy: 02 Červenec 2017, 19:01:03 »
Měl jsem představu, že za /64 je ještě hromada adres a když jsem se díval na ten radvd, což by měl být daemon, který by měl distribuovat IPv6 adresy dovnitř sítě, tak např. tady nebo tady je použit /64 prefix.

Server#1 - GA-H170N-WIFI, Pentium G4400, 8GB RAM, 4xLAN Intel i211+i219+Dual 82571EB, WiFi Intel AC-8260, SSD+HDD, 16.04
Server#2 - Intel DN2800MT, 4GB RAM, 2xLAN Intel 82574L, WiFi Atheros AR5BHB92, SSD+HDD, 12.04

jmp

  • Závislák
  • ****
  • Příspěvků: 2536
  • Karma: +240/-32
    • Zobrazit profil
Re:IPv6 skrz router s NATem
« Odpověď #7 kdy: 02 Červenec 2017, 20:46:07 »
no právě - máte router a chcete jej použít

pokud se však nechcete v budoucnu dostat s IPv6 do potíží, tak nebudete štípat síť na menší celky než /64

tedy minimálně  jedna síť /64 je u routeru na WAN rozhraní a druhá v LAN (tam případně bude radvd...)

Standa99

  • Stálý člen
  • ***
  • Příspěvků: 546
  • Karma: +51/-2
    • Zobrazit profil
Re:IPv6 skrz router s NATem
« Odpověď #8 kdy: 02 Červenec 2017, 21:26:14 »
Díky za Vaši snahu, ale já to mám stále pomýlené, myslel jsem, že z toho rozsahu /64 ty adresy budu moci použít i uvnitř. To jsou kvanta adres vniveč a přijde mi to jako plýtvání (podle tohoto kalkulátoru má /64 rozsah 18 ani nevím čeho adres).
Takže když mám jeden rozsah /64 na WANu, tak bych potřeboval další globální rozsah /64 uvnitř sítě a tím radvd bych to propojil a uvnitř bych je distribuoval přes DHCPv6 server? Link-local adresy by použít nešly?
« Poslední změna: 02 Červenec 2017, 21:31:39 od Standa99 »

Server#1 - GA-H170N-WIFI, Pentium G4400, 8GB RAM, 4xLAN Intel i211+i219+Dual 82571EB, WiFi Intel AC-8260, SSD+HDD, 16.04
Server#2 - Intel DN2800MT, 4GB RAM, 2xLAN Intel 82574L, WiFi Atheros AR5BHB92, SSD+HDD, 12.04

jmp

  • Závislák
  • ****
  • Příspěvků: 2536
  • Karma: +240/-32
    • Zobrazit profil
Re:IPv6 skrz router s NATem
« Odpověď #9 kdy: 03 Červenec 2017, 07:12:28 »
ono je to ještě veselejší...  :D

DHCPv6 používáme jen na dokonfiguraci DNS serverů protože ne všechny OS umí použít plnohodnotné DHCPv6 a ne všechny OS umí použít nastavení DNS z radvd ohlášení (ještě pozor na to, že to nepoužívá MAC pro identifikaci klienta ;-))

IPv6 link local adresy to použije stejně

můžete použít statickou IPv6 adresu

při ohlášení radvd OS použije autokonfigurovanou IPv6 adresu pomocí EUI-64 (tedy pokud to explicitně nepotlačíte v OS), mrkněte na https://networklessons.com/ipv6/ipv6-eui-64-explained/ - všimněte si, že to používá právě 64b z IPv6 adresy a proto přidělený blok IPv6 nikdy neštípejte na menší sítě než /64 - to by byl hned problém...

pak to také může použít Privacy Extensions a z toho náhodně vznikající a zanikající dočasné IPv6 adresy (pokud to nepotlačíte v nastavení OS)

z toho vidíte, že to v dané síti bude mít na rozhraní klidně čtyři IPv6 adresy a všechny budou platné

ještě je dobré vědět, že ICMPv6 je docela zásadní a pokud jej chcete blokovat, tak velmi opatrně (jinak pravděpodobně způsobíte nefunkčnost lecjakých služeb)

pokud jsem na něco zásadního zapomněl, tak to snad někdo doplní

BTW mrkněte se i na https://knihy.nic.cz/ hlavně na https://knihy.nic.cz/files/edice/ipv6_2012.pdf

Standa99

  • Stálý člen
  • ***
  • Příspěvků: 546
  • Karma: +51/-2
    • Zobrazit profil
Re:IPv6 skrz router s NATem
« Odpověď #10 kdy: 03 Červenec 2017, 09:50:24 »
Já moc na to učení nejsem, spíše někde obšlehnu nějaký příklad :)
Stejně jsem globální IPv6 uvnitř sítě nechtěl, četl jsem si něco o NAT64, proxy z IPv4 do IPv6, protože podvědomě mám NAT jako základ bezpečnosti. Takhle bude vše na odstřel, i když mám podsítě (3xLAN + WLAN), tak to všude nepustím, ale když uvažuju, tak i vnitřní rozhraní na routeru dostanou globální IPv6.
Zkusím prudit poskytovatele, jestli mi dá pár rozsahů IPv6 navíc.

Server#1 - GA-H170N-WIFI, Pentium G4400, 8GB RAM, 4xLAN Intel i211+i219+Dual 82571EB, WiFi Intel AC-8260, SSD+HDD, 16.04
Server#2 - Intel DN2800MT, 4GB RAM, 2xLAN Intel 82574L, WiFi Atheros AR5BHB92, SSD+HDD, 12.04

jmp

  • Závislák
  • ****
  • Příspěvků: 2536
  • Karma: +240/-32
    • Zobrazit profil
Re:IPv6 skrz router s NATem
« Odpověď #11 kdy: 03 Červenec 2017, 10:08:15 »
NAT rozhodně není základ bezpečnosti - to by byl zásadní omyl si něco takového myslet (je to jen taková potenciálně problémová obezlička navíc používaná poté, co bylo jasné, že dojdou IPv4 adresy)

pro bezpečnost potřebujete spíš paketové filtry nebo firewally

Standa99

  • Stálý člen
  • ***
  • Příspěvků: 546
  • Karma: +51/-2
    • Zobrazit profil
Re:IPv6 skrz router s NATem
« Odpověď #12 kdy: 03 Červenec 2017, 17:45:14 »
Stále si to o NATu myslím, mám trvale záplatovaný systém, takže to není žádná jednoúčelová krabička, které jsou děravé a často zapojené do botnetu. Takhle budu muset vše řešit až na koncových stanicích, kde např. u Windows stačilo mít desítky let jen antivir. Jednoduše mi do teď postačovalo hlídat WAN rozhraní, které bylo nedobytné. Vím o čem mluvím, mám 9 let veřejnou IP, kde veškeré profláknuté porty NATuju z nestandardních, na webovém serveru nepoužívám názvy jako phpmyadmin, wordpress, rainloop apod. a veškeré přihlašování hlídám fail2banem.

Edit:
Ještě mě napadlo, mám WAN (eth0) a za LAN (eth1) mám PC, ze kterého bych potřeboval přistupovat na IPv6 adresu kamerového systému (DVR Hivision) a kvůli tomuhle to celé podstupuji.
Když bych dal eth0 s eth1 do bridge br0, tak bych měl dostat IPv6 od poskytovatele na ten br0 a snad i na PC?
Asi úplně nejlepší bude tohle, protože už tak mi na routeru běží dva OpenVPN serery a taky má v tom návodu na WANu jen /64 rozsah.

Server#1 - GA-H170N-WIFI, Pentium G4400, 8GB RAM, 4xLAN Intel i211+i219+Dual 82571EB, WiFi Intel AC-8260, SSD+HDD, 16.04
Server#2 - Intel DN2800MT, 4GB RAM, 2xLAN Intel 82574L, WiFi Atheros AR5BHB92, SSD+HDD, 12.04

Standa99

  • Stálý člen
  • ***
  • Příspěvků: 546
  • Karma: +51/-2
    • Zobrazit profil
Re:IPv6 skrz router s NATem
« Odpověď #13 kdy: 05 Červenec 2017, 14:51:09 »
Tak ten s návod OpenVPN tunelem funguje a bohatě mi to stačí, na ten Hikvision se přes IPv6 dostanu i z vnitřní sítě.

Server#1 - GA-H170N-WIFI, Pentium G4400, 8GB RAM, 4xLAN Intel i211+i219+Dual 82571EB, WiFi Intel AC-8260, SSD+HDD, 16.04
Server#2 - Intel DN2800MT, 4GB RAM, 2xLAN Intel 82574L, WiFi Atheros AR5BHB92, SSD+HDD, 12.04