Fórum Ubuntu CZ/SK

Ostatní => Ubuntu Server => Téma založeno: Standa99 02 Července 2017, 15:12:51

Název: IPv6 skrz router s NATem
Přispěvatel: Standa99 02 Července 2017, 15:12:51
Na WANu mám veřejnou IPv4 a globální IPv6 přímo od poskytovatele. Zajímavé že v /etc/network/interfaces nemám žádnou konfiguraci ohledně IPv6. Na routeru mi ping6 + traceroute6 funguje a http://test-ipv6.com/ vyhodí 10/10. Za NATem mám vnitřní síť, ze které bych chtěl také přistupovat na IPv6, ale z různých návodů nemám jasno, co použít. Nejblíž se mi jeví radvd, ale nechci to jen tak zkoušet na funkčním routeru. Předem dík za rady.
Název: Re:IPv6 skrz router s NATem
Přispěvatel: jmp 02 Července 2017, 15:55:10
a to je fyzicky zapojeno jako (pc) <->|router|<->{isp/internet} a hledáte IPv6 na pc?
Název: Re:IPv6 skrz router s NATem
Přispěvatel: Standa99 02 Července 2017, 16:31:02
Ano přesně tak, jenom ještě podotknu, že na routeru/serveru běží Ubuntu 16.04 a na PC nepingnu ani globální IPv6 na WANu.
Název: Re:IPv6 skrz router s NATem
Přispěvatel: jmp 02 Července 2017, 18:02:58
máte přidělen IPv6 rozsah alespoň <něco>/56 a případně ještě <něco na spoj>/64 ?
 
Název: Re:IPv6 skrz router s NATem
Přispěvatel: Standa99 02 Července 2017, 18:25:58
Od poskytovatele vím prefix/64. Každý jeho klient má optický router a ve vnitřní síti mají všechny zařízení globální IPv6 (IPv4 NATuje). Já mám za jeho routerem svůj s veřejnou IPv4 a globální IPv6 na WANu, takže bych potřeboval nějak ty IPv6 předat do vnitřní sítě.
Název: Re:IPv6 skrz router s NATem
Přispěvatel: jmp 02 Července 2017, 18:34:36
jeden /64 opravdu nestačí (to je tak pro tu spojovací síť...)
Název: Re:IPv6 skrz router s NATem
Přispěvatel: Standa99 02 Července 2017, 19:01:03
Měl jsem představu, že za /64 je ještě hromada adres a když jsem se díval na ten radvd, což by měl být daemon, který by měl distribuovat IPv6 adresy dovnitř sítě, tak např. tady (http://mirrors.deepspace6.net/Linux+IPv6-HOWTO/hints-daemons-radvd.html) nebo tady (https://blog.linuxway.cz/2014/06/20/ipv6/) je použit /64 prefix.
Název: Re:IPv6 skrz router s NATem
Přispěvatel: jmp 02 Července 2017, 20:46:07
no právě - máte router a chcete jej použít

pokud se však nechcete v budoucnu dostat s IPv6 do potíží, tak nebudete štípat síť na menší celky než /64

tedy minimálně  jedna síť /64 je u routeru na WAN rozhraní a druhá v LAN (tam případně bude radvd...)
Název: Re:IPv6 skrz router s NATem
Přispěvatel: Standa99 02 Července 2017, 21:26:14
Díky za Vaši snahu, ale já to mám stále pomýlené, myslel jsem, že z toho rozsahu /64 ty adresy budu moci použít i uvnitř. To jsou kvanta adres vniveč a přijde mi to jako plýtvání (podle tohoto (http://www.gestioip.net/cgi-bin/subnet_calculator.cgi) kalkulátoru má /64 rozsah 18 ani nevím čeho adres).
Takže když mám jeden rozsah /64 na WANu, tak bych potřeboval další globální rozsah /64 uvnitř sítě a tím radvd bych to propojil a uvnitř bych je distribuoval přes DHCPv6 server? Link-local adresy by použít nešly?
Název: Re:IPv6 skrz router s NATem
Přispěvatel: jmp 03 Července 2017, 07:12:28
ono je to ještě veselejší...  :D

DHCPv6 používáme jen na dokonfiguraci DNS serverů protože ne všechny OS umí použít plnohodnotné DHCPv6 a ne všechny OS umí použít nastavení DNS z radvd ohlášení (ještě pozor na to, že to nepoužívá MAC pro identifikaci klienta ;-))

IPv6 link local adresy to použije stejně

můžete použít statickou IPv6 adresu

při ohlášení radvd OS použije autokonfigurovanou IPv6 adresu pomocí EUI-64 (tedy pokud to explicitně nepotlačíte v OS), mrkněte na https://networklessons.com/ipv6/ipv6-eui-64-explained/ (https://networklessons.com/ipv6/ipv6-eui-64-explained/) - všimněte si, že to používá právě 64b z IPv6 adresy a proto přidělený blok IPv6 nikdy neštípejte na menší sítě než /64 - to by byl hned problém...

pak to také může použít Privacy Extensions a z toho náhodně vznikající a zanikající dočasné IPv6 adresy (pokud to nepotlačíte v nastavení OS)

z toho vidíte, že to v dané síti bude mít na rozhraní klidně čtyři IPv6 adresy a všechny budou platné

ještě je dobré vědět, že ICMPv6 je docela zásadní a pokud jej chcete blokovat, tak velmi opatrně (jinak pravděpodobně způsobíte nefunkčnost lecjakých služeb)

pokud jsem na něco zásadního zapomněl, tak to snad někdo doplní

BTW mrkněte se i na https://knihy.nic.cz/ (https://knihy.nic.cz/) hlavně na https://knihy.nic.cz/files/edice/ipv6_2012.pdf (https://knihy.nic.cz/files/edice/ipv6_2012.pdf)
Název: Re:IPv6 skrz router s NATem
Přispěvatel: Standa99 03 Července 2017, 09:50:24
Já moc na to učení nejsem, spíše někde obšlehnu nějaký příklad :)
Stejně jsem globální IPv6 uvnitř sítě nechtěl, četl jsem si něco o NAT64, proxy z IPv4 do IPv6, protože podvědomě mám NAT jako základ bezpečnosti. Takhle bude vše na odstřel, i když mám podsítě (3xLAN + WLAN), tak to všude nepustím, ale když uvažuju, tak i vnitřní rozhraní na routeru dostanou globální IPv6.
Zkusím prudit poskytovatele, jestli mi dá pár rozsahů IPv6 navíc.
Název: Re:IPv6 skrz router s NATem
Přispěvatel: jmp 03 Července 2017, 10:08:15
NAT rozhodně není základ bezpečnosti - to by byl zásadní omyl si něco takového myslet (je to jen taková potenciálně problémová obezlička navíc používaná poté, co bylo jasné, že dojdou IPv4 adresy)

pro bezpečnost potřebujete spíš paketové filtry nebo firewally
Název: Re:IPv6 skrz router s NATem
Přispěvatel: Standa99 03 Července 2017, 17:45:14
Stále si to o NATu myslím, mám trvale záplatovaný systém, takže to není žádná jednoúčelová krabička, které jsou děravé a často zapojené do botnetu. Takhle budu muset vše řešit až na koncových stanicích, kde např. u Windows stačilo mít desítky let jen antivir. Jednoduše mi do teď postačovalo hlídat WAN rozhraní, které bylo nedobytné. Vím o čem mluvím, mám 9 let veřejnou IP, kde veškeré profláknuté porty NATuju z nestandardních, na webovém serveru nepoužívám názvy jako phpmyadmin, wordpress, rainloop apod. a veškeré přihlašování hlídám fail2banem.

Edit:
Ještě mě napadlo, mám WAN (eth0) a za LAN (eth1) mám PC, ze kterého bych potřeboval přistupovat na IPv6 adresu kamerového systému (DVR Hivision) a kvůli tomuhle to celé podstupuji.
Když bych dal eth0 s eth1 do bridge br0, tak bych měl dostat IPv6 od poskytovatele na ten br0 a snad i na PC?
Asi úplně nejlepší bude tohle (https://techblog.synagila.com/2016/02/24/build-a-openvpn-server-on-ubuntu-to-provide-a-ipv6-tunnel-over-ipv4/), protože už tak mi na routeru běží dva OpenVPN serery a taky má v tom návodu na WANu jen /64 rozsah.
Název: Re:IPv6 skrz router s NATem
Přispěvatel: Standa99 05 Července 2017, 14:51:09
Tak ten s návod OpenVPN tunelem funguje a bohatě mi to stačí, na ten Hikvision se přes IPv6 dostanu i z vnitřní sítě.