Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: cl1d3 15. 04. 2015, 14:07:06
-
Dobry den,
chcel by som v svojej sieti nasadit IPv6 a nahradit tak casom IPv4 ale neviem sa dopracovat k pre mna zrozumitelnemu obsahu, kde by bolo popisane napriklad to ake segmenty zvolit na DHCP serveri pre intranet (na IPv4 10.*, 172.16.*, 192.168.*).
Viete mi pripadne odporucit nejaku dobru literaturu ktora by vedela zodpovedat na vsetky moje otazky?
-
http://www.root.cz/knihy/internetovy-protokol-ipv6-treti-vydani/
-
Nejprve bych začal tímhle: zapomeňte na vše, co vás o síťování naučilo IPv4. IPv6 funguje hodně, hodně odlišně.
V IPv6 se DHCP používá jen vzácně, pokud je k tomu zvláštní důvod. Domácí síť typicky používá SLAAC (počítače si přiřazují adresy samy) a DHCP vůbec nemá.
Dále, IPv6 nemá NAT typický pro domácí sítě. Pokud chcete adresy s přístupem na internet, potřebujete veřejné IPv6 adresy. Ty můžete získat takto:
- Pokud IPv6 umí váš poskytovatel internetu, tak od nej. Navíc pokud na vašem modemu/routeru zapnete Prefix Delegation, tak po schválení žádosti pravděpodobně nemusíte ani hnout prstem, celé to začne fungovat samo.
- Pokud máte alespoň jednu veřejnou IPv4 adresu, můžete získat 65 tisíc IPv6 sítí pomocí 6to4 tunelu. Jen některé routery (Mikrotik) umí tento tunel vytvářet.
- Pokud nemáte ani to, tak lze získat síť od brokera, tzn. někoho, ke komu se připojíte, aby vám IPv6 fungovalo. Tahle možnost je ale často jen pro zkoušení IPv6 než pro reálné použití. Routery, které umí 6to4, umí i tohle.
Výše odkazovanou knihu od Pavla Satrapy také doporučuji, jde i legálně a zdarma stáhnout (https://knihy.nic.cz/).
-
Já bych ještě tak deset let počkal ... .
-
Proc? mam IPV6 asi tak 7let a posledni dobou je pres nej tak 60-70% provozu
Lepsi literaturu nez ta kniha o par prispevku nahoru v cestine neni.
-
deset let se již čekalo a ničemu to nepomohlo (nikam to nevede obvzláště tehdy, když čekají všichni)
chce to poptávat IPv6 u ISP
jen pro info
s autokonfigurací u RA je to v pohodě co se týče IPv6 adres, ale s DNS si windows bez dalšího softu neporadí - tam však lze použít dokonfiguraci pomocí DHCPv6 (ať se s tím zbytečně netrápíte až to konečně přijde...)
-
Tak deset let se cekalo a ja budu cekat i dal. Spousta ISP ipv6 totalne ignoruje a s tim ja, jako koncak, tezko neco nadelam. A Teredo a podobne veci me moc nerajcuji.
@Sten: Ta knizka jde stahnout i z toho odkaz na Rootu a navic nejen v pdf. Pokud ma clovek kindle nebo neco, tak pdf je blba volba.
-
deset let se již čekalo a ničemu to nepomohlo (nikam to nevede obvzláště tehdy, když čekají všichni)
Ono to nikam nevede a všichni čekaji protože ipv6 je zmršenina a nikomu se do ní nechce.
-
chcel by som v svojej sieti nasadit IPv6 a nahradit tak casom IPv4 ale neviem sa dopracovat k pre mna zrozumitelnemu obsahu, kde by bolo popisane napriklad to ake segmenty zvolit na DHCP serveri pre intranet (na IPv4 10.*, 172.16.*, 192.168.*).
cus, v ipv6 neni nedostatek adres, takze neni treba v intranetech pouzivat lokalni adresy.
jesli s ipv6 zacinas a nemas od providera rozsah, nech si nejaky pridelit treba od sixxs.net a hraj si s tim.
-
s autokonfigurací u RA je to v pohodě co se týče IPv6 adres, ale s DNS si windows bez dalšího softu neporadí - tam však lze použít dokonfiguraci pomocí DHCPv6
Jenodušší je se na DHCPv6 vykašlat a klienty kteří si neumí vzít IPv6 adresu nameserveru z RA (typicky windows) tak odkázat na komunikaci s nameserverem přes IPv4 (a tam jim ji dát přes DHCP). Sice to není možné na IPv6-only síti, ale na té toho nefunguje mnohem víc takže je dnes stejně jediná reálně použitelná varianta dual-stack (s IPv4 klidně přes NAT).
-
s autokonfigurací u RA je to v pohodě co se týče IPv6 adres, ale s DNS si windows bez dalšího softu neporadí - tam však lze použít dokonfiguraci pomocí DHCPv6
Jenodušší je se na DHCPv6 vykašlat a klienty kteří si neumí vzít IPv6 adresu nameserveru z RA (typicky windows) tak odkázat na komunikaci s nameserverem přes IPv4 (a tam jim ji dát přes DHCP). Sice to není možné na IPv6-only síti, ale na té toho nefunguje mnohem víc takže je dnes stejně jediná reálně použitelná varianta dual-stack (s IPv4 klidně přes NAT).
dhcp6 potřebuješ, pokud chceš, aby stanice měly vždy stejnou ip
-
Nejprve bych začal tímhle: zapomeňte na vše, co vás o síťování naučilo IPv4. IPv6 funguje hodně, hodně odlišně.
V IPv6 se DHCP používá jen vzácně, pokud je k tomu zvláštní důvod. Domácí síť typicky používá SLAAC (počítače si přiřazují adresy samy) a DHCP vůbec nemá.
Dále, IPv6 nemá NAT typický pro domácí sítě. Pokud chcete adresy s přístupem na internet, potřebujete veřejné IPv6 adresy. Ty můžete získat takto:
- Pokud IPv6 umí váš poskytovatel internetu, tak od nej. Navíc pokud na vašem modemu/routeru zapnete Prefix Delegation, tak po schválení žádosti pravděpodobně nemusíte ani hnout prstem, celé to začne fungovat samo.
- Pokud máte alespoň jednu veřejnou IPv4 adresu, můžete získat 65 tisíc IPv6 sítí pomocí 6to4 tunelu. Jen některé routery (Mikrotik) umí tento tunel vytvářet.
- Pokud nemáte ani to, tak lze získat síť od brokera, tzn. někoho, ke komu se připojíte, aby vám IPv6 fungovalo. Tahle možnost je ale často jen pro zkoušení IPv6 než pro reálné použití. Routery, které umí 6to4, umí i tohle.
Výše odkazovanou knihu od Pavla Satrapy také doporučuji, jde i legálně a zdarma stáhnout (https://knihy.nic.cz/).
Nejprve bych začal tímhle: zapomeňte na vše, co vás o síťování naučilo IPv4. IPv6 funguje hodně, hodně odlišně.
V IPv6 se DHCP používá jen vzácně, pokud je k tomu zvláštní důvod. Domácí síť typicky používá SLAAC (počítače si přiřazují adresy samy) a DHCP vůbec nemá.
Dále, IPv6 nemá NAT typický pro domácí sítě. Pokud chcete adresy s přístupem na internet, potřebujete veřejné IPv6 adresy. Ty můžete získat takto:
- Pokud IPv6 umí váš poskytovatel internetu, tak od nej. Navíc pokud na vašem modemu/routeru zapnete Prefix Delegation, tak po schválení žádosti pravděpodobně nemusíte ani hnout prstem, celé to začne fungovat samo.
- Pokud máte alespoň jednu veřejnou IPv4 adresu, můžete získat 65 tisíc IPv6 sítí pomocí 6to4 tunelu. Jen některé routery (Mikrotik) umí tento tunel vytvářet.
- Pokud nemáte ani to, tak lze získat síť od brokera, tzn. někoho, ke komu se připojíte, aby vám IPv6 fungovalo. Tahle možnost je ale často jen pro zkoušení IPv6 než pro reálné použití. Routery, které umí 6to4, umí i tohle.
Výše odkazovanou knihu od Pavla Satrapy také doporučuji, jde i legálně a zdarma stáhnout (https://knihy.nic.cz/).
Ahoj Sten,
mam Mikrotik a IPv6 adresy chcem riesit cez 6to4 tunel - "Hurricane Electric Tunnelbroker".
Na DHCP som sa pytal preto lebo siet by som si chcel podelit tak ako to mam doma teraz (172.16.0. - nezname zariadenia - napr. cudzi mobil ktory sa mi pripoji na WiFi, 172.16.1. - zariadenia ktore viem ze su moje, 172.16.2. - servery, 172.16.5. - tlaciarne a ine zariadenia, 172.16.8. - VPN klienti). Tiez pouzivam rozne filtrovania na firewalli pre rozne podsiete.
-
Kedze mam pocit ze mas prehlad chcem sa ta este opytat - v kombinacii s verejnou IPv4 adresou a tunelom 6to4 viem do siete priviest viacero verejnych IPv6 adries? Ide o to ze mam doma jeden fyzicky a na nom 5 virtualnych serverov no a pokial by sa to dalo, vedel by som ho vyuzivat pre moje ucely este efektivnejsie.
-
dhcp6 potřebuješ, pokud chceš, aby stanice měly vždy stejnou ip
Ne, i s SLAAC má počítač pořád stjenou adresu, kde LAN část je pevně odvozená od MAC adresy. V případě DHCPv6 je jen natvrdo dána rozhodnutím DHCPv6 serveru.
Nepletete si to s privacy extension? Pokud je aktivní, což obvykle defaultně je, tak počítatč vedle pevné adresy odvozené od MAC si generuje i další náhodně a pro odchozí spojení primárně používá tuto náhodnou. Pro příchozí je k dispozici pořád i na té pevné. Privacy extension jde vypnout. Ve Windows je ve výchozím stavu aktivní, pokud s eIP získá pomocí SLAAC.
-
Lepsi literaturu nez ta kniha o par prispevku nahoru v cestine neni.
Nejspíš to bude kvalitní kniha, nicméně nebylo by něco přinejmenším stejně kvalitního v angličtině? Našel jsem jenom IPv6 Essentials z roku 2014.
-
dhcp6 potřebuješ, pokud chceš, aby stanice měly vždy stejnou ip
Ne, i s SLAAC má počítač pořád stjenou adresu, kde LAN část je pevně odvozená od MAC adresy. V případě DHCPv6 je jen natvrdo dána rozhodnutím DHCPv6 serveru.
Nepletete si to s privacy extension? Pokud je aktivní, což obvykle defaultně je, tak počítatč vedle pevné adresy odvozené od MAC si generuje i další náhodně a pro odchozí spojení primárně používá tuto náhodnou. Pro příchozí je k dispozici pořád i na té pevné. Privacy extension jde vypnout. Ve Windows je ve výchozím stavu aktivní, pokud s eIP získá pomocí SLAAC.
Nepletu. Myslel jsem tím totiž to, že pokud mám ve firmě v lance adresy 192.168.1.x tak udělám ipv6 adresy jako například 2a01:5f0:c001::192:168:1:x
-
Kedze mam pocit ze mas prehlad chcem sa ta este opytat - v kombinacii s verejnou IPv4 adresou a tunelom 6to4 viem do siete priviest viacero verejnych IPv6 adries? Ide o to ze mam doma jeden fyzicky a na nom 5 virtualnych serverov no a pokial by sa to dalo, vedel by som ho vyuzivat pre moje ucely este efektivnejsie.
Pokud máte Mikrotik a 6in4 tunel k HE, tak není co řešit (pozor - 6to4 je něco o fous jiného, používající stejný protokol).
Ano, v základu uskrz tunel se posílá jeden segment /64 pro jednu LAN síť. Pokud si chcete to rozdělit na víc, na portálu jde si zvolit, že vám má poslat i jednu celou /48. Takže těch 64k sítí by Vám domů mohlo stačit.
Z pohledu schopnosti Mikrotiku to máte v pohodě, použijete na LAN SLAAC konfiguraci a vestavěný DHCPv6-PD server podporuje i bezestavové DHCPv6, kterým si MS Windows umí získat IPv6 adresy DNS serverů. Takže můžete úspěně provozovt i IPv6 only síť (občas to na vybraných místech takto testujeme, jak je na tom IPv6 only síť - řada uživatleů už vůbec nezaregistruje, že něco nefunguje).
Jinak na Mikrotiku jde provozovat i víc oddělených sítí (moje lan, návštěvy, ...) sdílející jeden /64 příděl, ale tím bych si život nekomplikoval (to se používá tam, kde Vám víc nedají za rozumných podmínek - např. ADSL od O2).
Co se týká běžného života skrz HE IPv6 tunel proti příméhu IPv4, tak pokud budete mít tunel do Prahy, tak je rozdíl minimální. Také mám pár míst takto řešeno.
Podpora bezestavového DHCCPv6 je celkem nová v Mikrotiku, takže to chce relativně nový ROS v něm (asi od 6.8 výše, aktuální 6.27 v pohodě).
-
deset let se již čekalo a ničemu to nepomohlo (nikam to nevede obvzláště tehdy, když čekají všichni)
chce to poptávat IPv6 u ISP
jen pro info
s autokonfigurací u RA je to v pohodě co se týče IPv6 adres, ale s DNS si windows bez dalšího softu neporadí - tam však lze použít dokonfiguraci pomocí DHCPv6 (ať se s tím zbytečně netrápíte až to konečně přijde...)
Ten dalsi soft je tuhle
http://sourceforge.net/projects/rdnssd-win32/
deset let se již čekalo a ničemu to nepomohlo (nikam to nevede obvzláště tehdy, když čekají všichni)
Ono to nikam nevede a všichni čekaji protože ipv6 je zmršenina a nikomu se do ní nechce.
Zmrsenina ses leda ty, IPv6 mi uz skoro 10let funguje a naprosto vpohode, % prenosu pres ni uz davno presahlo 50.
dhcp6 potřebuješ, pokud chceš, aby stanice měly vždy stejnou ip
Ne, to vazne nepotrebujes ... Kazda stanice v siti bude mit vzdy stejnou IP, zalozenou bud na MAC nebo na GUID. Pokud ma stanice zapnuty privacy extension, tak bude mit jeste dalsi 1-N adresy, generovany nahodne a pravidelne. Ovsem pokud ti jde o to, aby si moh mit stanici v DNS pro prichozi provoz, tak pochopitelne pouzijes tu fixni adresu. Odchozi provoz by pak mel vzdy bezet pres tu random, coz ovsem zdaleka ne vsechny aplikace dodrzuji.
-
@Sten: Ta knizka jde stahnout i z toho odkaz na Rootu a navic nejen v pdf. Pokud ma clovek kindle nebo neco, tak pdf je blba volba.
Na webu NIC je i verze v epub a mobi.
Ahoj Sten,
mam Mikrotik a IPv6 adresy chcem riesit cez 6to4 tunel - "Hurricane Electric Tunnelbroker".
Na DHCP som sa pytal preto lebo siet by som si chcel podelit tak ako to mam doma teraz (172.16.0. - nezname zariadenia - napr. cudzi mobil ktory sa mi pripoji na WiFi, 172.16.1. - zariadenia ktore viem ze su moje, 172.16.2. - servery, 172.16.5. - tlaciarne a ine zariadenia, 172.16.8. - VPN klienti). Tiez pouzivam rozne filtrovania na firewalli pre rozne podsiete.
Hurricane Electric je broker. Jak 6to4, tak brokeři používají stejný protokol zvaný 6in4, ale fungují trochu odlišně. 6to4 nemá žádné pevně daný relay (server překládající 6in4 na IPv6 a obráceně), používá multicastovou IPv4 adresu (192.88.99.1), takže se použije nejbližší relay a zpět to překládá relay nejbližší odesílateli odpovědi. Výhoda tohoto řešení je, že když jeden relay umře či nefunguje, přebere činnost jiný, a když váš poskytovatel připojení rozjede vlastní 6to4 relay, pojede to přes ní automaticky.
Pokud jsou počítače ve stejné síti, pak rozdělení podle IP rozsahů není moc bezpečné. Buď tam všem věříte stejně jako tomu nejvíc důvěryhodnému stroji, nebo si tu IP adresu útočník snadno změní na nějakou z důvěryhodné sítě (ano, chytré switche to umí filtrovat, ale chytré switche taky umí mnohem rychlejší VLANy). Pokud máte více sítí, pak každá bude používat vlastní IPv6 prefix.
Kedze mam pocit ze mas prehlad chcem sa ta este opytat - v kombinacii s verejnou IPv4 adresou a tunelom 6to4 viem do siete priviest viacero verejnych IPv6 adries? Ide o to ze mam doma jeden fyzicky a na nom 5 virtualnych serverov no a pokial by sa to dalo, vedel by som ho vyuzivat pre moje ucely este efektivnejsie.
U tunelu dostanete vždy nejméně jeden prefix (síť /64), v případě 6to4 dokonce /48 (tj. 65 536 prefixů). Pro přidělování adres se používá jeden prefixem (teoreticky lze mít i jinak dlouhý prefix, ale RFC doporučuje /64 a ne všechna zařízení si s jinak dlouhým prefixem poradí). Každý prefix zvládne adresovat až 2⁶⁴ zařízení, což je o pět řádů víc, než umí Ethernet, takže nemusíte mít starosti, že by se na některé stroje nedostalo.
Nepletu. Myslel jsem tím totiž to, že pokud mám ve firmě v lance adresy 192.168.1.x tak udělám ipv6 adresy jako například 2a01:5f0:c001::192:168:1:x
Nevím moc, k čemu to je, zadávat IPv6 adresy číslem, navíc v době mDNS, mi přijde takové … zastaralé.
-
dhcp6 potřebuješ, pokud chceš, aby stanice měly vždy stejnou ip
Ne, i s SLAAC má počítač pořád stjenou adresu, kde LAN část je pevně odvozená od MAC adresy. V případě DHCPv6 je jen natvrdo dána rozhodnutím DHCPv6 serveru.
A ještě by bylo vhodné dodat že v případě DHCPv6 nemáte pevnou IP adresu podle své MAC adresy ale podle jakéhosi obskurního identifikátoru který se mění při naboovování jiného OS (každý OS si ho drží ve svém souboru) a je problém pokud nemáte žádné úložiště (např. bootujete z CD nebo DVD) - pak máte po každém nabootování jinou IPv6 adresu.
DHCPv6 je v porovnání se SLAAC zbytečně komplikované, nevidím důvod proč ho používat.
Nepletete si to s privacy extension? Pokud je aktivní, což obvykle defaultně je, tak počítatč vedle pevné adresy odvozené od MAC si generuje i další náhodně a pro odchozí spojení primárně používá tuto náhodnou. Pro příchozí je k dispozici pořád i na té pevné. Privacy extension jde vypnout. Ve Windows je ve výchozím stavu aktivní, pokud s eIP získá pomocí SLAAC.
Přesně tak, u SLAAC stačí vypnout (nebo nezapnout) privacy extensions. Nedokážu si představit že by správce sítě nechal klienty si náhodně volit IPv6 adresy, to by musel mít chytré switche nebo routery které by mu zaznamenávaly který klient si kdy zvolil kterou IPv6 adresu, aby byl schopen podle času a IPv6 adresy zpětně určit klienta (např. pro řešení různých stížností).
-
Zmrsenina ses leda ty, IPv6 mi uz skoro 10let funguje a naprosto vpohode, % prenosu pres ni uz davno presahlo 50.
Prepac ale to, ze ty ho uz 10 rokov pouzivas nevylucuje to, ze IPv6 je zmrsenina. Suhlasim s Pavlom. Po studiu protokolu a precitani serialu o IPv6 tu na roote, som nazoru, ze takyto protokol sa nikdy nemal dostat do realnej premavky a masovo pretlacat. Po moznosti sa v poslednej dobe zoznamit s roznymi protokolmi od roznych firiem sa ale tomu necudujem, ze taketo nieco vzniklo. Osobne tajne dufam, ze sa nikdy nepresadi a namiesto neho pride nieco ako IPv8. IPv6 je jeden zmetok a bohuzial zastaraly protokol, ktory ma jednu vyhodu a tou je adresny priestor.
-
deset let se již čekalo a ničemu to nepomohlo (nikam to nevede obvzláště tehdy, když čekají všichni)
Ono to nikam nevede a všichni čekaji protože ipv6 je zmršenina a nikomu se do ní nechce.
Zmrsenina ses leda ty, IPv6 mi uz skoro 10let funguje a naprosto vpohode, % prenosu pres ni uz davno presahlo 50.
sechny aplikace dodrzuji.
Raději si někde nastuduj z čeho se vybíralo a proč se vybralo ipv6 ty zmršenino .... možná google? Jo a to že víc než padesát procent tvého porna jde přez ipv6 znamená absolutní nic.
-
.́.. a co si budem povídat. Je to dvacet! let starý protokol který se zdaleka neprosadil a myslim že neprosadí. Ono před dvaceti lety byl jeho hlavní tahák obrovský adresní prostor a teorie že každé zařízení bude přímo na internetu. Otázka je, jestli to vlastně někdo v dnešní šmírovací době bude chtít.
Dnes neexistuje jediný důvod se ipv6 zabývat.
-
Přesně tak, u SLAAC stačí vypnout (nebo nezapnout) privacy extensions. Nedokážu si představit že by správce sítě nechal klienty si náhodně volit IPv6 adresy, to by musel mít chytré switche nebo routery které by mu zaznamenávaly který klient si kdy zvolil kterou IPv6 adresu, aby byl schopen podle času a IPv6 adresy zpětně určit klienta (např. pro řešení různých stížností).
Nevidím rozumný důvod je vypínat. Logovat Neighbor Soliciation je asi tak složité jako logovat DHCP, a pokud máte router s Linuxem, NDPMon kromě toho umí i základní IDS. Navíc je to o dost spolehlivější, než věřit, že všechny počítače opravdu mají privacy extensions vypnuté, protože bůhví jestli třeba poslední aktualizace nezapnula.
.́.. a co si budem povídat. Je to dvacet! let starý protokol který se zdaleka neprosadil a myslim že neprosadí. Ono před dvaceti lety byl jeho hlavní tahák obrovský adresní prostor a teorie že každé zařízení bude přímo na internetu. Otázka je, jestli to vlastně někdo v dnešní šmírovací době bude chtít.
Dnes neexistuje jediný důvod se ipv6 zabývat.
- Jestli je zařízení na internetu přímo nebo za NATem, je z hlediska bezpečnosti a šmírování minimální rozdíl. NAT není firewall a je velmi snadné jej obejít. Firewall existuje i pro IPv6. Šmírovat lze všechno, co od vás odchází a k vám přichází, bez ohledu na to, jestli tam máte NAT nebo ne, a sledovat jednotlivé počítače nejde ani v IPv6, protože privacy extensions.
- První RFC s IPv6 je skutečně dvacet let staré, ale to neznamená, že IPv6 je dvacet let hotové a připravené k nasazení. IPv4 má za sebou delší vývoj, a rychle se prosadilo jen proto, že ARPANET rozhodl, že od jednoho dne se už nic jiného používat nebude. Spousta věcí se pak dodělávala za běhu, s různou úrovní zprasenosti. Třeba spravovat reverzní záznamy je kvůli CIDR peklo.
- Spoustu věcí z IPv6 se složitě roubovala na IPv4, jako třeba mobilní či lokální adresy, a často to ani pořádně nefunguje (zkuste zkombinovat mobilní adresy a BCP38).
- Spousta věcí v IPv4 je nesmyslná a existuje hlavně kvůli té překotné adopci. Proč má loopback 16 milionů adres, když stejně zaručeně funguje jen jedna? proč jsou tři nesouvislé rozsahy pro soukromé sítě? proč má IPv4 checksum, který se mění na každém routeru kvůli TTL, když TCP i UDP mají vlastní?
- Spoustu věcí IPv4 neumí a zřejmě nikdy umět nebude, protože už není zájem jej nějak moc rozvíjet. Třeba prefix delegation nebo rozumně fungující multicastu se asi nedočkáme.
- Není pravda, že by se IPv6 neprosadilo. Podíl nativního (bez tunelů) IPv6 se za posledních deset let každý rok zdvojnásobuje (https://www.google.com/intl/en/ipv6/statistics.html). Pokud to vydrží, tak na přelomu let 2017/2018 předstihne IPv4. Už teď je na tom IPv6 lépe než Linux.
Nejspíš máte typický problém odpůrců IPv6: přemýšlíte o něj jako o IPv4 s jiným zápisem adres. A pravděpodobně jste nikdy ani nezkusil jej nasadit.
Na závěr ještě jeden argument: IPv4 adresy došly a nic jiného než IPv6 stejně není připraveno.
-
Přesně tak, u SLAAC stačí vypnout (nebo nezapnout) privacy extensions. Nedokážu si představit že by správce sítě nechal klienty si náhodně volit IPv6 adresy, to by musel mít chytré switche nebo routery které by mu zaznamenávaly který klient si kdy zvolil kterou IPv6 adresu, aby byl schopen podle času a IPv6 adresy zpětně určit klienta (např. pro řešení různých stížností).
Nevidím rozumný důvod je vypínat. Logovat Neighbor Soliciation je asi tak složité jako logovat DHCP, a pokud máte router s Linuxem, NDPMon kromě toho umí i základní IDS. Navíc je to o dost spolehlivější, než věřit, že všechny počítače opravdu mají privacy extensions vypnuté, protože bůhví jestli třeba poslední aktualizace nezapnula.
A viděl jste někdy reálnou nabídku switchů a routerů které "podporují" IPv6? Zdaleka ne každý chce nebo může instalovat na router Linux a pak se prohrabávat textovými logy. Porovnával jste to někdy s nabídkou switchů které umějí DHCP snooping (myšleno jen pro IPv4)? A jak vám to vyšlo? Mně bohužel naprosto špatně, to co podporují pro IPv4 (DHCP snooping) bohužel zatím nepodporují pro IPv6 (ať už SLAAC+privacy extensions nebo DHCPv6 snooping). Takže jsem dospěl k tomu že z pozice správce sítě je mi jedno jestli mají klienti privacy extenstions zapnuté nebo vypnuté - je v jejich vlastním zájmu aby je vypnuli, protože jinak se nedostanou se do internetu (maximálně přes ipv4 fallback), protože je můj router nepustí (nebude jim souhlasit MAC adresa s povolenou IPv6 adresou - např. na Linuxu to zajistí ip6tables s modulem eui64).
Na závěr ještě jeden argument: IPv4 adresy došly a nic jiného než IPv6 stejně není připraveno.
Ano, to je pravda, IPv4 adresy skutečně téměř došly a nic lepšího než IPv6 bohužel není připraveno. Tedy pokud IPv4+NAT nepovažujete z lepší než IPv6 (nechci vyvolávat flame, ale někdo to tak má).
-
A viděl jste někdy reálnou nabídku switchů a routerů které "podporují" IPv6? Zdaleka ne každý chce nebo může instalovat na router Linux a pak se prohrabávat textovými logy. Porovnával jste to někdy s nabídkou switchů které umějí DHCP snooping (myšleno jen pro IPv4)? A jak vám to vyšlo? Mně bohužel naprosto špatně, to co podporují pro IPv4 (DHCP snooping) bohužel zatím nepodporují pro IPv6 (ať už SLAAC+privacy extensions nebo DHCPv6 snooping). Takže jsem dospěl k tomu že z pozice správce sítě je mi jedno jestli mají klienti privacy extenstions zapnuté nebo vypnuté - je v jejich vlastním zájmu aby je vypnuli, protože jinak se nedostanou se do internetu (maximálně přes ipv4 fallback), protože je můj router nepustí (nebude jim souhlasit MAC adresa s povolenou IPv6 adresou - např. na Linuxu to zajistí ip6tables s modulem eui64).
Snooping pro privacy extensions? WTF? Jinak IPv6 umí SeND, což je mnohem dokonalejší způsob než snooping.
Který z těch routerů, co neumí logovat provoz na základě jednoduchého pravidla (NDP Type 135), umí firewall tak sofistikovaný, aby porovnával část IP adresy s MAC?
-
- mdns nechci, když mám normální dns a když se mi stanice ve widlích můžou za určitých okolností jmenovat jinak než chci aby se jmenovaly podle dns
- adresace ipv6 tak, že se použijí čísla z ipv4 mi přijde dobrá, zvlášť když potřebuju zjistit, proč něco nefunguje
- v dhcpv6 se dá řešit přiřazování podle mac
-
Využiji nastoleného tématu a zeptám se:
Můžu provozovat zároveň DHCPv6 adresy pro domácí síť (v rozsahu privátních adres) a IPv6 veřejné adresy šířené z routeru přes "router advertisement"?
Jde mi o to, aby funkčnost domácí sítě nebyla závislá na tom, jestli jede připojení do Internetu. Tj. i když nepojede připojení ven, tak aby stanice dostala přidělenou vlastní adresu a adresu mého DNS serveru (asi přes DHCPv6) a abych se pak jménem dostal na svůj domácí fileserver. To všechno nezávisle na funkčnosti Internetu - přidělování veřejných adres.
A asi bych nechtěl používat "link local" adresy - mám pocit, že jsem někde četl, že by se neměly dávat do DNS záznamů...
-
Raději si někde nastuduj z čeho se vybíralo a proč se vybralo ipv6 ty zmršenino .... možná google? Jo a to že víc než padesát procent tvého porna jde přez ipv6 znamená absolutní nic.
Vis o toho koukam leda howno, IPv6 existuje uz 20 let.
.́.. a co si budem povídat. Je to dvacet! let starý protokol který se zdaleka neprosadil a myslim že neprosadí. Ono před dvaceti lety byl jeho hlavní tahák obrovský adresní prostor a teorie že každé zařízení bude přímo na internetu. Otázka je, jestli to vlastně někdo v dnešní šmírovací době bude chtít.
Dnes neexistuje jediný důvod se ipv6 zabývat.
Coz to jen potvrzuje ... 10% internetu uz ted bez IPv6 neni dostupny a roste to. Ale jo, nekteri imbecilove budou donekonecna oslavovat NATy a libovat si, jak jsou v bezpeci ... lol lo lol
2Kolemjdoucí: pokud ten router neumi sledovat RA, tak na 100% neumi ani IPv6 DHCP. Podpora DHCP je totiz pro IPv6 pomerne slusna vzacnost. Prave proto, ze to nikdo normalni nepouziva.
- v dhcpv6 se dá řešit přiřazování podle mac
Mno ... neda, existuje na to hnusny hack, ale muze se ti klidne stat, ze klient s takovou adresou proste odmitne pracovat, protoze to porusuje X ruznych RFC. Jedna z idei IPv6 je totiz ta, ze IP nepatri k interface.
Využiji nastoleného tématu a zeptám se:
Můžu provozovat zároveň DHCPv6 adresy pro domácí síť (v rozsahu privátních adres) a IPv6 veřejné adresy šířené z routeru přes "router advertisement"?
Jde mi o to, aby funkčnost domácí sítě nebyla závislá na tom, jestli jede připojení do Internetu. Tj. i když nepojede připojení ven, tak aby stanice dostala přidělenou vlastní adresu a adresu mého DNS serveru (asi přes DHCPv6) a abych se pak jménem dostal na svůj domácí fileserver. To všechno nezávisle na funkčnosti Internetu - přidělování veřejných adres.
A asi bych nechtěl používat "link local" adresy - mám pocit, že jsem někde četl, že by se neměly dávat do DNS záznamů...
A proc bys neco takovyho delal? Na to abys mel doma verejny adresy vubec nepotrebujes internet. Pokud ti DNS bezi doma, tak se ti verejna adresa prelozi stejne dobre jako kterakoli jina, nemluve o tom, ze kazdej normalni ISP ti klidne ten tvuj rozsah nadeleguje i na tvoje (libovolny) dns => bude to fungovat i z internetu.
-
dhcp6 potřebuješ, pokud chceš, aby stanice měly vždy stejnou ip
Ne, to vazne nepotrebujes ... Kazda stanice v siti bude mit vzdy stejnou IP, zalozenou bud na MAC nebo na GUID. Pokud ma stanice zapnuty privacy extension, tak bude mit jeste dalsi 1-N adresy, generovany nahodne a pravidelne. Ovsem pokud ti jde o to, aby si moh mit stanici v DNS pro prichozi provoz, tak pochopitelne pouzijes tu fixni adresu. Odchozi provoz by pak mel vzdy bezet pres tu random, coz ovsem zdaleka ne vsechny aplikace dodrzuji.
A jak z s tou silenou privacy extension zajistite funkcnost, kdy spousta serverovych aplikaci blokuje pristup na zaklade IP adresy ? Takze s nahodne generovanou odchozi adresou klienta budete chtit pristupovat k aplikaci, ktera ma nastavenou max tak prichozi adresu klienta ?
-
- v dhcpv6 se dá řešit přiřazování podle mac
Mno ... neda, existuje na to hnusny hack, ale muze se ti klidne stat, ze klient s takovou adresou proste odmitne pracovat, protoze to porusuje X ruznych RFC. Jedna z idei IPv6 je totiz ta, ze IP nepatri k interface.
Naštěstí to ale funguje dobře. DUID je věc, kterou na v6 bytostně nesnáším a považuju to za hovadinu.
-
Využiji nastoleného tématu a zeptám se:
Můžu provozovat zároveň DHCPv6 adresy pro domácí síť (v rozsahu privátních adres) a IPv6 veřejné adresy šířené z routeru přes "router advertisement"?
Jde mi o to, aby funkčnost domácí sítě nebyla závislá na tom, jestli jede připojení do Internetu. Tj. i když nepojede připojení ven, tak aby stanice dostala přidělenou vlastní adresu a adresu mého DNS serveru (asi přes DHCPv6) a abych se pak jménem dostal na svůj domácí fileserver. To všechno nezávisle na funkčnosti Internetu - přidělování veřejných adres.
A asi bych nechtěl používat "link local" adresy - mám pocit, že jsem někde četl, že by se neměly dávat do DNS záznamů...
Ano, můžete. Jmenuje se to ULA (unique local address). Jinak ULA adresy můžete úplně stejně posílat i z SLAAC. Počítač pak má víc IPv6 adres ze všech nabízených prefixů, kdy LAN část je stejná.
Používáme to podobně. Máme velkou firemní síť postvavenou na ULA adresách na kterých jede vše interně přes X poboček. Co potřebuje ven má i globální IPv6 adresy dle dané pobočky a aktivní odchozí linky a počítač si správně použije pro odchod tu vhodnou (dovnitř firmy ULA, pokud se spojuje na ULA adresu protistrny, jinak globální). Máme i konfigurace s vícero odchozíma linkama a na každé lince jsou jiné IPv6 prefixy a používá se dynamické přečíslování. Počítáč má pořád stjenou ULA adresu pro vnitřek a k tomu globální podle toho, které odchozí linka směrme ven jede.
Komplikac ej jen při úplném výpadku IPv6 spojení ven, globální adresy se shodí, počítač má jen ULA a pak se začne snažit ven spojovat přes ULA, což nejde a je na aplikaci, zda provede fallback na IPv4.
Méme přes ULA a VPNky napojení i na další spolupracující firmy a přistup do některých systémů (pár jich je už dokonce IPv6 only), kde se ukazuje plus ULA koceptu proti linkování víc firem na privátních IPv4 adresách.
-
Dobry den,
chcel by som v svojej sieti nasadit IPv6 a nahradit tak casom IPv4 ale neviem sa dopracovat k pre mna zrozumitelnemu obsahu, kde by bolo popisane napriklad to ake segmenty zvolit na DHCP serveri pre intranet (na IPv4 10.*, 172.16.*, 192.168.*).
Viete mi pripadne odporucit nejaku dobru literaturu ktora by vedela zodpovedat na vsetky moje otazky?
Původně jsem chtěl reagovat i na komentáře... ale po prvních pár jsem zjistil, že bude lepší se jenom pobavit nad názory, zkušenostmi a znalostmi ostatních a ignorovat je z hleska informativnosti, každý komentář co zde zazněl by potřeboval minimálně upřesnění a mnoho komentujících nějak ignoruje název tématu "v domácí síti".
-----------
Doma je DHCPv6 server zbytečnost. Zajisti si nějak rozsah veřejných IPv6 adres pro tvou síť (buť od poskytovatele, nebo třeba formou tunelu co zde někdo navrhoval, pokud to bude přes tunel, zjisti si jak nastavit ten konkrétní tunel na routeru, ale to je snad jasné). nastav LAN rozhraní routeru na tuto adresu a všechna ostatní zařízení by se měla automaticky chytnout (pozor od té doby kdy "aktivuješ" IPv6 na routeru budou mít veřejnou adresu (z internetu by se na ně mohl kdokoliv bez námahy dostat), takže na routeru je dobré aktivovat stavový firewall na routeru/aktivovat nějaký firewall hlídající síťovou komunikaci a aplikace a mít plně aktualizované vše na počítatčích ze kterých budeš přistupovat k netu.
Odkazovaná literatura od autora Satrapy je dobrý začátek jak proniknout do zákoutí IPv6.
-
ještě upřesním, že upřesnění by zasloužil každý komentář vyjadřující jak se IPv6 chová... komentáře typu odkaz na knihu, nebo míra nevraživosti k DUID upřesnění nepotřebují :D
-
- mdns nechci, když mám normální dns a když se mi stanice ve widlích můžou za určitých okolností jmenovat jinak než chci aby se jmenovaly podle dns
- adresace ipv6 tak, že se použijí čísla z ipv4 mi přijde dobrá, zvlášť když potřebuju zjistit, proč něco nefunguje
- v dhcpv6 se dá řešit přiřazování podle mac
Pro příchozí spojení má každý počítač stále dostupnou EUI-64 adresu (tj. prefix + MAC), do DNS můžete dát tu.
Nevím, co tím, že použijete IPv4 adresu, získáte. Stejně budete muset dohledat, komu ta IPv4 adresa patří. To už rovnou můžete stejně dohledávat IPv6 adresu, k tomu slouží reverzní DNS.
A jak z s tou silenou privacy extension zajistite funkcnost, kdy spousta serverovych aplikaci blokuje pristup na zaklade IP adresy ? Takze s nahodne generovanou odchozi adresou klienta budete chtit pristupovat k aplikaci, ktera ma nastavenou max tak prichozi adresu klienta ?
Místo konkrétní adresy použijte prefix.
Naštěstí to ale funguje dobře. DUID je věc, kterou na v6 bytostně nesnáším a považuju to za hovadinu.
DUID a stavové DHCPv6 je navrženo pro případy, kdy příchozí IP adresa musí zůstat stejná i při změně síťové karty. Takové systémy budou jen těžko používat dual boot.
Pokud máte s DUID problémy, pravděpodobně používáte stavové DHCPv6 v situaci, kam se nehodí. Pokud potřebujete mít příchozí adresy vázané na MAC, používejte EUI-64 adresy.
-
Dakujem vsetkym za typy. Kedze mam doma dve rovnake Mikrotiky, na tom druhom kde nemam pripojene ziadne aktivne zariadenia skusim nakonfigurovat IPv6 bez potreby DHCP sluzby. Paci sa mi myslienka moznosti autokonfiguracie a skusim moje riesenie zjednodusit tak, aby som nemusel pouzit NAT.
Pokial ide o firewall, jeho konfiguraciu pred pripojenim akehokolvek klientskeho zariadenia povazujem za samozrejmost a verim tiez vyvojarom ze v IPv6 nieje ziadny bug ktory by spristupnil moju siet aj napriek firewallu kazdemu znudenemu cinanovi ktory si najde moju IP :).
-
pokud máš dva mikrotiky zároveň tvůj ISP nenabízí IPv6, zkusil bych jeden z nich předělat na openwrt (instalovat balík s AICCU, nebo najít rovnou balík s ním) a využít služeb SIXXS a jejich AYIYA tunelu... stačí se registrovat zažádat o tunel a dostaneš rovnou /64 sít...
http://wiki.openwrt.org/doc/uci/aiccu
-
pokud máš dva mikrotiky zároveň tvůj ISP nenabízí IPv6, zkusil bych jeden z nich předělat na openwrt (instalovat balík s AICCU, nebo najít rovnou balík s ním) a využít služeb SIXXS a jejich AYIYA tunelu... stačí se registrovat zažádat o tunel a dostaneš rovnou /64 sít...
http://wiki.openwrt.org/doc/uci/aiccu
Píše, že má veřejnou IPv4 adresu, takže nemusí tam rvát OpenWRT, ale přímo použít 6in4 tunel, ať už k SiXXS nebo možná raději k HE, který nedělá takové obstrukce s vytvořením tunelu a klidně hned i přidělí /48 na kliknutí. HE i SiXXS mají dneska i POPy v Praze, takže tunel je jen kousek. Oba jedou OK, mám místo s dvěma Routerbordy, dvěma konektivitama a jeden má tunel k HE a druhý k SiXXS a oboje jede OK (půlka sítě jede jedním, druhá druhým tunelem, při selhání jednoho tunelu nebo routeru se oboje přepíná na přeživší).
Pokud porovnám IPv4/6 proti http://speedtest6.cesnet.cz/ a http://speedtest.cesnet.cz/
Tunel mi normálně jede k SiXXS 60/30 Mbps, což odpovídá tomu, co dá i ta první wifi linka na IPv4 přímo.
Druhý tunel k HE dává aktuálně 30/50 Mbps, opět na limitu toho, co dá ta druhá wifi linka přímo po IPv4 (asi je to trochu teď ucpanější směr down). Takže bych se nebál HE a ani SiXXSu na POPy v Praze, pokud jsem v Česku...
-
A jak z s tou silenou privacy extension zajistite funkcnost, kdy spousta serverovych aplikaci blokuje pristup na zaklade IP adresy ? Takze s nahodne generovanou odchozi adresou klienta budete chtit pristupovat k aplikaci, ktera ma nastavenou max tak prichozi adresu klienta ?
1) zadny takovy neznam
2) takto dmenti aplikace nebudu pouzivat
(pozor od té doby kdy "aktivuješ" IPv6 na routeru budou mít veřejnou adresu (z internetu by se na ně mohl kdokoliv bez námahy dostat),
Plati i pro Ipv4, takze je to uplne jedno. Samozrejme vcente NATu.
pokud máš dva mikrotiky zároveň tvůj ISP nenabízí IPv6, zkusil bych jeden z nich předělat na openwrt (instalovat balík s AICCU, nebo najít rovnou balík s ním) a využít služeb SIXXS a jejich AYIYA tunelu... stačí se registrovat zažádat o tunel a dostaneš rovnou /64 sít...
http://wiki.openwrt.org/doc/uci/aiccu
Proc tak slozite ... he.net ti da tunel, kterej chodi i na mikrotikovi nativne, a vygeneruje ti pro nej rovnou na webu i konfiguraci. A jednim klipem muzes ze svy/64 udelat /48.
-
Píše, že má veřejnou IPv4 adresu, takže nemusí tam rvát OpenWRT, ale přímo použít 6in4 tunel, ať už k SiXXS nebo možná raději k HE, který nedělá takové obstrukce s vytvořením tunelu a klidně hned i přidělí /48 na kliknutí. HE i SiXXS mají dneska i POPy v Praze, takže tunel je jen kousek. Oba jedou OK, mám místo s dvěma Routerbordy, dvěma konektivitama a jeden má tunel k HE a druhý k SiXXS a oboje jede OK (půlka sítě jede jedním, druhá druhým tunelem, při selhání jednoho tunelu nebo routeru se oboje přepíná na přeživší).
Pokud porovnám IPv4/6 proti http://speedtest6.cesnet.cz/ a http://speedtest.cesnet.cz/
Tunel mi normálně jede k SiXXS 60/30 Mbps, což odpovídá tomu, co dá i ta první wifi linka na IPv4 přímo.
Druhý tunel k HE dává aktuálně 30/50 Mbps, opět na limitu toho, co dá ta druhá wifi linka přímo po IPv4 (asi je to trochu teď ucpanější směr down). Takže bych se nebál HE a ani SiXXSu na POPy v Praze, pokud jsem v Česku...
Anebo lze rovnou použít 6to4, které poskytuje mj. CZ.NIC, nemusí se o nic žádat ani se registrovat a dostanete taky /48. Mám 50/50 Mbps s 2 ms latencí přes 6to4.
-
Píše, že má veřejnou IPv4 adresu, takže nemusí tam rvát OpenWRT, ale přímo použít 6in4 tunel, ať už k SiXXS nebo možná raději k HE, který nedělá takové obstrukce s vytvořením tunelu a klidně hned i přidělí /48 na kliknutí. HE i SiXXS mají dneska i POPy v Praze, takže tunel je jen kousek.
Anebo lze rovnou použít 6to4, které poskytuje mj. CZ.NIC, nemusí se o nic žádat ani se registrovat a dostanete taky /48. Mám 50/50 Mbps s 2 ms latencí přes 6to4.
Když už máte veřejnou IPv4 adresu tak rozhodně doporučuji jako první volbu tunel od HE (https://tunnelbroker.net). 6to4 je z principu špatně navržené protože nemáte pod kontrolou kudy k vám budou routované pakety, a tak to bohužel z některých částí IPv6 internetu (jejichž "nejbližší" 6to4 relay nefunguje dobře) bude fungovat špatně a vy s tím nemáte šanci nic udělat. Oproti tomu je symetrický routing od HE se spolehlivými routery mnohem lepší. Navíc je tu další výhoda v tom že od HE dostanete IPv6 rozsah který vám nechají i když se vaše veřejná IPv4 adresa změní, což u 6to4 je další nevýhoda (při výměně veřejné IPv4 adresy se automaticky změní IPv6 rozsah).
-
Anebo lze rovnou použít 6to4, které poskytuje mj. CZ.NIC, nemusí se o nic žádat ani se registrovat a dostanete taky /48. Mám 50/50 Mbps s 2 ms latencí přes 6to4.
Od doby veřejného 6to4 relay u CZ.NIC se život na adresách 2002::/16 výrazně zlepšil, ale stále z toho mám, co se spolehlivosti týče, smíšené pocity. Ten 6in4 od HE je mnohem spolehlivější a s větší dostupností. 6to4 beru spíše jako zajimavost a maximálně podporuji v odchozím směru, že přímo posílám k cíli odpovědi jdoucí do 2002::...
Krom změny IPv4 znamená i změnu i IPv6 prefixu, občasné nedostupnosti vzávislosti na chování různých relay (jak už uvádí Někdo), tak vidím i trochu problém v tom, že většina systéímů, pokud má 6to4 IPv6 adresu, tak stále upřednostňuje provoz přes IPv4, pokud je IPv4 dostupné, takže se musí OS trochu ladit, aby to ty 2002::/16 adresy měly přednost před IPv4 (gai.conf a podobné a ne všude to jde nastavovat), pokud to IPv6 chci aktivně používat.
-
Využiji nastoleného tématu a zeptám se:
Můžu provozovat zároveň DHCPv6 adresy pro domácí síť (v rozsahu privátních adres) a IPv6 veřejné adresy šířené z routeru přes "router advertisement"?
Jde mi o to, aby funkčnost domácí sítě nebyla závislá na tom, jestli jede připojení do Internetu. Tj. i když nepojede připojení ven, tak aby stanice dostala přidělenou vlastní adresu a adresu mého DNS serveru (asi přes DHCPv6) a abych se pak jménem dostal na svůj domácí fileserver. To všechno nezávisle na funkčnosti Internetu - přidělování veřejných adres.
A asi bych nechtěl používat "link local" adresy - mám pocit, že jsem někde četl, že by se neměly dávat do DNS záznamů...
Ano, můžete. Jmenuje se to ULA (unique local address). Jinak ULA adresy můžete úplně stejně posílat i z SLAAC. Počítač pak má víc IPv6 adres ze všech nabízených prefixů, kdy LAN část je stejná.
Zkusil jsem a není to ono:
1. na domácím serveru jsem nastavil ruční konfiguraci IPv6 s ULA adresou, jenže mi pak nechtěl přidat globální adresu šířenou přes RA z dalšího pc, které mělo nahozený tunel do šestkového netu
2. po zprovoznění DHCPv6 na serveru mi klienti nechtěli načítat šestkové adresy. Až po spuštění "dhclient -6 eth0" se adresa načetla. To tak má fungovat?
-
Zkusil jsem a není to ono:
1. na domácím serveru jsem nastavil ruční konfiguraci IPv6 s ULA adresou, jenže mi pak nechtěl přidat globální adresu šířenou přes RA z dalšího pc, které mělo nahozený tunel do šestkového netu
2. po zprovoznění DHCPv6 na serveru mi klienti nechtěli načítat šestkové adresy. Až po spuštění "dhclient -6 eth0" se adresa načetla. To tak má fungovat?
Ad 1) Pokud si ručně nastavím IPv6 adresu, tak si další už z RA nepřidá, maximálně vezme bránu, pokud i ta není nastavena ručně. Respektive v RHEL like distirbucích Linuxu to ovládá parametr IPV6_AUTOCONF=yes/no v ifcfg-ethX, pokud je na no, tak ke statické IP další z RA nevezme. Pokud je na yes, tak přibere i to, co je v RA nabízeno.
Ad 2) Pokud si má počítač vzít současně IPv6 adresu dle RA routeru a současně i dle DHCPv6, tak to musí být v RA patřičně signalizováno (pro radvd jsou to volby AdvAutonomous on; AdvManagedFlag on;). Windows Visty a novější se chovají přesně exaktně dle těch flagů - jen autokonfigurace dle SLAAC, současně konfigurace IPv6 adres dle SLAAC i DHCPv6, jen konfigurace dle DHCPv6. Jak start skripty v linuxu jsem nikdy nezkoumal (mám linuxy jen jako servery s vynucenou statickou konfigurací IPv6).
Propagujte ten ULA segment z RA na routeru paralelně s tím globálním a bude klid.
-
- v dhcpv6 se dá řešit přiřazování podle mac
Mno ... neda, existuje na to hnusny hack, ale muze se ti klidne stat, ze klient s takovou adresou proste odmitne pracovat, protoze to porusuje X ruznych RFC. Jedna z idei IPv6 je totiz ta, ze IP nepatri k interface.
Naštěstí to ale funguje dobře. DUID je věc, kterou na v6 bytostně nesnáším a považuju to za hovadinu.
Pokud si dobře pamatuju, tak někdy na konci 2014 vyšlo RFC, které povoluje serveru DHCPv6 přiřazování adres i podle MAC, ale 1. nemůžu to najít, 2. asi to žádný server nebude mít ještě implementováno.
-
Anebo lze rovnou použít 6to4, které poskytuje mj. CZ.NIC, nemusí se o nic žádat ani se registrovat a dostanete taky /48. Mám 50/50 Mbps s 2 ms latencí přes 6to4.
6to4 jsem používal s Openwrt, fungovalo mi to bez problémů, i když neříkám, že je to vzhledem k asymetričnosti spojení vhodným řešením. Mikrotik to taky umí (netestoval jsem).
-
Pane M., jestli to ještě čtete, mohl byste mi prosím napsat na bordel007 )na( centrum )v( cz? Potřeboval bych poradit s IPv6 na Mikrotiku. Děkuji.