Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: I should give you a name 04. 11. 2016, 06:29:30
-
Ahoj, potřeboval bych poradit. Když mi přijde z venku paket na IPv6, v síti potřebuji, aby ta adresa byla už jen IPv4, dá se to nějak udělat (jakkoli)? Mám jen jeden router (kdybych jich měl víc, tak co jsem na internetu koukal, tak by mělo jít tunelování, ale já to nikdy nezkoušel).
-
Řeší to technologie NAT64 nebo NAT46, podle to, co chceš. Ale nedělej to :-).
Budeš muset hodně věcí ohýbat, nikdy to nebude dokonalé a vygeneruješ si více problémů k řešení než máš teď.
Jestli máš nativní IPv6 od ISP, tak použij dual-stack router (to je ten, co podporuje IPv4 i IPv6 nativně) a na stanicích podporuj IPv6 taky. Resp. na stanicích velmi pravděpodobně nebudeš muset dělat nic, ono to bude běhat.
Záleží i na ISP, jak dostaneš IPv6 adresy pro vnitřní síť, ale pro příklad třeba O2 to má udělané pěkně, jako uživatel nic neřešíš.
-
Jasne ze se to da udelat ... presne jak bylo receno, zprovozonenim IPv6. Kazdej svepravnej provider ti musi pridelit /56 a stema si muzes delat co chces.
-
IPv6 je sračka, takže nejbezpečnější je ji na routeru blokovat...
-
No většinou není zadny problém se stanicema, a obrovsky problém s NASkama, kamerama apod, občas i s téma fungl novejma:))) Malokdo potřebuje zvenku jit na Windowsovou stanici uvnitř ;-)
Takze nejaky NAT64 je pak proste nutny....pokud na to výrobce kasle a nemate na nove zarizeni
-
Ehm, pochopil jsem správně že chcete do internetu otevřít NAS a kamery? To mi nezní jako nejlepší nápad.
Dovolím si navrhnout aby jste popřemýšlel o VPN, ta by mohla běžet klidně na IPV6 ale uvitř budou fungovat lokální IPV4 adresy takže se dostanete na NAS i kamery jako z místní sítě a zároveň to bude aspoň trochu zabezpečené.
-
Ehm, pochopil jsem správně že chcete do internetu otevřít NAS a kamery? To mi nezní jako nejlepší nápad.
Dovolím si navrhnout aby jste popřemýšlel o VPN, ta by mohla běžet klidně na IPV6 ale uvitř budou fungovat lokální IPV4 adresy takže se dostanete na NAS i kamery jako z místní sítě a zároveň to bude aspoň trochu zabezpečené.
Ja nejsem puvodni tazatel. Ale pro domaci pouziti tohle dost lidi, i přes varovani, chce.
-
No většinou není zadny problém se stanicema, a obrovsky problém s NASkama, kamerama apod, občas i s téma fungl novejma:))) Malokdo potřebuje zvenku jit na Windowsovou stanici uvnitř ;-)
Takze nejaky NAT64 je pak proste nutny....pokud na to výrobce kasle a nemate na nove zarizeni
Pokud ten kram neumi ipv6, tak rozhodne nema co delat v netu a to tak ze vubec. Protoze jeho zabezpecitelnost bude uplne stejne nulova jako jeho schopnosti.
-
Dokud nenapíšeš proč to potřebuješ, tak můžu celkem bezpečně předpokládat, že to nepotřebuješ. :)
-
zalezi na tom, co vlastne potrebujes delat.
Predpokladam, ze se potrebujes dostat na NEKTERA zarizeni co jsou uvnitr. Na tech jednoduse zprovozni ipv6 a mas to. Na ta zarizeni, na ktera se nepotrebujes dostavat jednoduse ipv6 nenakonfiguruj nebo na nich zapni firewall, aby nedovolil pristup zvenku a je to. Co vic potrebujes?
Samozrejme nezapomen vsude na firewally a to i na ipv4. Kdo si mysli, ze tim, ze je za natem nemusi na nic myslet, ten se seredne myli. Spis je to naopak.
-
Ahoj, potřeboval bych poradit. Když mi přijde z venku paket na IPv6, v síti potřebuji, aby ta adresa byla už jen IPv4, dá se to nějak udělat (jakkoli)?
Pokud ti stačí několik portů na TCP, tak mi jako řešení nejmenšího odporu přijde socat. https://brmlab.cz/user/jenda/ssl3 a stačí bez SSL
Mám jen jeden router (kdybych jich měl víc, tak co jsem na internetu koukal, tak by mělo jít tunelování, ale já to nikdy nezkoušel).
Buď jsem nepochopil, co tímhle myslíš, nebo je to blbost.
IPv6 je sračka, takže nejbezpečnější je ji na routeru blokovat...
A dozvíme se už konečně nějaký argument?
-
Řeší to technologie NAT64 nebo NAT46, podle to, co chceš. Ale nedělej to :-).
Budeš muset hodně věcí ohýbat, nikdy to nebude dokonalé a vygeneruješ si více problémů k řešení než máš teď.
Jestli máš nativní IPv6 od ISP, tak použij dual-stack router (to je ten, co podporuje IPv4 i IPv6 nativně) a na stanicích podporuj IPv6 taky. Resp. na stanicích velmi pravděpodobně nebudeš muset dělat nic, ono to bude běhat.
Záleží i na ISP, jak dostaneš IPv6 adresy pro vnitřní síť, ale pro příklad třeba O2 to má udělané pěkně, jako uživatel nic neřešíš.
Mám O2. Model routeru ZyXEL VMG1312-B30B.
Screenshot, který vám může pomoci: http://imgur.com/a/IJXEB
- PS: Zahazuji všechny pakety až na výjimku ve firewallu, takže si klidně skenujte moji veřejnou adresu, stejně se tam nedostanete. Já jen, kdyby se někdo snažil být chytrý, proč ukazuji veřejně moji veřejnou adresu.
Mám jen jeden router (kdybych jich měl víc, tak co jsem na internetu koukal, tak by mělo jít tunelování, ale já to nikdy nezkoušel).
Buď jsem nepochopil, co tímhle myslíš, nebo je to blbost.
Co jsem koukal na internetu, tak to jde skrz tunelování, ale aby jsi mohl tunelovat, tak potřebuješ aspoň 2 routery, co jsem na to tak koukal. To je důvod, proč jsem psal, že mam jen jeden (hraniční).
Řeší to technologie NAT64 nebo NAT46, podle to, co chceš. Ale nedělej to :-).
Budeš muset hodně věcí ohýbat, nikdy to nebude dokonalé a vygeneruješ si více problémů k řešení než máš teď.
Jestli máš nativní IPv6 od ISP, tak použij dual-stack router (to je ten, co podporuje IPv4 i IPv6 nativně) a na stanicích podporuj IPv6 taky. Resp. na stanicích velmi pravděpodobně nebudeš muset dělat nic, ono to bude běhat.
Záleží i na ISP, jak dostaneš IPv6 adresy pro vnitřní síť, ale pro příklad třeba O2 to má udělané pěkně, jako uživatel nic neřešíš.
O2 mám, koukni na 1. citaci, je tam obrázek.
-
[quote author=I should give you a name link=topic=14171.msg184814#msg184814 - PS: Zahazuji všechny pakety až na výjimku ve firewallu, takže si klidně skenujte moji veřejnou adresu, stejně se tam nedostanete. Já jen, kdyby se někdo snažil být chytrý, proč ukazuji veřejně moji veřejnou adresu.[/quote]
Jo, ale uz se skladame na DDoS. Chces take prispet?
-
Jinak, kdyby se tazatel srozumitelně vyžvejknul, vo co mu jde, tak by možná i někdo poradil něco konkrétního. Např. některé hrůzy nepodporující IPv6 máme zvenku zpřístupněné přes HAproxy s SNI, v externím DNS to má IPv6 té proxy a jako backend je nastavená IPv4 na vnitřní síti. Funguje to bez problémů.
-
Mám jen jeden router (kdybych jich měl víc, tak co jsem na internetu koukal, tak by mělo jít tunelování, ale já to nikdy nezkoušel).
Buď jsem nepochopil, co tímhle myslíš, nebo je to blbost.
Co jsem koukal na internetu, tak to jde skrz tunelování, ale aby jsi mohl tunelovat, tak potřebuješ aspoň 2 routery, co jsem na to tak koukal. To je důvod, proč jsem psal, že mam jen jeden (hraniční).
Furt jsem to asi nepochopil. Tak by to asi chtělo napsat o co přesně ti jde. Máš za routerem v dualstackové síti zařízení, které nepodporuje IPv6? Máš za routerem IPv4-only síť? Nebo nějaký jiný problém? (v prvním případě: kolik portů potřebuješ? ve druhém: proč nemůžeš udělat síť dualstackvou?)
-
Potřebuji to kvůli payloadu. Testuji v Kali Linuxu a payload pro android nepodporuje IPv6, bohužel. U Windows je to reverse_ipv6_tcp, ale u Androidu je to jen reverse_tcp. Když spustím exploit, tak payload může naslouchat jen na IPv4. U LHOST musím nastavit tedy jen IPv4. Jak se k ní dojde, je mi jedno. Teď si konečně rozumíme, i když je pravda, že jsem to měl napsat hned na začátku. Vytvořil jsem tu zbytečně špatnou atmosféru, omlouvám se.
S tím VPN mě to napadlo taky, ale nikdy jsem ho neinstaloval. Podívám se na to a když tak se zeptám.
-
Potřebuji to kvůli payloadu. Testuji v Kali Linuxu a payload pro android nepodporuje IPv6, bohužel. U Windows je to reverse_ipv6_tcp, ale u Androidu je to jen reverse_tcp. Když spustím exploit, tak payload může naslouchat jen na IPv4. U LHOST musím nastavit tedy jen IPv4. Jak se k ní dojde, je mi jedno.
Tak pro lokální testování tam nastav RFC1918 adresu co máš ve stejné síti. Pro vzdálené… to nepůjde (tipuju, že od ISP nemáš veřejnou IPv4). Rejp: možná by bylo dobré si před tím, než začneš zkoušet exploity, o sítích něco zjistit a získat v tom nějakou praxi. No offense, ale prostě je potřeba fakt dobře vědět, co děláš, a z tohoto threadu jsem ten dojem nezískal…
http://www.earchiv.cz/l225/index.php3
http://www.earchiv.cz/l226/index.php3