Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: vpn22 13. 05. 2025, 20:59:32
-
Ahoj,
nějakou dobu provozuji domácí síť na MikroTiku formou dual-stacku. Od providera (T-Mobile) mám blok /56 přes DHCPv6-PD. IPv6 funguje vcelku bez obtíží, ale je pár věcí, které nevím, jestli dělám dobře a pár věcí, které mě trápí. Budu rád když se podělíte o své zkušenosti a když poradíte.
1) Jaký mechanismus přidělování adres používáte pro zařízení typu NAS nebo tiskárna (tzn. tam kde je žádoucí stálá adresa a ve světě IPv4 byste adresu nastavovali na zařízení staticky)? Necháváte adresu dle RA+EUI64? Nebo ji nastavujete staticky? Pokud ji nastavujete staticky, číslujete nějak systematicky?
2) Mám dilema ohledně adresování. Blok IPv6 od providera dostávám přes DHCPv6-PD (do poolu), interfacům na MikroTiku se přidělují prefixy /64 z poolu a každý interface pak ohlašuje prefix přes RA do vlastní VLAN. Pokud budu mít v síti statickou adresu na NAS a provider mi začne dávat jiný prefix (zatím se nikdy nestalo), tak se na NAS nedostanu. Nabízí se řešení, že bych interfacům na MikroTiku nastavil adresy staticky a pak bych se dostal na NAS alespoň z LAN, ale zase bych pak neměl přístup do internetu. Jak řešíte vy? Napadlo mě kromě globální adresy přiřadit NAS nebo tiskárně i ULA adresy, ale to se mi úplně nelíbí.
3) Jak jsem už popsal blok /56 IPv6 je přiřazen do poolu, odkud se přiřazují /64 prefixy jednotlivým interfacům. Problém ale dělá to, že typicky po upgradu RouterOS a restartu se prefixy přiřadí na interfacy úplně náhodně. Nepodařilo se mi na to najít řešení, kromě statického přiřazení adres nebo skriptování. Ani jedno se mi příliš nepozdává. Lze to vůec nějak jinak řešit?
Díky za odpovědi a za diskuzi.
-
3) Jak jsem už popsal blok /56 IPv6 je přiřazen do poolu, odkud se přiřazují /64 prefixy jednotlivým interfacům. Problém ale dělá to, že typicky po upgradu RouterOS a restartu se prefixy přiřadí na interfacy úplně náhodně.
Já ti nevím, asi na to jdu málo vědecky, ale PD je na nepoužívaném rozhraní a po zjištění toho přiděleného rozsahu (zcela jednorázová záležitost) je veškerý zbytek rozhraní nastaven staticky na zvolené /64 z té přidělené /56.
Protože, jak jsi už napsal
a provider mi začne dávat jiný prefix (zatím se nikdy nestalo)
... a ani nestane.
-
1) pouzivaji se jmena, ne IPcka.
2) v domaci siti muzes mit samozrejme svuj dns (kteremu to zarizeni svoji aktualni adresu ohlasi) ale v zavislosti na strukture site treba nepotrebujes, mDNS funguje naprosto vpohode.
3) na IPv6 ma kazdy zarizeni adresu, ktera je staticka a je generovana bud z MAC nebo z GUID. Na tuxovi si muzes i vybrat. Meni se jen prefix, ale tech druhych 64bitu je stale stejnych.
4) pokud mas povoleno privacy extensions, tak se k tyhle adrese jeste pravidelne generujou dalsi, ale ty se pouzivaji vyhradne k odchozi komunikaci.
5) v ramci segmentu site se pro komunikaci pouzivaji linkovy adresy (fe80::), ty se ti nezmenej ani se zmenou prefixu (tohle samozrejme neproleze pres vlany nebo do jiny oddeleny casti site)
Pokud ti provider zmeni prefix, prestanou ti nejspis fungovat mnohem zasadnejsi veci, a provider ti ten prefix menit nebude jen tak znicehoz nic. Teda normalni provider.
Edit: K bodu 3) jeste pozmanecka, to tak uplne neplati pro widle, protoze semotamo vydaji soudruzi v MS patch, a ten ti zmeni to IDcko systemu ... a tim padem i tu adresu.
-
Edit: K bodu 3) jeste pozmanecka, to tak uplne neplati pro widle, protoze semotamo vydaji soudruzi v MS patch, a ten ti zmeni to IDcko systemu ... a tim padem i tu adresu.
Windows mají jediný pevný bod ve vesmíru, a to je EUI-64. Nastavit se to musí powershellem, s admin. právy:
Set-NetIPv6Protocol -RandomizeIdentifiers Disabled
Set-NetIPv6Protocol -UseTemporaryAddresses Disabled
(asi ještě restart, nebo disable/enable na interface)
Třeba ani v macOS není úplně easy zbavit se trvale dočasných adres - pokud potřebujete mít IPv6 adresu zapsanou v seznamu povolených adres.
-
Řešim úplně ty samý problémy :) Ještě výživnější to je s dual WAN.
Jinak k 3) - to je specifikum Mikrotika, taky mě to štvalo, nakonec jsem přešel na OpenWRT, kde je to pořešené pěkně:
ip6hint: Subprefix ID to be used if available (e.g. 1234 with an ip6assign of 64 will assign prefixes of the form ...:1234::/64 or given LAN ports, LAN & LAN2, and a prefix delegation of /56, use ip6hint of 00 and 80 which would give prefixes of LAN ...:xx00::/64 and LAN2 ...:xx80::/64)
-
IP adresy pro věci typu NAS nastavuji statické, nějaké "hezké" (např. prefix::1:1) plus vedle toho nechávám i ty autokonfigurační. A k tomu je dobré vedle globálních adres nakonfigurovat i ULA adresy (fd80::/8) a pro komunikaci v rámci LAN používat primárně ty. Pak se to nerozbije v případě, že vypadne spojní do internetu.
-
Dotaz - Jak se na takové síti řeší pravidla firewallu pro jednotlivá zařízení, když se jim IP adresy náhodně "losují z klobouku" a ještě jich má každý interface několik? To musí být docela peklo...
-
Dotaz - Jak se na takové síti řeší pravidla firewallu pro jednotlivá zařízení, když se jim IP adresy náhodně "losují z klobouku" a ještě jich má každý interface několik? To musí být docela peklo...
Pokud jsou mysleny ty "anonymizacni" ip adresy, tak funguji jen pro odchozi spojeni. Pro prichozi proste fqdn/prvnich 64b apod. Ale ja mam celou sit ipv6 static, tak si to taky rad prectu, zejmena ve vztahu k SLAAC a aktualizace dns s zivotnosti dns zaznamu :-)
-
Na mikrotiku jsem přidělil prefixy staticky, jinak se při restartu přečíslují, stačí když je interface inactive nebo disabled a už je všechno jinak.
Zvýšilo to i spolehlivost, když má ISP výpadek nezačnou prefixy mizet.
Z prefixů jsem vybral dobře zapamatovalné, vynechal x00 - častý cíl port scanu.
Všude mám tempaddr pro odchozí spojení, na serverech navíc statickou jednoduchou adresu pro příchozí provoz.
EUI64 přiřazuje autoconf taky, ale nepoužívám.
Nepodařilo se mne tučnákovi vysvětlit, že má použít prefix z RA a k tomu přidat jednoduchý IID třeba <prefix>::10, na serverech mám celou adresu explicitně včetně prefixu.
Určitě existuje lepší řešní.
Zajímaly by mne nápady, jak udělat na ROS firewall s dual stackem, abych všechny pravidla neměl dvakrát.
Pro lokální provoz mám IP4. 6ka je taková hračka navíc.
DNS jsem zatím nechal na IP4.
Od ROS 7.18 už funguje offload pro IP6, propustnost routeru se tím dorovnala na IP4.
-
Dotaz - Jak se na takové síti řeší pravidla firewallu pro jednotlivá zařízení, když se jim IP adresy náhodně "losují z klobouku" a ještě jich má každý interface několik? To musí být docela peklo...
Ty adresy se ale nelosuji z klobouku, viz vejs. Generuji se bud z MAC sitovky nebo IDcka systemu. Jinou budes mit tudiz leda v pripade, ze budes mit v siti vic sitovek se stejnou MAC (coz ti stejne nebude na jedny L2 fungovat) nebo dve sitovky od jednoho systemu.
Privacy ext se pouzivaji pouze pro odchozi provoz. Teda... mely by se pouzivat, spousta aplikaci (specielne tech od MS) pouzije tu globalni i pro odchozi provoz. Widle v tomhle ohledu klasicky nefungujou jak maj. Ostatne, minimalne pro w10 plati, ze po uspani a probuzeni se privacy ext adresy prestanou generovat ... "vylecit" se to da napriklad disablovanim a enablovanim sitovky (pokazdy samo) a nebo vypnutim uspavani site.
-
Všem díky za komentáře.
Já ti nevím, asi na to jdu málo vědecky, ale PD je na nepoužívaném rozhraní a po zjištění toho přiděleného rozsahu (zcela jednorázová záležitost) je veškerý zbytek rozhraní nastaven staticky na zvolené /64 z té přidělené /56.
... a ani nestane.
Kde bereš tu jistotu, že se to nestane?
Zjistit si prefix jednorázově a pak všechno nastavit staticky je taky cesta, která bude i většinou fungovat. Ale jak mám vyřešit například to, když chce známý nakonfigurovat router tak, abych mu ho jen předal, on si ho doma připojil a všechno mu hned fungovalo a já ještě pak po prvním zapojení se musel na dálku připojovat a něco nastavovat staticky?
1) pouzivaji se jmena, ne IPcka.
2) v domaci siti muzes mit samozrejme svuj dns (kteremu to zarizeni svoji aktualni adresu ohlasi) ale v zavislosti na strukture site treba nepotrebujes, mDNS funguje naprosto vpohode.
3) na IPv6 ma kazdy zarizeni adresu, ktera je staticka a je generovana bud z MAC nebo z GUID. Na tuxovi si muzes i vybrat. Meni se jen prefix, ale tech druhych 64bitu je stale stejnych.
4) pokud mas povoleno privacy extensions, tak se k tyhle adrese jeste pravidelne generujou dalsi, ale ty se pouzivaji vyhradne k odchozi komunikaci.
5) v ramci segmentu site se pro komunikaci pouzivaji linkovy adresy (fe80::), ty se ti nezmenej ani se zmenou prefixu (tohle samozrejme neproleze pres vlany nebo do jiny oddeleny casti site)
Pokud ti provider zmeni prefix, prestanou ti nejspis fungovat mnohem zasadnejsi veci, a provider ti ten prefix menit nebude jen tak znicehoz nic. Teda normalni provider
1) Síťovému rozhraní asi nepřidělím IP adresu, co? ;)
2) Na mDNS se spoléhat nechci, všechny IPv6,u kterých o to stojím mám na veřejné doméně a veřejně dostupném autoritativním serveru.
5) Použití LL adres mi nepřijde úplně šťastné z více důvodů.
Jaké zásadnější věci mi přestanou fungovat, pokud se mi změní prefix?
Řešim úplně ty samý problémy :) Ještě výživnější to je s dual WAN.
Jinak k 3) - to je specifikum Mikrotika, taky mě to štvalo, nakonec jsem přešel na OpenWRT, kde je to pořešené pěkně:
Takže jiná cesta na MT než skriptování není? Třeba to někdy vyřeší... O OpenWRT jsem také přemýšlel (na MT mi chybí NAT64), ale když jsem si ho zkoušel, tak mě některé věci přišli divné, třeba nastavení VLAN nebo nesvoboda v konfiguraci bridgů. Přišlo mi, když chce člověk něco jiného než defaultní rozdělení na jeden WAN a zbytel LAN, tak že to moc dobře nešlo. Oproti tomu je MikroTik geniální. Ale možná to takyylo jenom rukama.:D
IP adresy pro věci typu NAS nastavuji statické, nějaké "hezké" (např. prefix::1:1) plus vedle toho nechávám i ty autokonfigurační. A k tomu je dobré vedle globálních adres nakonfigurovat i ULA adresy (fd80::/8) a pro komunikaci v rámci LAN používat primárně ty. Pak se to nerozbije v případě, že vypadne spojní do internetu.
Je nějaký trik na to, aby nebylo potřeba firewall konfigurovat 2x?
Dotaz - Jak se na takové síti řeší pravidla firewallu pro jednotlivá zařízení, když se jim IP adresy náhodně "losují z klobouku" a ještě jich má každý interface několik? To musí být docela peklo...
Používat pro síť více subnetů s FW pravidla konfigurovat na per IP, ale per /64 subnet. A nedělat FW pravidla na zdrojové IP, ale na cílové. Zařízení, u kterých chceš filtrovat příchozí provoz, mají většinou statickou IP. V konečné řadě mít pak nastavený firewall na koncových zařízeních. To by stejně mělo být kvůli LL adresám.
-
Kde bereš tu jistotu, že se to nestane?
On to tady dost často popisuje pan Zajíc, jak to DSL funguje, i konkrétně u TM. Prostě se ty prefixy (ani veřejné IPv4) nemění.
-
Je nějaký trik na to, aby nebylo potřeba firewall konfigurovat 2x?
V OpenWRT je možné v rámci jednoho pravidla zadat více IP adres - dokonce současně IPv4 i IPv6. Jak je to jinde nevím.
-
Dotaz - Jak se na takové síti řeší pravidla firewallu pro jednotlivá zařízení, když se jim IP adresy náhodně "losují z klobouku" a ještě jich má každý interface několik? To musí být docela peklo...
Ty adresy se ale nelosuji z klobouku, viz vejs. Generuji se bud z MAC sitovky nebo IDcka systemu. Jinou budes mit tudiz leda v pripade, ze budes mit v siti vic sitovek se stejnou MAC (coz ti stejne nebude na jedny L2 fungovat) nebo dve sitovky od jednoho systemu.
Privacy ext se pouzivaji pouze pro odchozi provoz. Teda... mely by se pouzivat, spousta aplikaci (specielne tech od MS) pouzije tu globalni i pro odchozi provoz. Widle v tomhle ohledu klasicky nefungujou jak maj. Ostatne, minimalne pro w10 plati, ze po uspani a probuzeni se privacy ext adresy prestanou generovat ... "vylecit" se to da napriklad disablovanim a enablovanim sitovky (pokazdy samo) a nebo vypnutim uspavani site.
Tohle řeší velice pěkně Vodafone Station - firewallu se dávají pravidla pro MAC adresu, takže změna IP nebo změna prefixu neovlivní pravidla firewallu.
Jinak je Vodafone Station tragédie, sice máte prefix /56 ale ta věc neumí PD, takže s tím moc nejde dělat. A ještě se občas rozhodne, že povolená spojení na firewallu už neplatí a musíte firewall vypnout a zapnout.
Pokud jde o Windows a nechcete ruční konfiguraci, jediné řešení je zapnout EUI-64 a vypnout privacy extensions.
-
Dotaz - Jak se na takové síti řeší pravidla firewallu pro jednotlivá zařízení, když se jim IP adresy náhodně "losují z klobouku" a ještě jich má každý interface několik? To musí být docela peklo...
Ty adresy se ale nelosuji z klobouku, viz vejs. Generuji se bud z MAC sitovky nebo IDcka systemu. Jinou budes mit tudiz leda v pripade, ze budes mit v siti vic sitovek se stejnou MAC (coz ti stejne nebude na jedny L2 fungovat) nebo dve sitovky od jednoho systemu.
Privacy ext se pouzivaji pouze pro odchozi provoz. Teda... mely by se pouzivat, spousta aplikaci (specielne tech od MS) pouzije tu globalni i pro odchozi provoz. Widle v tomhle ohledu klasicky nefungujou jak maj. Ostatne, minimalne pro w10 plati, ze po uspani a probuzeni se privacy ext adresy prestanou generovat ... "vylecit" se to da napriklad disablovanim a enablovanim sitovky (pokazdy samo) a nebo vypnutim uspavani site.
Tohle řeší velice pěkně Vodafone Station - firewallu se dávají pravidla pro MAC adresu, takže změna IP nebo změna prefixu neovlivní pravidla firewallu.
Jinak je Vodafone Station tragédie, sice máte prefix /56 ale ta věc neumí PD, takže s tím moc nejde dělat. A ještě se občas rozhodne, že povolená spojení na firewallu už neplatí a musíte firewall vypnout a zapnout.
Pokud jde o Windows a nechcete ruční konfiguraci, jediné řešení je zapnout EUI-64 a vypnout privacy extensions.
No ten PD u IPV6 neumí ani nový FritzBox 6690 a to si platím statickou IPV4 adresu abych se dostal u Vodafone k dual stack. Osobně ten FritzBox je lepší než station, ale asi jej Vodafonu vrátím a vgezmu zpět Station, bridge a Turris jako router.
-
Je zajímavé, že mají pravidla podle MAC, nikoli podle IP. Ale jakmile DHCPv6-PD selže, všechno se rozpadne. Bylo by skvělé, kdyby umožnili klientům spravovat delegaci sami, jako to dělá například Mikrotik nebo Keenetic.
-
3) na IPv6 ma kazdy zarizeni adresu, ktera je staticka a je generovana bud z MAC nebo z GUID. Na tuxovi si muzes i vybrat. Meni se jen prefix, ale tech druhych 64bitu je stale stejnych.
Chtělo by se říct, „…akorát, že vůbec” :) Takhle to bylo před lety, dnes většina platforem konverguje k stabilním náhodným adresám, (https://datatracker.ietf.org/doc/rfc7217/) které se nemění, dokud se nezmění prefix. Adresy vyrobené z MAC adres jsou dnes k vidění jen na embedded zařízeních jako tiskárny a NASy, třeba Windows takovou věc ve výchozí konfiguraci nikdy neměli.
Dotaz - Jak se na takové síti řeší pravidla firewallu pro jednotlivá zařízení, když se jim IP adresy náhodně "losují z klobouku" a ještě jich má každý interface několik? To musí být docela peklo...
Jednoduše. Základním stavebním prvkem je podsíť. V jedné podsíti by měla pro všechna zařízení platit stejná pravidla, je tedy úplně jedno, jakou adresu si která zařízení vylosují. Pokud chcete pro určité zařízení uplatnit jiná pravidla, přestěhujte ho do jiné podsítě. V IPv6 máme k dispozici dostatek adres, nemusíme tedy míchat zařízení s různými oprávněními v jedné podsíti. Tím mimo jiné i eliminujete většinu zranitelností spojové vrstvy a možnost ukrást adresu zařízení s vyšším oprávněním.
-
Jednoduše. Základním stavebním prvkem je podsíť. V jedné podsíti by měla pro všechna zařízení platit stejná pravidla, je tedy úplně jedno, jakou adresu si která zařízení vylosují. Pokud chcete pro určité zařízení uplatnit jiná pravidla, přestěhujte ho do jiné podsítě. V IPv6 máme k dispozici dostatek adres, nemusíme tedy míchat zařízení s různými oprávněními v jedné podsíti. Tím mimo jiné i eliminujete většinu zranitelností spojové vrstvy a možnost ukrást adresu zařízení s vyšším oprávněním.
Rozumím, díky - ovšem neklesne tímto přístupem zásadně propustnost sítě protože se bude muset hodně věcí routovat mezi jednotlivými podsítěmi?
-
Chtělo by se říct, „…akorát, že vůbec” :)
Jinak receno, popiras a potvrzujes co sem napsal. Widle generujou to IPcko z ID systemu, jak sem napsal vejs kdybys cet, a kdyz se opatchujou, tak se semo tamo zmeni, jak sem taky napsal vejs.
Rozumím, díky - ovšem neklesne tímto přístupem zásadně propustnost sítě protože se bude muset hodně věcí routovat mezi jednotlivými podsítěmi?
Samozrejme ze ano, ale to si musis vybrat.
V principu to muzes udelat treba tak, ze mas jednu sit, ke ktery se chovas jako k siti verejny a vzajemnou komunikaci resis per extra vlan = v ramci switche. Ale to uz neni moc domaci sit.
-
Jednoduše. Základním stavebním prvkem je podsíť. V jedné podsíti by měla pro všechna zařízení platit stejná pravidla, je tedy úplně jedno, jakou adresu si která zařízení vylosují. Pokud chcete pro určité zařízení uplatnit jiná pravidla, přestěhujte ho do jiné podsítě. V IPv6 máme k dispozici dostatek adres ...
V domácí síti to u nás bohužel často kazí takový nešvar ISP: prefix /64 (aby neubylo, nebo se více vydělalo)
-
Je zajímavé, že mají pravidla podle MAC, nikoli podle IP. Ale jakmile DHCPv6-PD selže, všechno se rozpadne. Bylo by skvělé, kdyby umožnili klientům spravovat delegaci sami, jako to dělá například Mikrotik nebo Keenetic.
DHCPv6-PD neselže, protože není vůbec. A statickou cestu definovat nelze, ve vlastní síti PD nepotřebuju, je/byl by tam stejně tak asi 1 router. Telnet i SSH to má bloknuté, takže ani přes CLI mu tam nic nenastavím.
-
Řešíte i na routeru/switchi FW pravidla/ACL pro link-local adresy nebo to nechávate na FW koncových zařízení?