Příspěvky

1

Sítě / Re:Návod pro nasazení IPv6 pro začátečníka kutila

« kdy: 13. 10. 2023, 13:52:15 »

> Na základe horných 64b s istotou vie, ktorá komunikácia prichádza z rovnakého stroja.
Tady máte chybu. Špehovač ví, že komunikace přichází z konkrétní počítačové sítě. Stejně tak to ví v případě IPv4, kde těch bitů není 64, ale jen 32.

Nezáleží to spíš na tom, o jakém špehovači se bavíme?

Provozovatel webu se šmírovacími skripty (Google... a v podstatě kdokoli z bigtech) šmíruje podle uživatelských účtů, otisku prohlížeče, cookies... tam IPv6 nebude mít žádný efekt. Mnohem víc bude záležet, co mu v rámci služby poskytnu já a můj prohlížeč.

Poskytovatel připojení má jiné možnosti, do komunikace se službou vidět nesmí, ale vidí hlavičky procházejících packetů, DNS dotazy, IPv6 adresy (). Tady mě asi zajímá nejvíc rozdíl IPv4 (síť za NATem) vs IPv6 (jen firewall).

Nebo to chápu špatně? Proč a v čem?

2

Sítě / Re:Návod pro nasazení IPv6 pro začátečníka kutila

« kdy: 11. 10. 2023, 19:13:52 »

Opravdu doporučuju tu knihu od pana Satrapy. Tam najdete odpovědi na všechny otázky. ;-) Mít IPv6 a toužit po NATu, to je vyloženě proti logice IPv6. Prakticky všude, kde mám domácí připojení, mám IPv6 a jediné, co mne trošku irituje, je výkon Mikrotiku s IPv6, ne IPv6tka samotná. :-)

Upřímně, já víc toužím po soukromí než po IPv6. A pokud by IPv6 bez NATu znamenala ztrátu soukromí, tak bude NAT i kdyby to bylo rouhání a hereze proti celé filozofii... ať už se pod tím skrývá cokoli. Vlastně se v tom vrtám jen proto, že se to zdá být nevyhnutelné a je lépe být připraven.

Ale knihu se pokusím dočíst celou a možná opakovaně (protože zaručeně napoprvé leccos přehlédnu). To mi nějaký čas zabere. Pak se budu možná ptát znovu a rozumněji Možná.

3

Sítě / Re:Návod pro nasazení IPv6 pro začátečníka kutila

« kdy: 11. 10. 2023, 18:32:56 »

> Petr Krčmář: Díky, Satrapou se zkusím prokousat, ale teď po prvních pár desítkách stránek se obávám, že to je víc informací, než potřebuju. Spousta pěkné teorie, ve které se zahrabu a bude mi k (převážně) ničemu.

> Radek Zajíc: Díky. Zhruba tak jsem si představoval stručné "nasměrování" z praxe. Nicméně, na každou radu mi napadá několik zpřesňujících otázek, počínaje Proč?

Ad DHCPv6 - jak si zařízení vymýšlejí svou adresu, když ne podle DHCP?

Proč bych neměl používat rozsah fd00::/8? Povede to k něčemu špatnému? Znamená to, že v IPv6 neexistuje rozsah pro LAN funkčně ekvivalentní těm třem z IPv4?

Proč bych se měl za každou cenu vyhýbat NATu? Já považoval ten "strašně nežádoucí" důsledek, že zařízení ve vnitřní síti nelze díky firewallu s NATem adresovat přímo za docela dobrou vlastnost (resp. dobrou možnost).

V LAN mohu mít připojená zařízení, která nejsou dost aktuální, mohou mít lokálně zneužitelné bezpečnostní chyby a není žádoucí, aby k nim byl jiný přístup než lokální (IOT, ale bez spojení ven). Ale protože do LAN je omezený přístup, tak to nemusí vadit. Nechci tuhle možnost s IPv6 ztratit.

Jak se řeší potřeba připojit zařízení, která umí pouze IPv4, ale router má vnější IPv6 adresu a poskytovatel nenabízí dualstack?

Jak to, že rozsah /64 dále nedělitelný, když celá adresa má 128 bitů, ale zrovna jsem se k tomu dočetl v té Satrapově knize... jak tohle hodnotit slušně? Chápu tedy správně, že když mi poskytovatel přidělí IPv6 s rozsahem /64, tak připojím jen jedno koncové zařízení a opět musím použít NAT? (nepodaří-li si vymámit /56?) Nebo si s těmi 64 bity v dolní části adresy pořád můžu dělat cokoli?

4

Sítě / Návod pro nasazení IPv6 pro začátečníka kutila

« kdy: 11. 10. 2023, 11:30:18 »

Příliš dlouho jsem se vyhýbal IPv6 a teď brouzdám po webu a marně se snažím zorientovat.

O tom, že IPv6 je úžasná budoucnost jsem četl přehršel článků, ale v žádném - i když tu a tam narazím na zajímavé informace - jsem nedokázal najít základní shrnutí pro mírně paranoidního, jen lehce pokročilého uživatele, jak IPv6 nastavit bezpečně. Všude se omílá to, jak není potřeba NAT (budiž) a jak lze adresovat i sebenepatrnější IOT (což nechci).

Moje základní požadavky jsou
- LAN striktně nepřístupná zvenku
- lokální IPv6 přiděluje lokální DHCP v privátním rozsahu, který lze filtrovat firewallem
 
Můj předpoklad, možná staromódní, je, že z internetu MUSÍ být vidět POUZE router. NIKDY zařízení za ním v LAN, dokud je explicitně nepovolím, nepřiřadím jim veřejnou IP adresu, nebo na ně nesměruji provoz z TCP portu.

Můžete mi prosím dát alespoň odkaz na nějaký dobrý text k prostudování, který by mě navedl tímto směrem?

Jdou moje požadavky tak moc proti filozofii IPv6?
Pokud ano, co bych měl pozměnit?
Co je praktické a co už ne?

Nyní, když koukám na svůj domácí router, kde je IPv6 stále zakázané pomocí iptables6, tak má adresy na vnějším i vnitřním rozhraní začínající fe80: atd... dočetl jsem se, že interní má začínat fd ... jak to zařídit?

Může být CZ, SK, EN, RU... další jazyky bych musel s překladačem.