Doporučené postupy k IPv6 pro domácí síť

[MilanB]

Je zajímavé, že mají pravidla podle MAC, nikoli podle IP. Ale jakmile DHCPv6-PD selže, všechno se rozpadne. Bylo by skvělé, kdyby umožnili klientům spravovat delegaci sami, jako to dělá například Mikrotik nebo Keenetic.

[Reklama]

[Ondřej Caletka]

3) na IPv6 ma kazdy zarizeni adresu, ktera je staticka a je generovana bud z MAC nebo z GUID. Na tuxovi si muzes i vybrat. Meni se jen prefix, ale tech druhych 64bitu je stale stejnych.

Chtělo by se říct, „…akorát, že vůbec” Takhle to bylo před lety, dnes většina platforem konverguje k stabilním náhodným adresám, které se nemění, dokud se nezmění prefix. Adresy vyrobené z MAC adres jsou dnes k vidění jen na embedded zařízeních jako tiskárny a NASy, třeba Windows takovou věc ve výchozí konfiguraci nikdy neměli.

Dotaz - Jak se na takové síti řeší pravidla firewallu pro jednotlivá zařízení, když se jim IP adresy náhodně "losují z klobouku" a ještě jich má každý interface několik? To musí být docela peklo...

Jednoduše. Základním stavebním prvkem je podsíť. V jedné podsíti by měla pro všechna zařízení platit stejná pravidla, je tedy úplně jedno, jakou adresu si která zařízení vylosují. Pokud chcete pro určité zařízení uplatnit jiná pravidla, přestěhujte ho do jiné podsítě. V IPv6 máme k dispozici dostatek adres, nemusíme tedy míchat zařízení s různými oprávněními v jedné podsíti. Tím mimo jiné i eliminujete většinu zranitelností spojové vrstvy a možnost ukrást adresu zařízení s vyšším oprávněním.

[Libor]

Jednoduše. Základním stavebním prvkem je podsíť. V jedné podsíti by měla pro všechna zařízení platit stejná pravidla, je tedy úplně jedno, jakou adresu si která zařízení vylosují. Pokud chcete pro určité zařízení uplatnit jiná pravidla, přestěhujte ho do jiné podsítě. V IPv6 máme k dispozici dostatek adres, nemusíme tedy míchat zařízení s různými oprávněními v jedné podsíti. Tím mimo jiné i eliminujete většinu zranitelností spojové vrstvy a možnost ukrást adresu zařízení s vyšším oprávněním.

Rozumím, díky - ovšem neklesne tímto přístupem zásadně propustnost sítě protože se bude muset hodně věcí routovat mezi jednotlivými podsítěmi?

[jjrsk]

Chtělo by se říct, „…akorát, že vůbec”

Jinak receno, popiras a potvrzujes co sem napsal. Widle generujou to IPcko z ID systemu, jak sem napsal vejs kdybys cet, a kdyz se opatchujou, tak se semo tamo zmeni, jak sem taky napsal vejs.

Rozumím, díky - ovšem neklesne tímto přístupem zásadně propustnost sítě protože se bude muset hodně věcí routovat mezi jednotlivými podsítěmi?

Samozrejme ze ano, ale to si musis vybrat.

V principu to muzes udelat treba tak, ze mas jednu sit, ke ktery se chovas jako k siti verejny a vzajemnou komunikaci resis per extra vlan =  v ramci switche. Ale to uz neni moc domaci sit.

[CFM]

Jednoduše. Základním stavebním prvkem je podsíť. V jedné podsíti by měla pro všechna zařízení platit stejná pravidla, je tedy úplně jedno, jakou adresu si která zařízení vylosují. Pokud chcete pro určité zařízení uplatnit jiná pravidla, přestěhujte ho do jiné podsítě. V IPv6 máme k dispozici dostatek adres ...

V domácí síti to u nás bohužel často kazí takový nešvar ISP: prefix /64 (aby neubylo, nebo se více vydělalo)

[Reklama]

[BobTheBuilder]

Je zajímavé, že mají pravidla podle MAC, nikoli podle IP. Ale jakmile DHCPv6-PD selže, všechno se rozpadne. Bylo by skvělé, kdyby umožnili klientům spravovat delegaci sami, jako to dělá například Mikrotik nebo Keenetic.

DHCPv6-PD neselže, protože není vůbec. A statickou cestu definovat nelze, ve vlastní síti PD nepotřebuju, je/byl by tam stejně tak asi 1 router. Telnet i SSH to má bloknuté, takže ani přes CLI mu tam nic nenastavím.

[vpn22]

Řešíte i na routeru/switchi FW pravidla/ACL pro link-local adresy nebo to nechávate na FW koncových zařízení?