Jak psali jiní - vaším problémem č. 1 je olemplované připojení od UPC, takže buďto máte pořádně (veřejka) jen IPv4 a IPv6 musíte tunelovat, nebo máte blbě IPv4 (DS-lite) a blbě IPv6 (jedna podsíť - nepřestává mě fascinovat, jak se dají některé věci zprasit). Přeloženo a v důsledku: IPv6 UPS neposkytuje. Chcete-li jej, musíte odněkud protunelovat (možností je více). Asi to ještě není třeba, význam to má pro věci jen na IPv6, nebo jestli to chcete z fandovství vyzkoušet či mít přemigrováno.
Jednodušší a obvyklejší řešení je ale provozovat dual-stack. Tedy mít v síti oba protokoly zároveň.
Jednodušší je to do okamžiku, než máte vyplnit či udržovat 2krát obdobná pravidla firewallu a NATu k tomu.
Zmíněným řešením je onen překlad rozebíraný v článku. Ten není nijak složitý. Doma jsem to zkusil nasadit. Stačí na to Raspberry Pi, na kterém je nainstalovaný Jool (NAT64, SIIT netřeba) a Unbound (DNS64). Ve vnitřní síti dostávají počítače pouze IPv6, do IPv4 lezou dynamicky přes překladač (a to jak do vnitřní sítě, tak internetu). V případě, že leze někdo dovnitř z internetu přes IPv4 (např. na servery), obsahuje NAT64 statická pravidla, která přesměrovávají port na IPv6:jiný_port (klidně i ULA; takže vlastně NAT46). Pro webový server je to jediné pravidlo přesměrovávající na reversní proxy, kde jsou pak domény rozhozeny na servery pomocí SNI.
Zařízení ve vnitřní síti, která umějí jen IPv4, jsou v extra podsítích, kde se IPv6 nevyskytuje (dá se udělat i dvojitý překlad, ale obvykle je to zbytečné, to by mělo smysl jen při zvláštní topologii sítě). Přístup k nim z vnitřní 6kové sítě je též překládán.
Problém, který jsem nečekal a na který jsem narazil, je Tor v IPv6! Údajně existuje jen málo vstupních bran na IPv6, takže se k němu nepřipojíte. To jsem vyřešil dopřednou proxy HTTP do místa, kde je IPv4.
Tímto způsobem je možno již dnes provozovat vnitřní síť (s výjimkou pár starých zařízení) pouze na IPv6 a vyčkat na konec středověku.
16 Odpovědí
5736 Zhlédnutí