Nasazení IPv6 v domácí síti

H0ax

Re:Nasazení IPv6 v domácí síti
« Odpověď #15 kdy: 16. 04. 2015, 08:31:26 »
dhcp6 potřebuješ, pokud chceš, aby stanice měly vždy stejnou ip

Ne, i s SLAAC má počítač pořád stjenou adresu, kde LAN část je pevně odvozená od MAC adresy. V případě DHCPv6 je jen natvrdo dána rozhodnutím DHCPv6 serveru.
Nepletete si to s privacy extension? Pokud je aktivní, což obvykle defaultně je, tak počítatč vedle pevné adresy odvozené od MAC si generuje i další náhodně a pro odchozí spojení primárně používá tuto náhodnou. Pro příchozí je k dispozici pořád i na té pevné. Privacy extension jde vypnout. Ve Windows je ve výchozím stavu aktivní, pokud s eIP získá pomocí SLAAC.

Nepletu. Myslel jsem tím totiž to, že pokud mám ve firmě v lance adresy 192.168.1.x tak udělám ipv6 adresy jako například 2a01:5f0:c001::192:168:1:x


M.

Re:Nasadenie IPv6 v domacej sieti
« Odpověď #16 kdy: 16. 04. 2015, 08:34:05 »
Kedze mam pocit ze mas prehlad chcem sa ta este opytat - v kombinacii s verejnou IPv4 adresou a tunelom 6to4 viem do siete priviest viacero verejnych IPv6 adries? Ide o to ze mam doma jeden fyzicky a na nom 5 virtualnych serverov no a pokial by sa to dalo, vedel by som ho vyuzivat pre moje ucely este efektivnejsie.

Pokud máte Mikrotik a 6in4 tunel k HE, tak není co řešit (pozor - 6to4 je něco o fous jiného, používající stejný protokol).
Ano, v základu uskrz tunel se posílá jeden segment /64 pro jednu LAN síť. Pokud si chcete to rozdělit na víc, na portálu jde si zvolit, že vám má poslat i jednu celou /48. Takže těch 64k sítí by Vám domů mohlo stačit.
Z pohledu schopnosti Mikrotiku to máte v pohodě, použijete na LAN SLAAC konfiguraci a vestavěný DHCPv6-PD server podporuje i bezestavové DHCPv6, kterým si MS Windows umí získat IPv6 adresy DNS serverů. Takže můžete úspěně provozovt i IPv6 only síť (občas to na vybraných místech takto testujeme, jak je na tom IPv6 only síť - řada uživatleů už vůbec nezaregistruje, že něco nefunguje).
Jinak na Mikrotiku jde provozovat i víc oddělených sítí  (moje lan, návštěvy, ...) sdílející jeden /64 příděl, ale tím bych si život nekomplikoval (to se používá tam, kde Vám víc nedají za rozumných podmínek - např. ADSL od O2).
Co se týká běžného života skrz HE IPv6 tunel proti příméhu IPv4, tak pokud budete mít tunel do Prahy, tak je rozdíl minimální. Také mám pár míst takto řešeno.
Podpora bezestavového DHCCPv6 je celkem nová v Mikrotiku, takže to chce relativně nový ROS v něm (asi od 6.8 výše, aktuální 6.27 v pohodě).

j

Re:Nasazení IPv6 v domácí síti
« Odpověď #17 kdy: 16. 04. 2015, 08:35:43 »
deset let se již čekalo a ničemu to nepomohlo (nikam to nevede obvzláště tehdy, když čekají všichni)

chce to poptávat IPv6 u ISP

jen pro info
s autokonfigurací u RA je to v pohodě co se týče IPv6 adres, ale s DNS si windows bez dalšího softu neporadí - tam však lze použít dokonfiguraci pomocí DHCPv6 (ať se s tím zbytečně netrápíte až to konečně přijde...)

Ten dalsi soft je tuhle
http://sourceforge.net/projects/rdnssd-win32/

deset let se již čekalo a ničemu to nepomohlo (nikam to nevede obvzláště tehdy, když čekají všichni)
Ono to nikam nevede a všichni čekaji protože ipv6 je zmršenina a nikomu se do ní nechce.
Zmrsenina ses leda ty, IPv6 mi uz skoro 10let funguje a naprosto vpohode, % prenosu pres ni uz davno presahlo 50.

dhcp6 potřebuješ, pokud chceš, aby stanice měly vždy stejnou ip

Ne, to vazne nepotrebujes ... Kazda stanice v siti bude mit vzdy stejnou IP, zalozenou bud na MAC nebo na GUID. Pokud ma stanice zapnuty privacy extension, tak bude mit jeste dalsi 1-N adresy, generovany nahodne a pravidelne. Ovsem pokud ti jde o to, aby si moh mit stanici v DNS pro prichozi provoz, tak pochopitelne pouzijes tu fixni adresu. Odchozi provoz by pak mel vzdy bezet pres tu random, coz ovsem zdaleka ne vsechny aplikace dodrzuji.


Sten

Re:Nasazení IPv6 v domácí síti
« Odpověď #18 kdy: 16. 04. 2015, 19:26:50 »
@Sten: Ta knizka jde stahnout i z toho odkaz na Rootu a navic nejen v pdf. Pokud ma clovek kindle nebo neco, tak pdf je blba volba.

Na webu NIC je i verze v epub a mobi.

Ahoj Sten,
mam Mikrotik a IPv6 adresy chcem riesit cez 6to4 tunel - "Hurricane Electric Tunnelbroker".
Na DHCP som sa pytal preto lebo siet by som si chcel podelit tak ako to mam doma teraz (172.16.0. - nezname zariadenia - napr. cudzi mobil ktory sa mi pripoji na WiFi, 172.16.1. - zariadenia ktore viem ze su moje, 172.16.2. - servery, 172.16.5. - tlaciarne a ine zariadenia, 172.16.8. - VPN klienti). Tiez pouzivam rozne filtrovania na firewalli pre rozne podsiete.

Hurricane Electric je broker. Jak 6to4, tak brokeři používají stejný protokol zvaný 6in4, ale fungují trochu odlišně. 6to4 nemá žádné pevně daný relay (server překládající 6in4 na IPv6 a obráceně), používá multicastovou IPv4 adresu (192.88.99.1), takže se použije nejbližší relay a zpět to překládá relay nejbližší odesílateli odpovědi. Výhoda tohoto řešení je, že když jeden relay umře či nefunguje, přebere činnost jiný, a když váš poskytovatel připojení rozjede vlastní 6to4 relay, pojede to přes ní automaticky.

Pokud jsou počítače ve stejné síti, pak rozdělení podle IP rozsahů není moc bezpečné. Buď tam všem věříte stejně jako tomu nejvíc důvěryhodnému stroji, nebo si tu IP adresu útočník snadno změní na nějakou z důvěryhodné sítě (ano, chytré switche to umí filtrovat, ale chytré switche taky umí mnohem rychlejší VLANy). Pokud máte více sítí, pak každá bude používat vlastní IPv6 prefix.

Kedze mam pocit ze mas prehlad chcem sa ta este opytat - v kombinacii s verejnou IPv4 adresou a tunelom 6to4 viem do siete priviest viacero verejnych IPv6 adries? Ide o to ze mam doma jeden fyzicky a na nom 5 virtualnych serverov no a pokial by sa to dalo, vedel by som ho vyuzivat pre moje ucely este efektivnejsie.

U tunelu dostanete vždy nejméně jeden prefix (síť /64), v případě 6to4 dokonce /48 (tj. 65 536 prefixů). Pro přidělování adres se používá jeden prefixem (teoreticky lze mít i jinak dlouhý prefix, ale RFC doporučuje /64 a ne všechna zařízení si s jinak dlouhým prefixem poradí). Každý prefix zvládne adresovat až 2⁶⁴ zařízení, což je o pět řádů víc, než umí Ethernet, takže nemusíte mít starosti, že by se na některé stroje nedostalo.

Nepletu. Myslel jsem tím totiž to, že pokud mám ve firmě v lance adresy 192.168.1.x tak udělám ipv6 adresy jako například 2a01:5f0:c001::192:168:1:x

Nevím moc, k čemu to je, zadávat IPv6 adresy číslem, navíc v době mDNS, mi přijde takové … zastaralé.

Kolemjdoucí

Re:Nasazení IPv6 v domácí síti
« Odpověď #19 kdy: 16. 04. 2015, 19:36:32 »
dhcp6 potřebuješ, pokud chceš, aby stanice měly vždy stejnou ip

Ne, i s SLAAC má počítač pořád stjenou adresu, kde LAN část je pevně odvozená od MAC adresy. V případě DHCPv6 je jen natvrdo dána rozhodnutím DHCPv6 serveru.

A ještě by bylo vhodné dodat že v případě DHCPv6 nemáte pevnou IP adresu podle své MAC adresy ale podle jakéhosi obskurního identifikátoru který se mění při naboovování jiného OS (každý OS si ho drží ve svém souboru) a je problém pokud nemáte žádné úložiště (např. bootujete z CD nebo DVD) - pak máte po každém nabootování jinou IPv6 adresu.

DHCPv6 je v porovnání se SLAAC zbytečně komplikované, nevidím důvod proč ho používat.

Nepletete si to s privacy extension? Pokud je aktivní, což obvykle defaultně je, tak počítatč vedle pevné adresy odvozené od MAC si generuje i další náhodně a pro odchozí spojení primárně používá tuto náhodnou. Pro příchozí je k dispozici pořád i na té pevné. Privacy extension jde vypnout. Ve Windows je ve výchozím stavu aktivní, pokud s eIP získá pomocí SLAAC.

Přesně tak, u SLAAC stačí vypnout (nebo nezapnout) privacy extensions. Nedokážu si představit že by správce sítě nechal klienty si náhodně volit IPv6 adresy, to by musel mít chytré switche nebo routery které by mu zaznamenávaly který klient si kdy zvolil kterou IPv6 adresu, aby byl schopen podle času a IPv6 adresy zpětně určit klienta (např. pro řešení různých stížností).


ondro

Re:Nasazení IPv6 v domácí síti
« Odpověď #20 kdy: 16. 04. 2015, 22:29:17 »

Zmrsenina ses leda ty, IPv6 mi uz skoro 10let funguje a naprosto vpohode, % prenosu pres ni uz davno presahlo 50.


Prepac ale to, ze ty ho uz 10 rokov pouzivas nevylucuje to, ze IPv6 je zmrsenina. Suhlasim s Pavlom. Po studiu protokolu a precitani serialu o IPv6 tu na roote, som nazoru, ze takyto protokol sa nikdy nemal dostat do realnej premavky a masovo pretlacat. Po moznosti sa v poslednej dobe zoznamit s roznymi protokolmi od roznych firiem  sa ale tomu necudujem, ze taketo nieco vzniklo. Osobne tajne dufam, ze sa nikdy nepresadi a namiesto neho pride nieco ako IPv8. IPv6 je jeden zmetok a bohuzial zastaraly protokol, ktory ma jednu vyhodu a tou je adresny priestor.

Re:Nasazení IPv6 v domácí síti
« Odpověď #21 kdy: 16. 04. 2015, 23:30:16 »
deset let se již čekalo a ničemu to nepomohlo (nikam to nevede obvzláště tehdy, když čekají všichni)
Ono to nikam nevede a všichni čekaji protože ipv6 je zmršenina a nikomu se do ní nechce.
Zmrsenina ses leda ty, IPv6 mi uz skoro 10let funguje a naprosto vpohode, % prenosu pres ni uz davno presahlo 50.
sechny aplikace dodrzuji.
Raději si někde nastuduj z čeho se vybíralo a proč se vybralo ipv6 ty zmršenino .... možná google? Jo a to že víc než padesát procent tvého porna jde přez ipv6 znamená absolutní nic.

Re:Nasazení IPv6 v domácí síti
« Odpověď #22 kdy: 16. 04. 2015, 23:37:12 »
.́.. a co si budem povídat. Je to dvacet! let starý protokol který se zdaleka neprosadil a myslim že neprosadí. Ono před dvaceti lety byl jeho hlavní tahák obrovský adresní prostor a teorie že každé zařízení bude přímo na internetu. Otázka je, jestli to vlastně někdo v dnešní šmírovací době bude chtít.

Dnes neexistuje jediný důvod se ipv6 zabývat.

Sten

Re:Nasazení IPv6 v domácí síti
« Odpověď #23 kdy: 17. 04. 2015, 01:31:27 »
Přesně tak, u SLAAC stačí vypnout (nebo nezapnout) privacy extensions. Nedokážu si představit že by správce sítě nechal klienty si náhodně volit IPv6 adresy, to by musel mít chytré switche nebo routery které by mu zaznamenávaly který klient si kdy zvolil kterou IPv6 adresu, aby byl schopen podle času a IPv6 adresy zpětně určit klienta (např. pro řešení různých stížností).

Nevidím rozumný důvod je vypínat. Logovat Neighbor Soliciation je asi tak složité jako logovat DHCP, a pokud máte router s Linuxem, NDPMon kromě toho umí i základní IDS. Navíc je to o dost spolehlivější, než věřit, že všechny počítače opravdu mají privacy extensions vypnuté, protože bůhví jestli třeba poslední aktualizace nezapnula.

.́.. a co si budem povídat. Je to dvacet! let starý protokol který se zdaleka neprosadil a myslim že neprosadí. Ono před dvaceti lety byl jeho hlavní tahák obrovský adresní prostor a teorie že každé zařízení bude přímo na internetu. Otázka je, jestli to vlastně někdo v dnešní šmírovací době bude chtít.

Dnes neexistuje jediný důvod se ipv6 zabývat.

  • Jestli je zařízení na internetu přímo nebo za NATem, je z hlediska bezpečnosti a šmírování minimální rozdíl. NAT není firewall a je velmi snadné jej obejít. Firewall existuje i pro IPv6. Šmírovat lze všechno, co od vás odchází a k vám přichází, bez ohledu na to, jestli tam máte NAT nebo ne, a sledovat jednotlivé počítače nejde ani v IPv6, protože privacy extensions.
  • První RFC s IPv6 je skutečně dvacet let staré, ale to neznamená, že IPv6 je dvacet let hotové a připravené k nasazení. IPv4 má za sebou delší vývoj, a rychle se prosadilo jen proto, že ARPANET rozhodl, že od jednoho dne se už nic jiného používat nebude. Spousta věcí se pak dodělávala za běhu, s různou úrovní zprasenosti. Třeba spravovat reverzní záznamy je kvůli CIDR peklo.
  • Spoustu věcí z IPv6 se složitě roubovala na IPv4, jako třeba mobilní či lokální adresy, a často to ani pořádně nefunguje (zkuste zkombinovat mobilní adresy a BCP38).
  • Spousta věcí v IPv4 je nesmyslná a existuje hlavně kvůli té překotné adopci. Proč má loopback 16 milionů adres, když stejně zaručeně funguje jen jedna? proč jsou tři nesouvislé rozsahy pro soukromé sítě? proč má IPv4 checksum, který se mění na každém routeru kvůli TTL, když TCP i UDP mají vlastní?
  • Spoustu věcí IPv4 neumí a zřejmě nikdy umět nebude, protože už není zájem jej nějak moc rozvíjet. Třeba prefix delegation nebo rozumně fungující multicastu se asi nedočkáme.
  • Není pravda, že by se IPv6 neprosadilo. Podíl nativního (bez tunelů) IPv6 se za posledních deset let každý rok zdvojnásobuje. Pokud to vydrží, tak na přelomu let 2017/2018 předstihne IPv4. Už teď je na tom IPv6 lépe než Linux.

Nejspíš máte typický problém odpůrců IPv6: přemýšlíte o něj jako o IPv4 s jiným zápisem adres. A pravděpodobně jste nikdy ani nezkusil jej nasadit.

Na závěr ještě jeden argument: IPv4 adresy došly a nic jiného než IPv6 stejně není připraveno.

Kolemjdoucí

Re:Nasazení IPv6 v domácí síti
« Odpověď #24 kdy: 17. 04. 2015, 02:20:27 »
Přesně tak, u SLAAC stačí vypnout (nebo nezapnout) privacy extensions. Nedokážu si představit že by správce sítě nechal klienty si náhodně volit IPv6 adresy, to by musel mít chytré switche nebo routery které by mu zaznamenávaly který klient si kdy zvolil kterou IPv6 adresu, aby byl schopen podle času a IPv6 adresy zpětně určit klienta (např. pro řešení různých stížností).

Nevidím rozumný důvod je vypínat. Logovat Neighbor Soliciation je asi tak složité jako logovat DHCP, a pokud máte router s Linuxem, NDPMon kromě toho umí i základní IDS. Navíc je to o dost spolehlivější, než věřit, že všechny počítače opravdu mají privacy extensions vypnuté, protože bůhví jestli třeba poslední aktualizace nezapnula.

A viděl jste někdy reálnou nabídku switchů a routerů které "podporují" IPv6? Zdaleka ne každý chce nebo může instalovat na router Linux a pak se prohrabávat textovými logy. Porovnával jste to někdy s nabídkou switchů které umějí DHCP snooping (myšleno jen pro IPv4)? A jak vám to vyšlo? Mně bohužel naprosto špatně, to co podporují pro IPv4 (DHCP snooping) bohužel zatím nepodporují pro IPv6 (ať už SLAAC+privacy extensions nebo DHCPv6 snooping). Takže jsem dospěl k tomu že z pozice správce sítě je mi jedno jestli mají klienti privacy extenstions zapnuté nebo vypnuté - je v jejich vlastním zájmu aby je vypnuli, protože jinak se nedostanou se do internetu (maximálně přes ipv4 fallback), protože je můj router nepustí (nebude jim souhlasit MAC adresa s povolenou IPv6 adresou - např. na Linuxu to zajistí ip6tables s modulem eui64).

Na závěr ještě jeden argument: IPv4 adresy došly a nic jiného než IPv6 stejně není připraveno.

Ano, to je pravda, IPv4 adresy skutečně téměř došly a nic lepšího než IPv6 bohužel není připraveno. Tedy pokud IPv4+NAT nepovažujete z lepší než IPv6 (nechci vyvolávat flame, ale někdo to tak má).

Sten

Re:Nasazení IPv6 v domácí síti
« Odpověď #25 kdy: 17. 04. 2015, 03:54:58 »
A viděl jste někdy reálnou nabídku switchů a routerů které "podporují" IPv6? Zdaleka ne každý chce nebo může instalovat na router Linux a pak se prohrabávat textovými logy. Porovnával jste to někdy s nabídkou switchů které umějí DHCP snooping (myšleno jen pro IPv4)? A jak vám to vyšlo? Mně bohužel naprosto špatně, to co podporují pro IPv4 (DHCP snooping) bohužel zatím nepodporují pro IPv6 (ať už SLAAC+privacy extensions nebo DHCPv6 snooping). Takže jsem dospěl k tomu že z pozice správce sítě je mi jedno jestli mají klienti privacy extenstions zapnuté nebo vypnuté - je v jejich vlastním zájmu aby je vypnuli, protože jinak se nedostanou se do internetu (maximálně přes ipv4 fallback), protože je můj router nepustí (nebude jim souhlasit MAC adresa s povolenou IPv6 adresou - např. na Linuxu to zajistí ip6tables s modulem eui64).

Snooping pro privacy extensions? WTF? Jinak IPv6 umí SeND, což je mnohem dokonalejší způsob než snooping.

Který z těch routerů, co neumí logovat provoz na základě jednoduchého pravidla (NDP Type 135), umí firewall tak sofistikovaný, aby porovnával část IP adresy s MAC?

H0ax

Re:Nasazení IPv6 v domácí síti
« Odpověď #26 kdy: 17. 04. 2015, 08:08:23 »
- mdns nechci, když mám normální dns a když se mi stanice ve widlích můžou za určitých okolností jmenovat jinak než chci aby se jmenovaly podle dns
- adresace ipv6 tak, že se použijí čísla z ipv4 mi přijde dobrá, zvlášť když potřebuju zjistit, proč něco nefunguje
- v dhcpv6 se dá řešit přiřazování podle mac

Alex

Re:Nasazení IPv6 v domácí síti
« Odpověď #27 kdy: 17. 04. 2015, 08:44:47 »
Využiji nastoleného tématu a zeptám se:

Můžu provozovat zároveň DHCPv6 adresy pro domácí síť (v rozsahu privátních adres) a IPv6 veřejné adresy šířené z routeru přes "router advertisement"?

Jde mi o to, aby funkčnost domácí sítě nebyla závislá na tom, jestli jede připojení do Internetu. Tj. i když nepojede připojení ven, tak aby stanice dostala přidělenou vlastní adresu a adresu mého DNS serveru (asi přes DHCPv6) a abych se pak jménem dostal na svůj domácí fileserver. To všechno nezávisle na funkčnosti Internetu - přidělování veřejných adres.
A asi bych nechtěl používat "link local" adresy - mám pocit, že jsem někde četl, že by se neměly dávat do DNS záznamů...

j

Re:Nasazení IPv6 v domácí síti
« Odpověď #28 kdy: 17. 04. 2015, 09:53:35 »
Raději si někde nastuduj z čeho se vybíralo a proč se vybralo ipv6 ty zmršenino .... možná google? Jo a to že víc než padesát procent tvého porna jde přez ipv6 znamená absolutní nic.

Vis o toho koukam leda howno, IPv6 existuje uz 20 let.

.́.. a co si budem povídat. Je to dvacet! let starý protokol který se zdaleka neprosadil a myslim že neprosadí. Ono před dvaceti lety byl jeho hlavní tahák obrovský adresní prostor a teorie že každé zařízení bude přímo na internetu. Otázka je, jestli to vlastně někdo v dnešní šmírovací době bude chtít.

Dnes neexistuje jediný důvod se ipv6 zabývat.

Coz to jen potvrzuje ... 10% internetu uz ted bez IPv6 neni dostupny a roste to. Ale jo, nekteri imbecilove budou donekonecna oslavovat NATy a libovat si, jak jsou v bezpeci ... lol lo lol


2Kolemjdoucí: pokud ten router neumi sledovat RA, tak na 100% neumi ani IPv6 DHCP. Podpora DHCP je totiz pro IPv6 pomerne slusna vzacnost. Prave proto, ze to nikdo normalni nepouziva.

- v dhcpv6 se dá řešit přiřazování podle mac
Mno ... neda, existuje na to hnusny hack, ale muze se ti klidne stat, ze klient s takovou adresou proste odmitne pracovat, protoze to porusuje X ruznych RFC. Jedna z idei IPv6 je totiz ta, ze IP nepatri k interface.


Využiji nastoleného tématu a zeptám se:

Můžu provozovat zároveň DHCPv6 adresy pro domácí síť (v rozsahu privátních adres) a IPv6 veřejné adresy šířené z routeru přes "router advertisement"?

Jde mi o to, aby funkčnost domácí sítě nebyla závislá na tom, jestli jede připojení do Internetu. Tj. i když nepojede připojení ven, tak aby stanice dostala přidělenou vlastní adresu a adresu mého DNS serveru (asi přes DHCPv6) a abych se pak jménem dostal na svůj domácí fileserver. To všechno nezávisle na funkčnosti Internetu - přidělování veřejných adres.
A asi bych nechtěl používat "link local" adresy - mám pocit, že jsem někde četl, že by se neměly dávat do DNS záznamů...

A proc bys neco takovyho delal? Na to abys mel doma verejny adresy vubec nepotrebujes internet. Pokud ti DNS bezi doma, tak se ti verejna adresa prelozi stejne dobre jako kterakoli jina, nemluve o tom, ze kazdej normalni ISP ti klidne ten tvuj rozsah nadeleguje i na tvoje (libovolny) dns => bude to fungovat i z internetu.

MP

Re:Nasazení IPv6 v domácí síti
« Odpověď #29 kdy: 17. 04. 2015, 10:01:23 »

dhcp6 potřebuješ, pokud chceš, aby stanice měly vždy stejnou ip

Ne, to vazne nepotrebujes ... Kazda stanice v siti bude mit vzdy stejnou IP, zalozenou bud na MAC nebo na GUID. Pokud ma stanice zapnuty privacy extension, tak bude mit jeste dalsi 1-N adresy, generovany nahodne a pravidelne. Ovsem pokud ti jde o to, aby si moh mit stanici v DNS pro prichozi provoz, tak pochopitelne pouzijes tu fixni adresu. Odchozi provoz by pak mel vzdy bezet pres tu random, coz ovsem zdaleka ne vsechny aplikace dodrzuji.

A jak z s tou silenou privacy extension zajistite funkcnost, kdy spousta serverovych aplikaci blokuje pristup na zaklade IP adresy ? Takze s nahodne generovanou odchozi adresou klienta budete chtit pristupovat k aplikaci, ktera ma nastavenou max tak prichozi adresu klienta ?