Praktické otázky ohledně IP verze 6

Zbyněk

Praktické otázky ohledně IP verze 6
« kdy: 19. 02. 2017, 08:57:06 »
Otázky směrují ke nakonfigurování firewallu.

1. Které správy ICMP verze 6 je dobré mít vypnuty/blokovat a naopak, které musí být povoleny:
   a. když je použita statická konfigurace = IP adresa, brána a DNS jsou manuálne nakonfigurované na klientovi
   b. když je použito SLAAC
   c. když je použito DHCP verze 6
   
2. Umí dle RFC DHCP verze 6 informovat klienta o defaultní gateway? Ak ne, jaký je na to důvod?

3. Jaký význam sehráva lokální linková adresa a jaká komunikace probíha výlučně pomocí těchto adres?
   a. když je použita statická konfigurace = IP adresa, brána a DNS jsou manuálne nakonfigurované na klientovi
   b. když je použito SLAAC
   c. když je použito DHCP verze 6


Re:Praktické otázky ohledně IP verze 6
« Odpověď #1 kdy: 19. 02. 2017, 20:57:55 »
Otázky směrují ke nakonfigurování firewallu.

1. Které správy ICMP verze 6 je dobré mít vypnuty/blokovat a naopak, které musí být povoleny:
   a. když je použita statická konfigurace = IP adresa, brána a DNS jsou manuálne nakonfigurované na klientovi
   b. když je použito SLAAC
   c. když je použito DHCP verze 6
Na tohle vám vyčerpávající odpověď poskytne RFC 4890: Recommendations for Filtering ICMPv6 Messages in Firewalls. Na způsobu konfigurace adres to nezávisí.

2. Umí dle RFC DHCP verze 6 informovat klienta o defaultní gateway? Ak ne, jaký je na to důvod?
Neumí, není to potřeba a není to koncepční. Zatímco IPv4 byl navržen s jedinou možností statické konfigurace a DHCP do něj dodatečně dolepuje autokonfiguraci, v případě IPv6 je autokonfigurace integrální součástí protokolu. Zařízení se tedy výchozí bránu(/y) dozví samo, čistě jen tím, že ho k výchozí(/m) bráně(/branám) připojíte. DHCP v IPv6 slouží pouze pro dodatečnou konfiguraci a dialog s DHCP serverem je vyvolán teprv v reakci na informaci brány o tom, že v síti nějaký DHCP server je. V té době je tedy už výchozí brána nastavena.

3. Jaký význam sehrává lokální linková adresa a jaká komunikace probíha výlučně pomocí těchto adres?
   a. když je použita statická konfigurace = IP adresa, brána a DNS jsou manuálne nakonfigurované na klientovi
   b. když je použito SLAAC
   c. když je použito DHCP verze 6
Jedná se o plnohodnotnou adresu, která je vytvořena zcela nezávisle na síti (takže je k dispozici vždy) a její platnost je omezena na jednu linku. Protože se má za to, že LL adresa je k vždy k dispozici, používá se k nejrůznějším servisním účelům – jako adresa výchozí brány při autokonfiguraci, pro komunikaci s DHCPv6 servery, pro objevování sousedů, pro OSPFv3… – tohle jsou aplikace, kde se LL adresa používá výlučně. Je ale možné ji použít i zcela plnohodnotně v libovolné aplikaci.

abc123

Re:Praktické otázky ohledně IP verze 6
« Odpověď #2 kdy: 19. 02. 2017, 21:51:28 »
Jedná se o plnohodnotnou adresu, která je vytvořena zcela nezávisle na síti (takže je k dispozici vždy) a její platnost je omezena na jednu linku. Protože se má za to, že LL adresa je k vždy k dispozici, používá se k nejrůznějším servisním účelům – jako adresa výchozí brány při autokonfiguraci, pro komunikaci s DHCPv6 servery, pro objevování sousedů, pro OSPFv3… – tohle jsou aplikace, kde se LL adresa používá výlučně. Je ale možné ji použít i zcela plnohodnotně v libovolné aplikaci.
mna vcera LL adresa zachranila pred brickom routra :D robil som reflash z openWRT na LEDE a nejakym zazrakom sa na routri nedvihla ipv4 siet, gw bola nedostupna aj pri statickej konfiguracii ipciek. Proste sa nedalo nijak dostat na router... ale zazracne moj dekstop dostal platnu LL ipv6 adresu cez ktoru sa dalo pouzit ssh na prekonfigurovanie sieti na routri :) cize thumbs UP pre ipv6! :D

Zbyněk

Re:Praktické otázky ohledně IP verze 6
« Odpověď #3 kdy: 07. 03. 2017, 12:56:54 »
[Zařízení se tedy výchozí bránu(/y) dozví samo, čistě jen tím, že ho k výchozí(/m) bráně(/branám) připojíte.
Dá se vůbec docílit, aby v RA byla global unicast adresa brány?
Jak mají potom vypadat firewall pravidla? Jakou adresou (global unicast | link-local) komunikuje klient ven do internetu?
Je toto tvrzení korektní?
Yes, you send your packet to the gateway with the link-local address, but the packet still has the global unicast address in its header so the router forwards the packet out to the correct destination. Zdroj https://learningnetwork.cisco.com/thread/97074

Sten

Re:Praktické otázky ohledně IP verze 6
« Odpověď #4 kdy: 07. 03. 2017, 13:09:02 »
Dá se vůbec docílit, aby v RA byla global unicast adresa brány?

Ne. Adresa brány není v RA explicitně, ale je implicitně jako adresa odesílatele. RA z jiné než link-local adresy se neakceptují (RFC 2461):

Citace
Source Address
MUST be the link-local address assigned to the interface from which this message is sent.

Jak mají potom vypadat firewall pravidla? Jakou adresou (global unicast | link-local) komunikuje klient ven do internetu?
Je toto tvrzení korektní?
Yes, you send your packet to the gateway with the link-local address, but the packet still has the global unicast address in its header so the router forwards the packet out to the correct destination. Zdroj https://learningnetwork.cisco.com/thread/97074

Klient posílá pakety s globální adresou, link-local adresa routeru se v těch paketech vůbec nevyskytuje. Použije se akorát pro zjištění MAC adresy routeru pomocí NDP, všechny odchozí pakety (s globální adresou) se pak posílají na tuto MAC adresu. (Tohle funguje totožně jako v IPv4.)