IPv6 ease of use

[Milfaus]

Stejně tak většina lidí zahodila vše, co věděla o ježdění na koních, a začali se učit řídit auta. Dnes se na silnicích nepohybují lidé, kteří by se snažili auta řídit jako koně – bohudík, nikoli bohužel.

To není přesné.
Jezdili jsme pohodlně autem a teď máme používat tohle:

Protože se to nezobrazuje:
http://alpha666.de/wordpress/wp-content/uploads/2009/07/garrison_it.jpg
http://alpha666.de/wordpress/wp-content/uploads/2009/07/garrison_it.jpg

http://1.bp.blogspot.com/-k5CbzIxNW5o/UCWfd2QwvoI/AAAAAAAAALc/HX2imab85RQ/s1600/1445zs2.png

[Reklama]

[Jenda]

To není přesné.
Jezdili jsme pohodlně autem a teď máme používat tohle:

Mně se teda s IPv4 pohodlně vůbec nejezdí - především z důvodu zoufalého nedostatku adres a všudypřítomné maškarády.

[Filip Jirsák]

Mně se teda s IPv4 pohodlně vůbec nejezdí - především z důvodu zoufalého nedostatku adres a všudypřítomné maškarády.

Chtěl jsem napsat to samé, ale pak mi došlo, že se to přirovnává k dnešním autům – která člověk musí řídit, pořád se o ně musí starat, hledat kde může zaparkovat, jezdí to na mrtvé dinosaury… Takže je to vlastně dost podobné. Ve své době to byl jistě přínos, ale dnes už by člověk raději něco bez té spousty komplikací. To platí pro IPv4 i pro dnešní auta.

[PetrM]

Chtěl jsem napsat to samé, ale pak mi došlo, že se to přirovnává k dnešním autům – která člověk musí řídit, pořád se o ně musí starat, hledat kde může zaparkovat, jezdí to na mrtvé dinosaury… Takže je to vlastně dost podobné. Ve své době to byl jistě přínos, ale dnes už by člověk raději něco bez té spousty komplikací. To platí pro IPv4 i pro dnešní auta.

Tak. bylo by komfortnější prostě před domem nastoupit do kabinky, říct kam člověk chce, a místo řízení se bavit třeba sledováním krajiny nebo četbou. A po vystoupení ať si to dělá co chce, v té chvíli to už nepotřebuju.

No nebylo by to jak píchnout kabely do routeru, zadat přihlašovací údaje do sítě ISP a normálně by to jelo? (přihlásí se, stáhne prefix, rozhodí stanicím a ty se nakonfigurují samy)

[MP]

Takze zatimco pri ipv4 proste nastavim redundanci na urovni verejne IP adresy mezi VPN koncentratory v pripade vice  isp, tak u ipv6 budu muset duplikovat acl/cryptomapy pro rozdilne IP rozsahy?

To záleží na tom, co bude umět váš software. V IPv4 podporuje redundanci na úrovni veřejné IP adresy, kterou prostě nastavíte, nic nebrání tomu, aby v IPv6 podporoval redundanci na úrovni prefixu sítě, kterou prostě nastavíte. A nebo se prostě vykašlete na nějaký drahý VPN koncentrátor, který tvoří single point of failure, a prostě použijete IPsec pro end-to-end šifrování.

Takze misto centralniho bodu, ktery je specializovany na VPN provoz, budeme to vse tahat z koncovych zarizeni (VM,kontejnery,PC) a resit jeste i konfiguraci kazdeho takoveho stroje z hlediska FW/VPN? No...

[Reklama]

[Lol Phirae]

Takze misto centralniho bodu, ktery je specializovany na VPN provoz, budeme to vse tahat z koncovych zarizeni (VM,kontejnery,PC)

Aha, to jsem netušil, že u Vás ten VPN "koncentrátor" nic "netahá", ale místo toho si generuje vlastní provoz a žije si vlastním životem... No, z hlediska vyhozených peněz to je vlastně pochopitelné, že je třeba existenci té krabice nějak ospravedlnit. 

[PetrM]

Takze misto centralniho bodu, ktery je specializovany na VPN provoz, budeme to vse tahat z koncovych zarizeni (VM,kontejnery,PC) a resit jeste i konfiguraci kazdeho takoveho stroje z hlediska FW/VPN? No...

FW stejně běží na routeru, takže na příjmu [prefix_vzdalene_site] ACCEPT a defaultně DROP na obou stranách.

Koncový zařízení může pro sychr dělat na svým FW to samý. Navíc mu stačí říct IP adresu zařízení ve druhé síti, nebo jeho DNSko.

A co se nestalo - oba dva se vidí přímo. Šifrování je přímo ve standardu IPv6,... Kdo by se drbal s tunelem, privátníma adresama,...?

[MP]

Takze misto centralniho bodu, ktery je specializovany na VPN provoz, budeme to vse tahat z koncovych zarizeni (VM,kontejnery,PC) a resit jeste i konfiguraci kazdeho takoveho stroje z hlediska FW/VPN? No...

FW stejně běží na routeru, takže na příjmu [prefix_vzdalene_site] ACCEPT a defaultně DROP na obou stranách.

Koncový zařízení může pro sychr dělat na svým FW to samý. Navíc mu stačí říct IP adresu zařízení ve druhé síti, nebo jeho DNSko.

A co se nestalo - oba dva se vidí přímo. Šifrování je přímo ve standardu IPv6,... Kdo by se drbal s tunelem, privátníma adresama,...?

A presne na to narazim. Misto nekolika centralnich FW se bude konfigurovat FW na kazdym koncaku. A protoze ipv6 pouziva ipsec, tak mu urcite nestaci jen ip/dns druhe strany. Kde mate klice, DH, protokoly atd.? Doted jsem nevidel, jak se to na (linux) koncaku konfiguruje, to jako by se parametry ipsecu vcetne phrase/certs musely ulozit v kazdym koncaku?
BTW, ipv6 ma v rfc "should" ohledne ipsecu...

[asdf111]

host-to-host vpn si niekto robi snad len na nejaku private VPS na pristup na ssh spravit site to site vpn, nastavit routing na klientoch a funguje vsetko tak isto ako s ipv4.

[PetrM]

A presne na to narazim. Misto nekolika centralnich FW se bude konfigurovat FW na kazdym koncaku. A protoze ipv6 pouziva ipsec, tak mu urcite nestaci jen ip/dns druhe strany. Kde mate klice, DH, protokoly atd.? Doted jsem nevidel, jak se to na (linux) koncaku konfiguruje, to jako by se parametry ipsecu vcetne phrase/certs musely ulozit v kazdym koncaku?
BTW, ipv6 ma v rfc "should" ohledne ipsecu...

Ne, nastaví se centrální FW, aby se sítě s daným prefixem viděly. Zbytek routování už je jenom na té úrovni, že jsou sítě spojený, jenom  máš v takové síti dva (nebo několik) prefixů. V takto spojených sítích vidí každý každýho (proto je dobrý mít od ISP minimálně /65 a řešit subnet pro sdílený zdroje).

Šifrování je o modifikaci cestou, volba šifrovanýho protokolu je jistota (https, sshfs,...). A protokoly jsou snad standard.

Pokud je někde potřeba klíč k síti/mašině, tak se dá hodit koncákovi skriptem, pomocí rsync,... Nebo hodit klíče do balíčku, zaregistrovat si repo a je to.

A další možnost, na co se využívá VPN, je protunelování do domácí sítě. Ve standardu je navrženo nastavení domácí sítě s automatickým mechanismem, který tohle dovoluje automaticky. Připojíš se do sítě, pošleš automaticky info o IP adrese na domácí router, ten pak cokoliv pošle na tebe a odesílateli řekne, že máš dočasně jinou IP adresu... V pracxi jsem to ještě netestoval.

[Martin]

V popisech výhod IPv6 se dříve uvádělo a leckde ještě uvádí "vyšší bezpečnost" a myslí se tím právě povinné použití IPSecu. Na úrovni koncové stanice to asi nikdy prakticky nefungovalo a proto se tam teď uvádí to "should". Původní myšlenka byla, že každé spojení bude šifrované, proto bylo použití IPSecu povinné. Ale než se to dostalo do praxe, rozšířilo se šifrování z koncové stanice přes https a proto nemá cenu dnes podobně plošně nasazovat IPSec a prot se IPSec jen "doporučuje".

[Sten]

A presne na to narazim. Misto nekolika centralnich FW se bude konfigurovat FW na kazdym koncaku. A protoze ipv6 pouziva ipsec, tak mu urcite nestaci jen ip/dns druhe strany. Kde mate klice, DH, protokoly atd.? Doted jsem nevidel, jak se to na (linux) koncaku konfiguruje, to jako by se parametry ipsecu vcetne phrase/certs musely ulozit v kazdym koncaku?
BTW, ipv6 ma v rfc "should" ohledne ipsecu...

Jen centrální FW (hard shell, soft inside) je už dlouhou dobu považován za špatný návrh bezpečnosti. I v IPv4 byste měl kromě centrálního mít firewally i na všech strojích. Centrální firewall v IPv6 zůstává, důležitý rozdíl oproti NAT je v tom, že UDP punching bez NATu je velmi jednoduchý, zatímco pokud je NAT na obou stranách, potřebujete brokera a někdy i proxy (pokud je to symetrický NAT).

IPSec se používá hlavně site-to-site, tedy jako VPN.

[MP]

A presne na to narazim. Misto nekolika centralnich FW se bude konfigurovat FW na kazdym koncaku. A protoze ipv6 pouziva ipsec, tak mu urcite nestaci jen ip/dns druhe strany. Kde mate klice, DH, protokoly atd.? Doted jsem nevidel, jak se to na (linux) koncaku konfiguruje, to jako by se parametry ipsecu vcetne phrase/certs musely ulozit v kazdym koncaku?
BTW, ipv6 ma v rfc "should" ohledne ipsecu...

Jen centrální FW (hard shell, soft inside) je už dlouhou dobu považován za špatný návrh bezpečnosti. I v IPv4 byste měl kromě centrálního mít firewally i na všech strojích. Centrální firewall v IPv6 zůstává, důležitý rozdíl oproti NAT je v tom, že UDP punching bez NATu je velmi jednoduchý, zatímco pokud je NAT na obou stranách, potřebujete brokera a někdy i proxy (pokud je to symetrický NAT).

IPSec se používá hlavně site-to-site, tedy jako VPN.

IPSec se pouziva nejen site-to-site. Staci se podivat na AnyConnect, resp. cokoli s IKEv2.
To, ze ma mit kazdy koncak fw je sice pekne, ale realita pokulhava. U Woknous se fw aspon da konfigurovat pres domenu, ale Linux? Stacilo mi, kdyz jsem musel konfigurovat fw mezi 4 strojema, dnes jich mam desetinasobne. CM to sice castecne resi, ale porad z toho vznika vetsi bordel nez centralni fw na hranici jednotlivych zon...

[MP]

Ja jako ipv6 neshazuji, ma to urcite veci, co by se mi ted hodily. Jen resim problemy, ktere s tim nastavaji z hlediska firemniho nasazeni a tady zejmena ty vpn jsou prvni na rane, pak veci jako dualstack, atd to jen komplikuji...

[j]

A presne na to narazim. Misto nekolika centralnich FW se bude konfigurovat FW na kazdym koncaku. ....

Vis co mi vysvetli? Proc sem vubec lezes, kdyz o sitovani nevis vubec nic.

Ma smysl takovymu tardovi psat, ze ipv6 ma pochopitelne na ipsec dva rezimy - p2p (end2end) sifrovani a samozrejme pripadne i net2net tunel?

V kazdym pripade plati, ze na obou strana sou verejny adresy, a tudiz netreba resit (casto naprosto neresitelny) kokotiny na tema ze obe site pouzivaj stejnej privatni rozsah.