IPv6 v klientské síti

IPv6 v klientské síti
« kdy: 17. 06. 2021, 12:03:01 »
Ahoj,

zkousim si hrat s klientskou siti pro nasazeni ipv6. Oproti serverum, kde mam plnou statiku, zde potrebuji dynamicke pridelovani, ale statickou ip. Abych nemusel psat veskerou konfiguraci do switche, tak jsem se rozhodl nasadit dhcpv6 - isc kea. Predavam totiz navic ntp/timezone/dns/atd informace.

No a od ted narazim na par problemu pri testovani:
1] na switchi je nastaveny relay, ktery momentalne predava link-local ipv6 klienta jako peeraddr. To samozrejme nesedi s rezervaci dle mac adresy (konfigurace interface-id resp. remote-id v relay (pro predani mac) se zatim resi)
2] klient si nastavi ipv6 adresu (gua prefix + link-local suffix) bez ohledu na to, ze ji od dhcp nedostal
3] klient ma zapnuto privacy extension (PE)

Otazky:
1] je mozne vypnout PE v AD via GPO? zatim jsem nasel jen cli prikazy
2] jak spolehlive vypnout PE v macos/linux (ubuntu)?
3] proc si klient nastavi ipv6 adresu, i kdyz mu ji dhcpv6 nepriradi? jak to zablokovat, resp. jde zablokovat, aby klient nemohl automaticky komunikovat ani pres link-local adresy bez nasazeni ruznych security reseni na blokovani portu?
4] pokud bych nechal aktivni PE (resp. rovnou stateless slaac), jak na zmeny ipv6 vuci fqdn? Jak by mi switch updatoval dns v samba ad?

Ma nekdo ipv6 jako klientskou sit bez staticke konfigurace (specialne notebooky), ktera ale pouziva statickou adresaci (jako v dhcp4)? Doporuceni pripadne kterym smerem (ne)jit?
« Poslední změna: 17. 06. 2021, 13:02:46 od Petr Krčmář »


Re:ipv6 a klientske site
« Odpověď #1 kdy: 17. 06. 2021, 12:32:31 »
3] proc si klient nastavi ipv6 adresu, i kdyz mu ji dhcpv6 nepriradi? jak to zablokovat, resp. jde zablokovat, aby klient nemohl automaticky komunikovat ani pres link-local adresy bez nasazeni ruznych security reseni na blokovani portu?
Myslíte IP adresu z rozsahu přidělovaného přes DHCPv6, nebo jinou? To, že má zařízení více IPv6 adres, je naprosto běžná věc – nestandardní je spíš situace opačná, kdy má jen jednu (ale i taková konfigurace může existovat).

Blokování komunikace na link-local adresách musíte řešit firewallem. Není možné zakázat veškerou komunikaci na link-local IP adresách, protože na tom závisí komunikace v lokální síti, např. to DHCPv6.

M_D

  • ****
  • 335
    • Zobrazit profil
    • E-mail
Re:ipv6 a klientske site
« Odpověď #2 kdy: 17. 06. 2021, 12:45:20 »
ad 2) Aby si klient nepřidělil globální IPv6 adresu dle SLAAC, tak to musí ohlašovat správně router, že chcete  jen managed konfiguraci (aka stavové DHCPv6) a vedle toho nesmí ohlašovat prefixy jako Autonomous. Pokud má ohlašovaný prefix nastaven flag autonomous, tak ho klient použije pro přidělení IPv6 pomocí autokonfigurace (takže router musí ohlašovat použití managed konfigurace a zároveň žádný ohlašovaný prefix nemí mít flag autonomous, pak se klient bude konfigurovat jen pomocí stavového DHCPv6, pokud to podporuje).
U IPv6 musí být funkční link local adresy, bez nich nefunguje řada mechanismů v tom protokolu.

Re:ipv6 a klientske site
« Odpověď #3 kdy: 17. 06. 2021, 12:52:07 »
3] proc si klient nastavi ipv6 adresu, i kdyz mu ji dhcpv6 nepriradi? jak to zablokovat, resp. jde zablokovat, aby klient nemohl automaticky komunikovat ani pres link-local adresy bez nasazeni ruznych security reseni na blokovani portu?
Myslíte IP adresu z rozsahu přidělovaného přes DHCPv6, nebo jinou? To, že má zařízení více IPv6 adres, je naprosto běžná věc – nestandardní je spíš situace opačná, kdy má jen jednu (ale i taková konfigurace může existovat).

Blokování komunikace na link-local adresách musíte řešit firewallem. Není možné zakázat veškerou komunikaci na link-local IP adresách, protože na tom závisí komunikace v lokální síti, např. to DHCPv6.

Ano, z rozsahu dhcp scope.

Takze jedine lokalni firewally na kazdem klientovi. U win je to easy, slozitejsi budou ty mac/linux...

Re:ipv6 a klientske site
« Odpověď #4 kdy: 17. 06. 2021, 13:07:44 »
ad 2) Aby si klient nepřidělil globální IPv6 adresu dle SLAAC, tak to musí ohlašovat správně router, že chcete  jen managed konfiguraci (aka stavové DHCPv6) a vedle toho nesmí ohlašovat prefixy jako Autonomous. Pokud má ohlašovaný prefix nastaven flag autonomous, tak ho klient použije pro přidělení IPv6 pomocí autokonfigurace (takže router musí ohlašovat použití managed konfigurace a zároveň žádný ohlašovaný prefix nemí mít flag autonomous, pak se klient bude konfigurovat jen pomocí stavového DHCPv6, pokud to podporuje).
U IPv6 musí být funkční link local adresy, bez nich nefunguje řada mechanismů v tom protokolu.

Dik, nasel jsem to, ten switch ma O,M flagy pod jasnym nastavenim, ale A flag je uplne jina syntaxe prikazu...


M_D

  • ****
  • 335
    • Zobrazit profil
    • E-mail
Re:IPv6 v klientské síti
« Odpověď #5 kdy: 17. 06. 2021, 13:35:53 »
Tak ono půjde o to, co umí ten switch, blokovat komunikaci mezi klienty můžete na něm, pokud to umí nějak rozumně nastavit až na L3 vrstvu. A slušné switche už umí poznat, jaké adresy si přidělil klient a pak dle toho filtrovat/reportovat (v podstatě právě sledují tu komunikaci na link local adresách a poznají sekvenci, co klient má dělat při stanovení si a přidělení si adresy).

K tomu DNS, minimálně Windows klienti si umí aktualizovat DNS záznam v DNS na AD.