Návod pro nasazení IPv6 pro začátečníka kutila

[kutildomaci]

Příliš dlouho jsem se vyhýbal IPv6 a teď brouzdám po webu a marně se snažím zorientovat.

O tom, že IPv6 je úžasná budoucnost jsem četl přehršel článků, ale v žádném - i když tu a tam narazím na zajímavé informace - jsem nedokázal najít základní shrnutí pro mírně paranoidního, jen lehce pokročilého uživatele, jak IPv6 nastavit bezpečně. Všude se omílá to, jak není potřeba NAT (budiž) a jak lze adresovat i sebenepatrnější IOT (což nechci).

Moje základní požadavky jsou
- LAN striktně nepřístupná zvenku
- lokální IPv6 přiděluje lokální DHCP v privátním rozsahu, který lze filtrovat firewallem
 
Můj předpoklad, možná staromódní, je, že z internetu MUSÍ být vidět POUZE router. NIKDY zařízení za ním v LAN, dokud je explicitně nepovolím, nepřiřadím jim veřejnou IP adresu, nebo na ně nesměruji provoz z TCP portu.

Můžete mi prosím dát alespoň odkaz na nějaký dobrý text k prostudování, který by mě navedl tímto směrem?

Jdou moje požadavky tak moc proti filozofii IPv6?
Pokud ano, co bych měl pozměnit?
Co je praktické a co už ne?

Nyní, když koukám na svůj domácí router, kde je IPv6 stále zakázané pomocí iptables6, tak má adresy na vnějším i vnitřním rozhraní začínající fe80: atd... dočetl jsem se, že interní má začínat fd ... jak to zařídit?

Může být CZ, SK, EN, RU... další jazyky bych musel s překladačem.

[Reklama]

[Petr Krčmář]

Doporučuji přečíst knížku od Pavla Satrapy o IPv6. Dá se koupit papírová nebo stáhnout PDF z webu Edice CZ.NIC. Tam je krásně popsáno úplně všechno včetně principů, adresace, použití firewallu a dalších témat.

[alex6bbc]

Doporučuji přečíst knížku od Pavla Satrapy o IPv6. Dá se koupit papírová nebo stáhnout PDF z webu Edice CZ.NIC. Tam je krásně popsáno úplně všechno včetně principů, adresace, použití firewallu a dalších témat.

da se cist i online, ale zena mi dala knihu k vanocum, paradni vec.

[honzako]

Odpověď na tvé otázky a požadavky: IPv6 neřeš. je zbytečné.
Jsi totiž pouze konzumentem nějaké základní služby, který nemá znalosti a očekává pouze elementární bezúdržbovou funkčnost. NAT založený na stávajícím TCP (tzn. IP verze 4) pro tvoji domácí LAN, je a bude plně dostačující a v dohledné době 10-20 let stále funkční.
Až budeš řešit ovládání žárovek přes internetové cloudy, IPTV a rádia s placenými tarify pro jednoznačnou identifikaci zařízení a domácnosti, ledničky pro objednávání zboží, různé spínače a vypínače pro ovládání něčeho placeného (opět komunikace na úrovni hardwarové autorizace proti nějaké službě) tak pak tě to začne zajímat. Samozřejmě těch aplikací (žaluzie, větrání a topení, zabezpečení) může být více stačí dohledat termín "chytrá domácnost". Umím si představit např. tiskárnu a její účtování, a samozřejmě práci odkudkoliv, na základě připojení pomocí IPv6, i když toto samozřejmě funguje i dnes pomocí stávajích protokolů.

[Radek Zajíc]

Můžete mi prosím dát alespoň odkaz na nějaký dobrý text k prostudování, který by mě navedl tímto směrem?

• DHCPv6 v lokální síti nepoužívejte, spousta zařízení je nepodporuje (v čele s Androidem).
• Nepoužívejte ULA (adresy začínající na fd..:...) jako ekvivalent privátních IPv4 adres, tak to nefunguje.
• V lokální síti (LAN) normálně použijte globální IPv6 adresy. Nepoužívejte NAT66.
• Pro znepřístupnění LAN z Internetu použijte stavový firewall na routeru. Povolte pouze spojení iniciovaná z vnitřní sítě do Internetu, cestu naopak filtrem zablokujte.
• Pokud máte zařízení, kterým chcete zabráit přístup do Internetu, dá se to vyřešit buď oddělením do samostatné VLAN (která nemá přístup ven) nebo na firewallu přidejte pravidlo pro zabránění přístupu do Internetu s MAC adresou takových zařízení.

Na řeči "IPv6 nebude potřeba dalších 10-20 let" nedejte. Palec nahoru za odvahu zkusit něco nového.

[Reklama]

[uwe.filter]

Jsou to vhodné rady, ale jak se bez toho DHCPv6 v praxi obejít, pokud je připojen u "chytrého" ISP, který přidělí prefix /64?

[jjrsk]

Jsou to vhodné rady, ale jak se bez toho DHCPv6 v praxi obejít, pokud je připojen u "chytrého" ISP, který přidělí prefix /64?

Kdyz ti nekdo neprideli zadne adresy, tak proste zadne nemas. /64 je v ipv6 presne totez.

[Maor]

zkousel jsem na openwrt zapnout ipv6 relay, od Starnetu mam /64.
Nejak to funguje, jak zarizenim vyprsel ipv4 lease tak se poznalo, ktere umi ipv6 a ktere ne.
ipv6 je super, ze zarizeni jsou dostupna pres lokalni a globalni adresu, takze i kdyz se neco podela, vetsinou se v LAN da ke vsemu nejak pripojit. Stavajici nastroje co pouzivam neumi pres ipv6 zjistit hostname zarizeni v LAN, je potreba si s tim nejak poradit.
Muj zamestnavatel VPN podporuje jen na ipv4, byl jsem prvni exot co hlasil, ze mi nejde z ipv6 pracovat.

Takze ipv6 mam aktualne vypnute, protoze spousta veci ma nefunkcni ipv6 implementaci (androidy, iot krabicky) a na dalsi experimentovani si udelam separatni VLAN, abych si nerozbil fungujici sit.

[kutildomaci]

> Petr Krčmář: Díky, Satrapou se zkusím prokousat, ale teď po prvních pár desítkách stránek se obávám, že to je víc informací, než potřebuju. Spousta pěkné teorie, ve které se zahrabu a bude mi k (převážně) ničemu.

> Radek Zajíc: Díky. Zhruba tak jsem si představoval stručné "nasměrování" z praxe. Nicméně, na každou radu mi napadá několik zpřesňujících otázek, počínaje Proč?

Ad DHCPv6 - jak si zařízení vymýšlejí svou adresu, když ne podle DHCP?

Proč bych neměl používat rozsah fd00::/8? Povede to k něčemu špatnému? Znamená to, že v IPv6 neexistuje rozsah pro LAN funkčně ekvivalentní těm třem z IPv4?

Proč bych se měl za každou cenu vyhýbat NATu? Já považoval ten "strašně nežádoucí" důsledek, že zařízení ve vnitřní síti nelze díky firewallu s NATem adresovat přímo za docela dobrou vlastnost (resp. dobrou možnost).

V LAN mohu mít připojená zařízení, která nejsou dost aktuální, mohou mít lokálně zneužitelné bezpečnostní chyby a není žádoucí, aby k nim byl jiný přístup než lokální (IOT, ale bez spojení ven). Ale protože do LAN je omezený přístup, tak to nemusí vadit. Nechci tuhle možnost s IPv6 ztratit.

Jak se řeší potřeba připojit zařízení, která umí pouze IPv4, ale router má vnější IPv6 adresu a poskytovatel nenabízí dualstack?

Jak to, že rozsah /64 dále nedělitelný, když celá adresa má 128 bitů, ale zrovna jsem se k tomu dočetl v té Satrapově knize... jak tohle hodnotit slušně? Chápu tedy správně, že když mi poskytovatel přidělí IPv6 s rozsahem /64, tak připojím jen jedno koncové zařízení a opět musím použít NAT? (nepodaří-li si vymámit /56?) Nebo si s těmi 64 bity v dolní části adresy pořád můžu dělat cokoli?

[McFly]

Opravdu doporučuju tu knihu od pana Satrapy. Tam najdete odpovědi na všechny otázky. ;-) Mít IPv6 a toužit po NATu, to je vyloženě proti logice IPv6. Prakticky všude, kde mám domácí připojení, mám IPv6 a jediné, co mne trošku irituje, je výkon Mikrotiku s IPv6, ne IPv6tka samotná. :-)

[kutildomaci]

Opravdu doporučuju tu knihu od pana Satrapy. Tam najdete odpovědi na všechny otázky. ;-) Mít IPv6 a toužit po NATu, to je vyloženě proti logice IPv6. Prakticky všude, kde mám domácí připojení, mám IPv6 a jediné, co mne trošku irituje, je výkon Mikrotiku s IPv6, ne IPv6tka samotná. :-)

Upřímně, já víc toužím po soukromí než po IPv6. A pokud by IPv6 bez NATu znamenala ztrátu soukromí, tak bude NAT i kdyby to bylo rouhání a hereze proti celé filozofii... ať už se pod tím skrývá cokoli. Vlastně se v tom vrtám jen proto, že se to zdá být nevyhnutelné a je lépe být připraven.

Ale knihu se pokusím dočíst celou a možná opakovaně (protože zaručeně napoprvé leccos přehlédnu). To mi nějaký čas zabere. Pak se budu možná ptát znovu a rozumněji Možná.

[Radek Zajíc]

V IPv4 mate fixnich 32 bitu.
V IPv6 mate fixnich 64 bitu a pak nahodnych 64 dalsich bitu.
O jake ztrate soukromi se tu bavime? :-)

[alex6bbc]

V IPv4 mate fixnich 32 bitu.
V IPv6 mate fixnich 64 bitu a pak nahodnych 64 dalsich bitu.
O jake ztrate soukromi se tu bavime? :-)

ze kazda zarovka bude venku v internetu a bude dostupna odkudkoliv.

[vcunat]

Ale na to je firewall, stejně jako v IPv4.

V IPv4 mate fixnich 32 bitu.
V IPv6 mate fixnich 64 bitu a pak nahodnych 64 dalsich bitu.
O jake ztrate soukromi se tu bavime? :-)

Lze diskutovat o tom, že pokud je použit CGNAT, je těch 32 bitů sdíleno větším množství lidí, zatímco 64 bitů u IPv6 bude často konstantních pro danou síť (třeba domácnost).  Ale slyšel jsem i o tom, že v Německu (u některých ISP?) prý ty IPv6 /64 prefixy nejsou dlouhodobě konstantní u domácích přípojek, právě kvůli soukromí.  Ovšem taková rotace by třeba pro mě byla komplikace, když chci používat ssh zvenku na některé stroje uvnitř.

[Tomáš G.]

Doporučuji přečíst knížku od Pavla Satrapy o IPv6.

Tazatel se ptá na lehký úvod. Tipl bych si, že čekal radu ve stylu tady Ondra Celetka napsal na Rootu krátký seriál na toto téma a ne tip na 450 stránkovou bichli. Ta bude super ve chvíli, kdy se bude chtít dozvědět víc.

BTW, kdy Root konečně nějak vyřeší to automatické odhlašování? Je hodně blbé, když napíšu příspěvek a místo toho se dozvím, že jsem byl v mezičase odhlášen.