Jump to content



IPv6

trendy

Από trendy
In Δίκτυα

 Κοινοποίηση

Recommended Posts

swatoner Collaborator

swatoner

Επαναφέρω λίγο το θέμα γιατί έχω μπερδευτεί.

 

Υποτίθεται ότι το IPv6 ακυρώνει την χρήση NAT και masq.

Παίζεις ποια stateless.

 

Σου δίνει ο DHCP του παρόχου μια ip?

Την οποία αν αλλάξεις πάροχο?

Αρχίζει και χάνετε η μπάλα από την μεριά μου ειδικά όταν σηκώνεις services.

Άσε που τα περισσότερα router είναι για κλωτσιές.

 

Να τα πάρουμε ένα ένα μπας και μάθουμε τίποτα;

 

Γιατί όπου και αν έψαξα βρήκα μόνο τι είναι το ipv6 πως χωρίζεται κλπ. Το τι θα ακουληθήσουν οι πάροχοι και εσύ αν θέλεις να κάνεις host κάποια services τι πρέπει να κανείς απλά δεν έβγαλα άκρη.

 

Ας πούμε ο πάροχος μου δίνει μια IP:

 

2a02:2149:ff02:7756:a4bc:b8db:2c6e::1

με prefix 

2a02:2149:8628:ffff::/56

 

Εγώ δίνω στο router μου μια internal ip από το prefix και μετά auto οι host μου με advertisment από το router

πχ

2a02:2149:8628:ffff:fff::1 /64

 

 

Όλες οι IPv6 είναι dynamic?

Αγοράζεις Static subnet?

Αν αλλάξεις πάροχο; Παίρνεις μαζί και το ipv6 subnet?

Αν δεν σου δίνουν static τι κάνεις; Παίζεις με internal dhcp και NAT?

Υποτίθεται ότι το NAT δε το θέλεις και προσπαθείς να αποφύγεις την χρήση του.

Αν θέλεις σε 10 από τα 1000 μηχανήματα που έχεις να έχουν internet και τα άλλα όχι εφόσον είσαι με radvd πώς το κάνεις;

Σε mobile device είδα μέσα σε 5 refresh να παίρνει 3 διαφορετικές IP. wtf?

 

Πολλά router ακόμα λένε παίζουν IPv6 αλλά μάντολες. Προσπαθούσα σε 2 UTM να καταργήσω το Masq αλλά δε θέλανε με τίποτα να παίξουν σωστά.

 

Συγνώμη είναι λίγο αχανές οι ερωτήσεις αλλά έχασα την μπάλα. Είναι αρκετά unclear τα πράγματα για μένα. Ειδικά όταν έχεις μάθει σε IPv4 και έxεις στήσει υποδομές πάνω σε αυτό.

Και ειδικά όταν 

Και ακόμα δεν έπιασα το κομμάτι security σε ipv6 που θεωρητικά είναι μακράν καλύτερο αλλά με την μία είδαμε flood, mim

Link to comment
Share on other sites
trendy Community Regular

trendy

12 hours ago, swatoner said:

Υποτίθεται ότι το IPv6 ακυρώνει την χρήση NAT και masq.

Παίζεις ποια stateless.

Το stateless δεν έχει να κάνει με το ipv6. Έχει να κάνει με το αν το firewall κοιτάζει αν κάποιο flow έχει επιτραπεί πιο πριν για να επιτρέπει τα υπόλοιπα πακέτα βάσει του αρχικού. Αυτό ισχύει σε ipv4/6. Εκτός αν εννοείς το stateless address autoconfiguration (SLAAC) που έχει να κάνει με το πώς μαθαίνει το κάθε μηχάνημα για τις ρυθμίσεις του, το οποίο δεν έχει σχέση με το nat.

13 hours ago, swatoner said:

Σου δίνει ο DHCP του παρόχου μια ip?

Την οποία αν αλλάξεις πάροχο?

Ανάλογα τη λύση που έχει επιλέξει ο πάροχος. Συνήθως παίρνεις ένα subnet για το point to point μεταξύ της wan σου και του παρόχου και ένα για το lan σου.

Αν αλλάξεις πάροχο, αλλάζεις και διεύθυνση. Εξαίρεση αποτελεί αν έχεις Provider-independent address space, το οποίο όμως ζητάς από το RIPE και μετά κανονίζεις με τον πάροχό σου να το διαφημίζει, είναι λύση για εταιρίες οπότε το ξεχνάμε.

13 hours ago, swatoner said:

Όλες οι IPv6 είναι dynamic?

Αγοράζεις Static subnet?

Στο lan σου μπορείς να κάνεις ό,τι θέλεις. Προφανώς αφήνεις να παίρνουν αυτόματα τα περισσότερα μηχανήματα και ορίζεις static στους servers. Ή ορίζεις να παίρνουν πάντα την ίδια ipv6 διεύθυνση όλα τα μηχανήματα. Εξαρτάται και από το router.

Η Forthnet δίνει δωρεάν static σε φάση πιλοτικού, μετά μάλλον θα το χρεώνουν.

13 hours ago, swatoner said:

Αν αλλάξεις πάροχο; Παίρνεις μαζί και το ipv6 subnet?

Όχι, όπως απάντησα και πάνω το address space ανήκει στον κάθε πάροχο.

13 hours ago, swatoner said:

Αν δεν σου δίνουν static τι κάνεις; Παίζεις με internal dhcp και NAT?

Όχι γιατί δε θα σου δίνουν την ίδια ipv6 στο wan, οπότε δεν έχει νόημα.

 

13 hours ago, swatoner said:

Αν θέλεις σε 10 από τα 1000 μηχανήματα που έχεις να έχουν internet και τα άλλα όχι εφόσον είσαι με radvd πώς το κάνεις;

Θεωρητικά η ipv6 στο SLAAC μένει ίδια γιατί φτιάχνεται βάσει του network prefix που διαφημίζει ο radvd και της mac address. Αλλά τα λειτουργικά συστήματα προσπερνάνε αυτόν τον περιορισμό για λόγους ασφαλείας - ιδιωτικότητας. Μπορείς να το απενεργοποιήσεις πάντως, πχ στα windows 

έλεγχος:
netsh interface ipv6 show privacy
και απενεργοποίηση:
netsh interface ipv6 set privacy state=disabled

Αλλιώς με το static ή DHCPv6 κάνεις πιο εύκολα τη δουλειά σου. Μετά με firewall rules κόβεις όποιον δε θέλεις να έχει internet.

13 hours ago, swatoner said:

Σε mobile device είδα μέσα σε 5 refresh να παίρνει 3 διαφορετικές IP. wtf?

Αν δεν μπορείς να βάλεις DHCPv6 ή static, δοκίμασε να βρεις πώς απενεργοποιείται η επέκταση ιδιωτικότητας του ipv6 στο λειτουργικό των συσκευών σου.

13 hours ago, swatoner said:

Και ακόμα δεν έπιασα το κομμάτι security σε ipv6 που θεωρητικά είναι μακράν καλύτερο αλλά με την μία είδαμε flood, mim

Υποτίθεται ότι το ipsec αναπτύχθηκε για το ipv6, τελικά προσαρμόστηκε για το ipv4 και ενώ ήταν υποχρεωτικό για το ipv6, στην πορεία έγινε προαιρετικό.

Επίσης να τονίσω ότι πολλοί ξεχνάνε να ρυθμίσουν τα firewalls τους για ipv6, ενώ στο ipv4 είναι ρυθμισμένα.

  • Like 1
Link to comment
Share on other sites
swatoner Collaborator

swatoner

Το ipv6 ποια αρχίζει και γίνεται μονόδρομος.

 

Και επι της ευκαιρίας όσο ψάχνεσαι μαθαίνεις.

Μπορεί η cisco, comptia και όλα τα trainings να έχουν συμπεριλάβει το ipv6 αλλά υλοποιήσεις και scenarios δεν υπάρχουν αρκετά ακόμα.

Για το σπίτι είναι όλα slaac auto configuration & radvd.

Κάνεις και ένα enable το firewall. Ένα κανόνα για internal->all->any και έχεις internet.

Block all incoming και καθάρισες και απο security.

 

Τώρα για rdp, ftp, κλπ γίνεται θέμα. Γιατί μην ξεχνάμε ότι εφόσον παίρνουμε dynamic ips δεν γίνεται να σηκώσεις services σε ips που αλλάζουν συχνά.

Σε forthnet κάθε 1μιση μερα περίπου απότι είδα γίνεται refresh η IP και αλλάζει.

Βέβαια κάποιοι είδαν τρελή μείωση ταχύτητας. Θέλω να πιστεύω ότι γίνεται λόγο κακών ipv6 dns servers από τους isp.

 

Επιβεβαιώσα ήδη ότι δεν μεταφέρεται η ip αν αλλάξεις πάροχο. Αλλά ευχαριστώ για την απάντηση.

 

Σε Slaac δεν μένει ίδια η διεύθυνση. Παραμένει το interface ID ίδιο αφού δημιουργείται από την mac address αλλά ο πάροχος αλλάζει το site prefix. Αυτό είδα σε forthnet βασικά.

 

image:The figure shows the three parts of an IPv6 address, which are described in the next text.

 

Και τώρα μπαίνει το σενάριο που με προβληματίζει.

 

Έχω ένα Active Directory δίκτυο με καμια 100άρια servers και καμια 100αριά users.

Θέλω στους servers όλους static ips. Σε 5 να δίνω internet outgoing. Σε 10 να δώσω να κάνουν host κάποια site. Οι υπόλοιποι να είναι isolated. Internal ολοι επικοινωνούν.

Από τους users οι 80 να βλέπουν κάποια συγκεκριμένα networks & hostnames πάνω από 80 & 443.

Οι 10 να προς external all traffic allow over 80 & 443

Οι 5 να έχουν πρόσβαση ftp προς συγκεκριμένα host names.

Οι 5 να έχουν outgoing all traffic allow.

 

Εφόσον όμως δεν κάνω εγώ τον dhcp δε το βλέπω να γίνεται. Θα πρέπει να αγοράσω ένα ipv6 subnet δικό μου ολόκληρο.

Αλλά αν αλλάξω πάροχο σε χ χρόνο; Τι κάνω αυτοκτονώ ή ξανα δίνω ips και ξαναφτιάχνω όλο το δίκτυο;

Η τελικά παίζω με NAT που δε προτείνεται και χάνεται η ουσία του IPv6.

 

Παλιότερα που το είχα συζητήσει μου λέγανε η λύση είναι tunnel. Ναι αλλά tunnel σημαίνει κρατάω ipv4 και παίζω με πατέντα προς εξω ipv6. 

Είχα αρκετά θεματάκια όμως και δεν έπαιξε ποτέ σωστά αφού δεν σηκώνω static pages & content.

 

Κουβέντα να γίνεται είναι όλο το θέμα. Όλο και κάποιος ίσως μάθει κάτι αλλά σίγουρα θα μου λύσει απορείες δικές μου.

 

Τα νούμερα παραπάνω είναι φανταστικά. (Άσε που είναι πολύ μικρά. Εγώ δουλεύω μόνο με 1000+ servers και 5000+ χρηστές. Αν δεν δώ τέτοια νούμερα δε σηκώνω καν μανίκια).

Link to comment
Share on other sites
trendy Community Regular

trendy

On 28/07/2016 at 9:28 PM, swatoner said:

Βέβαια κάποιοι είδαν τρελή μείωση ταχύτητας. Θέλω να πιστεύω ότι γίνεται λόγο κακών ipv6 dns servers από τους isp.

Δεν παίζει αυτό. Ο ίδιος DNS server έχει ipv4 και ipv6 στις διεπαφές του. Γιατί να στήσει κάποιος νέο DNS server, αν αρκεί να του προσθέσει μία ipv6. Αλλού είναι το πρόβλημα.

On 28/07/2016 at 9:28 PM, swatoner said:

Σε Slaac δεν μένει ίδια η διεύθυνση. Παραμένει το interface ID ίδιο αφού δημιουργείται από την mac address αλλά ο πάροχος αλλάζει το site prefix. Αυτό είδα σε forthnet βασικά.

Εντάξει δεν κατάλαβα σωστά την ερώτησή σου. Νόμιζα ότι εννοούσες ότι αλλάζει το Interface ID.

Με SLAAC και dynamic prefix δεν μπορείς να κάνεις δουλειά. Θέλεις DHCPv6 και static prefix. Ή κάποιο πιο έξυπνο router που μπορεί να κόβει την πρόσβαση στο internet με διαφορετικό τρόπο από την IP.

 

Για τα υπόλοιπα, νομίζω ότι εταιρεία θα πάρει εύκολα ένα static prefix από τον isp, αν όχι ένα Provider-independent address space σε περίπτωση που θέλει να αλλάζει παρόχους συχνά πυκνά.

Link to comment
Share on other sites
  • 1 month later...
trendy Community Regular

trendy

Στη σελίδα τους δε βλέπω κάτι. Παλιότερα που τους είχα ρωτήσει μου απάντησαν ότι θα με ειδοποιούσαν όταν το ενεργοποιούσαν, αλλά δεν περιμένω μετά από 1+ χρόνο να με θυμηθούν.

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Κοινοποίηση
Λίστα θεμάτων
×
×
  • Δημιουργία...

Important Information

Ο ιστότοπος theLab.gr χρησιμοποιεί cookies για να διασφαλίσει την καλύτερη εμπειρία σας κατά την περιήγηση. Μπορείτε να προσαρμόσετε τις ρυθμίσεις των cookies σας , διαφορετικά θα υποθέσουμε ότι είστε εντάξει για να συνεχίσετε.