IPv6 omrežje je že simpl?

Zdravo,

IPv6 lahko dobiš pri vseh operaterjih, razen pri Telemachu. Pri vseh dobiš vsaj / 56 (256 subnetov) in povezovalni segment.
Bistvo, ki ga moraš vedeti pri IPv6 je, da je VSAK subnet velik /64 (po standardu). /64 se uporabi tudi za npr. dve napravi, v /64 pa lahko spraviš neomejeno naprav oz. kolega se heca, da gredo lahko v en /64 vse naprave na svetu. Naslednja stvar, ki jo moraš vedeti je, da /56 deluje tako kot privatni naslovi v IPv4.
Povezovalni segment pa je povezava med (ponavadi PPPoE tunel) tabo in ISP. (Tukaj se ponavadi nahaja javni IPv4 IP)

Primer omrežja:
Povezovalni segment: aaaa:bbbb:cccc:ddd1::/64
Alocirano omrežje: 2aaa:bbbb:cccc:dd00::56
Izbran subnet za LAN 1 iz /56 alokacije: 2aaa:bbbb:cccc:dd01::/64

ISP
| aaaa:bbbb:cccc:ddd1::1/64
| Povezalovani segment: aaaa:bbbb:cccc:ddd1::/64
| aaaa:bbbb:cccc:ddd1::2/64 (tukaj se ponavadi nahaja javni IPv4 naslov)
Tvoj router
| 2aaa:bbbb:cccc:dd01::1/64
| LAN 1: 2aaa:bbbb:cccc:dd01::/64
| 2aaa:bbbb:cccc:dd01::2/64
Tvoj računalnik

Operaterji so precej zaspali.

Proper IPv6 omrežje je IPv6 only v kombinaciji z NAT64 gateway (na nivoju ISPja). Ampak zaenkrat žal vsi postavljajo dual stack kjer moraš konfigurirat tako IPv4 kot IPv6 na ruterju. Poslovni uporabniki sicer rabijo dual stack (pa še za poslovne je proper way da interni NAT64 gateway postavijo in je glavnino notranjega omrežja IPv6 only).

Ampak ja, brez nekega konkretnega pusha bo tako stanje še desetletja. In dokler se gremo dual-stack bo vedno večini podjetij in uporabnikom "odveč" dodatno še IPv6 konfigurirat.

Na Telemachu ti ne dajo nic od IPv6, ce si na kabelskem - spraseval par tednov nazaj.
Nimajo.

Zakaj za vraga rabimo /56 za doma?
Čez sto let pa jokanje kako je zmanjkalo naslovnega prostora.

Tudi za ipv4 so nekoč talali /8 in /16 kar tako počez.

Če pa folk hoče, da ima vsaka ledica na led traku svoj ip. In to javni, ne zrutan.

Potem pa na žalost ne razumeš IPv6
128bitov se uporablja, ker je tehnologija, ki to omogoča poceni. 48 bitov bi bilo dovolj, ampak smo si privoščili več.

Čisto lepo so si zamislili. Namreč v prihodnosti nas čaka gromozansko povečanje števila naprav in NE toliko povečanje števila subnetov oziroma internetnih priključkov.

Skratka dizajnirali so zadevo da je 2^48 "internetnih priključkov", 2^16 subnetov per priključek ter 2^64 naprav per subnet. V praksi še dodatno šparajo pa talajo 2^8 subnetov domačim uporabnikom (/54).

Še dodatno varovalko so dali, da so na ta način razdelili le 1/8 naslovnega prostora, 7/8 pa se dejansko špara in po potrebi se v prihodnosti določi drugačne razmerje internetni priključek vs subnet vs naprava za ostalih 7/8 če bo potreba.

Skratka 2^64 naprav per subnet je tista varovalka da lahko število naprav dobesedno zraste v neskončnost. Pravzaprav je ta rezerva mišljena tudi zato, da lahko posamezna naprava dobi tudi po več naslovov.

Ja seveda je šansa da so narobe razmerje predvideli, zato pa kot prvo velika rezerva, kar tudi je. Kot drugo pa še dodatna rezerva da je 7/8 IPjev dejansko na rezervo da jih drugače v prihodnosti dizajnirajo kot so prvo osmino.

Ampak če bi šli po tvoje, da bi per internetni priključek dodelevali manj, bi bila večja šansa da falijo, skratka čisto lep teoretični optimum so izbrali. Pač prvo osmino so razdelili na teoretični optimum ker kot rečeno več šans je da se povečuje število naprav per priključek kot pa število priključkov.

Lepota velikih subnetov je, da lahko recimo kako omrežje pametnih avtomobilov handlamo z enim subnetom per državo in podobne fore. Ker če jih bo handlal en centralni strežnik je pravilno da je to en subnet ne več.

Zanašati na NAT pomeni MANJŠO varnost kot zanašati na FW, ne večje. Namreč NAT je huda komplikacija in osnove internetne varnosti so da vsaka komplikacija pomeni več možnosti za varnostne luknje, ne manj.

Default nastavitev "NAT ki ne sposti nobenaga inbound" oziroma "FW ki ne spusti nobenega inbound" je pa itak osnova in ni tle razlike.

Samo kot en primer izmed mnogih, zaradi NAT komplikacije so šli razvijat UPnP protokol da naprave same odpirajo inbound porte. In glej ga zlomka po default je UPnP vklopljen na domačih napravah, medtem ko je IPv6 FW na domačih naprava po default block all inbound. Drugi primer, ko vidiš odprti IP moraš v logih to korelirat še z NAT port konfiguracijo da sploh veš kam je šel promet.

Skratka niti slučajno NAT nič ne doda varnosti, je zgolj in izključno vzame. Več šans z misconfiguration (vsaka komplikacija drastično poveča možnosti za misconfiguration), UPnP, več šans da slab log audit, če za nazaj ne moreš konstruirat per port logov, itd itd.

Prva stvar k jo folk dela na PC-jih je da ugasne FW, če imajo kakršno koli težavo.
Polovica jih potem pusti FW ugasnjen. Isto bo domačimi routerji in posldica bo stotine 'pametnih' žarnic in ostale šare na javno dostnopnih IP-jih.

UPnP mislim da je že precej pogosto privzeto izključen. Sem skoraj ziher da je bil izključen na asus in ubiquiti.

IPv6 se bo razširil, ko bo dovolj velik pritisk, beri: ko bodo največji rekli, od tega dne bo pa ta in ta servis dosegljiv le še preko IPv6 in bo pritisk na ISPjih, zakaj storitev več ne deluje.

Brez tega gre le za zanesenjake, ki imajo že 20+ let konference, premakne se pa nič prav ne, ker se ne rabi.

Lonsarg je 1. apr 2024 ob 19:24 izjavil:

bciciban je 1. apr 2024 ob 17:54 izjavil:

Jaz nimam prav velik zaupanja v pravilno konfiguracijo firewalla za domače uporabnike.

Ti pa kar

Še vedno ne dojameš.

Če nimaš zaupanje v pravilno konfiguracijo FW (in seveda je čisto prav da ni pretiranega zaupanja) moraš imeti ŠE MANJ v pravilno konfiguracijo NAT.

Zaščita "by dizaj", v NAT ne obstaja, to je mit ki ga laiki širijo. Če ni UPnP je pa DMZ zone, ali pa uporabnik ročno klika porte, skratka pokvarit se da marsikaj in še več šans imaš kaj miskonfigurirat kot pri običnem FW.

So ti že drugi povedali.
Folk ugaša FW kar tako na počez. Isto ga bodo na ruterjih.
UPnP je na novih napravah privzeto ugasnjen.
Tisti ki zajebe DMZ zone ali port forwarding bo zjebal tudi konfiguriranje FW-ja.

Skratka na koncu bo rezultat to, da bo uporabnik imel doma kup iot šare, ki bo imela javni IP in bo dosegljiva z vsega sveta.

nokken je 2. apr 2024 ob 08:31 izjavil:

bciciban je 1. apr 2024 ob 17:54 izjavil:

Jaz nimam prav velik zaupanja v pravilno konfiguracijo firewalla za domače uporabnike.

Ti pa kar

Tocno to. Ja absolutno NAT nima veze z varnostjo ampak jebiga hoces noces jo v praksi ima. Ne govorim tu o pravilno skonfiguriranih omrezjih, firewallih itd. ampak o 99% uporabnikov, ki kupijo "router" za 30eur, ga priklopijo in zacno uporabljati. Ce je komu vsec ali ne, za taksne userje je NAT vsaj nekaj varnosti, ker bi v nasprotnem primeru imeli povsem odprto masino na javnem ip-ju dostopno cisto vsem na svetu. Z NATom vsaj tega nimajo. Ni lih bas nekaj od securitya, je pa definitivno boljse kot imeti isto masino na javnem ip-ju.
IPv6? Saj je preprost ze od zacetka, ampak dokler ne bo nobenega profita od tega, se nihce ne bo pretirano ukvarjal s tem. Pred 15+ leti je na eni konferenci nekdo rekel, da bo IPv6 prevladoval cez 70let. Takrat sem se malo nasmehnil in rekel, da toliko pa res ne bo treba... no po slabih 20 letih in pri tem koliko v6 prometa vidim pri nasih Nx100Gbps linkih, mu dam kar prav... pa verjetno tudi cez 50 let (takratnih 70let) se vedno ne bo prevladoval.

Točno to.
Leta 2000 je bil IPv6 tik za vogalom in še danes je točno tam, tik za vogalom.
Še nekaj let nazaj ko sem delal v bolj klasičnem enterprise segmentu je obstajalo kar nekaj kosov SW-ja, ki ni podpiral IPv6 ali pa je bila podpora z celim kupom drobnega tiska.

IPv6 ni tako pomemben, da brez njega ne bi šlo...

Dokler gre vse z IPv4, folk in firme pač ne bodo preklapljale...

RFC 1925 z Janom Žoržem in Ivanom Pepelnjakom

Haha, kaj oba žuli kubernetes in openstack