IPV6 základní nastavení

mirek_k

To jsem taky objevil, ale nějak mi to nepřipadá správně.

rsaf

Popis: Z hraničního routeru mám jedním portem připojený switch s Poe, na který jsou zapojeny spoje do různých směrů.

Tyto spoje mají na ETH straně IP rozsah společný s hraničním routerem, ale na WLAN straně pak mají rozsahy různé pro různé směry, aby to nebylo všechno v bridge. Pokud mám posunout rozsahy směrů až na hraniční router, myslím se nevyhnu VLAN mezi hraničním routerem a switchem. Nebo to lze řešit jinak a lépe?

Mirek

Předně si asi udělat jasno v tom, co je to routing... Pokud dnes z hraničního routeru routuješ různé IPv4 prefixy za jednotlivé AP, můžeš tam úplně stejně routovat různé IPv6 prefixy. Použitím VLAN dosáhneš jen toho, že budeš mít více rozhraní na hraničním routeru, na každém rozhraní samostatný IPv4 rozsah a bez bridge tam budeš potřebovat i samostaný IPv6 rozsah.

mirek_k

Popis: Z hraničního routeru mám jedním portem připojený switch s Poe, na který jsou zapojeny spoje do různých směrů.

Tyto spoje mají na ETH straně IP rozsah společný s hraničním routerem, ale na WLAN straně pak mají rozsahy různé pro různé směry, aby to nebylo všechno v bridge. Pokud mám posunout rozsahy směrů až na hraniční router, myslím se nevyhnu VLAN mezi hraničním routerem a switchem. Nebo to lze řešit jinak a lépe?

Mirek

Přesně tak. Teď se mi to rozpadá do směrů až na prvním prvku spoje, ale čistší řešení asi bude to udělat už na routeru.

radek_kovacik

Potřeboval bych radu ohledně IPv6 - už jsem to rozjel, na www.nebezi.cz se dostanu, testy na webech také vyšly dobře, ale ještě nějaké věci nemám dořešené. V tuto chvíli mám ve firewallu toto:

/ipv6 firewall filter add action=accept chain=input in-interface=PPPoE-WAN protocol=icmpv6 add action=accept chain=input connection-state=established,related in-interface=PPPoE-WAN protocol=tcp add action=drop chain=input disabled=yes in-interface=PPPoE-WAN add action=accept chain=forward connection-state=established,related in-interface=PPPoE-WAN protocol=tcp add action=drop chain=forward in-interface=PPPoE-WAN add action=drop chain=forward in-interface=all-vlan out-interface=all-vlan

Problém je, že když to třetí pravidlo povolím, zruší se komunikace s DHCPv6 serverem, který běží u ISP a poskytuje mi delegovaný prefix a já netuším, co je na tom pravidlu špatný.

obud

Povolit UDP port pro DHCPv6 by nepomohlo?

https://en.m.wikipedia.org/wiki/DHCPv6

DHCPv6 uses UDP port number 546 for clients and port number 547 for servers.

V takovéhle situaci je nejlepší si na problematickém pravdlu zapnout logování a sledovat log.

radek_kovacik

Díky za informaci. Teď jsem to nastavil takto:

/ipv6 firewall filter add action=accept chain=input in-interface=PPPoE-WAN protocol=icmpv6 add action=accept chain=input dst-port=546 in-interface=PPPoE-WAN protocol=udp add action=drop chain=input in-interface=PPPoE-WAN

Zdá se, že to DHCP už asi komunikuje v pohodě, jenom nevím, jestli existuje nějaký další způsob ochrany toho input chainu.
Překvapilo mě, že se state connection to nefungovalo, myslel jsem, že když si o to DHCP klient požádal, tak že se automaticky otevře i cesta zpět.

ludvik

radek_kovacik Překvapilo mě, že se state connection to nefungovalo

Ono se také connection state established,related normálně neomezuje jen na TCP. Ale nechává se bez protokolu.

radek_kovacik

Chápu, ale to nefungovalo bez ohledu na to, jaký protokol tam byl nastavený, jestli tcp nebo udp. Prostě state connection jsem musel zrušit a pak to začalo chodit a to právě nevím, proč se to tak chová.

ludvik

Ne tcp nebo udp. ŽÁDNÝ PROTOKOL!

add action=accept chain=input comment=navazane connection-state=\
    established,related,untracked

Dokonce je naprosto zbytečné to omezovat rozhraním. Tohle pravidlo prostě patří na začátek jako obecné.

radek_kovacik

V této podobě to s tím DHCPv6 také nechodí. Že by další bug? Musím tam mít ještě to pravidlo s tím UDP portem, bez něj ani rána a skončí to v dropu. Mimochodem, untracked jsou jaké spojení? Já myslel, že když je stavový firewal, že se všechno sleduje.

ludvik

No bug, kdo ví. Spíš asi nedodělek. Požadavek od klienta jde na multicast adresu, server odpovídá z link-local udp/547 na opět link-local udp/546. Takže asi to explicitní povolení potřeba bude ... Jsem si do teď myslel, že to related bude. Zase tolik to nepoužívám.

Stavový firewall lze obejít pomocí notrack target v raw tabulce.

radek_kovacik

Já si to původně myslel taky, že to bude patřit do related a proto jsem to nechápal a raději jsem se zeptal zkušenějších.
Můžeš mi prosím ještě vysvětlit, proč mám teď ve Windows 10 dvě různé globální IPv6 adresy a třetí je link local. Jedna z těch globálních je označená jako dočasná a druhá prostě IPv6 adresa - k čemu to je dobré a dá se toho nějak zbavit?

rsaf

radek_kovacik
To tak prostě má být. Počítač má jednu "běžnou" IP adresu která je vytvořena z prefixu a nějakého identifikátoru počítače. Ta adresa bude pořád stejná a identifikátor by pravděpodobně byl stejný i pokud se se stejným strojem připojíš k jiné síti. Díky tomu by mj. mohl někdo sledovat tvůj pohyb (stejný identifikátor = stejný člověk, ale jiná síť, takže ví, kde se pohybuješ).
Temporary adresa se v nějakých intervalech obměňuje, celkem běžně jich můžeš mít i více (nová se přidá ale ze staré jsou ještě aktivní spojení, takže se neuvolní. Ve výsledku to má spoustu výhod - do internetu totiž potom přistupuješ z jiné adresy než kterou používáš pro přístup zvenčí na svůj počítač... IPv6 je prostě jiný svět než IPv4, spousta věcí se změnila, některé k dobrému, některé minimálně na první pohled vypadají jako nesmysly (a třeba i jsou), ale je to prostě tak.

obud

radek_kovacik To je běžná praxe mít více IPv6 adres na jednom rozhraní.

Vypíná se to níže uvedenými příkazy v CMD. Pak bude globální adresa pouze jedna a bude odvozená z MAC adresy (EUI-64).

netsh interface ipv6 set privacy state=disabled store=active
netsh interface ipv6 set privacy state=disabled store=persistent
netsh interface ipv6 set global randomizeidentifiers=disabled store=active
netsh interface ipv6 set global randomizeidentifiers=disabled store=persistent

Já jsem to takhle přes skript po spuštění v GPO distribuoval na všechny počítače v doméně. Inteligentnější způsob, jak to hromadně vypnout u SLAAC jsem nenašel.

Praktický důvod může být záměrná dohledatelnost a stálost adres v síti a nebo zároveň reverzní záznam v doménovém DNS serveru na primární (preferovanou) IPv6 globální adresu.

ludvik

Neodkazovali jsme (možná i přímo já) tě na tu knihu od CZ.NIC?

Těch adres tam můžeš mít velkou spoustu. link-local je základ a jedna globální také. To třetí bude nejspíš adresa kvůli privacy-extensions. Tedy dočasná, náhodně vytvořená, používaná jen pro odchozí spojení.
Privacy lze někde vypnout. Otázkou je, zda to potřebuješ a chceš.

radek_kovacik

Díky za objasnění. Jestě jsem zkoušel si pingnout z routeru na počítač a na všech třech adresách mi to píše timeout - to se děje proč? Když jsem se díval na adresy samotného routeru, zaujalo mne, že několik různých rozhraní mělo stejnou LL adresu - to už nemusí být jedinečné?

obud

radek_kovacik Jestě jsem zkoušel si pingnout z routeru na počítač a na všech třech adresách mi to píše timeout - to se děje proč?

Díval jsi se do firewallu ve Windows? Na IPv4 adresu PING jede? Ze zkušenosti vím, že Windows standardně nemá PING povolený.

radek_kovacik Když jsem se díval na adresy samotného routeru, zaujalo mne, že několik různých rozhraní mělo stejnou LL adresu - to už nemusí být jedinečné?

A proč by to mělo vadit? Je to link-local adresa = z názvu plyne, že je dostupná pouze na lince, neroutuje se. Když používáš link-local adresu, musíš vždy uvádět i interface. Např.: fe80::1%VLAN30

Link-local adresa je odvozena z MAC adresy fyzického rozhraní. Když nad tímto rozhraním vytvoříš virtuální (VLAN), tak praxí bývá, že se EUI-64 link-local adresa vygeneruje opět podle MAC adresy fyzického rozhraní, tudíž je stejná - ovšem na jiném L2 segmentu.

ludvik

Jsou jedinečné. Jsou lokální na lince.
Při jejich použití musíš vědět i rozhraní, přes které to má jít. Píše se za adresu za znak procent.

Prosím tě, přečti si něco. Ptáš se na naprosté základy.

radek_kovacik

ludvik Já jsem se už mnohokrát díval do té knihy od nic.cz, ale tam mi to připadá někdy až zbytečně rozpitvaný do detailů a pak mi unikne ta důležitá a podstatná věc. Zvažoval jsem i její koupi, ale nejsem si jistý, že by mi byla ku prospěchu.
Mimochodem, to číslo rozhraní za % - to se také generuje náhodně? Já mám na počítači jediný port a Windows ukazují číslo 11.

obud Máš pravdu, ve firewallu to bylo zakázané. Teď už to pingá. Já jsem cca před 14 dny přecházel z Windows 7 na 10 a nenapadlo mě, že taková základní věc se musí ve firewallu extra povolit, když jinak jsme z Redmondu sledovaní na každém kroku.

obud

radek_kovacik Mimochodem, to číslo rozhraní za % - to se také generuje náhodně? Já mám na počítači jediný port a Windows ukazují číslo 11.

Běžně to bývá jméno interface: %eth0 / %ether3 / %VLAN20. Ovšem zrovna Windows tam má nějaké číselné ID a kde se vezme, to netuším.

obud

radek_kovacik Já jsem se už mnohokrát díval do té knihy od nic.cz, ale tam mi to připadá někdy až zbytečně rozpitvaný do detailů a pak mi unikne ta důležitá a podstatná věc. Zvažoval jsem i její koupi, ale nejsem si jistý, že by mi byla ku prospěchu.

Hodně věcí lze pochytit ze záznamů Semináře IPv6...
https://www.youtube.com/channel/UCtnBLNeqJ6wlRK0Dtq5Ch5A/playlists?view=50&sort=dd&shelf_id=5

« Předchozí stránka Další stránka »