Jump to content
Калькуляторы

Надо бы попробовать IPv6

 

В общем, как указано в сабже, решили попробовать в6. Пока курим маны, статьи и форумы. Смотрим что из нашего зоопарка hard/software умеет.
Планируем реализовать дуалстек.

Для примера возьмём 1000 абонентов на район и 20 районов.
Две схемы. Первая для абонентов с белыми адресами, вторая для абонентов с серыми адресами. Верхушку не показываю - там РС'ы, которые отдают вниз на Extreme и NAT дефолтные маршруты.

5af40da77fb8b_IPv6(4).thumb.png.e06324885b096e8301534212fa5dc1c4.png5af40da3ea4b3_IPv6(6).thumb.png.9e48fd9d43631d0d266449bf3eb46b4d.png

Разница в нате. И в случае с серыми IP вланы терминируются на районных агрегаторах, так как сделано по одному влану на подъезд, а подъездов в сети больше чем можно настроить на агрегаторе всех районов.
А в случае с белыми адресами влан терминируется как раз на агрегаторе районов. В общем случае на один район выделена сеть /24 белых IPv4 и один влан, но несколько мелких районов также объединены одной сеткой /24 и одним вланом.
И вот тут первых подвох: абоненту на порту можно сделать только один нетегированный влан. Если абонент выходит в сеть под белым IPv4, то с белым IPv6 схема маршрутизации не поменяется(абонент как бегал по L2 от подъездного свитча до агрегатора районов так и будет бегать). Но в случае с серыми адресами, L2 для абонента заканчивается на агрегаторе его района. Неужели на районных агрегаторах придётся настраивать отдельную маршрутизацию для IPv6 из-за особенностей нашей сети касательно агрегации?

 

Заглядывая в будущее - у нас будет сеть /48.
Насколько я понял - с ipv6 предполагается давать конечному абоненту /64. Но тогда получается, что я смогу подключить всего 2^(64-48) = 2^16 = 65000+ абонетов. Что крайне мало выглядит в перспективе и попахивает разбазариванием драгоценного ресурса. Поэтому пока планируем отказаться stateless v6.
/64 наверно надо делать на район? 65000 районов - вот это похоже на будущее телеком)

 

Пока ищу ответы на следующие вопросы:
Сколько адресов в подобной ситуации следует выдавать абоненту. 2^6 кажется более чем достаточно для квартиры с умными телевизорами, холодильниками, видеонаблюдением, мобильными гаджетами всей семьи... Лично у меня дома не более 10 устройств, подключенных к интернету, которым и за натом неплохо живётся.
Как организовать какую-либо защиту для абонентов? Ведь они с голыми попами и белыми IPv6 будут подключены к всемирной паутине. Понятно, что утопающий должен сам справиться, но это ж может нам в сеть аукнуться.
Получится ли организовать контроль доступа в сеть на Dlink 3526 и тому подобных динозавтрах? Не будет ли проблем с DHCPv6_relay?
Спасибо, что дочитали. Буду рад вашим ответам.

Share this post


Link to post
Share on other sites

4 minutes ago, killonik said:

 

Но тогда получается, что я смогу подключить всего 2^(64-48) = 2^16 = 65000+ абонетов.

Операторам RIPE легко выдает /32. В отличие от IPv4, IPv6 ресурсов до чертиков. Делов - заявку написать. /48 дают PI просто организациям, не провайдерам.

 

У вас есть статус LIR?

Share this post


Link to post
Share on other sites

3 минуты назад, alibek сказал:

Какой еще NAT на IPv6?

Никакого ната! Это схема текущая для IPv4.

 

 

6 минут назад, ShyLion сказал:

Операторам RIPE легко выдает /32. В отличие от IPv4, IPv6 ресурсов до чертиков. Делов - заявку написать. /48 дают PI просто организациям, не провайдерам.

 

У вас есть статус LIR?

Нет статуса LIR у нас нет. У нас есть два блока ipv4 и мы платим за поддержку LIR.

А вообще, мне шеф примерно так же сказал - если мы снабдим адресами v6 65000+ абонентов, то прикупим ещё масочку.

Share this post


Link to post
Share on other sites

5 часов назад, ShyLion сказал:

Короче насчет нехватки /48 не стоит париться, IPv6 блоки дают легко.

Вы меня успокоили) Скорее всего будем раздавать /64 абонентам. Не решили пока DHCP или SLAAK. Если бы кто-нибудь поделился опытом использования последнего....

 

 

Дальше изучаю вопрос:

 

3526 умеет packet_content_filter - думаю справимся с контролем доступа.

 

По защите для абонентов нет пока мыслей. Есть только опасения. Сколько в сети уже было всяких дырявых ТВ-приставок, камер и старых роутеров... Теперь к ним добавятся старые аднроеды и сырые умные холодильники...

 

По маршрутизации - жаль Dlink не умеет одним интерфейсом в два влана смотреть) Очень не хочется двойную маршрутизацию конструировать и менять абоненту адрес ipv6, если он переехал из влана для серых IPv4 в влан для белых.

 

А ещё как сейчас обстоят дела в домашними роутерами? Видел, что Асус умеет на некоторых прошивках, включая openwrt, некоторые Длинки и Zyxel(через телнет если включить). Но большинство тем на форумах старые, как и сама технология IPv6. Список устройств "IPv6 ready" не пополнился?

Share this post


Link to post
Share on other sites

рекомендации RIPE абоненту маршрутизировать /56. на link интерфейс конечно /64. если платите деньги за поддержку, то возьмите сразу /32 - RIPE сами заинтересованы, чтобы брали такие блоки, а не мелочь /48 анонсировали в FV

Share this post


Link to post
Share on other sites

17 часов назад, killonik сказал:

По защите для абонентов нет пока мыслей.

Зачем вам это делать? Нормально защитить всё равно не сможете или не захотите.

Многие абоненты вполне успешно живут голой жопой в Интернет на IPv4.

У рядовых абонентов скорее всего IPv6 выключен, а у некоторых заблокирован. У вас единицы абонентов (если они вообще есть), которые могут и знают IPv6. Эти сами себе всё обезопасят.

Для обычных абонентов (это которые ничего в ваших IP не понимают) рекомендуйте ставить антивирусы (у каждого второго антивируса встроенный фаэрвол).

18 часов назад, killonik сказал:

Сколько в сети уже было всяких дырявых ТВ-приставок, камер и старых роутеров...

В некоторых "12345678" вместо паролей, а вы тут про какие то дырки рассуждаете.

Share this post


Link to post
Share on other sites

Про голую жопу - а вот тот ipv6 туннелинг , что встроен в windows по умолчанию - эти адреса вообще из паблика доступны ( через брокера ) ?

 

Share this post


Link to post
Share on other sites

58 минут назад, Totoshka сказал:

Зачем вам это делать? Нормально защитить всё равно не сможете или не захотите.

Многие абоненты вполне успешно живут голой жопой в Интернет на IPv4.

У рядовых абонентов скорее всего IPv6 выключен, а у некоторых заблокирован. У вас единицы абонентов (если они вообще есть), которые могут и знают IPv6. Эти сами себе всё обезопасят.

Так хотелось бы максимизировать их число любым путём.


 

Цитата

 

 

Для обычных абонентов (это которые ничего в ваших IP не понимают) рекомендуйте ставить антивирусы (у каждого второго антивируса встроенный фаэрвол).

 

 

На камеры, телевизоры, холодильники, приставки...?

Share this post


Link to post
Share on other sites

В случае заботы об абоненте нужно предоставлять услугу фаервола.

Ранее видимость фаервола исполнял НАТ. Теперь если модель предоставления услуги такая, что холодильники включаются прямиком по L2 в порт провайдера, то да, угроза безопасности есть, НО.

Это НО - не зная МАК холодильника, очень сложно ему что либо отправить. Кроме того существует понятие врменного адреса, когда хост, инициируя соединение, создает рандомный адрес, винда так по умолчанию поступает.

Ну а если уж человек вручную назначает xx::1 и т.п. адреса, то уж всяко знает что делает и какие риски имеет, это не холодильник уж точно.

Share this post


Link to post
Share on other sites

2 часа назад, kapa сказал:

Так хотелось бы максимизировать их число любым путём.

Вы абонентам хотите создать трудности, что потом героически их преодолеть.

Мне кажется тут нужно смотреть не в сторону нативный-IPv6-повсюду, а в 4to6. Что бы абонент сидел себе спокойно в своём IPv4/24 болоте, а вы ему нарезали IPv6 сколько не жалко.

 

2 часа назад, kapa сказал:

На камеры, телевизоры, холодильники, приставки...?

А на них вам повтыкают удивительных паролей вида "11111" и "12345", а то вообще оставят заводские пароли неизменными. И ничего вы с этим не сделаете.

 

47 минут назад, ShyLion сказал:

В случае заботы об абоненте нужно предоставлять услугу фаервола.

+1. Нужен фаэрвол с предотвращением вторжений и прочими антивирусами по подписке. Но это дорого и это подписка, и это медленно.

 

Share this post


Link to post
Share on other sites

On 5/10/2018 at 5:14 PM, killonik said:

Заглядывая в будущее - у нас будет сеть /48.

Насколько я понял - с ipv6 предполагается давать конечному абоненту /64. Но тогда получается, что я смогу подключить всего 2^(64-48) = 2^16 = 65000+ абонетов. Что крайне мало выглядит в перспективе и попахивает разбазариванием драгоценного ресурса.

Как вам тут уже порекомендовали, лучше взять /32 у RIPE и не мучаться.

 

Quote

Насколько я понял - с ipv6 предполагается давать конечному абоненту /64. Но тогда получается, что я смогу подключить всего 2^(64-48) = 2^16 = 65000+ абонетов. Что крайне мало выглядит в перспективе и попахивает разбазариванием драгоценного ресурса.

Я бы порекомендовал почитать RIPE BCP на этот счёт. Возможно, вам подойдёт вариант выдавать /56 для частных подключений и /48 для организаций. Если вы получите /32, у вас будет 56-32=12 бит для агрегации. Например, вы можете захотеть делать /44 на район (лучше, конечно, делить подсети по границе четырёх бит, это тоже BCP), только нумерацию начинайте слева, а не справа, тогда, если места не хватит, сможете расширить префикс. При /44 на район у вас будет 2^12 районов и 2^12 абонентов в районе, что вписывается в ваши требования.

 

On 5/10/2018 at 5:14 PM, killonik said:

Как организовать какую-либо защиту для абонентов? Ведь они с голыми попами и белыми IPv6 будут подключены к всемирной паутине. Понятно, что утопающий должен сам справиться, но это ж может нам в сеть аукнуться.

Или не как (потому, что у абонентов есть файрвол в их домашнем роутере) или предоставляя услугу файрвола. Но, tcp/25 наружу, пожалуй, я бы зафильтровал.

 

On 5/10/2018 at 5:14 PM, killonik said:

Но в случае с серыми адресами, L2 для абонента заканчивается на агрегаторе его района. Неужели на районных агрегаторах придётся настраивать отдельную маршрутизацию для IPv6 из-за особенностей нашей сети касательно агрегации?

Да, придётся настроить маршрутизацию.

Share this post


Link to post
Share on other sites

42 минуты назад, ivladdalvi сказал:

Как вам тут уже порекомендовали, лучше взять /32 у RIPE и не мучаться.

 

Я бы порекомендовал почитать RIPE BCP на этот счёт. Возможно, вам подойдёт вариант выдавать /56 для частных подключений и /48 для организаций. Если вы получите /32, у вас будет 56-32=12 бит для агрегации. Например, вы можете захотеть делать /44 на район (лучше, конечно, делить подсети по границе четырёх бит, это тоже BCP), только нумерацию начинайте слева, а не справа, тогда, если места не хватит, сможете расширить префикс. При /44 на район у вас будет 2^12 районов и 2^12 абонентов в районе, что вписывается в ваши требования.

Спасибо, почитаю.

 

20 минут назад, ivladdalvi сказал:

Как вам тут уже порекомендовали, лучше взять /32 у RIPE и не мучаться.

Похоже по-другому никак. Наш лир прислал цены на /32 для провайдеров и /48 для организаций. На вопрос "можно ли купить провайдеру блок поменьше?" - ответом стало примерно: "можно, но у нас пока цены не установлены. :-P"

 

28 минут назад, ivladdalvi сказал:

Но, tcp/25 наружу, пожалуй, я бы зафильтровал.

Тут не понял. Прикрыть абонентам почту? Или имелось ввиду зарезать пропускную способность? Вообще пока думали только продублировать то, что уже сделано для ipv4 - dns,ntp,ssdp,netbios и т.п.

Share this post


Link to post
Share on other sites

4 минуты назад, killonik сказал:

Прикрыть абонентам почту?

Закрыть 95% спамеров.

Тем, кто пользуется SMTP наружу (отправляют почту через почтового клиента) — открывать индивидуально, обычно это предприятия и их немного.

 

Мы, правда, так не делаем, но мера вполне разумная.

Share this post


Link to post
Share on other sites

8 минут назад, alibek сказал:

Закрыть 95% спамеров.

Тем, кто пользуется SMTP наружу (отправляют почту через почтового клиента) — открывать индивидуально, обычно это предприятия и их немного.

 

Мы, правда, так не делаем, но мера вполне разумная.

А разве в мобилке почтовый клиент это не почтовый клиент?

 

Та же апка gmail? Или дефолтный email-клиент в андроеде?

Share this post


Link to post
Share on other sites

3 минуты назад, killonik сказал:

А разве в мобилке почтовый клиент это не почтовый клиент?

Какой именно? Сам не проверял, но сомневаюсь, что для отправки почты используется простой smtp.

Share this post


Link to post
Share on other sites

8 минут назад, alibek сказал:

Какой именно? Сам не проверял, но сомневаюсь, что для отправки почты используется простой smtp.

android-email-icon.png

Дефолтный вот с такой иконкой.

Да и в gmail можно не только gmail подцепить. И при настройке нужно указать smtp и pop/imap сервер.

Share this post


Link to post
Share on other sites

SMTP по стандарту - вообще без какой-либо авторизации. И логин-пароль прикрутить можно, но как Plain text. Оно надо?

Сейчас клиентская почта соединяется с сервером через TLS, что совсем на других портах работает и с авторизацией.

По tcp/25 работают только почтовые серверы (между собой) и спамеры (а чаще ботнеты).

Share this post


Link to post
Share on other sites

8 минут назад, UglyAdmin сказал:

Сейчас клиентская почта соединяется с сервером через TLS, что совсем на других портах работает и с авторизацией.

Если говорить за Gmail, то я думаю, что там в клиенте вообще свой проприетарный протокол.

Share this post


Link to post
Share on other sites

40 минут назад, UglyAdmin сказал:

SMTP по стандарту - вообще без какой-либо авторизации. И логин-пароль прикрутить можно, но как Plain text. Оно надо?

Сейчас клиентская почта соединяется с сервером через TLS, что совсем на других портах работает и с авторизацией.

Ты совсем не в теме.

Для SMTP есть куча вполне секурных механизмов авторизации, которые там были ещё до эпохи безумного внедрения TLS.

CRAM-MD5, DIGEST-MD5, kerberos, gssapi... То что там md5 - оно не страшно, он там применяется в такой схеме что проблем до сих пор нет.

Просто сейчас довольно часто клиент делает STARTTLS или сразу конектится на TLS порт и дальше херачит плеинтекстом, что кстати менее секурно, ибо как минимум с CRAM-MD5, DIGEST-MD5 сервер не мог восстановить пароль и повторно использовать это где то ещё.

Share this post


Link to post
Share on other sites

5 hours ago, killonik said:

Тут не понял. Прикрыть абонентам почту? Или имелось ввиду зарезать пропускную способность? Вообще пока думали только продублировать то, что уже сделано для ipv4 - dns,ntp,ssdp,netbios и т.п.

Клиентские программы нынче используют TCP/587 для отправки почты, и там есть аутентификация. TCP/25 де-факто используется только для server-to-server и рассылки спама. Поэтому TCP/25 от клиентов наружу можно закрыть по умолчанию и открывать только по требованию. Но вообще, риски ваши, вам виднее.

 

Про DNS, NTP и прочее — это вы говорите про фильтрацию входящего трафика ради защиты от амплификации (первых три) и совсем детских хакеров и червей (SMB и RPC). Поскольку в IPv6 адресное пространство очень разреженое, если не выдавать адреса клиентам по предсказуемой схеме (по порядку, начиная с первого), шанс, что где-то найдут открытый NTP или DNS, невелик. Я бы был недоволен, если бы мой провайдер заблокировал мне NTP, честно говоря, время хотелось бы синхронизировать. Но какие там у провайдеров риски, я не знаю.

 

Что касается префикса, я бы взял /32 (и напрямую у RIR, но другой вопрос). NAT в IPv6 нет, префиксы при этом дешево стоят, перенумеровываться никому не хочется, если LIR облажается и не зарезервирует у себя сеть заранее побольше под вас (как делают RIRы), при расширении будет два префикса, зачем это всё вам надо? Поэтому, если LIR не наглеет с ценой, возьмите /32, не пожалеете. Правильно они всё предлагают.

Share this post


Link to post
Share on other sites

Прочитал BCOP, получается, что минимум конечному физику надо предоставить /60. Чтобы, если он вдруг окажется продвинутым, то мог бы себе организовать домашний wifi, гостевой wifi, серверный сегмент, соседа подключить и ещё какую-нибудь локальную видеонаблюдательную фигню организовать. И чтобы у него всё это было сделано по уму согласно спецификациям ipv6.

 

По поводу покупки ipv6: провайдеро-агрегируемый блок /32 стоит 500$ в год. Провайдеро-независимый /48 стоит 300$ при регистрации и ежегодно 200$. Во втором варианте экономия на лицо.

Кому-нибудь доводилось покупать PA блок меньше чем /32. Что по ценам? Я не понимаю почему у моего лира нет цен на более мелкие PA блоки.

Просто, если к примеру PA /40 как PI /48, то мы бы прикупили лучше PA, т.к. он больше, а передавать адреса мы никому не собираемся и сам смысл PI в нашем случае теряется и смотрим на этот вариант только из расчёта экономии казённых средств.

Share this post


Link to post
Share on other sites

55 minutes ago, killonik said:

Прочитал BCOP, получается, что минимум конечному физику надо предоставить /60.

Это рекомендация, которая с нашими реалиями слабо вяжется. Обычному хомячку достаточно организовать линк хоть /127 и делегировать /64.

Если куму-то надо больше - предусмотреть механизм, но предоставлять по запросу.

 

Хотя... я опять рассуждаю с позиции жадины :)

Share this post


Link to post
Share on other sites

3 hours ago, ShyLion said:

рекомендация, которая с нашими реалиями слабо вяжется

Поздравляю, cегодня ты смог сделать этот мир чуточку хуже. Читающие это провайдеры потом, может быть через годы, тебе же и организуют /64. Без всякого "механизма по запросу", о чём вообще речь, это фантастика.

 

Рекомендация хорошая и правильная, а если хотите топить за то чтоб в России IPv6 был не как в остальном мире а гораздо более унылый и костыльный - мотивация к этому мне непонятна.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.