killonik Posted May 10, 2018 · Report post В общем, как указано в сабже, решили попробовать в6. Пока курим маны, статьи и форумы. Смотрим что из нашего зоопарка hard/software умеет. Планируем реализовать дуалстек. Для примера возьмём 1000 абонентов на район и 20 районов. Две схемы. Первая для абонентов с белыми адресами, вторая для абонентов с серыми адресами. Верхушку не показываю - там РС'ы, которые отдают вниз на Extreme и NAT дефолтные маршруты. Разница в нате. И в случае с серыми IP вланы терминируются на районных агрегаторах, так как сделано по одному влану на подъезд, а подъездов в сети больше чем можно настроить на агрегаторе всех районов. А в случае с белыми адресами влан терминируется как раз на агрегаторе районов. В общем случае на один район выделена сеть /24 белых IPv4 и один влан, но несколько мелких районов также объединены одной сеткой /24 и одним вланом. И вот тут первых подвох: абоненту на порту можно сделать только один нетегированный влан. Если абонент выходит в сеть под белым IPv4, то с белым IPv6 схема маршрутизации не поменяется(абонент как бегал по L2 от подъездного свитча до агрегатора районов так и будет бегать). Но в случае с серыми адресами, L2 для абонента заканчивается на агрегаторе его района. Неужели на районных агрегаторах придётся настраивать отдельную маршрутизацию для IPv6 из-за особенностей нашей сети касательно агрегации? Заглядывая в будущее - у нас будет сеть /48. Насколько я понял - с ipv6 предполагается давать конечному абоненту /64. Но тогда получается, что я смогу подключить всего 2^(64-48) = 2^16 = 65000+ абонетов. Что крайне мало выглядит в перспективе и попахивает разбазариванием драгоценного ресурса. Поэтому пока планируем отказаться stateless v6. /64 наверно надо делать на район? 65000 районов - вот это похоже на будущее телеком) Пока ищу ответы на следующие вопросы: Сколько адресов в подобной ситуации следует выдавать абоненту. 2^6 кажется более чем достаточно для квартиры с умными телевизорами, холодильниками, видеонаблюдением, мобильными гаджетами всей семьи... Лично у меня дома не более 10 устройств, подключенных к интернету, которым и за натом неплохо живётся. Как организовать какую-либо защиту для абонентов? Ведь они с голыми попами и белыми IPv6 будут подключены к всемирной паутине. Понятно, что утопающий должен сам справиться, но это ж может нам в сеть аукнуться. Получится ли организовать контроль доступа в сеть на Dlink 3526 и тому подобных динозавтрах? Не будет ли проблем с DHCPv6_relay? Спасибо, что дочитали. Буду рад вашим ответам. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted May 10, 2018 · Report post Какой еще NAT на IPv6? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted May 10, 2018 · Report post 4 minutes ago, killonik said: Но тогда получается, что я смогу подключить всего 2^(64-48) = 2^16 = 65000+ абонетов. Операторам RIPE легко выдает /32. В отличие от IPv4, IPv6 ресурсов до чертиков. Делов - заявку написать. /48 дают PI просто организациям, не провайдерам. У вас есть статус LIR? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
killonik Posted May 10, 2018 · Report post 3 минуты назад, alibek сказал: Какой еще NAT на IPv6? Никакого ната! Это схема текущая для IPv4. 6 минут назад, ShyLion сказал: Операторам RIPE легко выдает /32. В отличие от IPv4, IPv6 ресурсов до чертиков. Делов - заявку написать. /48 дают PI просто организациям, не провайдерам. У вас есть статус LIR? Нет статуса LIR у нас нет. У нас есть два блока ipv4 и мы платим за поддержку LIR. А вообще, мне шеф примерно так же сказал - если мы снабдим адресами v6 65000+ абонентов, то прикупим ещё масочку. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted May 10, 2018 · Report post Короче насчет нехватки /48 не стоит париться, IPv6 блоки дают легко. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
killonik Posted May 10, 2018 · Report post 5 часов назад, ShyLion сказал: Короче насчет нехватки /48 не стоит париться, IPv6 блоки дают легко. Вы меня успокоили) Скорее всего будем раздавать /64 абонентам. Не решили пока DHCP или SLAAK. Если бы кто-нибудь поделился опытом использования последнего.... Дальше изучаю вопрос: 3526 умеет packet_content_filter - думаю справимся с контролем доступа. По защите для абонентов нет пока мыслей. Есть только опасения. Сколько в сети уже было всяких дырявых ТВ-приставок, камер и старых роутеров... Теперь к ним добавятся старые аднроеды и сырые умные холодильники... По маршрутизации - жаль Dlink не умеет одним интерфейсом в два влана смотреть) Очень не хочется двойную маршрутизацию конструировать и менять абоненту адрес ipv6, если он переехал из влана для серых IPv4 в влан для белых. А ещё как сейчас обстоят дела в домашними роутерами? Видел, что Асус умеет на некоторых прошивках, включая openwrt, некоторые Длинки и Zyxel(через телнет если включить). Но большинство тем на форумах старые, как и сама технология IPv6. Список устройств "IPv6 ready" не пополнился? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dmvy Posted May 11, 2018 · Report post рекомендации RIPE абоненту маршрутизировать /56. на link интерфейс конечно /64. если платите деньги за поддержку, то возьмите сразу /32 - RIPE сами заинтересованы, чтобы брали такие блоки, а не мелочь /48 анонсировали в FV Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Totoshka Posted May 11, 2018 · Report post 17 часов назад, killonik сказал: По защите для абонентов нет пока мыслей. Зачем вам это делать? Нормально защитить всё равно не сможете или не захотите. Многие абоненты вполне успешно живут голой жопой в Интернет на IPv4. У рядовых абонентов скорее всего IPv6 выключен, а у некоторых заблокирован. У вас единицы абонентов (если они вообще есть), которые могут и знают IPv6. Эти сами себе всё обезопасят. Для обычных абонентов (это которые ничего в ваших IP не понимают) рекомендуйте ставить антивирусы (у каждого второго антивируса встроенный фаэрвол). 18 часов назад, killonik сказал: Сколько в сети уже было всяких дырявых ТВ-приставок, камер и старых роутеров... В некоторых "12345678" вместо паролей, а вы тут про какие то дырки рассуждаете. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted May 11, 2018 · Report post Про голую жопу - а вот тот ipv6 туннелинг , что встроен в windows по умолчанию - эти адреса вообще из паблика доступны ( через брокера ) ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kapa Posted May 11, 2018 · Report post 58 минут назад, Totoshka сказал: Зачем вам это делать? Нормально защитить всё равно не сможете или не захотите. Многие абоненты вполне успешно живут голой жопой в Интернет на IPv4. У рядовых абонентов скорее всего IPv6 выключен, а у некоторых заблокирован. У вас единицы абонентов (если они вообще есть), которые могут и знают IPv6. Эти сами себе всё обезопасят. Так хотелось бы максимизировать их число любым путём. Цитата Для обычных абонентов (это которые ничего в ваших IP не понимают) рекомендуйте ставить антивирусы (у каждого второго антивируса встроенный фаэрвол). На камеры, телевизоры, холодильники, приставки...? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted May 11, 2018 · Report post В случае заботы об абоненте нужно предоставлять услугу фаервола. Ранее видимость фаервола исполнял НАТ. Теперь если модель предоставления услуги такая, что холодильники включаются прямиком по L2 в порт провайдера, то да, угроза безопасности есть, НО. Это НО - не зная МАК холодильника, очень сложно ему что либо отправить. Кроме того существует понятие врменного адреса, когда хост, инициируя соединение, создает рандомный адрес, винда так по умолчанию поступает. Ну а если уж человек вручную назначает xx::1 и т.п. адреса, то уж всяко знает что делает и какие риски имеет, это не холодильник уж точно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Totoshka Posted May 11, 2018 · Report post 2 часа назад, kapa сказал: Так хотелось бы максимизировать их число любым путём. Вы абонентам хотите создать трудности, что потом героически их преодолеть. Мне кажется тут нужно смотреть не в сторону нативный-IPv6-повсюду, а в 4to6. Что бы абонент сидел себе спокойно в своём IPv4/24 болоте, а вы ему нарезали IPv6 сколько не жалко. 2 часа назад, kapa сказал: На камеры, телевизоры, холодильники, приставки...? А на них вам повтыкают удивительных паролей вида "11111" и "12345", а то вообще оставят заводские пароли неизменными. И ничего вы с этим не сделаете. 47 минут назад, ShyLion сказал: В случае заботы об абоненте нужно предоставлять услугу фаервола. +1. Нужен фаэрвол с предотвращением вторжений и прочими антивирусами по подписке. Но это дорого и это подписка, и это медленно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ivladdalvi Posted May 21, 2018 · Report post On 5/10/2018 at 5:14 PM, killonik said: Заглядывая в будущее - у нас будет сеть /48. Насколько я понял - с ipv6 предполагается давать конечному абоненту /64. Но тогда получается, что я смогу подключить всего 2^(64-48) = 2^16 = 65000+ абонетов. Что крайне мало выглядит в перспективе и попахивает разбазариванием драгоценного ресурса. Как вам тут уже порекомендовали, лучше взять /32 у RIPE и не мучаться. Quote Насколько я понял - с ipv6 предполагается давать конечному абоненту /64. Но тогда получается, что я смогу подключить всего 2^(64-48) = 2^16 = 65000+ абонетов. Что крайне мало выглядит в перспективе и попахивает разбазариванием драгоценного ресурса. Я бы порекомендовал почитать RIPE BCP на этот счёт. Возможно, вам подойдёт вариант выдавать /56 для частных подключений и /48 для организаций. Если вы получите /32, у вас будет 56-32=12 бит для агрегации. Например, вы можете захотеть делать /44 на район (лучше, конечно, делить подсети по границе четырёх бит, это тоже BCP), только нумерацию начинайте слева, а не справа, тогда, если места не хватит, сможете расширить префикс. При /44 на район у вас будет 2^12 районов и 2^12 абонентов в районе, что вписывается в ваши требования. On 5/10/2018 at 5:14 PM, killonik said: Как организовать какую-либо защиту для абонентов? Ведь они с голыми попами и белыми IPv6 будут подключены к всемирной паутине. Понятно, что утопающий должен сам справиться, но это ж может нам в сеть аукнуться. Или не как (потому, что у абонентов есть файрвол в их домашнем роутере) или предоставляя услугу файрвола. Но, tcp/25 наружу, пожалуй, я бы зафильтровал. On 5/10/2018 at 5:14 PM, killonik said: Но в случае с серыми адресами, L2 для абонента заканчивается на агрегаторе его района. Неужели на районных агрегаторах придётся настраивать отдельную маршрутизацию для IPv6 из-за особенностей нашей сети касательно агрегации? Да, придётся настроить маршрутизацию. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
killonik Posted May 21, 2018 · Report post 42 минуты назад, ivladdalvi сказал: Как вам тут уже порекомендовали, лучше взять /32 у RIPE и не мучаться. Я бы порекомендовал почитать RIPE BCP на этот счёт. Возможно, вам подойдёт вариант выдавать /56 для частных подключений и /48 для организаций. Если вы получите /32, у вас будет 56-32=12 бит для агрегации. Например, вы можете захотеть делать /44 на район (лучше, конечно, делить подсети по границе четырёх бит, это тоже BCP), только нумерацию начинайте слева, а не справа, тогда, если места не хватит, сможете расширить префикс. При /44 на район у вас будет 2^12 районов и 2^12 абонентов в районе, что вписывается в ваши требования. Спасибо, почитаю. 20 минут назад, ivladdalvi сказал: Как вам тут уже порекомендовали, лучше взять /32 у RIPE и не мучаться. Похоже по-другому никак. Наш лир прислал цены на /32 для провайдеров и /48 для организаций. На вопрос "можно ли купить провайдеру блок поменьше?" - ответом стало примерно: "можно, но у нас пока цены не установлены. :-P" 28 минут назад, ivladdalvi сказал: Но, tcp/25 наружу, пожалуй, я бы зафильтровал. Тут не понял. Прикрыть абонентам почту? Или имелось ввиду зарезать пропускную способность? Вообще пока думали только продублировать то, что уже сделано для ipv4 - dns,ntp,ssdp,netbios и т.п. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted May 21, 2018 · Report post 4 минуты назад, killonik сказал: Прикрыть абонентам почту? Закрыть 95% спамеров. Тем, кто пользуется SMTP наружу (отправляют почту через почтового клиента) — открывать индивидуально, обычно это предприятия и их немного. Мы, правда, так не делаем, но мера вполне разумная. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
killonik Posted May 21, 2018 · Report post 8 минут назад, alibek сказал: Закрыть 95% спамеров. Тем, кто пользуется SMTP наружу (отправляют почту через почтового клиента) — открывать индивидуально, обычно это предприятия и их немного. Мы, правда, так не делаем, но мера вполне разумная. А разве в мобилке почтовый клиент это не почтовый клиент? Та же апка gmail? Или дефолтный email-клиент в андроеде? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted May 21, 2018 · Report post 3 минуты назад, killonik сказал: А разве в мобилке почтовый клиент это не почтовый клиент? Какой именно? Сам не проверял, но сомневаюсь, что для отправки почты используется простой smtp. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
killonik Posted May 21, 2018 · Report post 8 минут назад, alibek сказал: Какой именно? Сам не проверял, но сомневаюсь, что для отправки почты используется простой smtp. Дефолтный вот с такой иконкой. Да и в gmail можно не только gmail подцепить. И при настройке нужно указать smtp и pop/imap сервер. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
UglyAdmin Posted May 21, 2018 · Report post SMTP по стандарту - вообще без какой-либо авторизации. И логин-пароль прикрутить можно, но как Plain text. Оно надо? Сейчас клиентская почта соединяется с сервером через TLS, что совсем на других портах работает и с авторизацией. По tcp/25 работают только почтовые серверы (между собой) и спамеры (а чаще ботнеты). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted May 21, 2018 · Report post 8 минут назад, UglyAdmin сказал: Сейчас клиентская почта соединяется с сервером через TLS, что совсем на других портах работает и с авторизацией. Если говорить за Gmail, то я думаю, что там в клиенте вообще свой проприетарный протокол. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted May 21, 2018 · Report post 40 минут назад, UglyAdmin сказал: SMTP по стандарту - вообще без какой-либо авторизации. И логин-пароль прикрутить можно, но как Plain text. Оно надо? Сейчас клиентская почта соединяется с сервером через TLS, что совсем на других портах работает и с авторизацией. Ты совсем не в теме. Для SMTP есть куча вполне секурных механизмов авторизации, которые там были ещё до эпохи безумного внедрения TLS. CRAM-MD5, DIGEST-MD5, kerberos, gssapi... То что там md5 - оно не страшно, он там применяется в такой схеме что проблем до сих пор нет. Просто сейчас довольно часто клиент делает STARTTLS или сразу конектится на TLS порт и дальше херачит плеинтекстом, что кстати менее секурно, ибо как минимум с CRAM-MD5, DIGEST-MD5 сервер не мог восстановить пароль и повторно использовать это где то ещё. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ivladdalvi Posted May 21, 2018 · Report post 5 hours ago, killonik said: Тут не понял. Прикрыть абонентам почту? Или имелось ввиду зарезать пропускную способность? Вообще пока думали только продублировать то, что уже сделано для ipv4 - dns,ntp,ssdp,netbios и т.п. Клиентские программы нынче используют TCP/587 для отправки почты, и там есть аутентификация. TCP/25 де-факто используется только для server-to-server и рассылки спама. Поэтому TCP/25 от клиентов наружу можно закрыть по умолчанию и открывать только по требованию. Но вообще, риски ваши, вам виднее. Про DNS, NTP и прочее — это вы говорите про фильтрацию входящего трафика ради защиты от амплификации (первых три) и совсем детских хакеров и червей (SMB и RPC). Поскольку в IPv6 адресное пространство очень разреженое, если не выдавать адреса клиентам по предсказуемой схеме (по порядку, начиная с первого), шанс, что где-то найдут открытый NTP или DNS, невелик. Я бы был недоволен, если бы мой провайдер заблокировал мне NTP, честно говоря, время хотелось бы синхронизировать. Но какие там у провайдеров риски, я не знаю. Что касается префикса, я бы взял /32 (и напрямую у RIR, но другой вопрос). NAT в IPv6 нет, префиксы при этом дешево стоят, перенумеровываться никому не хочется, если LIR облажается и не зарезервирует у себя сеть заранее побольше под вас (как делают RIRы), при расширении будет два префикса, зачем это всё вам надо? Поэтому, если LIR не наглеет с ценой, возьмите /32, не пожалеете. Правильно они всё предлагают. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
killonik Posted May 23, 2018 · Report post Прочитал BCOP, получается, что минимум конечному физику надо предоставить /60. Чтобы, если он вдруг окажется продвинутым, то мог бы себе организовать домашний wifi, гостевой wifi, серверный сегмент, соседа подключить и ещё какую-нибудь локальную видеонаблюдательную фигню организовать. И чтобы у него всё это было сделано по уму согласно спецификациям ipv6. По поводу покупки ipv6: провайдеро-агрегируемый блок /32 стоит 500$ в год. Провайдеро-независимый /48 стоит 300$ при регистрации и ежегодно 200$. Во втором варианте экономия на лицо. Кому-нибудь доводилось покупать PA блок меньше чем /32. Что по ценам? Я не понимаю почему у моего лира нет цен на более мелкие PA блоки. Просто, если к примеру PA /40 как PI /48, то мы бы прикупили лучше PA, т.к. он больше, а передавать адреса мы никому не собираемся и сам смысл PI в нашем случае теряется и смотрим на этот вариант только из расчёта экономии казённых средств. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted May 23, 2018 · Report post 55 minutes ago, killonik said: Прочитал BCOP, получается, что минимум конечному физику надо предоставить /60. Это рекомендация, которая с нашими реалиями слабо вяжется. Обычному хомячку достаточно организовать линк хоть /127 и делегировать /64. Если куму-то надо больше - предусмотреть механизм, но предоставлять по запросу. Хотя... я опять рассуждаю с позиции жадины :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rm_ Posted May 23, 2018 · Report post 3 hours ago, ShyLion said: рекомендация, которая с нашими реалиями слабо вяжется Поздравляю, cегодня ты смог сделать этот мир чуточку хуже. Читающие это провайдеры потом, может быть через годы, тебе же и организуют /64. Без всякого "механизма по запросу", о чём вообще речь, это фантастика. Рекомендация хорошая и правильная, а если хотите топить за то чтоб в России IPv6 был не как в остальном мире а гораздо более унылый и костыльный - мотивация к этому мне непонятна. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...