Перейти к содержимому
Калькуляторы

Надо бы попробовать IPv6

 

В общем, как указано в сабже, решили попробовать в6. Пока курим маны, статьи и форумы. Смотрим что из нашего зоопарка hard/software умеет.
Планируем реализовать дуалстек.

Для примера возьмём 1000 абонентов на район и 20 районов.
Две схемы. Первая для абонентов с белыми адресами, вторая для абонентов с серыми адресами. Верхушку не показываю - там РС'ы, которые отдают вниз на Extreme и NAT дефолтные маршруты.

5af40da77fb8b_IPv6(4).thumb.png.e06324885b096e8301534212fa5dc1c4.png5af40da3ea4b3_IPv6(6).thumb.png.9e48fd9d43631d0d266449bf3eb46b4d.png

Разница в нате. И в случае с серыми IP вланы терминируются на районных агрегаторах, так как сделано по одному влану на подъезд, а подъездов в сети больше чем можно настроить на агрегаторе всех районов.
А в случае с белыми адресами влан терминируется как раз на агрегаторе районов. В общем случае на один район выделена сеть /24 белых IPv4 и один влан, но несколько мелких районов также объединены одной сеткой /24 и одним вланом.
И вот тут первых подвох: абоненту на порту можно сделать только один нетегированный влан. Если абонент выходит в сеть под белым IPv4, то с белым IPv6 схема маршрутизации не поменяется(абонент как бегал по L2 от подъездного свитча до агрегатора районов так и будет бегать). Но в случае с серыми адресами, L2 для абонента заканчивается на агрегаторе его района. Неужели на районных агрегаторах придётся настраивать отдельную маршрутизацию для IPv6 из-за особенностей нашей сети касательно агрегации?

 

Заглядывая в будущее - у нас будет сеть /48.
Насколько я понял - с ipv6 предполагается давать конечному абоненту /64. Но тогда получается, что я смогу подключить всего 2^(64-48) = 2^16 = 65000+ абонетов. Что крайне мало выглядит в перспективе и попахивает разбазариванием драгоценного ресурса. Поэтому пока планируем отказаться stateless v6.
/64 наверно надо делать на район? 65000 районов - вот это похоже на будущее телеком)

 

Пока ищу ответы на следующие вопросы:
Сколько адресов в подобной ситуации следует выдавать абоненту. 2^6 кажется более чем достаточно для квартиры с умными телевизорами, холодильниками, видеонаблюдением, мобильными гаджетами всей семьи... Лично у меня дома не более 10 устройств, подключенных к интернету, которым и за натом неплохо живётся.
Как организовать какую-либо защиту для абонентов? Ведь они с голыми попами и белыми IPv6 будут подключены к всемирной паутине. Понятно, что утопающий должен сам справиться, но это ж может нам в сеть аукнуться.
Получится ли организовать контроль доступа в сеть на Dlink 3526 и тому подобных динозавтрах? Не будет ли проблем с DHCPv6_relay?
Спасибо, что дочитали. Буду рад вашим ответам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 minutes ago, killonik said:

 

Но тогда получается, что я смогу подключить всего 2^(64-48) = 2^16 = 65000+ абонетов.

Операторам RIPE легко выдает /32. В отличие от IPv4, IPv6 ресурсов до чертиков. Делов - заявку написать. /48 дают PI просто организациям, не провайдерам.

 

У вас есть статус LIR?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 минуты назад, alibek сказал:

Какой еще NAT на IPv6?

Никакого ната! Это схема текущая для IPv4.

 

 

6 минут назад, ShyLion сказал:

Операторам RIPE легко выдает /32. В отличие от IPv4, IPv6 ресурсов до чертиков. Делов - заявку написать. /48 дают PI просто организациям, не провайдерам.

 

У вас есть статус LIR?

Нет статуса LIR у нас нет. У нас есть два блока ipv4 и мы платим за поддержку LIR.

А вообще, мне шеф примерно так же сказал - если мы снабдим адресами v6 65000+ абонентов, то прикупим ещё масочку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Короче насчет нехватки /48 не стоит париться, IPv6 блоки дают легко.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 часов назад, ShyLion сказал:

Короче насчет нехватки /48 не стоит париться, IPv6 блоки дают легко.

Вы меня успокоили) Скорее всего будем раздавать /64 абонентам. Не решили пока DHCP или SLAAK. Если бы кто-нибудь поделился опытом использования последнего....

 

 

Дальше изучаю вопрос:

 

3526 умеет packet_content_filter - думаю справимся с контролем доступа.

 

По защите для абонентов нет пока мыслей. Есть только опасения. Сколько в сети уже было всяких дырявых ТВ-приставок, камер и старых роутеров... Теперь к ним добавятся старые аднроеды и сырые умные холодильники...

 

По маршрутизации - жаль Dlink не умеет одним интерфейсом в два влана смотреть) Очень не хочется двойную маршрутизацию конструировать и менять абоненту адрес ipv6, если он переехал из влана для серых IPv4 в влан для белых.

 

А ещё как сейчас обстоят дела в домашними роутерами? Видел, что Асус умеет на некоторых прошивках, включая openwrt, некоторые Длинки и Zyxel(через телнет если включить). Но большинство тем на форумах старые, как и сама технология IPv6. Список устройств "IPv6 ready" не пополнился?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

рекомендации RIPE абоненту маршрутизировать /56. на link интерфейс конечно /64. если платите деньги за поддержку, то возьмите сразу /32 - RIPE сами заинтересованы, чтобы брали такие блоки, а не мелочь /48 анонсировали в FV

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

17 часов назад, killonik сказал:

По защите для абонентов нет пока мыслей.

Зачем вам это делать? Нормально защитить всё равно не сможете или не захотите.

Многие абоненты вполне успешно живут голой жопой в Интернет на IPv4.

У рядовых абонентов скорее всего IPv6 выключен, а у некоторых заблокирован. У вас единицы абонентов (если они вообще есть), которые могут и знают IPv6. Эти сами себе всё обезопасят.

Для обычных абонентов (это которые ничего в ваших IP не понимают) рекомендуйте ставить антивирусы (у каждого второго антивируса встроенный фаэрвол).

18 часов назад, killonik сказал:

Сколько в сети уже было всяких дырявых ТВ-приставок, камер и старых роутеров...

В некоторых "12345678" вместо паролей, а вы тут про какие то дырки рассуждаете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Про голую жопу - а вот тот ipv6 туннелинг , что встроен в windows по умолчанию - эти адреса вообще из паблика доступны ( через брокера ) ?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

58 минут назад, Totoshka сказал:

Зачем вам это делать? Нормально защитить всё равно не сможете или не захотите.

Многие абоненты вполне успешно живут голой жопой в Интернет на IPv4.

У рядовых абонентов скорее всего IPv6 выключен, а у некоторых заблокирован. У вас единицы абонентов (если они вообще есть), которые могут и знают IPv6. Эти сами себе всё обезопасят.

Так хотелось бы максимизировать их число любым путём.


 

Цитата

 

 

Для обычных абонентов (это которые ничего в ваших IP не понимают) рекомендуйте ставить антивирусы (у каждого второго антивируса встроенный фаэрвол).

 

 

На камеры, телевизоры, холодильники, приставки...?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В случае заботы об абоненте нужно предоставлять услугу фаервола.

Ранее видимость фаервола исполнял НАТ. Теперь если модель предоставления услуги такая, что холодильники включаются прямиком по L2 в порт провайдера, то да, угроза безопасности есть, НО.

Это НО - не зная МАК холодильника, очень сложно ему что либо отправить. Кроме того существует понятие врменного адреса, когда хост, инициируя соединение, создает рандомный адрес, винда так по умолчанию поступает.

Ну а если уж человек вручную назначает xx::1 и т.п. адреса, то уж всяко знает что делает и какие риски имеет, это не холодильник уж точно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, kapa сказал:

Так хотелось бы максимизировать их число любым путём.

Вы абонентам хотите создать трудности, что потом героически их преодолеть.

Мне кажется тут нужно смотреть не в сторону нативный-IPv6-повсюду, а в 4to6. Что бы абонент сидел себе спокойно в своём IPv4/24 болоте, а вы ему нарезали IPv6 сколько не жалко.

 

2 часа назад, kapa сказал:

На камеры, телевизоры, холодильники, приставки...?

А на них вам повтыкают удивительных паролей вида "11111" и "12345", а то вообще оставят заводские пароли неизменными. И ничего вы с этим не сделаете.

 

47 минут назад, ShyLion сказал:

В случае заботы об абоненте нужно предоставлять услугу фаервола.

+1. Нужен фаэрвол с предотвращением вторжений и прочими антивирусами по подписке. Но это дорого и это подписка, и это медленно.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On 5/10/2018 at 5:14 PM, killonik said:

Заглядывая в будущее - у нас будет сеть /48.

Насколько я понял - с ipv6 предполагается давать конечному абоненту /64. Но тогда получается, что я смогу подключить всего 2^(64-48) = 2^16 = 65000+ абонетов. Что крайне мало выглядит в перспективе и попахивает разбазариванием драгоценного ресурса.

Как вам тут уже порекомендовали, лучше взять /32 у RIPE и не мучаться.

 

Quote

Насколько я понял - с ipv6 предполагается давать конечному абоненту /64. Но тогда получается, что я смогу подключить всего 2^(64-48) = 2^16 = 65000+ абонетов. Что крайне мало выглядит в перспективе и попахивает разбазариванием драгоценного ресурса.

Я бы порекомендовал почитать RIPE BCP на этот счёт. Возможно, вам подойдёт вариант выдавать /56 для частных подключений и /48 для организаций. Если вы получите /32, у вас будет 56-32=12 бит для агрегации. Например, вы можете захотеть делать /44 на район (лучше, конечно, делить подсети по границе четырёх бит, это тоже BCP), только нумерацию начинайте слева, а не справа, тогда, если места не хватит, сможете расширить префикс. При /44 на район у вас будет 2^12 районов и 2^12 абонентов в районе, что вписывается в ваши требования.

 

On 5/10/2018 at 5:14 PM, killonik said:

Как организовать какую-либо защиту для абонентов? Ведь они с голыми попами и белыми IPv6 будут подключены к всемирной паутине. Понятно, что утопающий должен сам справиться, но это ж может нам в сеть аукнуться.

Или не как (потому, что у абонентов есть файрвол в их домашнем роутере) или предоставляя услугу файрвола. Но, tcp/25 наружу, пожалуй, я бы зафильтровал.

 

On 5/10/2018 at 5:14 PM, killonik said:

Но в случае с серыми адресами, L2 для абонента заканчивается на агрегаторе его района. Неужели на районных агрегаторах придётся настраивать отдельную маршрутизацию для IPv6 из-за особенностей нашей сети касательно агрегации?

Да, придётся настроить маршрутизацию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

42 минуты назад, ivladdalvi сказал:

Как вам тут уже порекомендовали, лучше взять /32 у RIPE и не мучаться.

 

Я бы порекомендовал почитать RIPE BCP на этот счёт. Возможно, вам подойдёт вариант выдавать /56 для частных подключений и /48 для организаций. Если вы получите /32, у вас будет 56-32=12 бит для агрегации. Например, вы можете захотеть делать /44 на район (лучше, конечно, делить подсети по границе четырёх бит, это тоже BCP), только нумерацию начинайте слева, а не справа, тогда, если места не хватит, сможете расширить префикс. При /44 на район у вас будет 2^12 районов и 2^12 абонентов в районе, что вписывается в ваши требования.

Спасибо, почитаю.

 

20 минут назад, ivladdalvi сказал:

Как вам тут уже порекомендовали, лучше взять /32 у RIPE и не мучаться.

Похоже по-другому никак. Наш лир прислал цены на /32 для провайдеров и /48 для организаций. На вопрос "можно ли купить провайдеру блок поменьше?" - ответом стало примерно: "можно, но у нас пока цены не установлены. :-P"

 

28 минут назад, ivladdalvi сказал:

Но, tcp/25 наружу, пожалуй, я бы зафильтровал.

Тут не понял. Прикрыть абонентам почту? Или имелось ввиду зарезать пропускную способность? Вообще пока думали только продублировать то, что уже сделано для ipv4 - dns,ntp,ssdp,netbios и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 минуты назад, killonik сказал:

Прикрыть абонентам почту?

Закрыть 95% спамеров.

Тем, кто пользуется SMTP наружу (отправляют почту через почтового клиента) — открывать индивидуально, обычно это предприятия и их немного.

 

Мы, правда, так не делаем, но мера вполне разумная.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 минут назад, alibek сказал:

Закрыть 95% спамеров.

Тем, кто пользуется SMTP наружу (отправляют почту через почтового клиента) — открывать индивидуально, обычно это предприятия и их немного.

 

Мы, правда, так не делаем, но мера вполне разумная.

А разве в мобилке почтовый клиент это не почтовый клиент?

 

Та же апка gmail? Или дефолтный email-клиент в андроеде?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 минуты назад, killonik сказал:

А разве в мобилке почтовый клиент это не почтовый клиент?

Какой именно? Сам не проверял, но сомневаюсь, что для отправки почты используется простой smtp.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 минут назад, alibek сказал:

Какой именно? Сам не проверял, но сомневаюсь, что для отправки почты используется простой smtp.

android-email-icon.png

Дефолтный вот с такой иконкой.

Да и в gmail можно не только gmail подцепить. И при настройке нужно указать smtp и pop/imap сервер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

SMTP по стандарту - вообще без какой-либо авторизации. И логин-пароль прикрутить можно, но как Plain text. Оно надо?

Сейчас клиентская почта соединяется с сервером через TLS, что совсем на других портах работает и с авторизацией.

По tcp/25 работают только почтовые серверы (между собой) и спамеры (а чаще ботнеты).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 минут назад, UglyAdmin сказал:

Сейчас клиентская почта соединяется с сервером через TLS, что совсем на других портах работает и с авторизацией.

Если говорить за Gmail, то я думаю, что там в клиенте вообще свой проприетарный протокол.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

40 минут назад, UglyAdmin сказал:

SMTP по стандарту - вообще без какой-либо авторизации. И логин-пароль прикрутить можно, но как Plain text. Оно надо?

Сейчас клиентская почта соединяется с сервером через TLS, что совсем на других портах работает и с авторизацией.

Ты совсем не в теме.

Для SMTP есть куча вполне секурных механизмов авторизации, которые там были ещё до эпохи безумного внедрения TLS.

CRAM-MD5, DIGEST-MD5, kerberos, gssapi... То что там md5 - оно не страшно, он там применяется в такой схеме что проблем до сих пор нет.

Просто сейчас довольно часто клиент делает STARTTLS или сразу конектится на TLS порт и дальше херачит плеинтекстом, что кстати менее секурно, ибо как минимум с CRAM-MD5, DIGEST-MD5 сервер не мог восстановить пароль и повторно использовать это где то ещё.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 hours ago, killonik said:

Тут не понял. Прикрыть абонентам почту? Или имелось ввиду зарезать пропускную способность? Вообще пока думали только продублировать то, что уже сделано для ipv4 - dns,ntp,ssdp,netbios и т.п.

Клиентские программы нынче используют TCP/587 для отправки почты, и там есть аутентификация. TCP/25 де-факто используется только для server-to-server и рассылки спама. Поэтому TCP/25 от клиентов наружу можно закрыть по умолчанию и открывать только по требованию. Но вообще, риски ваши, вам виднее.

 

Про DNS, NTP и прочее — это вы говорите про фильтрацию входящего трафика ради защиты от амплификации (первых три) и совсем детских хакеров и червей (SMB и RPC). Поскольку в IPv6 адресное пространство очень разреженое, если не выдавать адреса клиентам по предсказуемой схеме (по порядку, начиная с первого), шанс, что где-то найдут открытый NTP или DNS, невелик. Я бы был недоволен, если бы мой провайдер заблокировал мне NTP, честно говоря, время хотелось бы синхронизировать. Но какие там у провайдеров риски, я не знаю.

 

Что касается префикса, я бы взял /32 (и напрямую у RIR, но другой вопрос). NAT в IPv6 нет, префиксы при этом дешево стоят, перенумеровываться никому не хочется, если LIR облажается и не зарезервирует у себя сеть заранее побольше под вас (как делают RIRы), при расширении будет два префикса, зачем это всё вам надо? Поэтому, если LIR не наглеет с ценой, возьмите /32, не пожалеете. Правильно они всё предлагают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Прочитал BCOP, получается, что минимум конечному физику надо предоставить /60. Чтобы, если он вдруг окажется продвинутым, то мог бы себе организовать домашний wifi, гостевой wifi, серверный сегмент, соседа подключить и ещё какую-нибудь локальную видеонаблюдательную фигню организовать. И чтобы у него всё это было сделано по уму согласно спецификациям ipv6.

 

По поводу покупки ipv6: провайдеро-агрегируемый блок /32 стоит 500$ в год. Провайдеро-независимый /48 стоит 300$ при регистрации и ежегодно 200$. Во втором варианте экономия на лицо.

Кому-нибудь доводилось покупать PA блок меньше чем /32. Что по ценам? Я не понимаю почему у моего лира нет цен на более мелкие PA блоки.

Просто, если к примеру PA /40 как PI /48, то мы бы прикупили лучше PA, т.к. он больше, а передавать адреса мы никому не собираемся и сам смысл PI в нашем случае теряется и смотрим на этот вариант только из расчёта экономии казённых средств.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

55 minutes ago, killonik said:

Прочитал BCOP, получается, что минимум конечному физику надо предоставить /60.

Это рекомендация, которая с нашими реалиями слабо вяжется. Обычному хомячку достаточно организовать линк хоть /127 и делегировать /64.

Если куму-то надо больше - предусмотреть механизм, но предоставлять по запросу.

 

Хотя... я опять рассуждаю с позиции жадины :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 hours ago, ShyLion said:

рекомендация, которая с нашими реалиями слабо вяжется

Поздравляю, cегодня ты смог сделать этот мир чуточку хуже. Читающие это провайдеры потом, может быть через годы, тебе же и организуют /64. Без всякого "механизма по запросу", о чём вообще речь, это фантастика.

 

Рекомендация хорошая и правильная, а если хотите топить за то чтоб в России IPv6 был не как в остальном мире а гораздо более унылый и костыльный - мотивация к этому мне непонятна.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.