Перейти к содержимому
Калькуляторы

Надо бы попробовать IPv6

 

В общем, как указано в сабже, решили попробовать в6. Пока курим маны, статьи и форумы. Смотрим что из нашего зоопарка hard/software умеет.
Планируем реализовать дуалстек.

Для примера возьмём 1000 абонентов на район и 20 районов.
Две схемы. Первая для абонентов с белыми адресами, вторая для абонентов с серыми адресами. Верхушку не показываю - там РС'ы, которые отдают вниз на Extreme и NAT дефолтные маршруты.

5af40da77fb8b_IPv6(4).thumb.png.e06324885b096e8301534212fa5dc1c4.png5af40da3ea4b3_IPv6(6).thumb.png.9e48fd9d43631d0d266449bf3eb46b4d.png

Разница в нате. И в случае с серыми IP вланы терминируются на районных агрегаторах, так как сделано по одному влану на подъезд, а подъездов в сети больше чем можно настроить на агрегаторе всех районов.
А в случае с белыми адресами влан терминируется как раз на агрегаторе районов. В общем случае на один район выделена сеть /24 белых IPv4 и один влан, но несколько мелких районов также объединены одной сеткой /24 и одним вланом.
И вот тут первых подвох: абоненту на порту можно сделать только один нетегированный влан. Если абонент выходит в сеть под белым IPv4, то с белым IPv6 схема маршрутизации не поменяется(абонент как бегал по L2 от подъездного свитча до агрегатора районов так и будет бегать). Но в случае с серыми адресами, L2 для абонента заканчивается на агрегаторе его района. Неужели на районных агрегаторах придётся настраивать отдельную маршрутизацию для IPv6 из-за особенностей нашей сети касательно агрегации?

 

Заглядывая в будущее - у нас будет сеть /48.
Насколько я понял - с ipv6 предполагается давать конечному абоненту /64. Но тогда получается, что я смогу подключить всего 2^(64-48) = 2^16 = 65000+ абонетов. Что крайне мало выглядит в перспективе и попахивает разбазариванием драгоценного ресурса. Поэтому пока планируем отказаться stateless v6.
/64 наверно надо делать на район? 65000 районов - вот это похоже на будущее телеком)

 

Пока ищу ответы на следующие вопросы:
Сколько адресов в подобной ситуации следует выдавать абоненту. 2^6 кажется более чем достаточно для квартиры с умными телевизорами, холодильниками, видеонаблюдением, мобильными гаджетами всей семьи... Лично у меня дома не более 10 устройств, подключенных к интернету, которым и за натом неплохо живётся.
Как организовать какую-либо защиту для абонентов? Ведь они с голыми попами и белыми IPv6 будут подключены к всемирной паутине. Понятно, что утопающий должен сам справиться, но это ж может нам в сеть аукнуться.
Получится ли организовать контроль доступа в сеть на Dlink 3526 и тому подобных динозавтрах? Не будет ли проблем с DHCPv6_relay?
Спасибо, что дочитали. Буду рад вашим ответам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
4 minutes ago, killonik said:

 

Но тогда получается, что я смогу подключить всего 2^(64-48) = 2^16 = 65000+ абонетов.

Операторам RIPE легко выдает /32. В отличие от IPv4, IPv6 ресурсов до чертиков. Делов - заявку написать. /48 дают PI просто организациям, не провайдерам.

 

У вас есть статус LIR?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
3 минуты назад, alibek сказал:

Какой еще NAT на IPv6?

Никакого ната! Это схема текущая для IPv4.

 

 

6 минут назад, ShyLion сказал:

Операторам RIPE легко выдает /32. В отличие от IPv4, IPv6 ресурсов до чертиков. Делов - заявку написать. /48 дают PI просто организациям, не провайдерам.

 

У вас есть статус LIR?

Нет статуса LIR у нас нет. У нас есть два блока ipv4 и мы платим за поддержку LIR.

А вообще, мне шеф примерно так же сказал - если мы снабдим адресами v6 65000+ абонентов, то прикупим ещё масочку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Короче насчет нехватки /48 не стоит париться, IPv6 блоки дают легко.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
5 часов назад, ShyLion сказал:

Короче насчет нехватки /48 не стоит париться, IPv6 блоки дают легко.

Вы меня успокоили) Скорее всего будем раздавать /64 абонентам. Не решили пока DHCP или SLAAK. Если бы кто-нибудь поделился опытом использования последнего....

 

 

Дальше изучаю вопрос:

 

3526 умеет packet_content_filter - думаю справимся с контролем доступа.

 

По защите для абонентов нет пока мыслей. Есть только опасения. Сколько в сети уже было всяких дырявых ТВ-приставок, камер и старых роутеров... Теперь к ним добавятся старые аднроеды и сырые умные холодильники...

 

По маршрутизации - жаль Dlink не умеет одним интерфейсом в два влана смотреть) Очень не хочется двойную маршрутизацию конструировать и менять абоненту адрес ipv6, если он переехал из влана для серых IPv4 в влан для белых.

 

А ещё как сейчас обстоят дела в домашними роутерами? Видел, что Асус умеет на некоторых прошивках, включая openwrt, некоторые Длинки и Zyxel(через телнет если включить). Но большинство тем на форумах старые, как и сама технология IPv6. Список устройств "IPv6 ready" не пополнился?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

рекомендации RIPE абоненту маршрутизировать /56. на link интерфейс конечно /64. если платите деньги за поддержку, то возьмите сразу /32 - RIPE сами заинтересованы, чтобы брали такие блоки, а не мелочь /48 анонсировали в FV

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
17 часов назад, killonik сказал:

По защите для абонентов нет пока мыслей.

Зачем вам это делать? Нормально защитить всё равно не сможете или не захотите.

Многие абоненты вполне успешно живут голой жопой в Интернет на IPv4.

У рядовых абонентов скорее всего IPv6 выключен, а у некоторых заблокирован. У вас единицы абонентов (если они вообще есть), которые могут и знают IPv6. Эти сами себе всё обезопасят.

Для обычных абонентов (это которые ничего в ваших IP не понимают) рекомендуйте ставить антивирусы (у каждого второго антивируса встроенный фаэрвол).

18 часов назад, killonik сказал:

Сколько в сети уже было всяких дырявых ТВ-приставок, камер и старых роутеров...

В некоторых "12345678" вместо паролей, а вы тут про какие то дырки рассуждаете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Про голую жопу - а вот тот ipv6 туннелинг , что встроен в windows по умолчанию - эти адреса вообще из паблика доступны ( через брокера ) ?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
58 минут назад, Totoshka сказал:

Зачем вам это делать? Нормально защитить всё равно не сможете или не захотите.

Многие абоненты вполне успешно живут голой жопой в Интернет на IPv4.

У рядовых абонентов скорее всего IPv6 выключен, а у некоторых заблокирован. У вас единицы абонентов (если они вообще есть), которые могут и знают IPv6. Эти сами себе всё обезопасят.

Так хотелось бы максимизировать их число любым путём.


 

Цитата

 

 

Для обычных абонентов (это которые ничего в ваших IP не понимают) рекомендуйте ставить антивирусы (у каждого второго антивируса встроенный фаэрвол).

 

 

На камеры, телевизоры, холодильники, приставки...?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В случае заботы об абоненте нужно предоставлять услугу фаервола.

Ранее видимость фаервола исполнял НАТ. Теперь если модель предоставления услуги такая, что холодильники включаются прямиком по L2 в порт провайдера, то да, угроза безопасности есть, НО.

Это НО - не зная МАК холодильника, очень сложно ему что либо отправить. Кроме того существует понятие врменного адреса, когда хост, инициируя соединение, создает рандомный адрес, винда так по умолчанию поступает.

Ну а если уж человек вручную назначает xx::1 и т.п. адреса, то уж всяко знает что делает и какие риски имеет, это не холодильник уж точно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, kapa сказал:

Так хотелось бы максимизировать их число любым путём.

Вы абонентам хотите создать трудности, что потом героически их преодолеть.

Мне кажется тут нужно смотреть не в сторону нативный-IPv6-повсюду, а в 4to6. Что бы абонент сидел себе спокойно в своём IPv4/24 болоте, а вы ему нарезали IPv6 сколько не жалко.

 

2 часа назад, kapa сказал:

На камеры, телевизоры, холодильники, приставки...?

А на них вам повтыкают удивительных паролей вида "11111" и "12345", а то вообще оставят заводские пароли неизменными. И ничего вы с этим не сделаете.

 

47 минут назад, ShyLion сказал:

В случае заботы об абоненте нужно предоставлять услугу фаервола.

+1. Нужен фаэрвол с предотвращением вторжений и прочими антивирусами по подписке. Но это дорого и это подписка, и это медленно.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
On 5/10/2018 at 5:14 PM, killonik said:

Заглядывая в будущее - у нас будет сеть /48.

Насколько я понял - с ipv6 предполагается давать конечному абоненту /64. Но тогда получается, что я смогу подключить всего 2^(64-48) = 2^16 = 65000+ абонетов. Что крайне мало выглядит в перспективе и попахивает разбазариванием драгоценного ресурса.

Как вам тут уже порекомендовали, лучше взять /32 у RIPE и не мучаться.

 

Quote

Насколько я понял - с ipv6 предполагается давать конечному абоненту /64. Но тогда получается, что я смогу подключить всего 2^(64-48) = 2^16 = 65000+ абонетов. Что крайне мало выглядит в перспективе и попахивает разбазариванием драгоценного ресурса.

Я бы порекомендовал почитать RIPE BCP на этот счёт. Возможно, вам подойдёт вариант выдавать /56 для частных подключений и /48 для организаций. Если вы получите /32, у вас будет 56-32=12 бит для агрегации. Например, вы можете захотеть делать /44 на район (лучше, конечно, делить подсети по границе четырёх бит, это тоже BCP), только нумерацию начинайте слева, а не справа, тогда, если места не хватит, сможете расширить префикс. При /44 на район у вас будет 2^12 районов и 2^12 абонентов в районе, что вписывается в ваши требования.

 

On 5/10/2018 at 5:14 PM, killonik said:

Как организовать какую-либо защиту для абонентов? Ведь они с голыми попами и белыми IPv6 будут подключены к всемирной паутине. Понятно, что утопающий должен сам справиться, но это ж может нам в сеть аукнуться.

Или не как (потому, что у абонентов есть файрвол в их домашнем роутере) или предоставляя услугу файрвола. Но, tcp/25 наружу, пожалуй, я бы зафильтровал.

 

On 5/10/2018 at 5:14 PM, killonik said:

Но в случае с серыми адресами, L2 для абонента заканчивается на агрегаторе его района. Неужели на районных агрегаторах придётся настраивать отдельную маршрутизацию для IPv6 из-за особенностей нашей сети касательно агрегации?

Да, придётся настроить маршрутизацию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
42 минуты назад, ivladdalvi сказал:

Как вам тут уже порекомендовали, лучше взять /32 у RIPE и не мучаться.

 

Я бы порекомендовал почитать RIPE BCP на этот счёт. Возможно, вам подойдёт вариант выдавать /56 для частных подключений и /48 для организаций. Если вы получите /32, у вас будет 56-32=12 бит для агрегации. Например, вы можете захотеть делать /44 на район (лучше, конечно, делить подсети по границе четырёх бит, это тоже BCP), только нумерацию начинайте слева, а не справа, тогда, если места не хватит, сможете расширить префикс. При /44 на район у вас будет 2^12 районов и 2^12 абонентов в районе, что вписывается в ваши требования.

Спасибо, почитаю.

 

20 минут назад, ivladdalvi сказал:

Как вам тут уже порекомендовали, лучше взять /32 у RIPE и не мучаться.

Похоже по-другому никак. Наш лир прислал цены на /32 для провайдеров и /48 для организаций. На вопрос "можно ли купить провайдеру блок поменьше?" - ответом стало примерно: "можно, но у нас пока цены не установлены. :-P"

 

28 минут назад, ivladdalvi сказал:

Но, tcp/25 наружу, пожалуй, я бы зафильтровал.

Тут не понял. Прикрыть абонентам почту? Или имелось ввиду зарезать пропускную способность? Вообще пока думали только продублировать то, что уже сделано для ipv4 - dns,ntp,ssdp,netbios и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
4 минуты назад, killonik сказал:

Прикрыть абонентам почту?

Закрыть 95% спамеров.

Тем, кто пользуется SMTP наружу (отправляют почту через почтового клиента) — открывать индивидуально, обычно это предприятия и их немного.

 

Мы, правда, так не делаем, но мера вполне разумная.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
8 минут назад, alibek сказал:

Закрыть 95% спамеров.

Тем, кто пользуется SMTP наружу (отправляют почту через почтового клиента) — открывать индивидуально, обычно это предприятия и их немного.

 

Мы, правда, так не делаем, но мера вполне разумная.

А разве в мобилке почтовый клиент это не почтовый клиент?

 

Та же апка gmail? Или дефолтный email-клиент в андроеде?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
3 минуты назад, killonik сказал:

А разве в мобилке почтовый клиент это не почтовый клиент?

Какой именно? Сам не проверял, но сомневаюсь, что для отправки почты используется простой smtp.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
8 минут назад, alibek сказал:

Какой именно? Сам не проверял, но сомневаюсь, что для отправки почты используется простой smtp.

android-email-icon.png

Дефолтный вот с такой иконкой.

Да и в gmail можно не только gmail подцепить. И при настройке нужно указать smtp и pop/imap сервер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

SMTP по стандарту - вообще без какой-либо авторизации. И логин-пароль прикрутить можно, но как Plain text. Оно надо?

Сейчас клиентская почта соединяется с сервером через TLS, что совсем на других портах работает и с авторизацией.

По tcp/25 работают только почтовые серверы (между собой) и спамеры (а чаще ботнеты).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
8 минут назад, UglyAdmin сказал:

Сейчас клиентская почта соединяется с сервером через TLS, что совсем на других портах работает и с авторизацией.

Если говорить за Gmail, то я думаю, что там в клиенте вообще свой проприетарный протокол.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
40 минут назад, UglyAdmin сказал:

SMTP по стандарту - вообще без какой-либо авторизации. И логин-пароль прикрутить можно, но как Plain text. Оно надо?

Сейчас клиентская почта соединяется с сервером через TLS, что совсем на других портах работает и с авторизацией.

Ты совсем не в теме.

Для SMTP есть куча вполне секурных механизмов авторизации, которые там были ещё до эпохи безумного внедрения TLS.

CRAM-MD5, DIGEST-MD5, kerberos, gssapi... То что там md5 - оно не страшно, он там применяется в такой схеме что проблем до сих пор нет.

Просто сейчас довольно часто клиент делает STARTTLS или сразу конектится на TLS порт и дальше херачит плеинтекстом, что кстати менее секурно, ибо как минимум с CRAM-MD5, DIGEST-MD5 сервер не мог восстановить пароль и повторно использовать это где то ещё.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
5 hours ago, killonik said:

Тут не понял. Прикрыть абонентам почту? Или имелось ввиду зарезать пропускную способность? Вообще пока думали только продублировать то, что уже сделано для ipv4 - dns,ntp,ssdp,netbios и т.п.

Клиентские программы нынче используют TCP/587 для отправки почты, и там есть аутентификация. TCP/25 де-факто используется только для server-to-server и рассылки спама. Поэтому TCP/25 от клиентов наружу можно закрыть по умолчанию и открывать только по требованию. Но вообще, риски ваши, вам виднее.

 

Про DNS, NTP и прочее — это вы говорите про фильтрацию входящего трафика ради защиты от амплификации (первых три) и совсем детских хакеров и червей (SMB и RPC). Поскольку в IPv6 адресное пространство очень разреженое, если не выдавать адреса клиентам по предсказуемой схеме (по порядку, начиная с первого), шанс, что где-то найдут открытый NTP или DNS, невелик. Я бы был недоволен, если бы мой провайдер заблокировал мне NTP, честно говоря, время хотелось бы синхронизировать. Но какие там у провайдеров риски, я не знаю.

 

Что касается префикса, я бы взял /32 (и напрямую у RIR, но другой вопрос). NAT в IPv6 нет, префиксы при этом дешево стоят, перенумеровываться никому не хочется, если LIR облажается и не зарезервирует у себя сеть заранее побольше под вас (как делают RIRы), при расширении будет два префикса, зачем это всё вам надо? Поэтому, если LIR не наглеет с ценой, возьмите /32, не пожалеете. Правильно они всё предлагают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Прочитал BCOP, получается, что минимум конечному физику надо предоставить /60. Чтобы, если он вдруг окажется продвинутым, то мог бы себе организовать домашний wifi, гостевой wifi, серверный сегмент, соседа подключить и ещё какую-нибудь локальную видеонаблюдательную фигню организовать. И чтобы у него всё это было сделано по уму согласно спецификациям ipv6.

 

По поводу покупки ipv6: провайдеро-агрегируемый блок /32 стоит 500$ в год. Провайдеро-независимый /48 стоит 300$ при регистрации и ежегодно 200$. Во втором варианте экономия на лицо.

Кому-нибудь доводилось покупать PA блок меньше чем /32. Что по ценам? Я не понимаю почему у моего лира нет цен на более мелкие PA блоки.

Просто, если к примеру PA /40 как PI /48, то мы бы прикупили лучше PA, т.к. он больше, а передавать адреса мы никому не собираемся и сам смысл PI в нашем случае теряется и смотрим на этот вариант только из расчёта экономии казённых средств.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
55 minutes ago, killonik said:

Прочитал BCOP, получается, что минимум конечному физику надо предоставить /60.

Это рекомендация, которая с нашими реалиями слабо вяжется. Обычному хомячку достаточно организовать линк хоть /127 и делегировать /64.

Если куму-то надо больше - предусмотреть механизм, но предоставлять по запросу.

 

Хотя... я опять рассуждаю с позиции жадины :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
3 hours ago, ShyLion said:

рекомендация, которая с нашими реалиями слабо вяжется

Поздравляю, cегодня ты смог сделать этот мир чуточку хуже. Читающие это провайдеры потом, может быть через годы, тебе же и организуют /64. Без всякого "механизма по запросу", о чём вообще речь, это фантастика.

 

Рекомендация хорошая и правильная, а если хотите топить за то чтоб в России IPv6 был не как в остальном мире а гораздо более унылый и костыльный - мотивация к этому мне непонятна.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас