Перейти к содержимому
Калькуляторы

IPv6 за роутерами

А кто задумывался над IPv6 за роутерами?

 

По идее, нужно роутеру отроутить /48, а он уже раздаст дальше. Проблема в том, что никакого автоконфигуратора для такого просто не предусмотрено, а прописывать руками всем по понятным причинам сложно.

 

Появилась идея: IPv6 пакеты просто бриджить на внешний интерфейс. Потому как все-равно натить не надо - адресов даже в езернет сегменте всем хватит. Да и патч написать просто и загнать его в наши роутеры что у юзеров (OpenWRT). Может, даже и вендорам пропихнуть новую технологию "IPv6 transparency" ;)

 

Тока вот стремно. Или нормально?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А чем DHCPv6 PD не устраивает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати тоже вертелась такая идея. Уверен, много провайдеров будет жмотить /48, выдавая при этом /64, да и, как было замечено выше, прописывать руками не очень удобно. Мост для IPv6 решил бы эти проблемы.

Изменено пользователем m0xf

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Появилась идея: IPv6 пакеты просто бриджить на внешний интерфейс. Потому как все-равно натить не надо - адресов даже в езернет сегменте всем хватит. Да и патч написать просто и загнать его в наши роутеры что у юзеров (OpenWRT). Может, даже и вендорам пропихнуть новую технологию "IPv6 transparency" ;)

 

в wive-ng такое есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если бриджевать - то накуй нужны эти слабые железки!?

 

Или ставим неуправляемый свич или управляемый, который будет на wire speed фаерволить.

 

 

 

 

Не стоит забывать что железо с аппаратным натом/фаером на wire speed стоит оч дорого, да и уродских схем раздачи инета со всякими туннелями на внедряли, от того и появился спрос на дешёвые костыли, которые умеют натить, туннели держать и роутить.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ivan_83: предлагается рутить v4 и бриджевать v6. Потому свитч некатит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

IPv4 - больше натить, чем роутить.

 

DHCPv6 и его свистелки - это голая теория. В сегменте с ~2000 юзерами за сутки не было НИ ОДНОГО DHCPv6 запроса, то есть автоконфига как такового нету и подавно.

Изменено пользователем mt6561

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По идее, нужно роутеру отроутить /48, а он уже раздаст дальше. Проблема в том, что никакого автоконфигуратора для такого просто не предусмотрено

DHCPv6-PD.

 

Тока вот стремно. Или нормально?

Были тут теоретики-апологеты такого подхода, но по моему убеждению со стороны абонента согласиться включить все свои устройства одним чохом напрямую "в провайдера" без единого для всех их шлюза-файрволла на своей стороне - великая глупость. Ну либо в этом случае ему придётся держать настроенным индивидуальный файрволл на каждом из устройств, что куда муторнее и не всегда возможно.

 

DHCPv6 и его свистелки - это голая теория. В сегменте с ~2000 юзерами за сутки не было НИ ОДНОГО DHCPv6 запроса, то есть автоконфига как такового нету и подавно.

DHCPv6-PD работает на сегменте от провайдера до CPE (того самого роутера из сабжа), дальше роутер выбирает одну из проPDшенных ему /64 и в локалку позади себя фигачит обычные RA. И не путайте DHCPv6 и SLAAC, так вот казуально "автоконфигом" называют чаще всего именно последний.

Изменено пользователем rm_

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

DHCPv6 и его свистелки - это голая теория. В сегменте с ~2000 юзерами за сутки не было НИ ОДНОГО DHCPv6 запроса, то есть автоконфига как такового нету и подавно.

DHCPv6-PD работает на сегменте от провайдера до CPE (того самого роутера из сабжа), дальше роутер выбирает одну из проPDшенных ему /64 и в локалку позади себя фигачит обычные RA. И не путайте DHCPv6 и SLAAC, так вот казуально "автоконфигом" называют чаще всего именно последний.

Но на практике в юзерской сети с Виндами и Гдесвязь-роутерами SLAAC работает чуть хуже, чем DHCPv6, а DHCPv6 не работает вообще ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

SLAAC работает чуть хуже, чем DHCPv6

В каком смысле? (вспоминается выражение "немножко беременна").

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

SLAAC работает чуть хуже, чем DHCPv6

В каком смысле? (вспоминается выражение "немножко беременна").

В смысле вообще не работают. Оба.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Были тут теоретики-апологеты такого подхода, но по моему убеждению со стороны абонента согласиться включить все свои устройства одним чохом напрямую "в провайдера" без единого для всех их шлюза-файрволла на своей стороне - великая глупость. Ну либо в этом случае ему придётся держать настроенным индивидуальный файрволл на каждом из устройств, что куда муторнее и не всегда возможно.

 

Тупой свич: 300-400 руб и 8 портов - 7 девайсов можно подключить, никаких настроек в нём делать не нужно ибо в принципе их нет. И Wire Speed гарантирован.

 

CPE всяко дороже. Возможно они смогут автоконфигурится для в6 и ручной до настройки не потребуется. Дешёвые всё равно дороже свича, дохнут быстро и скорости не выдают. Дорогие строят дороже управляемых свичей, и тоже нет гарантий что выдержат любые pps.

 

v4 пока вроде как аргумент, в пользу роутеров с натом. Но провайдер всегда может поднять NAT64 или прокси и отдавать юзеру только в6. А через каких нибудь лет 5 типовому хомяку в4 вообще не нужен будет.

 

Другой вариант отдавать серый в4 и натить у себя, что многие и делают. В таком случае опять получаем что свича более чем достаточно.

 

 

 

 

Насчёт фаера: многих такие мелочи не интересуют. Типовой домохозяйке хватит встроенного в винду, который сам по себе как то работает. А свичу много мозгов не нужно чтобы делать state less фаерволинг, который позволит заткнут/открыть отдельные порты. И видимо появятся свичи со state full фаерами, опять же оно реализуется просто и много не сожрёт. А для простеньких state less можно вообще аппаратый выключатель фаервола сделать, который будет включать зарезку портов меньше 1024 на 1-2 портах эзернета - это будет проще и надёжнее для юзера.

 

Абонент поведётся на дороже и с настройками, если там ещё будет вайфай, файловый сервер (винт по юзби/сата), торрент качалка и принт сервер. Но вот фаервол, который всё тормозит и ещё настраивать нужно абоненту нахер не сдался за доп деньги, он скорее разведётся на касперского/веба (пока они ещё не сдохли) - там тоже фаер да и антивирус с понтами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В дефолтном виде типовому юзеру отдается один реальный v4 адрес. По крайней мере, в наших краях.

У дефолтного юзера больше, чем один просто комп. Есть ноут, есть девушки-родители-дети-дяди-тети со своими ноутами, есть телефоны опять же с вайфаем. Поэтому ЮЗЕР сам себе ставит v4 нат. Это - основная причина почему юзеры ставят себе роутер. Вторая причина - сканы сети вирусами.

 

В v6 сканов не бывает, а адресов достаточно. Потому чего б и не бриджить v6, оставляя роутингу и нату v4?

Изменено пользователем mt6561

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В сегменте с ~2000 юзерами за сутки не было НИ ОДНОГО DHCPv6 запроса, то есть автоконфига как такового нету и подавно.

Может у Вас v6 мультикаст от клиентов фильтруется? Или косяк в коммутаторе фильтрующий v6. Смотрел широковещательный трафик в маленькой сети (около 500 машин) и раз в 2-3 секунды приходил DHCPv6 пакет.

 

SLAAC работает чуть хуже, чем DHCPv6

В каком смысле? (вспоминается выражение "немножко беременна").

В смысле вообще не работают. Оба.

Если считать роутеры не поддерживающие v6 вообще, то да не работают. Сама же Windows 7 прекрасно поддерживает DHCPv6 и SLAAC, лично тестировал и то и другое и даже через pppoe.

 

А по поводу бриджинга, как Вы собираетесь отличать одних клиентов от других на бордере? Создадите список адресов для каждого клиента? И сколько адресов смогут фильтровать Ваши коммутаторы доступа? Сгруппировать адреса сеткой не /64 не получится, SLAAC не даст, DHCPv6 поддерживают не все(например Apple), а руками настраивать всех клиентов Вы не хотите. Придётся сидеть и ждать минимум 10 лет(устаревшие технологии умирают очень долго) пока весь мир поймёт насколько гениальна Ваша идея и начнут делать ОС и железки совместимые с Вашей сетью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В сегменте с ~2000 юзерами за сутки не было НИ ОДНОГО DHCPv6 запроса, то есть автоконфига как такового нету и подавно.

 

 

Поглядите, что вы им шлете в RA.

Flag M должен быть в единицу.

Тогда Win7 автоматом сваливается в dhcpv6.

 

В solicited RA!

Изменено пользователем rus-p

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Насчёт фаера: многих такие мелочи не интересуют.

Понравилось сегодня:

— (Я)Здравствуйте, меня зовут Дмитрий! Это Фамилия имя?

— (Он)Да.

— (Я)Простите не знаю как рассказать, Вы пользуетесь Google Reader-ом.

— (Он)Да.

— (Я)И Он собирает у Вас RSS поток с выписками по счёту ПриватБанка?

— (Он)Да.

— (Я)Вы понимаете так уж сложилось, что я могу просматривать все Ваши операции, и другие люди возможно тоже.

— (Он)Ну и что?

— (Я) Ну как это «ну и что?» там номер Вашего телефона, Вашей карты и т.д.

— (Он) Ну и что?

http://habrahabr.ru/blogs/infosecurity/123661/

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не преувеличивайте.

 

Дальше было написано что встроенное в ОС и так работает.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.