Jump to content
Калькуляторы

IPv6 за роутерами

А кто задумывался над IPv6 за роутерами?

 

По идее, нужно роутеру отроутить /48, а он уже раздаст дальше. Проблема в том, что никакого автоконфигуратора для такого просто не предусмотрено, а прописывать руками всем по понятным причинам сложно.

 

Появилась идея: IPv6 пакеты просто бриджить на внешний интерфейс. Потому как все-равно натить не надо - адресов даже в езернет сегменте всем хватит. Да и патч написать просто и загнать его в наши роутеры что у юзеров (OpenWRT). Может, даже и вендорам пропихнуть новую технологию "IPv6 transparency" ;)

 

Тока вот стремно. Или нормально?

Share this post


Link to post
Share on other sites

А чем DHCPv6 PD не устраивает?

Share this post


Link to post
Share on other sites

Кстати тоже вертелась такая идея. Уверен, много провайдеров будет жмотить /48, выдавая при этом /64, да и, как было замечено выше, прописывать руками не очень удобно. Мост для IPv6 решил бы эти проблемы.

Edited by m0xf

Share this post


Link to post
Share on other sites

Появилась идея: IPv6 пакеты просто бриджить на внешний интерфейс. Потому как все-равно натить не надо - адресов даже в езернет сегменте всем хватит. Да и патч написать просто и загнать его в наши роутеры что у юзеров (OpenWRT). Может, даже и вендорам пропихнуть новую технологию "IPv6 transparency" ;)

 

в wive-ng такое есть.

Share this post


Link to post
Share on other sites

Если бриджевать - то накуй нужны эти слабые железки!?

 

Или ставим неуправляемый свич или управляемый, который будет на wire speed фаерволить.

 

 

 

 

Не стоит забывать что железо с аппаратным натом/фаером на wire speed стоит оч дорого, да и уродских схем раздачи инета со всякими туннелями на внедряли, от того и появился спрос на дешёвые костыли, которые умеют натить, туннели держать и роутить.

 

 

Share this post


Link to post
Share on other sites

Ivan_83: предлагается рутить v4 и бриджевать v6. Потому свитч некатит.

Share this post


Link to post
Share on other sites

IPv4 - больше натить, чем роутить.

 

DHCPv6 и его свистелки - это голая теория. В сегменте с ~2000 юзерами за сутки не было НИ ОДНОГО DHCPv6 запроса, то есть автоконфига как такового нету и подавно.

Edited by mt6561

Share this post


Link to post
Share on other sites
По идее, нужно роутеру отроутить /48, а он уже раздаст дальше. Проблема в том, что никакого автоконфигуратора для такого просто не предусмотрено

DHCPv6-PD.

 

Тока вот стремно. Или нормально?

Были тут теоретики-апологеты такого подхода, но по моему убеждению со стороны абонента согласиться включить все свои устройства одним чохом напрямую "в провайдера" без единого для всех их шлюза-файрволла на своей стороне - великая глупость. Ну либо в этом случае ему придётся держать настроенным индивидуальный файрволл на каждом из устройств, что куда муторнее и не всегда возможно.

 

DHCPv6 и его свистелки - это голая теория. В сегменте с ~2000 юзерами за сутки не было НИ ОДНОГО DHCPv6 запроса, то есть автоконфига как такового нету и подавно.

DHCPv6-PD работает на сегменте от провайдера до CPE (того самого роутера из сабжа), дальше роутер выбирает одну из проPDшенных ему /64 и в локалку позади себя фигачит обычные RA. И не путайте DHCPv6 и SLAAC, так вот казуально "автоконфигом" называют чаще всего именно последний.

Edited by rm_

Share this post


Link to post
Share on other sites
DHCPv6 и его свистелки - это голая теория. В сегменте с ~2000 юзерами за сутки не было НИ ОДНОГО DHCPv6 запроса, то есть автоконфига как такового нету и подавно.

DHCPv6-PD работает на сегменте от провайдера до CPE (того самого роутера из сабжа), дальше роутер выбирает одну из проPDшенных ему /64 и в локалку позади себя фигачит обычные RA. И не путайте DHCPv6 и SLAAC, так вот казуально "автоконфигом" называют чаще всего именно последний.

Но на практике в юзерской сети с Виндами и Гдесвязь-роутерами SLAAC работает чуть хуже, чем DHCPv6, а DHCPv6 не работает вообще ;)

Share this post


Link to post
Share on other sites
SLAAC работает чуть хуже, чем DHCPv6

В каком смысле? (вспоминается выражение "немножко беременна").

Share this post


Link to post
Share on other sites
SLAAC работает чуть хуже, чем DHCPv6

В каком смысле? (вспоминается выражение "немножко беременна").

В смысле вообще не работают. Оба.

Share this post


Link to post
Share on other sites
Были тут теоретики-апологеты такого подхода, но по моему убеждению со стороны абонента согласиться включить все свои устройства одним чохом напрямую "в провайдера" без единого для всех их шлюза-файрволла на своей стороне - великая глупость. Ну либо в этом случае ему придётся держать настроенным индивидуальный файрволл на каждом из устройств, что куда муторнее и не всегда возможно.

 

Тупой свич: 300-400 руб и 8 портов - 7 девайсов можно подключить, никаких настроек в нём делать не нужно ибо в принципе их нет. И Wire Speed гарантирован.

 

CPE всяко дороже. Возможно они смогут автоконфигурится для в6 и ручной до настройки не потребуется. Дешёвые всё равно дороже свича, дохнут быстро и скорости не выдают. Дорогие строят дороже управляемых свичей, и тоже нет гарантий что выдержат любые pps.

 

v4 пока вроде как аргумент, в пользу роутеров с натом. Но провайдер всегда может поднять NAT64 или прокси и отдавать юзеру только в6. А через каких нибудь лет 5 типовому хомяку в4 вообще не нужен будет.

 

Другой вариант отдавать серый в4 и натить у себя, что многие и делают. В таком случае опять получаем что свича более чем достаточно.

 

 

 

 

Насчёт фаера: многих такие мелочи не интересуют. Типовой домохозяйке хватит встроенного в винду, который сам по себе как то работает. А свичу много мозгов не нужно чтобы делать state less фаерволинг, который позволит заткнут/открыть отдельные порты. И видимо появятся свичи со state full фаерами, опять же оно реализуется просто и много не сожрёт. А для простеньких state less можно вообще аппаратый выключатель фаервола сделать, который будет включать зарезку портов меньше 1024 на 1-2 портах эзернета - это будет проще и надёжнее для юзера.

 

Абонент поведётся на дороже и с настройками, если там ещё будет вайфай, файловый сервер (винт по юзби/сата), торрент качалка и принт сервер. Но вот фаервол, который всё тормозит и ещё настраивать нужно абоненту нахер не сдался за доп деньги, он скорее разведётся на касперского/веба (пока они ещё не сдохли) - там тоже фаер да и антивирус с понтами.

Share this post


Link to post
Share on other sites

В дефолтном виде типовому юзеру отдается один реальный v4 адрес. По крайней мере, в наших краях.

У дефолтного юзера больше, чем один просто комп. Есть ноут, есть девушки-родители-дети-дяди-тети со своими ноутами, есть телефоны опять же с вайфаем. Поэтому ЮЗЕР сам себе ставит v4 нат. Это - основная причина почему юзеры ставят себе роутер. Вторая причина - сканы сети вирусами.

 

В v6 сканов не бывает, а адресов достаточно. Потому чего б и не бриджить v6, оставляя роутингу и нату v4?

Edited by mt6561

Share this post


Link to post
Share on other sites

В сегменте с ~2000 юзерами за сутки не было НИ ОДНОГО DHCPv6 запроса, то есть автоконфига как такового нету и подавно.

Может у Вас v6 мультикаст от клиентов фильтруется? Или косяк в коммутаторе фильтрующий v6. Смотрел широковещательный трафик в маленькой сети (около 500 машин) и раз в 2-3 секунды приходил DHCPv6 пакет.

 

SLAAC работает чуть хуже, чем DHCPv6

В каком смысле? (вспоминается выражение "немножко беременна").

В смысле вообще не работают. Оба.

Если считать роутеры не поддерживающие v6 вообще, то да не работают. Сама же Windows 7 прекрасно поддерживает DHCPv6 и SLAAC, лично тестировал и то и другое и даже через pppoe.

 

А по поводу бриджинга, как Вы собираетесь отличать одних клиентов от других на бордере? Создадите список адресов для каждого клиента? И сколько адресов смогут фильтровать Ваши коммутаторы доступа? Сгруппировать адреса сеткой не /64 не получится, SLAAC не даст, DHCPv6 поддерживают не все(например Apple), а руками настраивать всех клиентов Вы не хотите. Придётся сидеть и ждать минимум 10 лет(устаревшие технологии умирают очень долго) пока весь мир поймёт насколько гениальна Ваша идея и начнут делать ОС и железки совместимые с Вашей сетью.

Share this post


Link to post
Share on other sites

В сегменте с ~2000 юзерами за сутки не было НИ ОДНОГО DHCPv6 запроса, то есть автоконфига как такового нету и подавно.

 

 

Поглядите, что вы им шлете в RA.

Flag M должен быть в единицу.

Тогда Win7 автоматом сваливается в dhcpv6.

 

В solicited RA!

Edited by rus-p

Share this post


Link to post
Share on other sites

Насчёт фаера: многих такие мелочи не интересуют.

Понравилось сегодня:

— (Я)Здравствуйте, меня зовут Дмитрий! Это Фамилия имя?

— (Он)Да.

— (Я)Простите не знаю как рассказать, Вы пользуетесь Google Reader-ом.

— (Он)Да.

— (Я)И Он собирает у Вас RSS поток с выписками по счёту ПриватБанка?

— (Он)Да.

— (Я)Вы понимаете так уж сложилось, что я могу просматривать все Ваши операции, и другие люди возможно тоже.

— (Он)Ну и что?

— (Я) Ну как это «ну и что?» там номер Вашего телефона, Вашей карты и т.д.

— (Он) Ну и что?

http://habrahabr.ru/blogs/infosecurity/123661/

Share this post


Link to post
Share on other sites

Не преувеличивайте.

 

Дальше было написано что встроенное в ОС и так работает.

 

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this