Ugrás a tartalomhoz
  • 2

IPV6


okostojás

Kérdés

  • Válaszok 372
  • Létrehozva
  • Utolsó válasz

A legnépszerűbb tartalomgyártók a témában

A legnépszerűbb tartalomgyártók a témában

Posztolt képek

Ajánlott posztok

  • 0

 @fgabor87

milyen netet használsz? csak mert ahogy olvastam a közleményeket idén még csak a kábelnet (koax) várható IPv6-on, a többi (és hogy melyik következik utána az ADSL vagy optika, esetleg mindkettő egyszerre...),  az majd legkorábban valószínűleg csak januártól, ha nem 1-2 hónappal későbbről.

======================================

Gondolom optikán így már nem furcsa hogy kizárólag Huawei HG8245H-t osztogatnak. Ezeket nem tudom merre, esetleg régebben osztogatták? 

  1. Huawei HG850
  2. Huawei HG850a

Nem sokkal korábban még Huawei HG8245-t is osztogattak, de az nem csak hogy buta, és sokan felháborodtak miatta, de az IPv6-ot sem kezeli, gondolom ez az oka amiért már tudtommal nem látom sehol sem újonnan.

Szerkesztve ekkor: Szerkesztő: Deino
Link kommenthez
Megosztás más oldalakon

  • 0
Ekkor: 2016. 10. 06. at 19:42, fgabor87 írta:

@btz

Világos, köszönöm.
Most úgy konfiguráltam a routert, hogy:
Connection Type: Native
DHCP-PD: enabled
Auto Configuration Setting: Stateless

Remélem így jó, az IPv6 logban most ezt írja:
IPv6 Connection Type: Native with DHCP-PD
WAN IPv6 Address:
WAN IPv6 Gateway: fe80::222:90ff:fedf:28d9
LAN IPv6 Address: /0
LAN IPv6 Link-Local Address: fe80::ae9e:17ff:fe89:cd90/64
DHCP-PD: Enabled

Most többet nem próbálkozok, csak ha már megy az IPv6, úgyis akkor fogom látni, hogy mit merre, és mikor jó.

Szerintem az autokonfigurációt állítsd át Statelefulra. A Stateless Address Autoconfiguration az pont a SLAAC, ami a leírás szerint saját eszközzel nem lesz támogatott.

A DHCP-PD az a prefix delegációt jelenti, azaz ez továbbíja a LAN-os eszközök felé a prefixet, azaz ez jó ha Enabled módban van.

Ha jönni fog a szolgáltatótól az ipv6 akkor az WAN IPv6 is címet fog kapnoi, szerintem a LAN oldal is kap külön címet, ehhez hasonló címmel fognak rendelkezni a LAN-ra kapcsolt eszközök.

Mi a pontos típusa a routernek? Más beállítási lehetőségek vannak még benne IPV6 szempontjából? Pl külön ipv6 tűzfalrész nincs benne?

Link kommenthez
Megosztás más oldalakon

  • 0

A közleményben ez olvasható: "

  • HGW-ben alapértelmezetten az IPv6 tűzfal úgy van konfigurálva, hogy Internet felől ne lehessen IPv6 kapcsolatot létrehozni az ügyfelek helyi hálózatai felé. Ez a funkció a HGW beállításaiban, jellemzően a http://192.168.0.1/ címen kikapcsolható "

Erről tudnátok 1-2 screenshotot mutatni..?  Mivel én nem SLAC -al hanem DHCPv6-PD vel veszem igénybe majd a szolgáltatást, így nem szeretném ha a LAN-omon levő gépek (PC, NAS, stb) hirtelen kikerülnének publikus IP-re hogy bárki maszírozgathassa feltörhesse őket.. (mint ipv4-nél a DMZ volt, hiszen eddig védetten NAT mögött voltak és én konfiguráltam a portforwardot, de ipv6-al ez meg lesz kerülve). Hanem én tudjak váltani mikor legyenek kintről elérhetők az eszközeim és mikor ne, mint a szolgáltatós HGW-t használók.

Illetve a PC, NAS stb gépek IP címe alapján e két állapot közt (hogy Internet felől ne lehessen IPv6 kapcsolatot létrehozni; és amikor lehessen) közt mi a különbség?  Egyik esetben 2001* el kezdődnek majd a gépeim ipv6 címei, amíg a másikban FE80*-val..??

Szerkesztve ekkor: Szerkesztő: Tamas586
Link kommenthez
Megosztás más oldalakon

  • 0
Ekkor: 2016. 10. 07. at 20:41, fgabor87 írta:

Asus RT-N12D1

Ha Stateful-ra teszem, kéri a pool start és end address-t, de csak a végét engedi kitölteni:
stateful.png

De közben mégegyszer elolvastam a kritériumot és abban az van, hogy a HGW-re kapcsolódó eszköznek kell dhcpv6 kliensként kapcsolódnia  a HGW-re a wan oldaról, SLAAC-al nem, így akkor ezt akár hagyhatod stateless módban is, mert ez a rész már a saját eszközre kapcsolódó klienseket szabályozza.

Link kommenthez
Megosztás más oldalakon

  • 0

@Tamas586

IPV6 esetén a router tűzfalának segítségével lehet szabályozni, hogy melyik géped melyik portja legyen nyilvánosan elérhető az internet felől, úgy minha NAT mögött lenne. 

Attól hogy egy eszköz kívülről elérhető vagy nem, attól nem változik meg az ip címe. 

Link kommenthez
Megosztás más oldalakon

  • 0
27 minutes ago, btz said:

@Tamas586IPV6 esetén a router tűzfalának segítségével lehet szabályozni, hogy melyik géped melyik portja legyen nyilvánosan elérhető az internet felől, úgy minha NAT mögött lenne. 

Attól hogy egy eszköz kívülről elérhető vagy nem, attól nem változik meg az ip címe. 

De attól igen ha egyszer dhcp6 server osztja nekik a

címet pd alapján, máskor meg önmaguknak kell kitalálniuk egy fe80::/64 -est..

Link kommenthez
Megosztás más oldalakon

  • 0

FE80 (LLA) címük van akkor is ha van ha van globálisan routolható prefixes (GUA) címük is, tehát az mindíg jelen van. Ha nics globális unicast (GUA) címük, akkor pedig marad az FE80, de az nem routolható cím, így kívülről elérhetetlenek. De attól hogy a routered tűzfalában egy eszköz elérését letiltod a GUA cím alapján Wan felől, attól még megmarad az eszköz GUA ip címe.

Link kommenthez
Megosztás más oldalakon

  • 0
10 hours ago, btz said:

FE80 (LLA) címük van akkor is ha van ha van globálisan routolható prefixes (GUA) címük is, tehát az mindíg jelen van. Ha nics globális unicast (GUA) címük, akkor pedig marad az FE80, de az nem routolható cím, így kívülről elérhetetlenek. De attól hogy a routered tűzfalában egy eszköz elérését letiltod a GUA cím alapján Wan felől, attól még megmarad az eszköz GUA ip címe.

Elnézést, tehát ezt kellett volna kérdeznem:

"a gépek IP címe alapján e két állapot közt (hogy Internet felől ne lehessen IPv6 kapcsolatot létrehozni; és amikor lehessen) közt mi a gépeken jól látható (lekérdezhető) különbség?  Egyik esetben 2001* el is kezdődnek majd a gépeim ipv6 címei, amíg a másikban csak FE80*-al..??"

Te pedig ha jól értelmeztem azt akarod erre válaszolni hogy: ha a PC-m az ipconfig futása során csak fe80* -as ipv6 címet látok akkor én el tudom érni az ipv6 only weboldalakat is, de az én LAN gépeimet nem tudják vadidegenek elérni kintről. De ha látok 2001* címet is akkor van esély hogy idegenek kintről hozzáférnek a gépemhez..

(a win Teredo miatt már évek óta van 2001* ipv6 címem is, de gondolom ez nem számít)

Szóval a routeremen, csak le kell tiltanom a dhcp6 szerverem és biztonságban leszek mint régen NAT mögött, de el tudok majd ipv6 only oldalakat is érni. -kép- jól értem?

Ha pedig majd a munkahelyemről be akarok lépni az otthoni gépemre (pl remote desktop-al) akkor csak engedélyezem a routeremben a dhcp6 szervert -kép-, megadom a pc ipcímét, és ennyi..?

(gondolom ha már lesz az otthoni előfizetőknek ipv6 címük, akkor az ipv4-en NAT mögé tesznek, és ipv4-el többé nem érhetem el az otthoni hálózatom wan oldalról)

Szerkesztve ekkor: Szerkesztő: Tamas586
Link kommenthez
Megosztás más oldalakon

  • 0

Nem FE80-as címmel nem tudsz elérni ipv6 only weboldalakat, azzal csak egy hálózati szegmensen belül lehet kommunikálni.

Ha van 2001* címed az eszközödön (laptop, tablet, telefon, nas, router) akkor van rá esély, hogy kívülről elérhető legyen egy azon futó szolgáltatás de csak ipv6-al rendelkező hálózatról, ipv4 onlyról nem. Ugxanekkor tudsz csak ipv6 only oldalakat elérni az eszközödről.

Nem kell letiltani a dhcpv6-ot egyszerű tűzfalszabállyal lehet szabályozni a forgalmat. Ha jól tudom, ha kikapcsolod a dhcpv6 servert attól még a következő újrakapcsolódásig az ipv6 cím megmarad, akárcsak ipv4-nél sem tűnik el a kliens dhcpv4-en kapott ipje rögtön, csak ha lejár az érvényessége vagy újra akarsz kapcsolódni. 

Attól hogy kapsz ipv6-ot, nem feltétlenül jár együtt azzal, hogy ipv4-en NAT mögé tegyenek.

Szerkesztve ekkor: Szerkesztő: btz
Link kommenthez
Megosztás más oldalakon

  • 0

btz: Nagyon szép és köszönöm hogy leírod az elméleti dolgokat is, de így elbeszélünk egymás mellett..  nekem konkrét dolgok kellenek.

Linkeltem mindkét beállítási lehetőséget. Nincs olyan hogy tűzfal (mindössze egy SPI tűzfal van a routerben, de az nem ipv6 szerű).
Tehát az eddig csatolt képek alapján le tudnád írni (vagy berajzolnád?) hogy mit állítsak be hogy én el tudjak érni ipv6 only weboldalakat amint elindul a Telekom szolgáltatása, de NE legyenek kintről elérhetőek a LAN-on levő gépeim..?
(és a tájékoztató szerinti teszt linkek futtatásával észrevegyem hogy elindult az ipv6 szolgáltatás nálam)   Előre is köszönöm!

Ahogy már mutattam jelenleg 0/10 pontot kaptam a meglevő ipv6 kapcsolatommal. -kép-  Esetleg a Windows-ban (7-8-10) is le kell tiltanom a Teredo-t hogy nehogy feltörjék a gépem??

"Attól hogy kapsz ipv6-ot, nem feltétlenül jár együtt azzal, hogy ipv4-en NAT mögé tegyenek."
Pedig szerintem egyértelműen azt jelenti. Persze nem azonnal, de 2-6 év távlatában biztos. Ha mindenkinek tudának mindenhol a világon publikus ipv4 címet adni akkor 100 év múlva se kezdenék bevezetni az ipv6-ot.. Egyébként már most is sokakat NAT mögé rak a T, és csak kérésre rakják vissza ha panaszkodik az ügyfél. Na ez fog kiteljesedni idővel, tehát semmi új vagy meglepő nincs ebben.

fgabor: VPN-hez is ugyanúgy szükséges hogy internet felől tudjak csatlakozni a LAN gépeimhez/routerhez. Ha egy 10.*.*.* címet kapok a szolgáltatótól akkor ez nem fog menni. (nem az a lényeg hogy RD vagy VPN vagy FTP a használni kívánt szolgáltatás)

Szerkesztve ekkor: Szerkesztő: Tamas586
Link kommenthez
Megosztás más oldalakon

  • 0

Igen, persze, kell a publikus IP. Én úgy értettem, hogy ha konfigurálsz egy VPN szervert a routeren, akkor nem kell portot ütni a tűzfalon a távoli asztalhoz. Egyszerűen rákapcsolódsz VPN-el a publikus IP címedre, és utána eléred a belső hálózatod gépeit. Kvázi mintha a munkahelyi géped rádugnád az otthoni routeredre.

Szemben ezzel, ha nem használsz VPN-t, akkor a tűzfaladon kell ütni egy lukat a távoli asztal részére. Ezen keresztül a hacker bácsiknak is mutatsz valamit, amin érdeklődve fognak próbálkozni. Ezért amikor nem használod a távoli asztalt, be kell zárnod a portot a tűzfalon. Macerás.

Link kommenthez
Megosztás más oldalakon

  • 0

Ok, köszönöm, világos. :)

Régen, illetve gondolom még most is léteznek olyan weboldalak, amik ellenőrzik a tűzfalat.  Vannak IPv6 tűzfal tesztelők is, pl itt, ezek arra jók lesznek, hogy nyomjunk egy port scannelést.
Bár nálam úgy tűnik, nem lesz változás, az IPv6-os tűzfal engedélyezve van a routerbe, és elvileg csak azt a forgalmat engedi be, amihez van kimenő kapcsolat is.

Remélem a router is simán fogja venni ezt a Dual Stack dolgot, nem egy csúcsmodell, viszont nem szeretném cserélni, mert rettentő stabil. :)

Link kommenthez
Megosztás más oldalakon

  • 0

btz: kösz hogy próbálsz segíteni. Próbáltam régebben openwrt -t is, de nekem nagyon nem jött be, de ez nem erre a fórumra tartozik. 

A tűzfal képeden az Allow dhcpv6 részt (és alrészleteit) kinagyíthatnád, mert homályos, a többi rész nem lényeges (más hasznos ipv6 rész nálad sincs) mert hasonlók nálam is vannak, csak más helyeken, csak nálam nincsenek elkülönítve a v4 és v6 ra... 

De szerintem mivel a teszted 20/20 emiatt nálad is az a probléma hogy kint van a géped a neten úgy hogy bárki hozzáférhet (az openwrt ellenére), ezt próbálom én elkerülni, gondolom az elvárt 18/20 lenne az ideális (hogy ne érjenek el a wan felől)..

Szerkesztve ekkor: Szerkesztő: Tamas586
Link kommenthez
Megosztás más oldalakon

  • 0

btz: Jelenleg is használok a routeren iptables parancsot, de teljesen más célra, de nálam nem szövegesen kell beírni mint ahogy mutatod, hanem parancssorosan így: ipv6-13.png

de nem én írtam, nem tudom mi mit jelent benne, de mintha itt most nem iptables kellene hanem ip6tables...

Szerkesztve ekkor: Szerkesztő: Tamas586
Link kommenthez
Megosztás más oldalakon

  • 0

anonymus: köszi. Remélem kiadnak a "bridge módban használt HGW esetén a modemre kapcsolódó ügyfél" esetére is egy használatbavételi mintát különféle modemekhez (DD-WRT, Open-WRT, Asus, stb), hogy ezek is 18/20 -as mérést produkáljanak (de nem 20/20-at). Egyenlőre én így állítottam be: (kép1)  (kép2) egy más célú leírás alapján, emiatt nem vagyok biztos a sikerben.

Szerkesztve ekkor: Szerkesztő: Tamas586
Link kommenthez
Megosztás más oldalakon

  • 0

anonymus: azért remélem hogy a T nem arcra (usernévre) szűrve fogja osztogatni a IPv6-ot, hogy van akinek ad van akinek nem, hanem csak az fogja eldönteni a kérdést hogy kinél levő berendezések képesek azt fogadni és kinél nem, mint azt btz más szolgáltatós példája is mutatja..

btz: "raktam bele plusz pár sort, így most megkapja a címet" ... ha megosztanád megköszönném. ámbár a két router firm nagyon különbözik struktúrálisan, ezért lehet hogy ami nálam menne az nálad nem (és vice versa). de ott vannak (az ausztrál oldalon) az egyedi szabályok is a portnyitáshoz.. DD-hez.

Link kommenthez
Megosztás más oldalakon

  • 0

@Tamas586

Iptables az iptables mindkét rendszeren, Linux alapú rendszer a Dd-wrt és az Openwrt is. Az Openwrt-nek van egyfajta külön tűzfal keretrendszere, ami áttudja kicsit bolygatni az iptables dolgait, de én most magamnak megoldottam (igaz csak áttmenetileg), hogy csak az iptables adja a szabályokat a saját routeremben.

Így néz ki az iptables parancssor, amit hozzáadtam annak érdekében hogy ne szűnjön meg az ipv6

ip6tables -F
ip6tables -P INPUT DROP
ip6tables -P FORWARD DROP
ip6tables -P OUTPUT ACCEPT
ip6tables -A FORWARD -p tcp -m tcp --dport 8080 -j DROP #(Vagy ACCEPT ha meg akarom nyitni a portot)
ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A INPUT -s fe80::/10 -j ACCEPT
ip6tables -A INPUT -p IPv6-icmp -j ACCEPT
ip6tables -A OUTPUT -p IPv6-icmp -j ACCEPT
ip6tables -A FORWARD -p IPv6-icmp -j ACCEPT

Lényegében csak az ICMPv6 forgalmat engedélyeztem újra mind az INPUT, FORWARD, OUTPUT láncon, plusz a FE80::/10 kommunikációt. Plusz tesztelés képpen a 8080-as port nyitásához, zárásához egy sort, ez másnak nem kell, ezt csak azért raktam bele, hogy teszteljem vele, mikor és milyen iptables szabályok alapján érhető el a tabletemre telepített teszt webszerver, amit ipv6-on keresztül lehet csak elérni, ipv4 esetén nem, mivel le van NAT-olva.

Az openwrt-s forgalmi szabály beállításoknak az analógiájára csináltam, mondjuk én kicsit egyszerűsítettem az iptables parancs formát, hogy átláthatóbb legyen most a tesztelésnél (később majd teljesen finomhangolom az openwrts beállítás szerint, különbontva az icmpv6 fajtákat, stb)...

Screenshot_2016-10-11-23-11-54.png

...de a lényeg, hogy működik, kapok ipv6-ot és tudom zárni nyitni a portokat openwrt alatt annak tűzfalkeretrendszerét megkerülve (a képen látszik, hogy ki van lőve az engedélyezés az openwrts szabályok mellöl, helyettük az Iptables szabályai vannak életben).

 

ip6tables -A FORWARD -p tcp -m tcp --dport 8080 -j DROP 

hatására filterezi a 8080-as webszerverem portját 

Screenshot_2016-10-11-22-45-36.png

ip6tables -A FORWARD -p tcp -m tcp --dport 8080 -j ACCEPT

Hatására pedig engedélyezzük

 Screenshot_2016-10-11-22-45-41.png

 

Később ha érdekel valakit /lesz rá igény, akkor megcsinálom az iptables parancsok teljes hozzáigazítát az openwrt féle szabályokhoz.

Link kommenthez
Megosztás más oldalakon

Csatlakozz a közösséghez!

Posztolhatsz regisztráció előtt is. Ha már van regisztrációd, jelentkezz be itt.

Vendég
Válaszolj a kérdésre...

×   Formázással együtt illesztetted be a tartalmat.   Formázás eltávolítása

  Only 75 emoji are allowed.

×   A linkedet automatikusan beágyaztuk.   Linkként mutatás

×   Az előző tartalmat tároltuk. .   Itt törölhetsz

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Új...