IPV6

[okostojás]

Heló!

 

Na van-e már valami hír  az IPV6-ról? Eddig csak a "nem tudjuk mikor" szöveget hallom mindig.

[anonymus]

WAN IPv6 Gateway  biztos jó, ezt viszont paszolom  fe80::ae9e:17ff:fe89:cd90/64

[Tamas586]

Azt nézem hogy a leírás szerint nekem nem 56 os hanem 65 ös prefixet kell beállítanom..  de így is sok milliárd IP címet kapok (9*10^18 db) az eddigi 1 db helyett.. (kép)   Jól látom?

Szerkesztve ekkor: 2016. október 6. Szerkesztő: Tamas586

[fgabor87]

@anonymus

Köszi. A többi majd kiderül, ha jön kábelre az IPv6. Egyelőre ebben a módban a belső hálózaton egyáltalán nem oszt 6-os címeket. Pedig gondolom a végén a cél ez lenne. Ott is kéne lenni 4-es és 6-os címnek is egyszerre. Nem nagyon vágom ezt a dolgot, de majd kialakul.

[anonymus]

Majd ha bekapcsolásra kerül megérted vagy dobjak be egy képet hogy ez egy hgw esetén hogy néz ki?

[fgabor87]

Á, szerintem nem lennék vele előrébb, mert máshogy néz ki/más opciók vannak, mint nekem a routeren. Majd ha már csordogál az IPv6, akkor meglátjuk, hogy jó-e a mostani beállítás, vagy még szerelni kell rajta valamit.

[Deino]

 @fgabor87

milyen netet használsz? csak mert ahogy olvastam a közleményeket idén még csak a kábelnet (koax) várható IPv6-on, a többi (és hogy melyik következik utána az ADSL vagy optika, esetleg mindkettő egyszerre...),  az majd legkorábban valószínűleg csak januártól, ha nem 1-2 hónappal későbbről.

======================================

Gondolom optikán így már nem furcsa hogy kizárólag Huawei HG8245H-t osztogatnak. Ezeket nem tudom merre, esetleg régebben osztogatták? 

1. Huawei HG850
2. Huawei HG850a

Nem sokkal korábban még Huawei HG8245-t is osztogattak, de az nem csak hogy buta, és sokan felháborodtak miatta, de az IPv6-ot sem kezeli, gondolom ez az oka amiért már tudtommal nem látom sehol sem újonnan.

Szerkesztve ekkor: 2016. október 7. Szerkesztő: Deino

[fgabor87]

@Deino

Kábelnetes vagyok. És már nagyon várom.

[btz]

Ekkor: 2016. 10. 06. at 19:42, fgabor87 írta:

@btz

Világos, köszönöm.
Most úgy konfiguráltam a routert, hogy:
Connection Type: Native
DHCP-PD: enabled
Auto Configuration Setting: Stateless

Remélem így jó, az IPv6 logban most ezt írja:
IPv6 Connection Type: Native with DHCP-PD
WAN IPv6 Address:
WAN IPv6 Gateway: fe80::222:90ff:fedf:28d9
LAN IPv6 Address: /0
LAN IPv6 Link-Local Address: fe80::ae9e:17ff:fe89:cd90/64
DHCP-PD: Enabled

Most többet nem próbálkozok, csak ha már megy az IPv6, úgyis akkor fogom látni, hogy mit merre, és mikor jó.

Szerintem az autokonfigurációt állítsd át Statelefulra. A Stateless Address Autoconfiguration az pont a SLAAC, ami a leírás szerint saját eszközzel nem lesz támogatott.

A DHCP-PD az a prefix delegációt jelenti, azaz ez továbbíja a LAN-os eszközök felé a prefixet, azaz ez jó ha Enabled módban van.

Ha jönni fog a szolgáltatótól az ipv6 akkor az WAN IPv6 is címet fog kapnoi, szerintem a LAN oldal is kap külön címet, ehhez hasonló címmel fognak rendelkezni a LAN-ra kapcsolt eszközök.

Mi a pontos típusa a routernek? Más beállítási lehetőségek vannak még benne IPV6 szempontjából? Pl külön ipv6 tűzfalrész nincs benne?

[fgabor87]

Asus RT-N12D1

Ha Stateful-ra teszem, kéri a pool start és end address-t, de csak a végét engedi kitölteni:

Van külön IPv6 firewall, de ugye a gyári asus fw nem ad korlátlan beállítási lehetőségeket.

[btz]

@fgabor87

Igen oda majd automatikusan felveszi a LAN-nak adott prefixet, majd ha lesz, az utótagot pedig te szabályozhatod aszerint, hogy mennyi címre van szükséged a helyi hálózaton.

[Tamas586]

A közleményben ez olvasható: "

• HGW-ben alapértelmezetten az IPv6 tűzfal úgy van konfigurálva, hogy Internet felől ne lehessen IPv6 kapcsolatot létrehozni az ügyfelek helyi hálózatai felé. Ez a funkció a HGW beállításaiban, jellemzően a http://192.168.0.1/ címen kikapcsolható "

Erről tudnátok 1-2 screenshotot mutatni..?  Mivel én nem SLAC -al hanem DHCPv6-PD vel veszem igénybe majd a szolgáltatást, így nem szeretném ha a LAN-omon levő gépek (PC, NAS, stb) hirtelen kikerülnének publikus IP-re hogy bárki maszírozgathassa feltörhesse őket.. (mint ipv4-nél a DMZ volt, hiszen eddig védetten NAT mögött voltak és én konfiguráltam a portforwardot, de ipv6-al ez meg lesz kerülve). Hanem én tudjak váltani mikor legyenek kintről elérhetők az eszközeim és mikor ne, mint a szolgáltatós HGW-t használók.

Illetve a PC, NAS stb gépek IP címe alapján e két állapot közt (hogy Internet felől ne lehessen IPv6 kapcsolatot létrehozni; és amikor lehessen) közt mi a különbség?  Egyik esetben 2001* el kezdődnek majd a gépeim ipv6 címei, amíg a másikban FE80*-val..??

Szerkesztve ekkor: 2016. október 8. Szerkesztő: Tamas586

[btz]

Ekkor: 2016. 10. 07. at 20:41, fgabor87 írta:

Asus RT-N12D1

Ha Stateful-ra teszem, kéri a pool start és end address-t, de csak a végét engedi kitölteni:

De közben mégegyszer elolvastam a kritériumot és abban az van, hogy a HGW-re kapcsolódó eszköznek kell dhcpv6 kliensként kapcsolódnia  a HGW-re a wan oldaról, SLAAC-al nem, így akkor ezt akár hagyhatod stateless módban is, mert ez a rész már a saját eszközre kapcsolódó klienseket szabályozza.

[btz]

@Tamas586

IPV6 esetén a router tűzfalának segítségével lehet szabályozni, hogy melyik géped melyik portja legyen nyilvánosan elérhető az internet felől, úgy minha NAT mögött lenne. 

Attól hogy egy eszköz kívülről elérhető vagy nem, attól nem változik meg az ip címe. 

[Tamas586]

27 minutes ago, btz said:

@Tamas586IPV6 esetén a router tűzfalának segítségével lehet szabályozni, hogy melyik géped melyik portja legyen nyilvánosan elérhető az internet felől, úgy minha NAT mögött lenne. 

Attól hogy egy eszköz kívülről elérhető vagy nem, attól nem változik meg az ip címe. 

De attól igen ha egyszer dhcp6 server osztja nekik a

címet pd alapján, máskor meg önmaguknak kell kitalálniuk egy fe80::/64 -est..

[btz]

FE80 (LLA) címük van akkor is ha van ha van globálisan routolható prefixes (GUA) címük is, tehát az mindíg jelen van. Ha nics globális unicast (GUA) címük, akkor pedig marad az FE80, de az nem routolható cím, így kívülről elérhetetlenek. De attól hogy a routered tűzfalában egy eszköz elérését letiltod a GUA cím alapján Wan felől, attól még megmarad az eszköz GUA ip címe.

[Tamas586]

10 hours ago, btz said:

FE80 (LLA) címük van akkor is ha van ha van globálisan routolható prefixes (GUA) címük is, tehát az mindíg jelen van. Ha nics globális unicast (GUA) címük, akkor pedig marad az FE80, de az nem routolható cím, így kívülről elérhetetlenek. De attól hogy a routered tűzfalában egy eszköz elérését letiltod a GUA cím alapján Wan felől, attól még megmarad az eszköz GUA ip címe.

Elnézést, tehát ezt kellett volna kérdeznem:

"a gépek IP címe alapján e két állapot közt (hogy Internet felől ne lehessen IPv6 kapcsolatot létrehozni; és amikor lehessen) közt mi a gépeken jól látható (lekérdezhető) különbség?  Egyik esetben 2001* el is kezdődnek majd a gépeim ipv6 címei, amíg a másikban csak FE80*-al..??"

Te pedig ha jól értelmeztem azt akarod erre válaszolni hogy: ha a PC-m az ipconfig futása során csak fe80* -as ipv6 címet látok akkor én el tudom érni az ipv6 only weboldalakat is, de az én LAN gépeimet nem tudják vadidegenek elérni kintről. De ha látok 2001* címet is akkor van esély hogy idegenek kintről hozzáférnek a gépemhez..

(a win Teredo miatt már évek óta van 2001* ipv6 címem is, de gondolom ez nem számít)

Szóval a routeremen, csak le kell tiltanom a dhcp6 szerverem és biztonságban leszek mint régen NAT mögött, de el tudok majd ipv6 only oldalakat is érni. -kép- jól értem?

Ha pedig majd a munkahelyemről be akarok lépni az otthoni gépemre (pl remote desktop-al) akkor csak engedélyezem a routeremben a dhcp6 szervert -kép-, megadom a pc ipcímét, és ennyi..?

(gondolom ha már lesz az otthoni előfizetőknek ipv6 címük, akkor az ipv4-en NAT mögé tesznek, és ipv4-el többé nem érhetem el az otthoni hálózatom wan oldalról)

Szerkesztve ekkor: 2016. október 9. Szerkesztő: Tamas586

[btz]

Nem FE80-as címmel nem tudsz elérni ipv6 only weboldalakat, azzal csak egy hálózati szegmensen belül lehet kommunikálni.

Ha van 2001* címed az eszközödön (laptop, tablet, telefon, nas, router) akkor van rá esély, hogy kívülről elérhető legyen egy azon futó szolgáltatás de csak ipv6-al rendelkező hálózatról, ipv4 onlyról nem. Ugxanekkor tudsz csak ipv6 only oldalakat elérni az eszközödről.

Nem kell letiltani a dhcpv6-ot egyszerű tűzfalszabállyal lehet szabályozni a forgalmat. Ha jól tudom, ha kikapcsolod a dhcpv6 servert attól még a következő újrakapcsolódásig az ipv6 cím megmarad, akárcsak ipv4-nél sem tűnik el a kliens dhcpv4-en kapott ipje rögtön, csak ha lejár az érvényessége vagy újra akarsz kapcsolódni. 

Attól hogy kapsz ipv6-ot, nem feltétlenül jár együtt azzal, hogy ipv4-en NAT mögé tegyenek.

Szerkesztve ekkor: 2016. október 9. Szerkesztő: btz

[fgabor87]

Távoli asztal eléréshez sokkal jobb módszer, ha a routeren csinálsz egy VPN szervert, munkahelyről erre rácsatlakozol, és utána a géped helyi hálózati IP-jére csatlakozol RDP-vel.

Így nem kell tűzfalon portokat nyitogatni, VPN-re meg ráteszel egy jó erős jelszót.

 

[Tamas586]

btz: Nagyon szép és köszönöm hogy leírod az elméleti dolgokat is, de így elbeszélünk egymás mellett..  nekem konkrét dolgok kellenek.

Linkeltem mindkét beállítási lehetőséget. Nincs olyan hogy tűzfal (mindössze egy SPI tűzfal van a routerben, de az nem ipv6 szerű).
Tehát az eddig csatolt képek alapján le tudnád írni (vagy berajzolnád?) hogy mit állítsak be hogy én el tudjak érni ipv6 only weboldalakat amint elindul a Telekom szolgáltatása, de NE legyenek kintről elérhetőek a LAN-on levő gépeim..?
(és a tájékoztató szerinti teszt linkek futtatásával észrevegyem hogy elindult az ipv6 szolgáltatás nálam)   Előre is köszönöm!

Ahogy már mutattam jelenleg 0/10 pontot kaptam a meglevő ipv6 kapcsolatommal. -kép-  Esetleg a Windows-ban (7-8-10) is le kell tiltanom a Teredo-t hogy nehogy feltörjék a gépem??

"Attól hogy kapsz ipv6-ot, nem feltétlenül jár együtt azzal, hogy ipv4-en NAT mögé tegyenek."
Pedig szerintem egyértelműen azt jelenti. Persze nem azonnal, de 2-6 év távlatában biztos. Ha mindenkinek tudának mindenhol a világon publikus ipv4 címet adni akkor 100 év múlva se kezdenék bevezetni az ipv6-ot.. Egyébként már most is sokakat NAT mögé rak a T, és csak kérésre rakják vissza ha panaszkodik az ügyfél. Na ez fog kiteljesedni idővel, tehát semmi új vagy meglepő nincs ebben.

fgabor: VPN-hez is ugyanúgy szükséges hogy internet felől tudjak csatlakozni a LAN gépeimhez/routerhez. Ha egy 10.*.*.* címet kapok a szolgáltatótól akkor ez nem fog menni. (nem az a lényeg hogy RD vagy VPN vagy FTP a használni kívánt szolgáltatás)

Szerkesztve ekkor: 2016. október 9. Szerkesztő: Tamas586

[fgabor87]

Igen, persze, kell a publikus IP. Én úgy értettem, hogy ha konfigurálsz egy VPN szervert a routeren, akkor nem kell portot ütni a tűzfalon a távoli asztalhoz. Egyszerűen rákapcsolódsz VPN-el a publikus IP címedre, és utána eléred a belső hálózatod gépeit. Kvázi mintha a munkahelyi géped rádugnád az otthoni routeredre.

Szemben ezzel, ha nem használsz VPN-t, akkor a tűzfaladon kell ütni egy lukat a távoli asztal részére. Ezen keresztül a hacker bácsiknak is mutatsz valamit, amin érdeklődve fognak próbálkozni. Ezért amikor nem használod a távoli asztalt, be kell zárnod a portot a tűzfalon. Macerás.

[btz]

@Tamas586

Mutatsz képet a routered tűzfal részről? Látom DD-WRT-d van azt annyira nem ismerem, de ha nincs benne vagy nem telepíthető hozzá normális tűzfal, akkor érdemes lecserélni Openwrt-re (ha a router típusodra elérhető), azt ismerem, használom sok helyen, tudok benne screenshoot képek segítségével segíteni, és ilyen szép finomhangolási lehetőségek állnak rendelkezésre a forgalom szabályozás terén:

Az intefacek is könnyen beállíthatók, hogy ipv6-ot használjanak, akár pppoe shared sessionnal is.

(Nem Telekomos netről készült a kép, hanem egy konkurens pppoe-t használó ipv6-ot már élesben alkalmazó cég internet szolgáltásáról).

A  saját routerre kapcsolódó klienseknek pedig a LAN interfacen futtatott dhcpv6 szerver által megkapják az ip címüket, amelyikek pedig csak a SLAAC-ot támogatják, azok pedig azáltal.

Ha pedig a kliensünk (laptop, tablet, nas, stb...) megkapta az ipv6 címét, akkor ezt kell látni a teszt weboldalakon.

 

[fgabor87]

Jelenleg az még normális, hogy azt írja a tesztoldal: " A te IPv6 szolgáltatásod: Teredo"?

[btz]

Ipv6 esetén, ha a routerben nincs normális tűzfalazási lehetőség, akkor lehetőség van a kliens eszközöknél is külön beállítani a forgalmi szabályokat (pl windows tűzfal, nas fw-jében található tűzfal, stb...), mert ilyenkor nat nélkül kint van a publikus neten. Ipv4 esetén is van olyan, hogy a gépünk direktben kap publikus ip címet, ekkor is kint van a publikus hálózaton, ezért van külön tűzfaluk. Most hogy sok eszköz lesz az ipv6-nak köszönhetően a piblikus neten, így ismét fontos szerepet fog betölteni az eszközünk saját tűzfal rendszere. De ettől függetlenül célszerű routeres központi tűzfallal kordában tartani a klienseket.

[anonymus]

9 perce, fgabor87 írta:

Jelenleg az még normális, hogy azt írja a tesztoldal: " A te IPv6 szolgáltatásod: Teredo"?

Amíg nincs bekapcsolva nálad is a V6 addig igen az.

Szerkesztve ekkor: 2016. október 9. Szerkesztő: anonymus

[btz]

@fgabor87

A Teredo a windows egy szolgáltatása, IPV4 hálózati címfordító IPV6-ba. Szerintem kikapcsol a szolgáltatás, ha globális címet (GUA) címet kap a Windows.

Szerkesztve ekkor: 2016. október 9. Szerkesztő: btz