Zabezpečená domácí síť: konfigurace IPv6 pro vaši domácí síť
IPv6 je již nějakou dobu, ale překvapivě ne každý ISP ji podporuje. Pokud jej váš ISP podporuje, můžete jej povolit na routeru. Vzhledem k tomu, že ne všechna zařízení nebo všichni na internetu podporují IPv6 (nebo nikdy nebudou), spustíme síť dual-stack, která podporuje IPv4 i IPv6 současně.
IPv6 se liší od IPv4 při vytváření domácí sítě následujícími způsoby:
- není vyžadován překlad síťových adres (NAT). Místo toho, aby soukromý prostor RFC1918 pro vaši domácí síť a vaše internetová brána provádí NAT pro překlad na přiřazenou veřejnou adresu IPv4, může ISP přiřadit podsíť, která je 64 bit nebo větší, pro vaše domácí použití. Vaše domácí síť je tedy jednoznačně identifikována a směrovatelná na internetu. Proces přiřazení se nazývá delegování prefixů.
- vzhledem k tomu, že je prostor podsítě tak velký, je neobvyklé používat alokaci stavové adresy, jako je DHCP. Místo toho je automatická konfigurace adres bez státní příslušnosti (SLAAC) široce používána k tomu, aby se hostitelé IPv6 mohli automaticky konfigurovat.
- směrovače poskytují síťové předpony zařízením prostřednictvím reklam routeru.
vzhledem k tomu, že domácí síť IPv6 je adresovatelná k Internetu, je důležité nastavit pravidla brány firewall před získáním adres. Používám Ubiquiti EdgeRouter a jeho GUI nepodporuje konfiguraci IPv6, takže se používá CLI (nebo konfigurační strom). Nejprve vytvořím pravidla brány firewall WAN_IN
na mém rozhraní WAN(eth0
):
# Configure Firewallset firewall ipv6-name IPV6WAN_IN description 'IPV6WAN to internal'set firewall ipv6-name IPV6WAN_IN default-action dropset firewall ipv6-name IPV6WAN_IN rule 10 action acceptset firewall ipv6-name IPV6WAN_IN rule 10 state established enableset firewall ipv6-name IPV6WAN_IN rule 10 state related enableset firewall ipv6-name IPV6WAN_IN rule 10 log disableset firewall ipv6-name IPV6WAN_IN rule 10 description 'Allow established/related'set firewall ipv6-name IPV6WAN_IN rule 20 action dropset firewall ipv6-name IPV6WAN_IN rule 20 state invalid enableset firewall ipv6-name IPV6WAN_IN rule 20 description 'Drop invalid state'set firewall ipv6-name IPV6WAN_IN rule 30 action acceptset firewall ipv6-name IPV6WAN_IN rule 30 description 'Allow ICMPv6'set firewall ipv6-name IPV6WAN_IN rule 30 log disableset firewall ipv6-name IPV6WAN_IN rule 30 protocol icmpv6set interfaces ethernet eth0 firewall in ipv6-name IPV6WAN_INcommitsave
pak je čas nakonfigurovat delegaci předpony DHCPv6 a přidělit ji našim domácím sítím. Protože mám doma více VLAN (a diskutoval jsem o tom, proč byste to měli udělat v tomto příspěvku), mohu tak učinit pro každé rozhraní VLAN přiřazením jedinečného prefix-id
pro ně:
# Enable DHCPv6 Prefix Delegation on WAN interface# Comcast provides subnet with prefix length of 60set interfaces ethernet eth0 dhcpv6-pd pd 0set interfaces ethernet eth0 dhcpv6-pd pd 0 prefix-length 60set interfaces ethernet eth0 dhcpv6-pd rapid-commit enable# Allocate the delegated space to VLAN 100 with a 4-bit prefix of value 4set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 host-address ::1set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 prefix-id :4set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 service slaac# Advertise the 64-bit subnet into VLAN 100set interfaces switch switch0 vif 100 ipv6 router-advert prefix ::/64commitsave
pak v show interfaces
byste měli vidět, že adresa /128
je přidělena vašemu rozhraní WAN a vaše rozhraní LAN (v tomto případě switch0.100
) by mělo mít adresu /64
a show ipv6 route
by mělo zobrazovat předpony /64
každému rozhraní LAN a ::/0
vašemu rozhraní WAN. Všechna vaše zařízení s podporou IPv6 by si měla vyzvednout své adresy IPv6, pokud je konfigurace IPv6 nastavena na automatickou a je zavedeno plné připojení IPv6 k internetu. Můžete to vyzkoušet pomocí test-ipv6.com.
hlavní otázkou však je: potřebujete IPv6 ve své domácí síti? Odpověď je do značné míry, ne.
pouze malá část vašich zařízení plně podporuje IPv6 nebo je schopna pracovat v síti pouze pro IPv6. Mnoho zařízení používá protokoly zjišťování sítě, jako je UPnP nebo MDN, které se spoléhají na multicast nebo vysílání v místní síti. Vzhledem k tomu, multicast se liší v IPv6 a vysílání prostě neexistuje, a neexistuje žádná lokální nebo privátní síť s IPv6, plně očekávám, že mnoho zařízení prostě nefungují v sítích pouze IPv6. Dodavatelé pravděpodobně nebudou poskytovat aktualizace firmwaru staršího hardwaru, aby fungoval s IPv6, a požádají vás, abyste místo toho koupili nové, což je uvězní v éře IPv4.
kromě toho, bez řádného firewallu, může mít domácí síť adresovatelná k internetu potenciálně odhalit zranitelnost zabezpečení, která je v současné době místní ve vašem routeru, a vaše domácí síť by byla ovlivněna internetovými událostmi, pokud váš ISP nedokáže zabránit tomu, aby dosáhl vašeho routeru.
pokud používáte Pi-Hole DNS server, výchozí konfigurace neblokuje sledování v síti IPv6. Další konfigurace je nutná k blokování reklam a sledování, pokud máte povoleno IPv6.
IPv4 funguje dobře pro většinu domácích sítí. Domácí směrovače mohou NAT při vyšší propustnosti, než je šířka pásma internetu většiny lidí, takže v IPv6 neuvidíte velké zlepšení výkonu. Takže pokud nechcete hostit věci na internetu (jako webové servery a podobně), pak nepotřebujete IPv6 ve vaší domácnosti.
takže hlavní výhodou konfigurace IPv6 v mé síti (a později ji odstranit) pro mě je příležitost vyzkoušet něco nového a dozvědět se, co se průmysl naučil z IPv6, a tedy jaká vylepšení designu jsou vložena do sady protokolů IPv6.
Toto je řada post. Další příspěvky najdete pod značkou HomeNetwork.