Sikkert hjemmenetværk: Konfigurer IPv6 til dit hjemmenetværk
IPv6 har eksisteret i et stykke tid, men overraskende understøtter ikke alle internetudbydere det. Hvis din internetudbyder understøtter det, kan du aktivere det på din router. Da ikke alle enheder eller alle på internettet understøtter IPv6 endnu (eller aldrig vil), kører vi dual-stack-netværk, der understøtter både IPv4 og IPv6 samtidigt.
IPv6 adskiller sig fra IPv4, når du opretter et hjemmenetværk på følgende måder:
- der kræves ingen Netværksadresseoversættelse (NAT). I stedet for at have en rfc1918 privat plads til dit hjemmenetværk, og din internetportal udfører NAT for at oversætte til din tildelte offentlige IPv4-adresse, kan internetudbyderen tildele et undernet, som er 64 bit eller større, til dit hjemmebrug. Således er dit hjemmenetværk entydigt identificeret og kan dirigeres på internettet. Tildelingsprocessen kaldes præfiks Delegation.
- da undernetrummet er så stort, er det ualmindeligt at bruge stateful adresseallokering, såsom DHCP. I stedet bruges statsløs adresseautokonfiguration (SLAAC) i vid udstrækning til at tillade IPv6-værter at konfigurere sig selv automatisk.
- routere leverer netværkspræfikser til enheder via routerannoncer.
da IPv6-hjemmenetværket er Internetadresserbart, er det vigtigt at oprette regler for brandvæg, før du får adresser. Jeg bruger Ubestiv EdgeRouter, og dens GUI understøtter ikke konfiguration af IPv6, så CLI (eller Config Tree) bruges. Jeg opretter først WAN_IN
brandvægs regler på min grænseflade (eth0
):
# Configure Firewallset firewall ipv6-name IPV6WAN_IN description 'IPV6WAN to internal'set firewall ipv6-name IPV6WAN_IN default-action dropset firewall ipv6-name IPV6WAN_IN rule 10 action acceptset firewall ipv6-name IPV6WAN_IN rule 10 state established enableset firewall ipv6-name IPV6WAN_IN rule 10 state related enableset firewall ipv6-name IPV6WAN_IN rule 10 log disableset firewall ipv6-name IPV6WAN_IN rule 10 description 'Allow established/related'set firewall ipv6-name IPV6WAN_IN rule 20 action dropset firewall ipv6-name IPV6WAN_IN rule 20 state invalid enableset firewall ipv6-name IPV6WAN_IN rule 20 description 'Drop invalid state'set firewall ipv6-name IPV6WAN_IN rule 30 action acceptset firewall ipv6-name IPV6WAN_IN rule 30 description 'Allow ICMPv6'set firewall ipv6-name IPV6WAN_IN rule 30 log disableset firewall ipv6-name IPV6WAN_IN rule 30 protocol icmpv6set interfaces ethernet eth0 firewall in ipv6-name IPV6WAN_INcommitsave
så er det tid til at konfigurere DHCPv6 præfiks Delegation og allokere det til vores hjemmenetværk. Da jeg har flere VLAN ‘ er derhjemme (og jeg diskuterede, hvorfor du skulle gøre det i dette indlæg), kan jeg gøre det for hver VLAN-grænseflade ved at tildele en unik prefix-id
til dem:
# Enable DHCPv6 Prefix Delegation on WAN interface# Comcast provides subnet with prefix length of 60set interfaces ethernet eth0 dhcpv6-pd pd 0set interfaces ethernet eth0 dhcpv6-pd pd 0 prefix-length 60set interfaces ethernet eth0 dhcpv6-pd rapid-commit enable# Allocate the delegated space to VLAN 100 with a 4-bit prefix of value 4set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 host-address ::1set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 prefix-id :4set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 service slaac# Advertise the 64-bit subnet into VLAN 100set interfaces switch switch0 vif 100 ipv6 router-advert prefix ::/64commitsave
så i show interfaces
skal du se en /128
adresse er allokeret til din LAN-grænseflade, og din LAN-grænseflade (i dette tilfælde switch0.100
) skal have en /64
adresse, og show ipv6 route
skal vise /64
præfikser til hver af LAN-grænsefladerne og ::/0
til din LAN-grænseflade. Alle dine IPv6-aktiverede enheder skal hente deres IPv6-adresser, hvis IPv6-konfiguration er indstillet til automatisk, og fuld IPv6-forbindelse til internettet er etableret. Du kan teste det med test-ipv6.com.
hovedspørgsmålet er dog: har du brug for IPv6 i dit hjemmenetværk? Svaret er stort set nej.
kun en lille brøkdel af dine enheder understøtter IPv6 fuldt ud eller kan fungere i et IPv6-netværk. Mange enheder bruger netværksopdagelsesprotokoller som UPnP eller mDNS, der er afhængige af multicast eller udsendes i et lokalt netværk. Givet multicast er anderledes i IPv6 og udsendelse simpelthen ikke eksisterer, og der er ikke mere lokalt eller privat netværk med IPv6, jeg forventer fuldt ud, at mange enheder simpelthen ikke virker i IPv6-kun netværk. Det er usandsynligt, at leverandører leverer opdateringer til ældre udstyr for at få det til at fungere med IPv6 og vil bede dig om at købe nye i stedet, hvilket gør dem fanget i IPv4-æraen.
derudover kan det at have internetadresserbart hjemmenetværk potentielt afsløre sikkerhedssårbarhed, der i øjeblikket er lokal i din router, til internettet, og dit hjemmenetværk vil blive påvirket af Internethændelser, hvis din internetudbyder ikke forhindrer det i at nå din router.
hvis du bruger PI-Hole DNS-server, blokerer standardkonfigurationen ikke sporing på IPv6-netværket. Yderligere konfiguration er nødvendig for at blokere annoncer og sporing, hvis du har IPv6 aktiveret.
IPv4 fungerer fint for de fleste hjemmenetværk. Hjem routere kan NAT ved højere gennemstrømning end de fleste menneskers internetbåndbredde, så du ikke vil se en stor præstationsforbedring i IPv6. Så hvis du ikke er vært for ting på Internettet (som internetservere og sådan), behøver du ikke IPv6 i dit hjem.
så den største fordel ved at konfigurere IPv6 i mit netværk (og fjerne det senere) for mig er muligheden for at prøve noget nyt og lære, hvad branchen har lært af IPv6, og dermed hvilke designforbedringer der sættes i IPv6-protokolsuiten.
dette er postserien. Andre indlæg kan findes under Hjemmenetværksmærke.