Rete domestica sicura: configura IPv6 per la tua rete domestica
IPv6 è in circolazione da un po’, ma sorprendentemente, non tutti gli ISP lo supportano. Se il tuo ISP lo supporta, puoi abilitarlo sul tuo router. Dato che non tutti i dispositivi o tutti in Internet supporta ancora IPv6 (o non lo farà mai), eseguiremo una rete dual-stack che supporta contemporaneamente sia IPv4 che IPv6.
IPv6 differisce da IPv4 quando si crea una rete domestica nei seguenti modi:
- Non è richiesta alcuna NAT (Network Address Translation). Invece di avere uno spazio privato RFC1918 per la rete domestica e il gateway Internet esegue NAT per tradurre all’indirizzo IPv4 pubblico assegnato, l’ISP può assegnare una sottorete, che è 64 bit o più grande, per l’uso domestico. Pertanto, la rete domestica è identificata in modo univoco e instradabile su Internet. Il processo di assegnazione è chiamato Prefix Delegation.
- Dato che lo spazio della sottorete è così grande, è raro utilizzare l’allocazione degli indirizzi stateful, come DHCP. Invece, stateless address autoconfiguration (SLAAC) è ampiamente utilizzato per consentire agli host IPv6 di configurarsi automaticamente.
- I router forniscono prefissi di rete ai dispositivi tramite pubblicità router.
Poiché la rete domestica IPv6 è indirizzabile a Internet, è importante impostare le regole del firewall prima di ottenere gli indirizzi. Io uso Ubiquiti EdgeRouter e la sua GUI non supporta la configurazione di IPv6, quindi viene utilizzata CLI (o Config Tree). Per prima cosa creo le regole del firewall WAN_IN sulla mia interfaccia WAN(eth0):
# Configure Firewallset firewall ipv6-name IPV6WAN_IN description 'IPV6WAN to internal'set firewall ipv6-name IPV6WAN_IN default-action dropset firewall ipv6-name IPV6WAN_IN rule 10 action acceptset firewall ipv6-name IPV6WAN_IN rule 10 state established enableset firewall ipv6-name IPV6WAN_IN rule 10 state related enableset firewall ipv6-name IPV6WAN_IN rule 10 log disableset firewall ipv6-name IPV6WAN_IN rule 10 description 'Allow established/related'set firewall ipv6-name IPV6WAN_IN rule 20 action dropset firewall ipv6-name IPV6WAN_IN rule 20 state invalid enableset firewall ipv6-name IPV6WAN_IN rule 20 description 'Drop invalid state'set firewall ipv6-name IPV6WAN_IN rule 30 action acceptset firewall ipv6-name IPV6WAN_IN rule 30 description 'Allow ICMPv6'set firewall ipv6-name IPV6WAN_IN rule 30 log disableset firewall ipv6-name IPV6WAN_IN rule 30 protocol icmpv6set interfaces ethernet eth0 firewall in ipv6-name IPV6WAN_INcommitsaveQuindi è il momento di configurare la delega del prefisso DHCPv6 e assegnarla alle nostre reti domestiche. Dal momento che ho più Vlan a casa (e ho discusso perché si dovrebbe farlo in questo post), posso fare così per ogni interfaccia VLAN tramite l’assegnazione di un unico prefix-id per loro:
# Enable DHCPv6 Prefix Delegation on WAN interface# Comcast provides subnet with prefix length of 60set interfaces ethernet eth0 dhcpv6-pd pd 0set interfaces ethernet eth0 dhcpv6-pd pd 0 prefix-length 60set interfaces ethernet eth0 dhcpv6-pd rapid-commit enable# Allocate the delegated space to VLAN 100 with a 4-bit prefix of value 4set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 host-address ::1set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 prefix-id :4set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 service slaac# Advertise the 64-bit subnet into VLAN 100set interfaces switch switch0 vif 100 ipv6 router-advert prefix ::/64commitsaveQuindi in show interfaces, si dovrebbe vedere un /128 indirizzo è allocata per l’interfaccia WAN e LAN interfaccia (in questo caso, switch0.100) dovrebbe avere un /64 indirizzo e show ipv6 route dovrebbe mostrare /64 prefissi per ciascuna delle interfacce LAN, e ::/0 per la vostra interfaccia WAN. Tutti i dispositivi abilitati IPv6 dovrebbero rilevare i loro indirizzi IPv6, se la configurazione IPv6 è impostata su automatica e viene stabilita la connettività IPv6 completa a Internet. Puoi testarlo con test-ipv6.com.
Tuttavia, la domanda principale è: hai bisogno di IPv6 nella tua rete domestica? La risposta è in gran parte, no.
Solo una piccola parte dei tuoi dispositivi supporta completamente IPv6 o è in grado di operare in una rete solo IPv6. Molti dispositivi utilizzano protocolli di rilevamento di rete come UPnP o mDNS che si basano su multicast o broadcast in una rete locale. Dato multicast è diverso in IPv6 e la trasmissione semplicemente non esiste, e non c’è più rete locale o privata con IPv6, mi aspetto che molti dispositivi semplicemente non funzionino in reti solo IPv6. È improbabile che i fornitori forniscano aggiornamenti firmware all’hardware legacy per farlo funzionare con IPv6 e ti chiederanno di acquistarne di nuovi, rendendoli intrappolati nell’era IPv4.
Inoltre, senza un firewall adeguato, avere una rete domestica indirizzabile a Internet può potenzialmente esporre vulnerabilità di sicurezza che sono attualmente locali all’interno del router a Internet e la rete domestica sarebbe influenzata da eventi Internet se l’ISP non riesce a impedirgli di raggiungere il router.
Se si utilizza il server DNS Pi-Hole, la configurazione predefinita non blocca il tracciamento sulla rete IPv6. È necessaria una configurazione aggiuntiva per bloccare gli annunci e il tracciamento se l’IPv6 è abilitato.
IPv4 funziona bene per la maggior parte delle reti domestiche. I router domestici possono NAT a un throughput più elevato rispetto alla larghezza di banda Internet della maggior parte delle persone, quindi non vedrai un grande miglioramento delle prestazioni in IPv6. Quindi, se non si ospitano cose su Internet (come server Web e simili), non è necessario IPv6 a casa.
Quindi il vantaggio principale di configurare IPv6 nella mia rete (e rimuoverlo in seguito) per me è l’opportunità di provare qualcosa di nuovo e imparare ciò che l’industria ha imparato da IPv6 e quindi quali miglioramenti di progettazione vengono inseriti nella suite di protocolli IPv6.
Questa è la serie post. Altri messaggi possono essere trovati sotto tag HomeNetwork.