Rețea de domiciliu securizată: configurați IPv6 pentru rețeaua dvs. de domiciliu
IPv6 a fost în jur de ceva timp, dar în mod surprinzător, nu fiecare ISP îl acceptă. Dacă ISP-ul dvs. îl acceptă, îl puteți activa pe router. Având în vedere că nu toate dispozitivele sau toată lumea de pe internet acceptă încă IPv6 (sau nu o va face niciodată), vom rula rețea dual-stack care acceptă simultan atât IPv4, cât și IPv6.
IPv6 diferă de IPv4 atunci când creați o rețea de domiciliu în următoarele moduri:
- nu este necesară traducerea adresei de rețea (Nat). În loc să aibă un spațiu privat RFC1918 pentru rețeaua de domiciliu și gateway-ul dvs. de internet efectuează nat pentru a traduce la adresa IPv4 publică atribuită, ISP poate atribui o subrețea, care este de 64 de biți sau mai mare, pentru uz casnic. Astfel, rețeaua dvs. de domiciliu este identificată în mod unic și rutabilă pe Internet. Procesul de atribuire se numește Delegare Prefix.
- având în vedere că spațiul de subrețea este atât de mare, este neobișnuit să se utilizeze alocarea adreselor stateful, cum ar fi DHCP. În schimb, stateless address autoconfiguration (SLAAC) este utilizat pe scară largă pentru a permite gazdelor IPv6 să se configureze automat.
- routerele oferă prefixe de rețea dispozitivelor prin reclame de router.
deoarece rețeaua de domiciliu IPv6 este adresabilă la Internet, este important să configurați reguli firewall înainte de a obține adrese. Eu folosesc Ubiquiti EdgeRouter și GUI sa nu are suport pentru configurarea IPv6, astfel încât CLI (sau copac Config) este utilizat. Mai întâi creez regulile firewall-ului WAN_IN pe interfața mea WAN(eth0):
# Configure Firewallset firewall ipv6-name IPV6WAN_IN description 'IPV6WAN to internal'set firewall ipv6-name IPV6WAN_IN default-action dropset firewall ipv6-name IPV6WAN_IN rule 10 action acceptset firewall ipv6-name IPV6WAN_IN rule 10 state established enableset firewall ipv6-name IPV6WAN_IN rule 10 state related enableset firewall ipv6-name IPV6WAN_IN rule 10 log disableset firewall ipv6-name IPV6WAN_IN rule 10 description 'Allow established/related'set firewall ipv6-name IPV6WAN_IN rule 20 action dropset firewall ipv6-name IPV6WAN_IN rule 20 state invalid enableset firewall ipv6-name IPV6WAN_IN rule 20 description 'Drop invalid state'set firewall ipv6-name IPV6WAN_IN rule 30 action acceptset firewall ipv6-name IPV6WAN_IN rule 30 description 'Allow ICMPv6'set firewall ipv6-name IPV6WAN_IN rule 30 log disableset firewall ipv6-name IPV6WAN_IN rule 30 protocol icmpv6set interfaces ethernet eth0 firewall in ipv6-name IPV6WAN_INcommitsaveapoi este timpul să configurați delegarea prefixului DHCPv6 și să o alocați rețelelor noastre de acasă. Deoarece am mai multe VLAN-uri acasă (și am discutat de ce ar trebui să faceți acest lucru în acest post), pot face acest lucru pentru fiecare interfață VLAN atribuind un prefix-id unic pentru ei:
# Enable DHCPv6 Prefix Delegation on WAN interface# Comcast provides subnet with prefix length of 60set interfaces ethernet eth0 dhcpv6-pd pd 0set interfaces ethernet eth0 dhcpv6-pd pd 0 prefix-length 60set interfaces ethernet eth0 dhcpv6-pd rapid-commit enable# Allocate the delegated space to VLAN 100 with a 4-bit prefix of value 4set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 host-address ::1set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 prefix-id :4set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 service slaac# Advertise the 64-bit subnet into VLAN 100set interfaces switch switch0 vif 100 ipv6 router-advert prefix ::/64commitsaveapoi, în show interfaces, ar trebui să vedeți că o adresă /128 este alocată interfeței WAN, iar interfața LAN (în acest caz, switch0.100) ar trebui să aibă o adresă /64 și show ipv6 route ar trebui să afișeze prefixe /64 pentru fiecare dintre interfețele LAN și ::/0 pentru interfața WAN. Toate dispozitivele IPv6 activate ar trebui să ridice adresele IPv6, în cazul în care configurația IPv6 este setat la automat, și conectivitate completă IPv6 la internet este stabilit. Puteți să-l testați cu test-ipv6.com.
cu toate acestea, întrebarea principală este: aveți nevoie de IPv6 în rețeaua de domiciliu? Răspunsul este în mare măsură, nu.
doar o mică parte din dispozitivele dvs. acceptă pe deplin IPv6 sau pot funcționa într-o rețea numai IPv6. Multe dispozitive utilizează protocoale de descoperire a rețelei, cum ar fi UPnP sau mDNS, care se bazează pe multicast sau difuzat într-o rețea locală. Având în vedere că multicastul este diferit în IPv6 și difuzarea pur și simplu nu există și nu mai există o rețea locală sau privată cu IPv6, mă aștept pe deplin că multe dispozitive pur și simplu nu funcționează în rețelele numai IPv6. Este puțin probabil ca furnizorii să ofere actualizări de firmware hardware-ului vechi pentru a-l face să funcționeze cu IPv6 și vă vor cere să cumpărați altele noi, făcându-le prinse în era IPv4.
în plus, fără firewall adecvat în loc, având rețea de domiciliu adresabile la internet poate expune potențial vulnerabilitate de securitate, care sunt în prezent locale în router la Internet, și rețeaua de domiciliu ar fi afectate de evenimente de Internet în cazul în care ISP-ul nu reușește să-l oprească de la a ajunge la router.
dacă utilizați serverul DNS Pi-Hole, configurația implicită nu blochează urmărirea în rețeaua IPv6. Este necesară o configurație suplimentară pentru a bloca anunțurile și urmărirea dacă aveți activat IPv6.
IPv4 funcționează bine pentru majoritatea rețelelor de domiciliu. Routerele de acasă pot avea un randament mai mare decât lățimea de bandă a internetului majorității oamenilor, astfel încât să nu vedeți o îmbunătățire mare a performanței în IPv6. Deci, dacă nu găzduiți lucruri pe Internet (cum ar fi serverele web și altele), atunci nu aveți nevoie de IPv6 în casa dvs.
deci, principalul beneficiu pentru a configura IPv6 în rețeaua mea (și a o elimina mai târziu) pentru mine este oportunitatea de a încerca ceva nou și de a afla ce a învățat industria de la IPv6 și, astfel, ce îmbunătățiri de proiectare sunt puse în suita de protocol IPv6.
aceasta este seria post. Alte postări pot fi găsite sub eticheta HomeNetwork.