Sicheres Heimnetzwerk: Konfigurieren Sie IPv6 für Ihr Heimnetzwerk
IPv6 gibt es schon eine Weile, aber überraschenderweise unterstützt es nicht jeder ISP. Wenn Ihr ISP dies unterstützt, können Sie es auf Ihrem Router aktivieren. Da noch nicht alle Geräte oder jeder im Internet IPv6 unterstützen (oder dies niemals tun werden), werden wir ein Dual-Stack-Netzwerk ausführen, das sowohl IPv4 als auch IPv6 gleichzeitig unterstützt.
IPv6 unterscheidet sich von IPv4 beim Erstellen eines Heimnetzwerks auf folgende Weise:
- Es ist keine Network Address Translation (NAT) erforderlich. Anstatt einen privaten RFC1918-Bereich für Ihr Heimnetzwerk zu haben und Ihr Internet-Gateway NAT ausführt, um in Ihre zugewiesene öffentliche IPv4-Adresse zu übersetzen, kann der ISP ein Subnetz mit 64 Bit oder mehr für Ihren Heimgebrauch zuweisen. Somit ist Ihr Heimnetzwerk eindeutig identifiziert und im Internet routingfähig. Der Zuweisungsprozess wird Präfixdelegierung genannt.
- Da der Subnetzspeicher so groß ist, ist es ungewöhnlich, zustandsbehaftete Adresszuweisungen wie DHCP zu verwenden. Stattdessen wird Stateless Address Autoconfiguration (SLAAC) häufig verwendet, um IPv6-Hosts die automatische Konfiguration zu ermöglichen.
- Router stellen Netzwerkpräfixe für Geräte über Router-Werbung bereit.
Da das IPv6-Heimnetzwerk internetadressierbar ist, ist es wichtig, Firewall-Regeln einzurichten, bevor Adressen abgerufen werden. Ich benutze Ubiquiti EdgeRouter und seine GUI unterstützt nicht die Konfiguration von IPv6, daher wird CLI (oder Config Tree) verwendet. Ich erstelle zuerst die WAN_IN Firewall-Regeln auf meiner WAN-Schnittstelle (eth0):
# Configure Firewallset firewall ipv6-name IPV6WAN_IN description 'IPV6WAN to internal'set firewall ipv6-name IPV6WAN_IN default-action dropset firewall ipv6-name IPV6WAN_IN rule 10 action acceptset firewall ipv6-name IPV6WAN_IN rule 10 state established enableset firewall ipv6-name IPV6WAN_IN rule 10 state related enableset firewall ipv6-name IPV6WAN_IN rule 10 log disableset firewall ipv6-name IPV6WAN_IN rule 10 description 'Allow established/related'set firewall ipv6-name IPV6WAN_IN rule 20 action dropset firewall ipv6-name IPV6WAN_IN rule 20 state invalid enableset firewall ipv6-name IPV6WAN_IN rule 20 description 'Drop invalid state'set firewall ipv6-name IPV6WAN_IN rule 30 action acceptset firewall ipv6-name IPV6WAN_IN rule 30 description 'Allow ICMPv6'set firewall ipv6-name IPV6WAN_IN rule 30 log disableset firewall ipv6-name IPV6WAN_IN rule 30 protocol icmpv6set interfaces ethernet eth0 firewall in ipv6-name IPV6WAN_INcommitsave Dann ist es an der Zeit, die DHCPv6-Präfixdelegierung zu konfigurieren und unseren Heimnetzwerken zuzuweisen. Da ich zu Hause mehrere VLANs habe (und ich habe in diesem Beitrag besprochen, warum Sie dies tun sollten), kann ich dies für jede VLAN-Schnittstelle tun, indem ich ihnen eine eindeutige prefix-id zuweise:
# Enable DHCPv6 Prefix Delegation on WAN interface# Comcast provides subnet with prefix length of 60set interfaces ethernet eth0 dhcpv6-pd pd 0set interfaces ethernet eth0 dhcpv6-pd pd 0 prefix-length 60set interfaces ethernet eth0 dhcpv6-pd rapid-commit enable# Allocate the delegated space to VLAN 100 with a 4-bit prefix of value 4set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 host-address ::1set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 prefix-id :4set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 service slaac# Advertise the 64-bit subnet into VLAN 100set interfaces switch switch0 vif 100 ipv6 router-advert prefix ::/64commitsave Dann sollten Sie in show interfaces sehen, dass Ihrer WAN-Schnittstelle eine /128 -Adresse zugewiesen ist, und Ihre LAN-Schnittstelle (in diesem Fall switch0.100) sollte eine /64 -Adresse haben, und show ipv6 route sollte /64 -Präfixe für jede der LAN-Schnittstellen und ::/0 für Ihre WAN-Schnittstelle anzeigen. Alle Ihre IPv6-fähigen Geräte sollten ihre IPv6-Adressen abrufen, wenn die IPv6-Konfiguration auf automatisch eingestellt ist und die vollständige IPv6-Verbindung zum Internet hergestellt ist. Sie können es testen mit test-ipv6.com .
Die Hauptfrage lautet jedoch: Benötigen Sie IPv6 in Ihrem Heimnetzwerk? Die Antwort ist weitgehend nein.
Nur ein kleiner Teil Ihrer Geräte unterstützt IPv6 vollständig oder kann in einem reinen IPv6-Netzwerk betrieben werden. Viele Geräte verwenden Netzwerkerkennungsprotokolle wie UPnP oder mDNS, die auf Multicast oder Broadcast in einem lokalen Netzwerk basieren. Da Multicast in IPv6 anders ist und Broadcast einfach nicht existiert und es kein lokales oder privates Netzwerk mehr mit IPv6 gibt, erwarte ich, dass viele Geräte einfach nicht nur in IPv6-Netzwerken funktionieren. Es ist unwahrscheinlich, dass Anbieter Firmware-Updates für ältere Hardware bereitstellen, damit diese mit IPv6 funktioniert, und Sie stattdessen auffordern, neue zu kaufen, wodurch sie in der IPv4-Ära gefangen sind.
Darüber hinaus kann ein internetadressierbares Heimnetzwerk ohne eine ordnungsgemäße Firewall möglicherweise Sicherheitslücken aufdecken, die derzeit in Ihrem Router lokal sind, und Ihr Heimnetzwerk würde von Internetereignissen betroffen sein, wenn Ihr ISP dies nicht kann verhindern, dass es Ihren Router erreicht.
Wenn Sie den Pi-Hole DNS-Server verwenden, blockiert die Standardkonfiguration die Verfolgung im IPv6-Netzwerk nicht. Wenn Sie IPv6 aktiviert haben, ist eine zusätzliche Konfiguration erforderlich, um Anzeigen und Tracking zu blockieren.
IPv4 funktioniert gut für die meisten Heimnetzwerke. Heimrouter können NAT mit einem höheren Durchsatz als die Internetbandbreite der meisten Benutzer ausführen, sodass Sie bei IPv6 keine große Leistungsverbesserung feststellen werden. Wenn Sie also keine Dinge im Internet hosten (wie Webserver usw.), benötigen Sie zu Hause kein IPv6.
Der Hauptvorteil, IPv6 in meinem Netzwerk zu konfigurieren (und später zu entfernen), ist für mich die Möglichkeit, etwas Neues auszuprobieren und zu erfahren, was die Branche von IPv6 gelernt hat und welche Designverbesserungen in die IPv6-Protokollsuite einfließen.
Dies ist die Post-Serie. Weitere Beiträge finden Sie unter HomeNetwork Tag.