Red Doméstica segura: Configure IPv6 para su Red doméstica
IPv6 ha existido durante un tiempo, pero sorprendentemente, no todos los ISP lo admiten. Si su ISP lo admite, puede habilitarlo en su enrutador. Dado que no todos los dispositivos o todos en Internet admiten IPv6 todavía (o nunca lo harán), ejecutaremos una red de doble pila que admita IPv4 e IPv6 simultáneamente.
IPv6 difiere de IPv4 al crear una red doméstica de las siguientes maneras:
- No se requiere Traducción de Direcciones de Red (NAT). En lugar de tener un espacio privado RFC1918 para su red doméstica y su puerta de enlace de Internet realiza NAT para traducir a su dirección IPv4 pública asignada, el ISP puede asignar una subred, que es de 64 bits o más, para su uso doméstico. Por lo tanto, su red doméstica se identifica de forma única y se puede enrutar en Internet. El proceso de asignación se denomina Delegación de prefijos.
- Dado que el espacio de subred es tan grande, es poco común usar asignación de direcciones con estado, como DHCP. En su lugar, la configuración automática de direcciones sin estado (SLAAC) se usa ampliamente para permitir que los hosts IPv6 se configuren automáticamente.
- Los enrutadores proporcionan prefijos de red a los dispositivos a través de anuncios de enrutadores.
Dado que la red doméstica IPv6 es direccionable a Internet, es importante configurar reglas de firewall antes de obtener direcciones. Uso Ubiquiti EdgeRouter y su interfaz gráfica de usuario no admite la configuración de IPv6, por lo que se usa CLI (o Árbol de configuración). Primero creo las reglas de firewall WAN_IN en mi interfaz WAN(eth0):
# Configure Firewallset firewall ipv6-name IPV6WAN_IN description 'IPV6WAN to internal'set firewall ipv6-name IPV6WAN_IN default-action dropset firewall ipv6-name IPV6WAN_IN rule 10 action acceptset firewall ipv6-name IPV6WAN_IN rule 10 state established enableset firewall ipv6-name IPV6WAN_IN rule 10 state related enableset firewall ipv6-name IPV6WAN_IN rule 10 log disableset firewall ipv6-name IPV6WAN_IN rule 10 description 'Allow established/related'set firewall ipv6-name IPV6WAN_IN rule 20 action dropset firewall ipv6-name IPV6WAN_IN rule 20 state invalid enableset firewall ipv6-name IPV6WAN_IN rule 20 description 'Drop invalid state'set firewall ipv6-name IPV6WAN_IN rule 30 action acceptset firewall ipv6-name IPV6WAN_IN rule 30 description 'Allow ICMPv6'set firewall ipv6-name IPV6WAN_IN rule 30 log disableset firewall ipv6-name IPV6WAN_IN rule 30 protocol icmpv6set interfaces ethernet eth0 firewall in ipv6-name IPV6WAN_INcommitsaveEntonces es el momento de configurar la Delegación de prefijos DHCPv6 y asignarla a nuestras redes domésticas. Dado que tengo varias VLAN en casa (y discutí por qué debería hacerlo en este post), puedo hacerlo para cada interfaz VLAN asignando un prefix-id único para ellas:
# Enable DHCPv6 Prefix Delegation on WAN interface# Comcast provides subnet with prefix length of 60set interfaces ethernet eth0 dhcpv6-pd pd 0set interfaces ethernet eth0 dhcpv6-pd pd 0 prefix-length 60set interfaces ethernet eth0 dhcpv6-pd rapid-commit enable# Allocate the delegated space to VLAN 100 with a 4-bit prefix of value 4set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 host-address ::1set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 prefix-id :4set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 service slaac# Advertise the 64-bit subnet into VLAN 100set interfaces switch switch0 vif 100 ipv6 router-advert prefix ::/64commitsaveLuego, en show interfaces, debería ver que se asigna una dirección /128 a su interfaz WAN, y su interfaz LAN (en este caso, switch0.100) debería tener una dirección /64, y show ipv6 route debería mostrar prefijos /64 a cada una de las interfaces LAN, y ::/0 a su interfaz WAN. Todos sus dispositivos habilitados para IPv6 deben recoger sus direcciones IPv6, si la configuración de IPv6 se establece en automático y se establece una conectividad IPv6 completa a Internet. Puedes probarlo con test-ipv6.com.
Sin embargo, la pregunta principal es: ¿necesita IPv6 en su red doméstica? La respuesta es, en gran medida, no.
Solo una pequeña fracción de sus dispositivos son totalmente compatibles con IPv6 o pueden funcionar en una red solo para IPv6. Muchos dispositivos utilizan protocolos de detección de red, como UPnP o mDNS, que se basan en multidifusión o difusión en una red local. Dado que la multidifusión es diferente en IPv6 y la transmisión simplemente no existe, y no hay más red local o privada con IPv6, espero que muchos dispositivos simplemente no funcionen en redes solo IPv6. Es poco probable que los proveedores proporcionen actualizaciones de firmware al hardware heredado para que funcione con IPv6 y, en su lugar, le pedirán que compre otros nuevos, lo que los atrapará en la era IPv4.
Además, sin un firewall adecuado, tener una red doméstica con dirección a Internet puede exponer potencialmente a Internet vulnerabilidades de seguridad que actualmente son locales dentro de su enrutador, y su red doméstica se vería afectada por eventos de Internet si su ISP no evita que llegue a su enrutador.
Si utiliza un servidor DNS con agujero de Pi, la configuración predeterminada no bloquea el seguimiento en la red IPv6. Se requiere configuración adicional para bloquear anuncios y seguimiento si tiene IPv6 habilitado.
IPv4 funciona bien para la mayoría de las redes domésticas. Los routers domésticos pueden NAT a un rendimiento más alto que el ancho de banda de Internet de la mayoría de las personas, por lo que no verá una gran mejora de rendimiento en IPv6. Por lo tanto, si no aloja cosas en Internet (como servidores web y similares), no necesita IPv6 en su hogar.
Así que el principal beneficio de configurar IPv6 en mi red (y eliminarlo más adelante) para mí es la oportunidad de probar algo nuevo y aprender lo que la industria ha aprendido de IPv6 y, por lo tanto, qué mejoras de diseño se ponen en el conjunto de protocolos IPv6.
Esta es la serie post. Otras publicaciones se pueden encontrar bajo la etiqueta HomeNetwork.