Turvallinen kotiverkko: Määritä IPv6 Kotiverkollesi
IPv6 on ollut olemassa jo jonkin aikaa, mutta yllättäen kaikki ISP: t eivät tue sitä. Jos ISP tukee sitä, voit ottaa sen käyttöön reitittimessäsi. Koska kaikki laitteet tai kaikki Internetissä tukevat IPv6 vielä (tai ei koskaan), ajamme dual-stack verkko, joka tukee sekä IPv4 ja IPv6 samanaikaisesti.
IPv6 eroaa IPv4: stä kotiverkkoa luodessaan seuraavilla tavoilla:
- verkko-osoitteen kääntämistä (Nat) ei tarvita. Sen sijaan, että RFC1918 yksityinen tila kotiverkon ja internet gateway suorittaa Nat kääntää oman julkisen IPv4 osoite, ISP voi määrittää aliverkon, joka on 64 vähän tai suurempi, kotikäyttöön. Näin kotiverkko on yksilöity ja reititettävissä Internetissä. Toimeksiantoprosessia kutsutaan etuliitteen Delegaatioksi.
- koska aliverkon tila on niin suuri, on harvinaista käyttää tilallista osoitejakoa, kuten DHCP: tä. Sen sijaan stateless address autoconfiguration (SLAAC) on laajalti käytössä, jotta IPv6-isännät voivat määrittää itsensä automaattisesti.
- reitittimet antavat verkkoetuliitteitä laitteisiin reititinmainosten kautta.
koska IPv6-kotiverkko on Internet-osoitettavissa, on tärkeää luoda palomuurisäännöt ennen osoitteiden hankkimista. Käytän Ubiquiti EdgeRouter ja sen GUI ei tue konfigurointi IPv6, joten CLI (tai Config Tree) käytetään. I first create the WAN_IN firewall rules on my Wan interface (eth0):
# Configure Firewallset firewall ipv6-name IPV6WAN_IN description 'IPV6WAN to internal'set firewall ipv6-name IPV6WAN_IN default-action dropset firewall ipv6-name IPV6WAN_IN rule 10 action acceptset firewall ipv6-name IPV6WAN_IN rule 10 state established enableset firewall ipv6-name IPV6WAN_IN rule 10 state related enableset firewall ipv6-name IPV6WAN_IN rule 10 log disableset firewall ipv6-name IPV6WAN_IN rule 10 description 'Allow established/related'set firewall ipv6-name IPV6WAN_IN rule 20 action dropset firewall ipv6-name IPV6WAN_IN rule 20 state invalid enableset firewall ipv6-name IPV6WAN_IN rule 20 description 'Drop invalid state'set firewall ipv6-name IPV6WAN_IN rule 30 action acceptset firewall ipv6-name IPV6WAN_IN rule 30 description 'Allow ICMPv6'set firewall ipv6-name IPV6WAN_IN rule 30 log disableset firewall ipv6-name IPV6WAN_IN rule 30 protocol icmpv6set interfaces ethernet eth0 firewall in ipv6-name IPV6WAN_INcommitsavesitten on aika määrittää DHCPv6-etuliite delegaatio ja jakaa se kotiverkkoihimme. Koska minulla on useita VLAN kotona (ja keskustelin, miksi sinun pitäisi tehdä niin tässä viestissä), voin tehdä niin jokaiselle VLAN-käyttöliittymälle määrittämällä niille yksilöllisen prefix-id :
# Enable DHCPv6 Prefix Delegation on WAN interface# Comcast provides subnet with prefix length of 60set interfaces ethernet eth0 dhcpv6-pd pd 0set interfaces ethernet eth0 dhcpv6-pd pd 0 prefix-length 60set interfaces ethernet eth0 dhcpv6-pd rapid-commit enable# Allocate the delegated space to VLAN 100 with a 4-bit prefix of value 4set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 host-address ::1set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 prefix-id :4set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 service slaac# Advertise the 64-bit subnet into VLAN 100set interfaces switch switch0 vif 100 ipv6 router-advert prefix ::/64commitsavesitten show interfaces: ssä sinun pitäisi nähdä /128 osoite Wan-käyttöliittymällesi, ja LAN-liittymälläsi (tässä tapauksessa switch0.100) pitäisi olla /64 osoite, ja show ipv6 route pitäisi näkyä /64 etuliitteet jokaiselle LAN-liitännälle ja ::/0 Wan-käyttöliittymällesi. Kaikkien IPv6-yhteensopivien laitteiden pitäisi noutaa IPv6-osoitteensa, jos IPv6-konfiguraatio on asetettu automaattiseksi ja täydellinen IPv6-yhteys Internetiin on luotu. Voit testata sitä test-ipv6.com.
tärkein kysymys on kuitenkin: tarvitsetko IPv6: ta kotiverkkoosi? Vastaus on pääosin Ei.
vain pieni osa laitteistasi tukee täysin IPv6: ta tai pystyy toimimaan vain IPv6-verkossa. Monet laitteet käyttävät verkon löytöprotokollia, kuten UPnP: tä tai mDNS: ää, jotka perustuvat multicastiin tai lähiverkossa lähetettävään lähetykseen. Koska multicast on erilainen IPv6: ssa ja broadcast yksinkertaisesti ei ole olemassa, eikä IPv6: lla ole enää paikallista tai yksityistä verkkoa, odotan täysin, että monet laitteet eivät yksinkertaisesti toimi vain IPv6-verkoissa. Myyjät eivät todennäköisesti tarjoa laiteohjelmistopäivityksiä vanhoihin laitteistoihin, jotta ne toimisivat IPv6: n kanssa, ja pyytävät sinua ostamaan uusia sen sijaan, jolloin ne ovat IPv4: n aikakaudella ansassa.
lisäksi, ilman asianmukaista palomuuria, internet-osoitteellinen kotiverkko voi mahdollisesti altistaa reitittimessäsi tällä hetkellä olevat tietoturvahaavoittumat Internetiin, ja Internet-tapahtumat vaikuttaisivat kotiverkkoosi, jos ISP ei pysty estämään sitä pääsemästä reitittimeesi.
jos käytät Pi-Hole DNS-palvelinta, oletusasetus ei estä seurantaa IPv6-verkossa. Lisäasetuksia tarvitaan mainosten ja seurannan estämiseen, jos IPv6 on käytössä.
IPv4 toimii hyvin useimmissa kotiverkoissa. Kotireitittimet voivat NAT suuremmalla suoritusteholla kuin useimpien ihmisten internet-kaistanleveys, joten IPv6: ssa ei nähdä suurta suorituskykyparannusta. Joten jos et isännöi asioita Internetissä (kuten web-palvelimet ja tällaiset), niin et tarvitse IPv6 kotona.
joten suurin hyöty IPv6: n määrittämisestä verkossani (ja sen poistamisesta myöhemmin) minulle on mahdollisuus kokeilla jotain uutta ja oppia, mitä teollisuus on oppinut IPv6: sta ja siten mitä parannuksia IPv6-protokollapakettiin tehdään.
tämä on jälkisarja. Muut viestit löytyvät HomeNetwork-tunnisteen alta.