安全なホームネットワーク:ホームネットワークのIpv6を設定する
Ipv6はしばらくの間存在していましたが、驚くべきことに、すべてのISPがそれをサポートしているわけではありません。 ISPがサポートしている場合は、ルーターで有効にすることができます。 インターネット内のすべてのデバイスやすべての人がまだIpv6をサポートしているわけではない(または決してサポートしない)ことを考えると、Ipv4とIpv6の両方を同時にサポートするデュアルスタックネットワークを実行します。
ipv6は、次の方法でホームネットワークを作成する場合、Ipv4とは異なります:
- ネットワークアドレス変換(NAT)は必要ありません。 ホームネットワーク用のRFC1918プライベートスペースを持ち、インターネットゲートウェイがNATを実行して割り当てられたパブリックIpv4アドレスに変換する代わりに、ISPは自宅で使用するために64ビット以上のサブネットを割り当てることができます。 したがって、ホームネットワークは一意に識別され、インターネット上でルーティング可能です。 割り当てプロセスは、接頭辞委任と呼ばれます。
- サブネットスペースが非常に大きいため、DHCPなどのステートフルなアドレス割り当てを使用することはまれです。 代わりに、ステートレスアドレス自動設定(SLAAC)は、Ipv6ホストが自動的に設定できるように広く使用されています。
- ルータは、ルータ通知を介してデバイスにネットワークプレフィックスを提供します。
Ipv6ホームネットワークはインターネットアドレス指定可能であるため、アドレスを取得する前にファイアウォールルールを設定することが重要です。 私はUbiquiti EdgeRouterを使用しており、そのGUIはIpv6の設定をサポートしていないため、CLI(または設定ツリー)が使用されます。 最初にWANインターフェイスにWAN_INファイアウォールルールを作成します(eth0):
# Configure Firewallset firewall ipv6-name IPV6WAN_IN description 'IPV6WAN to internal'set firewall ipv6-name IPV6WAN_IN default-action dropset firewall ipv6-name IPV6WAN_IN rule 10 action acceptset firewall ipv6-name IPV6WAN_IN rule 10 state established enableset firewall ipv6-name IPV6WAN_IN rule 10 state related enableset firewall ipv6-name IPV6WAN_IN rule 10 log disableset firewall ipv6-name IPV6WAN_IN rule 10 description 'Allow established/related'set firewall ipv6-name IPV6WAN_IN rule 20 action dropset firewall ipv6-name IPV6WAN_IN rule 20 state invalid enableset firewall ipv6-name IPV6WAN_IN rule 20 description 'Drop invalid state'set firewall ipv6-name IPV6WAN_IN rule 30 action acceptset firewall ipv6-name IPV6WAN_IN rule 30 description 'Allow ICMPv6'set firewall ipv6-name IPV6WAN_IN rule 30 log disableset firewall ipv6-name IPV6WAN_IN rule 30 protocol icmpv6set interfaces ethernet eth0 firewall in ipv6-name IPV6WAN_INcommitsave次に、Dhcpv6プレフィックス委任を設定し、ホームネットワークに割り当てます。 私は自宅に複数のVlanを持っているので(そして、この記事でなぜそうすべきかについて議論しました)、一意のprefix-idを割り当てることで、すべてのVLANインターフェー:
# Enable DHCPv6 Prefix Delegation on WAN interface# Comcast provides subnet with prefix length of 60set interfaces ethernet eth0 dhcpv6-pd pd 0set interfaces ethernet eth0 dhcpv6-pd pd 0 prefix-length 60set interfaces ethernet eth0 dhcpv6-pd rapid-commit enable# Allocate the delegated space to VLAN 100 with a 4-bit prefix of value 4set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 host-address ::1set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 prefix-id :4set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 service slaac# Advertise the 64-bit subnet into VLAN 100set interfaces switch switch0 vif 100 ipv6 router-advert prefix ::/64commitsave次に、show interfacesでは、WANインターフェイスに/128アドレスが割り当てられ、LANインターフェイス(この場合はswitch0.100)には/64アドレスがあり、show ipv6 routeには各LANインターフェイスに/64プレフィックスが表示され、WANインターフェイスに::/0が表示されます。 Ipv6設定が自動に設定されていて、インターネットへの完全なIpv6接続が確立されている場合、すべてのIpv6対応デバイスはIpv6アドレスを取得す あなたはそれをテストすることができますtest-ipv6.com.
しかし、主な質問は:あなたのホームネットワークにIpv6が必要ですか? 答えは主に、いいえです。
お使いのデバイスのほんの一部がIpv6を完全にサポートしているか、Ipv6のみのネットワークで動作することができます。 多くのデバイスは、ローカルネットワーク内のマルチキャストまたはブロードキャストに依存するUPnPやmdnなどのネットワー マルチキャストはIpv6で異なり、ブロードキャストは単に存在せず、ipv6でローカルまたはプライベートネットワークがないことを考えると、多くのデバイ ベンダーは、Ipv6で動作させるためにレガシーハードウェアにファームウェアの更新を提供する可能性は低く、代わりに新しいものを購入するよう求められ、Ipv4時代に閉じ込められることになります。
さらに、適切なファイアウォールが設定されていない場合、インターネットアドレス指定可能なホームネットワークを持つことは、現在ルーター内でインターネットにローカルにあるセキュリティ脆弱性を公開する可能性があり、ISPがルーターに到達するのを停止できない場合、ホームネットワークはインターネットイベントの影響を受ける可能性があります。
Pi-Hole DNSサーバを使用している場合、デフォルト設定ではIpv6ネットワークでの追跡はブロックされません。 Ipv6を有効にしている場合は、広告と追跡をブロックするための追加の設定が必要です。
Ipv4は、ほとんどのホームネットワークで正常に動作します。 ホームルーターは、ほとんどの人のインターネット帯域幅よりも高いスループットでNATすることができますので、Ipv6では大きなパフォーマ あなたがインターネット上で物事をホストしていないのであれば(webサーバーなど)、あなたはあなたの家にIpv6を必要としません。
だから、私のネットワークでIpv6を設定する(そして後で削除する)主な利点は、何か新しいことを試して、業界がIpv6から学んだことを学ぶ機会であり、Ipv6プロトコルスイートにどのような設計改善が施されているかを学ぶことである。
これはポストシリーズです。 他の投稿はHomeNetworkタグの下にあります。