Beveiligd thuisnetwerk: configureer IPv6 voor uw thuisnetwerk
IPv6 bestaat al een tijdje, maar verrassend genoeg ondersteunt niet elke internetprovider het. Als uw ISP het ondersteunt, kunt u het inschakelen op uw router. Aangezien nog niet alle apparaten of iedereen op het internet IPv6 ondersteunt (of nooit zal), zullen we dual-stack network draaien dat zowel IPv4 als IPv6 tegelijkertijd ondersteunt.
IPv6 verschilt van IPv4 bij het maken van een thuisnetwerk op de volgende manieren:
- er is geen nat (Network Address Translation) vereist. In plaats van een rfc1918 privéruimte voor uw thuisnetwerk en uw internetgateway voert NAT uit om te vertalen naar uw toegewezen openbare IPv4-adres, kan de ISP een subnet toewijzen, dat 64 bit of groter is, voor uw thuisgebruik. Zo is uw thuisnetwerk uniek geïdentificeerd en routeerbaar op het Internet. Het toewijzingsproces heet Prefix delegatie.
- aangezien de subnetruimte zo groot is, is het ongebruikelijk om stateful adresallocatie te gebruiken, zoals DHCP. In plaats daarvan wordt stateless address autoconfiguration (SLAAC) veel gebruikt om IPv6-hosts toe te staan zichzelf automatisch te configureren.
- Routers bieden netwerkvoorvoegsels aan apparaten via routeradvertenties.
omdat het IPv6-thuisnetwerk internet-adresseerbaar is, is het belangrijk firewallregels in te stellen voordat adressen worden verkregen. Ik gebruik Ubiquiti EdgeRouter en de GUI ondersteunt het configureren van IPv6 niet, dus CLI (of Config Tree) wordt gebruikt. Ik maak eerst de WAN_IN firewallregels op mijn WAN-interface (eth0):
# Configure Firewallset firewall ipv6-name IPV6WAN_IN description 'IPV6WAN to internal'set firewall ipv6-name IPV6WAN_IN default-action dropset firewall ipv6-name IPV6WAN_IN rule 10 action acceptset firewall ipv6-name IPV6WAN_IN rule 10 state established enableset firewall ipv6-name IPV6WAN_IN rule 10 state related enableset firewall ipv6-name IPV6WAN_IN rule 10 log disableset firewall ipv6-name IPV6WAN_IN rule 10 description 'Allow established/related'set firewall ipv6-name IPV6WAN_IN rule 20 action dropset firewall ipv6-name IPV6WAN_IN rule 20 state invalid enableset firewall ipv6-name IPV6WAN_IN rule 20 description 'Drop invalid state'set firewall ipv6-name IPV6WAN_IN rule 30 action acceptset firewall ipv6-name IPV6WAN_IN rule 30 description 'Allow ICMPv6'set firewall ipv6-name IPV6WAN_IN rule 30 log disableset firewall ipv6-name IPV6WAN_IN rule 30 protocol icmpv6set interfaces ethernet eth0 firewall in ipv6-name IPV6WAN_INcommitsavedan is het tijd om DHCPv6 Prefix delegatie te configureren en toe te wijzen aan onze thuisnetwerken. Aangezien ik meerdere Vlan ‘ s thuis (en ik besproken waarom u zou moeten doen in deze post), ik kan dus voor elke VLAN interface door het toekennen van een unieke prefix-id voor hen:
# Enable DHCPv6 Prefix Delegation on WAN interface# Comcast provides subnet with prefix length of 60set interfaces ethernet eth0 dhcpv6-pd pd 0set interfaces ethernet eth0 dhcpv6-pd pd 0 prefix-length 60set interfaces ethernet eth0 dhcpv6-pd rapid-commit enable# Allocate the delegated space to VLAN 100 with a 4-bit prefix of value 4set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 host-address ::1set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 prefix-id :4set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 service slaac# Advertise the 64-bit subnet into VLAN 100set interfaces switch switch0 vif 100 ipv6 router-advert prefix ::/64commitsaveVervolgens in show interfaces, moet je een /128 – adres is toegewezen aan de WAN-interface, en uw LAN-interface (in dit geval, switch0.100) moet een /64 adres en show ipv6 route moeten laten zien /64 prefixen aan elk van de LAN-interfaces, – en ::/0 om de WAN-interface. Al uw IPv6-apparaten moeten hun IPv6-adressen ophalen, als de IPv6-configuratie op Automatisch is ingesteld en volledige IPv6-verbinding met het internet tot stand is gebracht. Je kunt het testen met test-ipv6.com.
de belangrijkste vraag is echter: heeft u IPv6 nodig in uw thuisnetwerk? Het antwoord is grotendeels Nee.
slechts een klein deel van uw apparaten ondersteunt volledig IPv6 of is in staat om te werken in een IPv6-only netwerk. Veel apparaten maken gebruik van netwerkzoekprotocollen zoals UPnP of MDN ‘ s die afhankelijk zijn van multicast of broadcast in een lokaal netwerk. Aangezien multicast anders is in IPv6 en broadcast gewoon niet bestaat, en er geen lokaal of particulier netwerk meer is met IPv6, verwacht ik volledig dat veel apparaten gewoon niet werken in IPv6-netwerken. Leveranciers zullen waarschijnlijk geen firmware-updates leveren voor oudere hardware om het te laten werken met IPv6 en zullen u vragen om in plaats daarvan Nieuwe te kopen, waardoor ze gevangen zitten in het IPv4-Tijdperk.
bovendien kan het hebben van een internet-adresseerbaar thuisnetwerk, zonder de juiste firewall, mogelijk een beveiligingsprobleem blootstellen dat momenteel lokaal is binnen uw router aan het Internet, en uw thuisnetwerk zou worden beà nvloed door Internetgebeurtenissen als uw ISP er niet in slaagt het te stoppen uw router te bereiken.
Als u Pi-Hole DNS-server gebruikt, blokkeert de standaardconfiguratie tracking niet op het IPv6-netwerk. Extra configuratie is vereist om advertenties en tracking te blokkeren als u IPv6 hebt ingeschakeld.
IPv4 werkt prima voor de meeste thuisnetwerken. Thuisrouters kunnen NAT op een hogere doorvoer dan de meeste mensen internet bandbreedte, zodat u geen grote prestatieverbetering in IPv6 zult zien. Dus als je niet host dingen op het Internet (zoals webservers en dergelijke), dan heb je IPv6 niet nodig in uw huis.
het belangrijkste voordeel voor mij om IPv6 in mijn netwerk te configureren (en het later te verwijderen) is de mogelijkheid om iets nieuws te proberen en te leren wat de industrie van IPv6 heeft geleerd en dus welke ontwerpverbeteringen in de IPv6-protocolsuite worden aangebracht.
Dit is de postreeks. Andere berichten zijn te vinden onder HomeNetwork tag.