Bezpieczna sieć domowa: Skonfiguruj IPv6 dla swojej sieci domowej
IPv6 istnieje już od jakiegoś czasu, ale co zaskakujące, nie każdy dostawca usług internetowych go obsługuje. Jeśli twój dostawca usług internetowych go obsługuje, możesz włączyć go na routerze. Biorąc pod uwagę, że nie wszystkie urządzenia lub wszyscy w Internecie obsługują jeszcze IPv6 (lub nigdy nie będą), uruchomimy sieć dual-stack, która obsługuje zarówno IPv4, jak i IPv6 jednocześnie.
IPv6 różni się od IPv4 podczas tworzenia sieci domowej w następujący sposób:
- nie jest wymagane tłumaczenie adresu sieciowego (Nat). Zamiast mieć prywatną przestrzeń RFC1918 dla sieci domowej, a Brama internetowa wykonuje tłumaczenie NAT na przypisany publiczny adres IPv4, dostawca usług internetowych może przypisać podsieć, która jest 64-bitowa lub większa, do użytku domowego. W ten sposób Twoja sieć domowa jest jednoznacznie identyfikowana i routowalna w Internecie. Proces przypisania nazywa się delegacją prefiksu.
- biorąc pod uwagę, że przestrzeń podsieci jest tak duża, nieczęsto jest korzystać ze stanowej alokacji adresów, takiej jak DHCP. Zamiast tego, bezstanowa konfiguracja adresów (slaac) jest szeroko stosowana, aby umożliwić hostom IPv6 automatyczną konfigurację.
- Routery dostarczają prefiksy sieciowe do urządzeń za pośrednictwem reklam routerów.
ponieważ sieć domowa IPv6 jest adresowalna przez Internet, ważne jest skonfigurowanie reguł zapory przed uzyskaniem adresów. Używam Ubiquiti EdgeRouter i jego GUI nie obsługuje konfiguracji IPv6, więc używane jest CLI (lub Config Tree). Najpierw tworzę reguły zapory WAN_IN na moim interfejsie WAN(eth0):
# Configure Firewallset firewall ipv6-name IPV6WAN_IN description 'IPV6WAN to internal'set firewall ipv6-name IPV6WAN_IN default-action dropset firewall ipv6-name IPV6WAN_IN rule 10 action acceptset firewall ipv6-name IPV6WAN_IN rule 10 state established enableset firewall ipv6-name IPV6WAN_IN rule 10 state related enableset firewall ipv6-name IPV6WAN_IN rule 10 log disableset firewall ipv6-name IPV6WAN_IN rule 10 description 'Allow established/related'set firewall ipv6-name IPV6WAN_IN rule 20 action dropset firewall ipv6-name IPV6WAN_IN rule 20 state invalid enableset firewall ipv6-name IPV6WAN_IN rule 20 description 'Drop invalid state'set firewall ipv6-name IPV6WAN_IN rule 30 action acceptset firewall ipv6-name IPV6WAN_IN rule 30 description 'Allow ICMPv6'set firewall ipv6-name IPV6WAN_IN rule 30 log disableset firewall ipv6-name IPV6WAN_IN rule 30 protocol icmpv6set interfaces ethernet eth0 firewall in ipv6-name IPV6WAN_INcommitsavenastępnie nadszedł czas, aby skonfigurować delegację prefiksu DHCPv6 i przydzielić ją do naszych sieci domowych. Ponieważ mam w domu wiele sieci VLAN (i omówiłem, dlaczego powinieneś to zrobić w tym poście), mogę to zrobić dla każdego interfejsu VLAN, przypisując im unikalny prefix-id :
# Enable DHCPv6 Prefix Delegation on WAN interface# Comcast provides subnet with prefix length of 60set interfaces ethernet eth0 dhcpv6-pd pd 0set interfaces ethernet eth0 dhcpv6-pd pd 0 prefix-length 60set interfaces ethernet eth0 dhcpv6-pd rapid-commit enable# Allocate the delegated space to VLAN 100 with a 4-bit prefix of value 4set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 host-address ::1set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 prefix-id :4set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 service slaac# Advertise the 64-bit subnet into VLAN 100set interfaces switch switch0 vif 100 ipv6 router-advert prefix ::/64commitsavenastępnie w show interfaces powinieneś zobaczyć adres /128 przypisany do twojego interfejsu WAN, a twój interfejs LAN (w tym przypadku switch0.100) powinien mieć adres /64, a show ipv6 route powinien pokazywać prefiksy /64 dla każdego z interfejsów LAN, a ::/0 do twojego interfejsu WAN. Wszystkie urządzenia obsługujące protokół IPv6 powinny odbierać swoje adresy IPv6, jeśli konfiguracja protokołu IPv6 jest ustawiona na automatyczną i zostanie ustanowiona pełna łączność IPv6 z Internetem. Możesz go przetestować z test-ipv6.com.
jednak główne pytanie brzmi: czy potrzebujesz IPv6 w sieci domowej? Odpowiedź brzmi w dużej mierze: nie.
tylko niewielka część twoich urządzeń w pełni obsługuje IPv6 lub jest w stanie działać w sieci tylko IPv6. Wiele urządzeń korzysta z protokołów wykrywania sieci, takich jak UPnP lub MDN, które opierają się na multiemisji lub transmisji w sieci lokalnej. Biorąc pod uwagę multicast jest inny w IPv6 i broadcast po prostu nie istnieje, a nie ma już lokalnej lub prywatnej sieci z IPv6, w pełni oczekuję, że wiele urządzeń po prostu nie działa w sieciach tylko IPv6. Dostawcy raczej nie dostarczą aktualizacji oprogramowania sprzętowego do starszego sprzętu, aby działał z IPv6 i poproszą Cię o zakup nowych, co sprawi, że będą uwięzieni w erze IPv4.
ponadto, bez odpowiedniej zapory sieciowej, posiadanie sieci domowej z adresem internetowym może potencjalnie ujawnić luki w zabezpieczeniach, które są obecnie lokalne w routerze, a na Twoją sieć domową będą miały wpływ zdarzenia internetowe, jeśli dostawca usług internetowych nie powstrzyma go przed dotarciem do routera.
jeśli używasz serwera DNS Pi-Hole, domyślna konfiguracja nie blokuje śledzenia w sieci IPv6. Dodatkowa konfiguracja jest wymagana do blokowania reklam i śledzenia, jeśli masz włączony protokół IPv6.
IPv4 działa dobrze dla większości sieci domowych. Routery domowe mogą NAT z wyższą przepustowością niż przepustowość Internetu większości ludzi, więc nie zobaczysz dużej poprawy wydajności w IPv6. Więc jeśli nie hostujesz rzeczy w Internecie (takich jak serwery internetowe i takie), nie potrzebujesz IPv6 w domu.
więc główną korzyścią dla mnie, aby skonfigurować IPv6 w mojej sieci (i usunąć ją później), jest możliwość wypróbowania czegoś nowego i dowiedzenia się, czego branża nauczyła się od IPv6, a tym samym jakie ulepszenia projektowe są wprowadzane do pakietu protokołów IPv6.
to jest seria post. Inne posty można znaleźć pod tagiem HomeNetwork.