Rede doméstica segura: Configure o IPv6 para sua rede doméstica
o IPv6 existe há algum tempo, mas surpreendentemente, nem todo ISP o suporta. Se o seu ISP o suportar, você pode ativá-lo em seu roteador. Dado que nem todos os dispositivos ou todos na internet suportam IPv6 ainda (ou nunca), executaremos a rede de pilha dupla que suporta IPv4 e IPv6 simultaneamente.
IPv6 difere do IPv4 ao criar uma rede doméstica das seguintes maneiras:
- não é necessária tradução de endereço de rede (NAT). Em vez de ter um espaço privado RFC1918 para sua rede doméstica e seu gateway de internet executa NAT para traduzir para o endereço IPv4 público atribuído, o ISP pode atribuir uma sub-rede, que é de 64 bits ou maior, para uso doméstico. Assim, sua rede doméstica é identificada e roteável exclusivamente na Internet. O processo de atribuição é chamado de delegação de prefixo.
- dado que o espaço da sub-rede é tão grande, é incomum usar alocação de endereço com estado, como DHCP. Em vez disso, a configuração automática de endereço Sem estado (SLAAC) é amplamente usada para permitir que os hosts IPv6 se configurem automaticamente.
- os roteadores fornecem prefixos de rede para dispositivos por meio de Anúncios de roteador.
como a rede doméstica IPv6 é endereçável pela Internet, é importante configurar regras de firewall antes de obter endereços. Eu uso Ubiquiti EdgeRouter e sua GUI não suporta a configuração do IPv6, então CLI (ou Config Tree) é usado. Primeiro, crio as regras de firewall WAN_IN na minha interface WAN(eth0):
# Configure Firewallset firewall ipv6-name IPV6WAN_IN description 'IPV6WAN to internal'set firewall ipv6-name IPV6WAN_IN default-action dropset firewall ipv6-name IPV6WAN_IN rule 10 action acceptset firewall ipv6-name IPV6WAN_IN rule 10 state established enableset firewall ipv6-name IPV6WAN_IN rule 10 state related enableset firewall ipv6-name IPV6WAN_IN rule 10 log disableset firewall ipv6-name IPV6WAN_IN rule 10 description 'Allow established/related'set firewall ipv6-name IPV6WAN_IN rule 20 action dropset firewall ipv6-name IPV6WAN_IN rule 20 state invalid enableset firewall ipv6-name IPV6WAN_IN rule 20 description 'Drop invalid state'set firewall ipv6-name IPV6WAN_IN rule 30 action acceptset firewall ipv6-name IPV6WAN_IN rule 30 description 'Allow ICMPv6'set firewall ipv6-name IPV6WAN_IN rule 30 log disableset firewall ipv6-name IPV6WAN_IN rule 30 protocol icmpv6set interfaces ethernet eth0 firewall in ipv6-name IPV6WAN_INcommitsaveentão é hora de configurar a delegação de prefixo DHCPv6 e alocá-lo para nossas redes domésticas. Desde que eu tenho várias VLANs em casa (e eu discutimos por que você deve fazê-lo neste post), eu posso fazer isso para cada interface VLAN através da atribuição de uma única prefix-id para eles:
# Enable DHCPv6 Prefix Delegation on WAN interface# Comcast provides subnet with prefix length of 60set interfaces ethernet eth0 dhcpv6-pd pd 0set interfaces ethernet eth0 dhcpv6-pd pd 0 prefix-length 60set interfaces ethernet eth0 dhcpv6-pd rapid-commit enable# Allocate the delegated space to VLAN 100 with a 4-bit prefix of value 4set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 host-address ::1set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 prefix-id :4set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 service slaac# Advertise the 64-bit subnet into VLAN 100set interfaces switch switch0 vif 100 ipv6 router-advert prefix ::/64commitsaveem Seguida, em show interfaces, você deve ver um /128 o endereço é alocado para a interface WAN, e a sua interface de rede local (neste caso, switch0.100) deve ter um /64 endereço de e show ipv6 route deve mostrar /64 prefixos para cada uma das interfaces de rede local, e ::/0 para sua interface WAN. Todos os seus dispositivos habilitados para IPv6 devem pegar seus endereços IPv6, se a configuração IPv6 estiver definida como automática e a conectividade IPv6 completa com a internet for estabelecida. Você pode testá-lo com test-ipv6.com.
no entanto, a questão principal é: você precisa de IPv6 em sua rede doméstica? A resposta é em grande parte, não.
apenas uma pequena fração de seus dispositivos Suporta totalmente o IPv6 ou é capaz de operar em uma rede somente IPv6. Muitos dispositivos usam protocolos de descoberta de rede, como UPnP ou mDNS, que dependem de multicast ou transmissão em uma rede local. Dado que o multicast é diferente no IPv6 e a transmissão simplesmente não existe, e não há mais rede local ou privada com IPv6, espero que muitos dispositivos simplesmente não funcionem em redes somente IPv6. É improvável que os fornecedores forneçam atualizações de firmware ao hardware legado para fazê-lo funcionar com IPv6 e solicitarão que você compre novos, tornando-os presos na era IPv4.Além disso, sem firewall adequado no lugar, ter rede doméstica endereçável pela internet pode potencialmente expor vulnerabilidade de segurança que estão atualmente locais dentro do seu roteador para a Internet, e sua rede doméstica seria afetada por eventos de Internet se o seu ISP não conseguir impedi-lo de chegar ao seu roteador.
se você usar o servidor DNS Pi-Hole, a configuração padrão não bloqueia o rastreamento na rede IPv6. É necessária uma configuração adicional para bloquear anúncios e rastreamento se você tiver o IPv6 ativado.
IPv4 funciona bem para a maioria das redes domésticas. Os roteadores domésticos podem NAT em maior taxa de transferência do que a largura de banda da internet da maioria das pessoas, então você não verá uma grande melhoria de desempenho no IPv6. Portanto, se você não hospedar coisas na Internet (como servidores da web e outros), não precisará de IPv6 em sua casa.
portanto, o principal benefício para configurar o IPv6 em minha rede (e removê-lo mais tarde) para mim é a oportunidade de experimentar algo novo e aprender o que a indústria aprendeu com o IPv6 e, portanto, quais melhorias de design são colocadas no pacote de protocolo IPv6.
esta é a série post. Outras postagens podem ser encontradas em HomeNetwork tag.