Ipv6, classi, subnet... Mi aiutate a capire dove cercare e studiare?

Emmeci devi anche avere un dispositivo che sia in grado di fare NAT66, non ho idea di quale produttore implementerebbe una cosa così inutile. Ma in generale nascondere l'IP è "stupido", non è vera sicurezza.

maverick82 Un pizzico "sicuro" forse se vogliamo. Domani avremo per esempio stampanti, shellies etc esposti direttamente su internet?

Con IPv6 il firewall diventa fondamentale, e ripeto, fondamentale. Una rete IPv6 senza firewall (o disabilitato) è un grosso problema di sicurezza.

Il NAT oggi ha come effetto secondario di funzionare come "firewall dei poveri" perché non può far passare le connessioni in ingresso (a meno di non specificare espressamente dove mandare il traffico con il port forwarding), ma non è nato con intenti di sicurezza. NAT è nato per ovviare alla scarsità di indirizzi IPv4, e con IPv6 ce ne sono a iosa.

Un firewall che abbia come regola di default ti bloccare tutto il traffico in ingresso tranne quello espressamente ammesso ha lo stesso effetto, con maggiore flessibilità e sicurezza, perché il NAT ha una serie di svantaggi, in particolare con alcuni protocolli (FTP, VoIP, giochi, ecc.).

Esistono indirizzi IPv6 "privati", come quelli link-local o gli "ULA" (Unique Local Address) ma il primo ha usi specifici, gli ULA sono più simili alle classi private IPv4, ma richiederebbero un NAT IPv6 che è possibile ma caldamente sconigiilato e non supportato da molti dispositivi. Gli ULA sono ad esempio utili per reti disconnesse da internet dove si vuol usare IPv6 senza far confusione con indirizzi pubblici.

Il problema più grande degli indirizzi pubblici IPv6 è quando ti cambiano il prefisso - perché ti cambiano anche gli indirizzi delle macchine lato LAN. Quelle che usano DHCP si aggiornano automaticamente, ma tutto ciò a cui è stato assegnato un IP statico richiedono modifiche manuali. Per questo motivi gli ISP dovrebbero assegnare prefissi statici agli utenti (l'equivalente di un IP statico in IPv4), per evitare problemi di questo tipo.

Emmeci Non è tanto un discorso di sicurezza., quando quello di risparmiare un IP

In IPv6 gli ISP non ti assegnano neanche gli IP pubblici direttamente, ti assegnano un intero prefisso, e con quello ti generi gli indirizzi che vuoi.

Anche con quello minimo, /64, hai comunque a disposizione sulla LAN 2⁶⁴ indirizzi, e "risparmiare" non ha senso. Anzi, come detto sopra è normale che in IPv6 ogni host abbia assegnato più di un indirizzo.

Casomai il problema diventa la privacy, perché ad esempio gli indirizzi generati con il vecchio sistema che include il MAC address sono facilmente tracciabili di rete in rete - per questo è stata introdotta la randomizzazione degli indirizzi.

maverick82 "Con una /62 qualcosa puoi fare, ma fatta home, vpn, iot, guest hai già finito le subnet.

Domanda: qual è il problema di avere "poche" subnet? Con IPv4 e i router domestici (perchè stiamo parlando di utenza domestica, giusto?) abbiamo home e guest (che per me equivalgono a rete sicura e rete non sicura).

Lo scenario di 4 subnet mi sembra già da power user... ok isolare tutto ma poi non diventa un casino gestire tutte queste reti? Cosa fai se ti accorgi che un host è assegnato ad una subnet ma deve dialogare con un'host di un'altra subnet?

MicheleMarcon Lo scenario di 4 subnet mi sembra già da power user...

Al crescere del numero e del tipo dei dispositivi in rete il numero di subnet cresce - per motivi di sicurezza e praticità. Per sfruttarle hai bisogno di dispositivi adeguati che cominciano a far parte dell'area "power user", ma i "power user" esistono, e non sono pochi. Aver investito soldi in dispositivi e tempo per configurarli, per poi trovarsi con la configurazione impossibile da replicare in IPv6 perché il provider ha paura di finire gli IPv6 se ti offre almeno una /60 (per non parlare di una /56 come da raccomandazione RIPE) non è piacevole.

La rete "guest" per me è proprio la rete "guest". Poco utilizzata, in questi mesi, proprio per mancanza di "guest". E i guest non vedono nulla di quello che c'è sulla mia rete se non il firewall per uscire su internet. I dispositivi IoT sono su un'altra rete - non devono mischiarsi né con i "guest" né con gli altri dispositivi a livelli di sicurezza maggiore. E via così.

MicheleMarcon ma poi non diventa un casino gestire tutte queste reti?

Nì, nel senso che la complessità aumenta e devi sapere cosa fare. Quando lo sai fare non è un casino ma aumenta prestazioni (QoS...) e sicurezza.

MicheleMarcon Cosa fai se ti accorgi che un host è assegnato ad una subnet ma deve dialogare con un'host di un'altra subnet?

Routing.

Possibilmente con policy (firewall o altro) che decidono quale traffico può andare dove. C'è chi acquista router per fargli fare solo gli access point, c'è chi acquista router (e switch L3) per fargli fare routing.

In alcune condizioni si può anche pensare ad una VPN per reti che devono essere normalmente molto isolate.

Segnalo (ho visto su reddit) che lunedì 4 maggio c'è un meeting sulle reti IPv6 only organizzato dal RIPE.

https://www.ripe.net/participate/meetings/open-house/ripe-ncc-open-house-ipv6-only-networks

Come speaker c'è anche Richard Patterson di Sky UK che se non ricordo male è la stessa persona che aveva fatto il meeting riguardante la rete di Sky in Italia.

They will talk about their experiences with 464XLAT and MAP as transition mechanisms to connect their IPv6-only networks with the existing IPv4 Internet.

Peccato che è la mattina, ma dovrei riuscire a recuperare la lezione al pomeriggio

MicheleMarcon intendevo che 2 non vede 1 e 3 e che 3 non vede 1 e 2
Sulla stessa lan si vedono
Per fare quello che chiedi devi configurare una port isolation (private vlan)