Ciao,
di tanto in tanto sento gente piangere per il mancato supporto a DHCPv6 da parte di Android. Ma SLAAC con le privacy extension non è meglio nel 99% del casi?
Nel rimanente 1% puoi usare un ip statico, con la rfc4429... sbaglio? Forse il problema è che non si gestisce dal pihole?
MicheleMarcon mancato supporto a DHCPv6
Senza DHCPv6 diventa complicato assegnare hostname statici ai lease, ad esempio.
Poi ci sono anche questioni di controllo negli ambienti enterprise.
Su OpenWRT esiste questo scriptino che riduce il problema: https://github.com/AndreBL/ip6neigh/
MicheleMarcon dipende da chi sei. Probabilmente un amministratore della rete aziendale madonnerà perchè i dispositivi fanno sostanzialmente quello che vogliono loro. Anche se dal mio punto di vista personale cambia poco, i cellulari dei dipendenti stanno su una WiFi separata dove non mi interessa molto di che cosa gli dico col DHCP.
MicheleMarcon Ma SLAAC con le privacy extension non è meglio nel 99% del casi?
Dipende "meglio" per chi. Con DHCP chi eroga l'indirizzo sa che quell'indirizzo è stato assegnato in data X al dispositivo Y, e l'indirizzo non cambia - o cambia in modo controllato. E si può controllare quello che fa Y sulla rete. In certe reti questo è essenziale, persino per i guest su reti separate, per motivi di sicurezza.
Con SLAAC e gli indirizzi generati e ri-generati a caso questo è impossibile. E poiché Google non vuole che la sua preziooossssssssa raccolta dati degli utenti sia in qualche modo bloccata, si rifiuta testardamente di implementare DHCPv6.
Per questo metto a disposizione ai dispositivi Android un SSID/VLAN separata dove tutto Google è bloccato.... 
stemax97 Senza DHCPv6 diventa complicato assegnare hostname statici ai lease, ad esempio.
Due opzioni:
-zeroconf (ma funziona sul collegamento fisico)
-indirizzi "privati". Con IPv6 si possono avere più indirizzi sulla stessa interfaccia, quindi puoi dargli un ip statico con hostname raggiungibile nella rete privata.
x_term Probabilmente un amministratore della rete aziendale madonnerà perchè i dispositivi fanno sostanzialmente quello che vogliono loro
Boh, in ambiente enterprise non puoi applicare delle policy a livello di utente (piuttosto che a livello di dispositivo)?
[cancellato] In certe reti questo è essenziale
Vedi sopra. Username + password e sei tracciato.
[cancellato] Google non vuole che la sua preziooossssssssa raccolta dati degli utenti sia in qualche modo bloccata
Francamente non vedo il nesso, e comunque vedi sopra.
Insomma, mi sembra che si mescolino un pò le cose... ambiente enterprise, openwrt, tracciamento, privacy... sono ambiti diversi che richiedono soluzioni diverse. Secondo me siamo un pò abituati a fare tutto a livello di IP, come il NAT che "funge da firewall improprio", ma ogni problema ha una soluzione idonea.
MicheleMarcon Con IPv6 si possono avere più indirizzi sulla stessa interfaccia, quindi puoi dargli un ip statico con hostname raggiungibile nella rete privata.
Manualmente dici, per ogni dispositivo (non vedo come senza DHCPv6)? Non è scalabile...
MicheleMarcon Vedi sopra. Username + password e sei tracciato.
Non basta certo - anche se chiedi user e password devi associarli poi ad un dispositivo, non è che presentano poi le credenziali in ogni pacchetto che scambiano - qui non stiamo parlando dell'accesso ad un singolo sito web, stiamo parlando di accesso ad una rete, con dispositivi che possono cambiare IP quando voglio loro diventa difficile tracciarli. E c'è chi deve tracciare il dispositivo e avere i log con tutti i dati necessari per sapere chi ha fatto cosa e quando sulla tua rete.
MicheleMarcon Francamente non vedo il nesso
Il nesso è esattamente quello che ha scritto x_term, con SLAAC "i dispositivi fanno sostanzialmente quello che vogliono loro" che è quello che serve a Google - dispositivi che continuano ad inviare dati ovunque siano, con ridotte possibilità di controllo da parte dei gestori delle reti.
Il problema è che Android è un sottoprodotto del business principale di Google - che è raccogliere dati e usarli per vendere pubblicità. Questo è il difetto principale dell'open source, siccome i soldi devono arrivare da qualche parte, i software finiscono per inchinarsi ad altri interessi - quelli che forniscono i soldi....
MicheleMarcon indirizzi "privati"
Che non comunicano con il mondo intero, a meno di non introdurre NAT6 (daje...)
MicheleMarcon in ambiente enterprise non puoi applicare delle policy a livello di utente (piuttosto che a livello di dispositivo)?
Sì, ma al dispositivo come le associ? O usi proxy (e spacchi mezzo mondo conosciuto...), o usi captive portal che guarda caso associano identity ad IP, perché quelli conoscono i firewall, volenti o nolenti. E se l'IP cambia, si è punto e a capo... a quel punto cosa fai, richiedi captive agli utenti? Ti bastonano se gli fai fare login ogni mezz'ora alla rete.
Puoi forse ricavare le identity dall'autenticazione in caso di WiFi o 802.1x, ma anche lì è un mezzo casino con gli IP multipli e auto assegnati, non tutti i sistemi sono in grado di rilevarli e scrivere log di accounting decente.
[cancellato] Il problema è che Android è un sottoprodotto del business principale di Googl
Vero, ma mi chiedo se ci sia qualche vendor che nella sua implementazione abbia poi introdotto una patch al demone che in google non vogliono implementare.
stemax97 Manualmente dici, per ogni dispositivo (non vedo come senza DHCPv6)? Non è scalabile...
Scusa, mi sono spiegato male. Intendevo dire che puoi comunque usare DHCPv6 per assegnare indirizzi privati, che quindi non vanno a collidere con lo spazio usato dagli indirizzi pubblici su SLAAC. Questo se hai bisogno di dialogare con qualche host della tua rete che non sia Android. Ma penso che il vero nocciolo della questione sia:
[cancellato] se chiedi user e password devi associarli poi ad un dispositivo
Errore, devi associarli ad un indirizzo. Poi se cambia l'indirizzo richiedi le credenziali. Credo che i prodotti enterprise seri abbiano questa funzione built-in (o almeno, nella mia azienda funziona così: prima di andare su internet mi devo loggare. E se accendo una macchina virtuale mi devo loggare. E ogni tanto mi devo loggare di nuovo.) Poi che il device sia Android o quant'altro poco cambia, il mio traffico è tracciato.
Il direttore generale passa 8 ore su youporn? Tutto ok...
Un impiegato va su fibra.click? Licenziamolo subito!!!
MicheleMarcon Un impiegato va su fibra.click? Licenziamolo subito!!!
FYI: Si configura come telecontrollo del lavoratore, ed in Italia almeno è illegale. 
/OT
[cancellato] Che non comunicano con il mondo intero, a meno di non introdurre NAT6 (daje...)
Eh si ma a cosa ti serve? Hai già l'indirizzo pubblico (che cambia ogni giorno)...
[cancellato] captive portal che guarda caso associano identity ad IP
Ah adesso ho capito. La tecnologia captive portal non è "aggiornata" per IPv6. Questione di tempo, e qualcuno ci farà un sacco di soldi...
MicheleMarcon Scusa, mi sono spiegato male. Intendevo dire che puoi comunque usare DHCPv6 per assegnare indirizzi privati, che quindi non vanno a collidere con lo spazio usato dagli indirizzi pubblici su SLAAC. Questo se hai bisogno di dialogare con qualche host della tua rete che non sia Android. Ma penso che il vero nocciolo della questione sia:
DHCPv6 non è supportato da Android neppure per gli indirizzi privati. Nella mia rete domestica l'unico modo per assegnare IPv6 privati ad Android è tramite SLAAC partendo dal prefisso (privato) assegnato da me nel router.
Fra privati e pubblici poco cambia, senza DHCPv6 non c'è un modo per assegnarli centralmente in automatico.
MicheleMarcon Poi se cambia l'indirizzo richiedi le credenziali.
Infattibile - come dice ziomatt agli utenti non piace, e se poi devi fare un'analisi del traffico perché ci sono stati problemi devi tenere traccia di quando cambia l'IP e quindi di tutti gli IP coinvolti. E se questi cambiamenti sono sparsi nei log di dispositivi (switch, router, ecc.) è ancora più scomodo, anche se hai tutto configurato per l'invio in remoto dei log e un SIEM per correlarli.
MicheleMarcon Errore, devi associarli ad un indirizzo.
No. Devi associarli in modo univoco ad un dispositivo e seguirlo finché è nella tua rete - gli indirizzi appunto cambiano. E non è che prima di fare qualcosa di non lecito ti logghi prima con le tue credenziali.... in certe situazioni può essere anche un vantaggio per un malcapitato utente al quale sono stare rubate le credenziale, c'è almeno una possibilità di dimostrare che non sono state usate da un suo dispositivo.
MicheleMarcon Hai già l'indirizzo pubblico (che cambia ogni giorno)...
Non saprei dirti ogni quanto cambia sinceramente, non ci ho mai guardato, ma le esigenze a livello enterprise sono proprio di tracciatura e monitoraggio verso l'accesso delle risorse (intranet o internet che siano), per limitarle e/o tracciarle.
Se non c'è un'associazione IP-identity non ce la fai a fare queste attività.
stemax97
Ok siamo d'accordo. Ma qual è il problema che vuoi risolvere? In questo thread abbiamo esplorato 2 problemi:
-assegnare indirizzi in modo da rendere l'host "raggiungibile staticamente", quindi se hai un server
-controllare il traffico dei device Android
Con le utenze domestiche non siamo in nessuno dei due scenari
[cancellato] agli utenti non piace,
Siamo in un ambiente enterprise, che "non piace" per definizione 
Probabilmente la tecnologia deve adeguarsi a IPv6 (e comunque, cosa fa Google? Lascia i suoi dipendenti senza controllo? Qualcosa non torna...)
Tra l'altro,
[cancellato] quello che serve a Google - dispositivi che continuano ad inviare dati ovunque siano, con ridotte possibilità di controllo da parte dei gestori delle reti
mi sa di "cospirazionismo". Non è possibile bloccare tutto il traffico verso google e buonanotte? E comunque le privacy extension sono per tutelare la privacy degli utenti... boh, forse sono ingenuo...
MicheleMarcon Siamo in un ambiente enterprise, che "non piace" per definizione
Non è detto che debba diventare veramente snervante da utilizzare. Io non voglio certo fare come il Mordac di Dilbertiana memoria, ma gli utenti inevitabilmente devono sottostare a certe regole perché una rete aziendale non è un campo giochi.
MicheleMarcon cosa fa Google? Lascia i suoi dipendenti senza controllo?
Google ha accesso a tutta la telemetria dei suoi dispositivi con tanto di ID univoci.... quindi non ha alcun problema a controllarli, anzi ha probabilmente un livello di controllo che nessun altro ha.
MicheleMarcon mi sa di "cospirazionismo"
Davvero? Basta seguire i soldi... non ci sono motivazioni tecniche per non implementare DHCPv6 in Android.
MicheleMarcon Non è possibile bloccare tutto il traffico verso google e buonanotte?
Certo, è quello che faccio io e fa imbestialire gli utenti
MicheleMarcon E comunque le privacy extension sono per tutelare la privacy degli utenti
Per quanto io sia un forte sostenitore della privacy, quando sei su una rete altrui ci sono regole per quelle reti, perché anche il proprietario della rete ha delle responsabilità che possono sfociare nel penale, nei casi più gravi, ed ha tutti i diritti di tutelarsi.
MicheleMarcon Non è possibile bloccare tutto il traffico verso google e buonanotte?
Fai prima a non far connettere i cellulofoni alla rete... Google ha un pacco di servizi utili per gli utenti, a cominciare dal motore di ricerca e dalle mail. E ha il vizio di cambiare spesso l'associazione servizi-IP pubblico (almeno in v4).
MicheleMarcon (e comunque, cosa fa Google? Lascia i suoi dipendenti senza controllo? Qualcosa non torna...)
Google lo può fare direttamente a livello applicazione, ovviamente. Il sistema è suo...
Comunque in realtà ora andrò controcorrente: nella mia azienda, la rete per i dispositivi dei dipendenti è effettivamente senza controlli, solo un filtro DNS (che si può bypassare se butto tutto su DNSoverHTTPS).
Non abbiamo praticamente nulla che non sia accessibile comunque via internet, è tutto "cloud" come direbbe qualcuno, anche perchè la maggior parte della gente qui nella filiale in UK è sales, presales, finance, hr e menate varie.
Mentre i dispositivi che diamo in dotazione sono tutti Apple che funziona una meraviglia: hanno il provisioning dell'azienda prima ancora di levare il cellophane e aprire la scatola sulla base dei seriali.
Mi sono sempre chiesto se i dirigenti di Google hanno delle build speciali.... o se usano iOS 
Non credo che vogliano che i loro affari privati siano registrati su server sì della propria azienda, ma ai quali hanno inevitabilmente accesso altre persone...
Informativa privacy
-
Informativa cookie
-
Termini e condizioni
-
Regolamento
-
Disclaimer
-
🏳️🌈
P.I. IT16712091004 - info@fibraclick.it
♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile
