✳️ Nuovo articolo sulla wiki: IPv6 per principianti

matteocontrini · 2022-01-30T19:49:56+00:00

C'è un nuovo articolo sulla wiki, su IPv6! 👇👇👇 https://fibra.click/ipv6/ È un'introduzione a IPv6 spiegata nel modo più semplice possibile, non serve esse...

[cancellato]

DomePC Essistono anche servizi NAT64 pubblici https://nat64.xyz

Però così fai passare il tuo traffico sui loro server. Sinceramente a meno di non averne un estremo bisogno, eviterei - hai anche tutti i problemi di NAT comunque, con meno controllo rispetto a fare NAT locale (se l'ISP dà un IP pubblico "completo").

DomePC

[cancellato] Esattamente, come già scritto, si tratta di servizi pubblici che logicamente potrebbero anche leggere il traffico. Si tratta piuttosto di una possibilità di sperimentare con questa tecnologia.
Se vuoi implementare in modo permanente, dovresti implementarlo in locale (con il RaspberryPI o con OpenWRT e Jool) o prendere una VM nella cloud e farrei li.

[cancellato] hai anche tutti i problemi di NAT comunque, con meno controllo rispetto a fare NAT locale

Se implementarei in locale non c'è tanta differenza. NAT e una tecnologia che si deve eliminare con/come IPv4 😈

callfan

Solo un breve messaggio per ringraziare di cuore chi ha speso il proprio tempo per scrivere questa guida... Per noi "principianti" è sempre difficile reperire informazioni in rete, che rischiano di essere o troppo frammentate o dedicate ad un pubblico esperto.
Quindi, grazie a tutti 🥳

matteocontrini

callfan chi ha speso il proprio tempo

Grazie a te! Solo 12 ore ci sono volute, riletture escluse... 😅

callfan

matteocontrini Solo 12 ore ci sono volute, riletture escluse

Porca miseria 😳🙌
Spero che si traducano in ben più di 12 ore risparmiate su spiegazioni e moderazione di contenuti sul tema 😅

Alfoele

Scusatemi, ma una volta compreso come funziona la gestione dei byte dell'indirizzo con la subnet /64 tanto per essere compatibili, compresa la questione dhcpv6 (e differenze col v4) e slaac, tutto il resto è come ipv4, firewall incluso. Cioè, se uno non si deve addentrare in questioni tipo nat64 e avendo ovviamente tutti gli apparati ipv6 compliant, non ci vedo niente di diverso dal gestire una lan ipv4 - ma senza nat - con tutti i device con ip pubblico, cosa che mi ricorda tanto le distese di WinNT all'università, tutti rigorosamente accessibili da fuori... 🤣
Cioè, non vedo tutta sta complicatezza. Imho la rottura è più la gestione dual stack che raddoppia le cose da fare (che in considerazione dell'ip pubblico everywhere non sempre sono una replica di quanto fatto in ipv4) con maggior rischio di errori, ma stando attenti...
Mi perdo qualcosa?

LSan83

Alfoele non ci vedo niente di diverso dal gestire una lan ipv4 - ma senza nat - con tutti i device con ip pubblico,

L'utente medio ha sempre e solo aperto porte del firewall in lan dietro nat. La logica di un firewall con ip pubblico diretto sui dispositivi in lan dietro al router non sa nemmeno che cosa è.

zaizaman

Wowww me lo sto leggendo un po' ogni giorno. C'è molto da imparare! 👏

Alfoele

LSan83 L'utente medio

Si mi ero perso qualcosa... l'utente medio 😂
Ecco l'unica cosa che mi mette inquietudine è il "leggermente alto" numero di ip disponibili per subnet, che in combinata con SLAAC, mi sa un attimo di out of control
Posto che uso solo dhcp (no slaac) - e fortunatamente su android rooted c'è modo di farlo andare - ma usando slaac o ipotizzando che qualcuno si configuri l'ip a manazza, mentalmente mi diventa difficile monitorare chi fa cosa salvo non impostare regole molto restrittive sul firewall (intendo anche in uscita, del tipo droppa tutto tranne i pochi autorizzati). Poi - vabbé che anche i mac-address si possono modificare - il duid imho complica ulteriormente le cose (sempre in ottica monitoraggio).
Poi si può sempre segmentare in diverse subnet... E' che mi fa strano avere tanti ip disponibili per ciascuna subnet e usarne comunque veramente pochi. Cioè, in ipv4 se ti servono pochi ip te la aggiusti col CIDR e ciaone, in ipv6 te la tieni /64, salvo andarsi a infilare in potenziali malfunzionamenti...
Passi che gli ipv6 sono veramente tanti, ma si rischia di utilizzare tante subnet, con pochissimi ip ciascuna, per poter gestire le cose in modo minimamente efficiente e prevenire misconfig

giuse56

Ma quindi vuol dire che nei giochi che supportano ipv6 ci sarà nat aperto/nat 1. Proprio perché ipv6 non ha nat, ma espone su internet direttamente i dispositivi con un indirizzo ipv6 pubblico. Corretto?
Quindi non ci sarà più bisogno di aprire le porte o usare UpnP.

edofullo

giuse56 Dipende da come agisce il firewall dei vari router.

Comunque basterebbe una regola di forward accept (anche i Fritz hanno la spunta) per esporre la console su Internet e sistemare il problema, sperando che le console abbiano un firewall interno adeguato.

D'altro canto gli indirizzi IPv6 sono talmente tanti (anche in una singola /64) che impediscono un mapping completo della rete da parte di attori malevoli per scoprirne i servizi esposti, soprattutto su dispositivi che stanno accesi solo qualche ora al giorno e soprattutto se viene usato SLAAC con indirizzi che cambiano ogni giorno per le connessioni in uscita.

[cancellato]

giuse56 ci sarà nat aperto/nat 1.

No, non ci sarà proprio NAT 😀

giuse56 Quindi non ci sarà più bisogno di aprire le porte o usare UpnP.

Non dovrai fare port forwarding, ma è necessario comunque aprire le porte sul firewall per lo specifico IP. In IPv6 è sempre necessario avere un firewall che di default blocchi il traffico in ingresso, o altrimenti poiché ogni dispositivo ha un IP pubblico se qualcuno conosce tale IP può tentare di sfruttare vulnerabilità presenti.

Il port forwarding oltre ad "aprire le porte" indica di solito quale mapping utilizzare per determinate porte, es. "il traffico in arrivo sull'IP pubblico per la porta TCP 666 mandalo all'IP privato 192.168.1.44 sulla porta xxx" (la porta può anche essere diversa).

In IPv6 non c'è più il mapping fra IP, ma rimane la necessità di "aprire le porte" per accettare il traffico in ingresso. Tecnicamente si potrebbe fare port mapping per modificare le porte anche in IPv6, ma ce n'è meno bisogno.

L'apertura delle porte sul firewall significa solo dire "il traffico in ingresso per l'IP 2001:db80:abcd::001A sulla porta TCP 666 deve essere accettato e non bloccato". La cosa può diventare complessa con gli indirizzi generati random per privacy, e in quel caso una forma di UPnP per IPv6 per aprire automaticamente le porte sul firewall può tornare ancora comoda.

giuse56

edofullo sperando che le console abbiano un firewall interno adeguato.

Su questo ho qualche dubbio

LSan83

edofullo Dipende da come agisce il firewall dei vari router.

Preferisco i firewall che bloccano tutto di default e richiedono la creazione di regole se ti serve esporre qualche dispositivo. Non si sa mai, anche se è "solo una console" di solito la tieni in rete locale con dispositivi ben più importanti...

edofullo

giuse56 In ogni caso non pensano espongano chissà che cosa se non quello che serve per le partite P2P per un tempo limitato. Sarebbe da testare.

Ed a quel punto vale comunque la seconda considerazione sopra.

giuse56

edofullo Ma possono esporre l'ip statico della connessione mia di casa? Oppure espongono soltanto l'ip dei server del gioco/PlayStation?

[cancellato] No, non ci sarà proprio NAT

Si lo so, per questo ho detto nat aperto/nat 1. Perché su console nat 1= niente nat.

[cancellato] L'apertura delle porte sul firewall significa solo dire "il traffico in ingresso per l'IP 2001:db80:abcd::001A sulla porta TCP 666 deve essere accettato e non bloccato". La cosa può diventare complessa con gli indirizzi generati random per privacy, e in quel caso una forma di UPnP per IPv6 per aprire automaticamente le porte sul firewall può tornare ancora comoda

Ah ecco, grazie mille 👍🏻.

[cancellato]

giuse56 Ma possono esporre l'ip statico della connessione mia di casa?

Quello è sempre esposto (ma dipende da come l'ISP configura l'interfaccia esterna) e serve per il routing - ma è come avviene oggi per l'IPv4 pubblico (statico o dinamico che sia) assegnato alla WAN (CGNAT esclusi). La differenza è che ora al posto del NAT c'è il semplice routing.

giuse56 Oppure espongono soltanto l'ip dei server del gioco/PlayStation?

Esponi solo questo. Il problema nasce quando non è fisso.

Alfoele che in combinata con SLAAC, mi sa un attimo di out of control

È il motivo per il quale Google non vuole DHCP - "out of control" = "data hoarding at will"

Alfoele Poi si può sempre segmentare in diverse subnet...

E difatti spesso si finisce lì. Il caso di console di gioco di giuse56 qui sopra ne è un esempio. Se non hai altro modo di gestire gli IP finisci per avere una subnet dedicata alle console di gioco e lì apri quando necessario per l'intera subnet.

Alfoele E' che mi fa strano avere tanti ip disponibili per ciascuna subnet e usarne comunque veramente pochi.

Sì, è che in IPv6 spesso ragioni in termini di prefissi e non di singolo indirizzi. Anche per questo RIPE consiglia le /48 e le /56, e non le /60 (o ancora peggio le /64). Senza i prefissi delle subnet IPv6 diventa meno gestibile. Vallo a dire però ai produttori di router consumer...

mcpalls

ottimo articolo, mi è tornato in mente quando smanettavo secoli fa 🙂 con la classe 64 di Sideralis (ottimo progetto) sotto rete Fastweb
con il mio router casalingo con Gentoo prima e Slackware dopo.

Sono trascorsi all'incirca 20 anni ed ancora l'ipv6 non ha preso il sopravvento.

Alfoele

JacopoGiubilato Puoi usare una subnet sui range di ipv6 privati (analoghi ad esempio al192.168. di ipv4), a quanto mi risulta:

fc00::/7 address block = RFC 4193 Unique Local Addresses (ULA)
fec0::/10 address block = deprecated (RFC 3879)

Ma la cosa salvo "giocherellarci" non serve a un granché. Se hai ipv4 pubblico (meglio se statico, ma con qualche script se ne esce anche con il dinamico), piuttosto registrati su HE e ti fai assegnare una /64 o ancora meglio ua /48 . Almeno provi a gestirti una situazione realistica...

giuse56 Ma possono esporre l'ip statico della connessione mia di casa? Oppure espongono soltanto l'ip dei server del gioco/PlayStation?

La console esporrà l'indirizzo IPv6 pubblico ad essa attribuito, analogoamente alla situazione nella quale fossi in IPv4 e avessi una subnet pubblica tua (es invento una 72.14.12.0/24): in tal caso sul router avresti ad esempio l'ip 72.14.12.254, e sulla console un 72.14.12.22 che in assenza di firewall sarebbe raggiungibile da chiunque (con tutti gli eventuali servizi disponibili esposti).

Poi, volendo, si può nattare anche IPv6, in modo da uscire sempre con l'ip del router, ma....

JacopoGiubilato

Domanda
Io non ho ipv6 dato dall'isp.
Posso comunque settare sui miei dispositivi degli indirizzi ipv6 link local o ula in modo che comunichino tra loro anche tramite ipv6? Se sì quale tipologia devo usare? Suppongo link local ma ho provato a settarla su xubuntu, ma pingando (con opzione - 6) l'indirizzo che ha la mia scheda di rete non fa nulla.

[cancellato]

JacopoGiubilato Se sì quale tipologia devo usare?

Dovresti usare gli ULA selezionando un prefisso random. Ma il modo migliore per farlo è ottenere un prefisso pubblico da chi offre i tunnel IPv6, come Hurricane Electric. Devi però avere un router o altro dispositivo in grado di instaurare il tunnel. In questo modo funziona sia in LAN che in WAN.

JacopoGiubilato ubuntu, ma pingando (con opzione - 6) l'indirizzo che ha la mia scheda di rete non fa nulla.

Gli indirizzi link-local sono gestiti automaticamente per interfaccia, ma sono valido solo su quello specifico link. Quando li usi direttamente, può essere necessario impostare lo "zone index" (es. fe80::1ff:fe23:4567:890a%eth2) per indicare l'interfaccia, o usare il parametro -i, per essere sicuri di usare il link corretto.

Claudio7890

IPv6 potrebbe facilitare la diffusione del multicasting?

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile