✳️ Nuovo articolo sulla wiki: IPv6 per principianti

matteocontrini · 2022-01-30T19:49:56+00:00

C'è un nuovo articolo sulla wiki, su IPv6! 👇👇👇 https://fibra.click/ipv6/ È un'introduzione a IPv6 spiegata nel modo più semplice possibile, non serve esse...

frakka

[cancellato]

È stato uno dei motivi principali per cui ho fatto il passaggio a Openfiber un paio d'anni fa.

frakka

Alfoele e sto facendo prove di subnetting

Ecco, questo è esattamente il tema su cui spero verta la "v2" dell'articolo...
Ho una configurazione in casa che prevede diverse network (ad esempi, alcune reti configurate all'interno di un hypervisor) e ora uso delle statiche sul router per renderle raggiungibili a tutti ma vorrei capire qual'è il metodo "corretto" per replicare questa configurazione in IPv6.

[cancellato]

frakka qual'è il metodo "corretto" per replicare questa configurazione in IPv6.

Se hai un pool ampio a sufficienza, ogni rete prende la sua /64 dal pool e via andare.
Tutte le subnet su IPv6 sono /64, non esiste più il concetto di ragionare sulla cardinalità degli host e aumentare la netmask per sprecare meno indirizzi e quant'altro; la parte rete dell'indirizzo è solo ed esclusivamente costituita dai primi 64 bit.

Se non hai un pool sufficientemente ampio puoi fare uso degli indirizzi ULA.

kbios

[cancellato]

Non è esattamente così, in IPv6 puoi avere subnet della lunghezza che vuoi, le /64 sono quelle predefinite e le più semplici perchè permettono di usare slaac

frakka

[cancellato]

La questione è che adesso la mia rete di casa è più o meno questa:

Probabilmente usare delle vlan taggate per "appiattire" il tutto e portare tutti i gateway sul router (e a quel punto potrei davvero assegnare una /64 ad ogni scope e fine del cinema) ma mi chiedevo come dovrei fare in IPv6 a replicare la gestione che ho, ad esempio, nel ramo di sinistra o nel Lab dove ci sono delle reti non direttamente connesse al router (tra la rete "domotica" e quella di casa c'è un serverino linux che fa da NAS/firewall/ftp/web mentre per il LAB il gateway per le reti delle VM è direttamente uno degli IP dell'hypervisor) e che sono raggiungibili tramite delle route statiche.
Dovrei "delegare" a mia volta i prefissi assegnati per le reti virtuali agli hypervisor?

Immagino sia più o meno quello che sta cercando di fare Alfoele con le /80...

[cancellato]

Alfoele Nel mentre mi tengo la /56 di HE. ..

Non è una /48?

Alfoele e sto facendo prove di subnetting (su una VLAN) una /64 in /80

Lo stai facendo per test o hai un altro motivo per farlo?

Alfoele

[cancellato] Non è una /48?

Nel rimbambimento dell'orario... 🤣 Si si, è una /48. A botte di prove /80 avevo la testa sulla /56 🤣🤣

[cancellato] Lo stai facendo per test o hai un altro motivo per farlo?

Per test. In realtà vuoi mai che un giorno uno si ritrovi forzatamente e senza alternative (tipo oggi se ipv6 Fastweb funzionasse e volessi usarlo su più vlan, mi sarebbe comodo avere diversi range che con la /64 otterrei solo con /80 a altro). Allora capire se ci sono concreti malfunzionamenti o meno mi permette di avere anche l'opzione /80. Tanto non sono amante degli IP "random" di SLAAC

Oreste88

Grazie mille!

[cancellato]

kbios Snì. Leggi bene le RFC, c'è una netta definizione di quali siano i bit di network e quali di host.

Poi alcune piattaforme permettono di estendere la network anche oltre i 64 bit, ma non ci farei affidamento. Leggevo da qualche parte che alcuni ASIC per fare routing proprio ignorano la seconda metà dell'indirizzo, quindi automaticamente tutto ciò che è più piccolo di una /64 non sarebbe ruotabile.

E poi fischia, ci sono talmente tanti indirizzi che non ha più senso preoccuparsene, ci sono provider che ti delegano una /48, vuoi dirmi che hai più di 64k VLAN a casa?

https://datatracker.ietf.org/doc/html/rfc7421

itsmatteomanf

[cancellato] vuoi dirmi che hai più di 64k VLAN a casa?

Ci sono pochissime aziende che ne avrebbero bisogno anche sulla propria rete, onestamente 🤣 se non quasi nulla.

[cancellato]

frakka mi chiedevo come dovrei fare in IPv6 a replicare la gestione che ho, ad esempio, nel ramo di sinistra o nel Lab dove ci sono delle reti non direttamente connesse al router (tra la rete "domotica" e quella di casa c'è un serverino linux che fa da NAS/firewall/ftp/web mentre per il LAB il gateway per le reti delle VM è direttamente uno degli IP dell'hypervisor) e che sono raggiungibili tramite delle route statiche.
Dovrei "delegare" a mia volta i prefissi assegnati per le reti virtuali agli hypervisor?

Delegare prefix è possibile ma implica che devi avere un router che processi il DHCP-PD e riassegni a sua volta delle /64 alle interfacce.

Resta sempre valida l'assegnazione statica delle subnet e rotte statiche, esiste anche in v6. Puoi anche raggrupparle, visto che PF assegna una /56, puoi prendere un blocco /60 e "girarlo" con una statica verso il PC per gestirti il blocco delle VM, e via dicendo. Tanto il prefisso (fortunatamente) non cambia mai, quindi nel tuo caso non hai l'odissea del renumbering. 😉

frakka

[cancellato]

Ecco, grazie: Proprio le informazioni che stavo appunto cercando.

frakka

Avrei un'altra domanda: avrebbe senso, per una rete locale (senza dispositivi esposti come potrebbe essere la rete di casa sopra esposta o anche la rete della domotica) utilizzare degli indirizzi ULA e fare masquerading IPv6 di questi per consentire l'accesso alle risorse locali la navigazione internet IPv6 ai device della rete interna senza doverli esporre con indirizzi pubblici?

Il router/firewall è un serverino Linux e ip6tables dovrebbe supportare il masquerading IPv6.

edofullo

frakka Se hai più di un upstream o prefissi (molto) dinamici sì, altrimenti no.

[cancellato]

frakka avrebbe senso, per una rete locale (senza dispositivi esposti come potrebbe essere la rete di casa sopra esposta o anche la rete della domotica) utilizzare degli indirizzi ULA

Per quale motivo? La sicurezza la implementi a livello di firewall, se vuoi permettere il traffico in uscita ma non in entrata. Se temi l'identificazione dei dispositivi o questi fanno traffico cifrato propriamente, e quindi vedere l'indirizzo sorgente aiuta poco o nulla, o se non lo cifrano (o cifrano male) il problema dell'indirizzo diventa abbastanza irrilevante perché nel traffico ci sono probabilmente tutte le informazioni per identificare un modo univoco un dispositivo. Sì, si può vedere che IP contatta e risalire magari alla marca o tipo di dispositivo, ma si fa anche nattando.

Visto che usi un server Linux puoi anche far cambiare ai dispositivi gli indirizzi dinamicamente purché si registrino su un DNS locale - così ci accedi per nome (che in IPv6 è anche moooooooolto più comodo) e qualsiasi indirizzo vedono fuori ogni tanto cambia. Ma non affiderei a questo la sicurezza del sistema.

Un altro conto se si entra nella rete via VPN e una parte della rete ha solo indirizzi ULA e non ha alcun accesso esterno.

mark129

edofullo Se hai più di un upstream o prefissi (molto) dinamici sì, altrimenti no.

Avevo l'impressione che la domanda fosse piuttosto tendenziosa: se, come avviene in v4 nella percezione di molti utenti, ha senso pensare al NAT (in questo caso NAT66) come una sorta di "mini Firewall" o "cramped Firewall" per degli ULA assegnati a dispositivi che sarebbe meglio escludere dall'accesso ad Internet.
Se ho preso abbagli, ok, come non detto, se l'impressione non era invece del tutto sbagliata, da questo punto di vista averci un IPv6 dinamico o più di un prefix v6 non cambia molto le cose rispetto ad altri setup.

edofullo

mark129 una sorta di "mini Firewall" o "cramped Firewall

No, questo no.

Però si fa di necessità virtù... se per esempio l'ISP assegna una rete molto dinamica allora potrebbe avere senso prendere un ULA della stessa lunghezza e fare NAT66 1:1 al router piuttosto che far rinumerare tutti gli host ogni volta.

Anche se hai più di un upstream che assegna prefissi diversi e si vuole fare failover si potrebbero nattare gli IP interni sulla connessione di backup in caso andasse down la principale.

Invece fare NAPT (1:N, che da la sorta di "mini firewall" che esiste in IPv4) non trovo situazioni in cui possa avere senso.

Ricordiamoci anche che nulla vieta al singolo dispositivo di avere un IPv6 pubblico da usare per internet ed anche un indirizzo ULA da usare localmente.

frakka

mark129

edofullo Invece fare NAPT (1:N, che da la sorta di "mini firewall" che esiste in IPv4) non trovo situazioni in cui possa avere senso.

In realtà l'idea era proprio quella...
Ho fatto l'esempio di due mie sottoreti per rendere l'idea (e anche perchè un setup di questo tipo dovrei prima imparare a conoscerlo sulla mia pelle) ma in realtà pensavo che un setup di questo tipo potrebbe essere invece un utile standard per quelle realtà dove un firewall o la security non sanno neppure cosa sia...

Mi è venuto questo caso perchè pochissimo tempo fa ho dovuto pensare un po' alla sistemazione della rete a casa dei miei genitori e ho notato che il Tp-Link che avevo preso (e poi cestinato) come access point permetteva di essere configurato anche come router e supportava il protocollo IPv6 ma praticamente solo acceso/spento, non c'era disponibile alcuna voce di firewall. Immagino (spero!) che sicuramente il dispositivo implementasse di default un firewall non configurabile ma che abilitasse solo il traffico in uscita ma pensiamo quadrimensionalmente... Ipotizziamo un futuro in cui per qualche motivo IPv6 non sia più qualcosa solo per nerd un po' masochisti ma prenda una certa diffusione anche in ambito consumer.

Dare in mano ai miei genitori (come al 90% delle persone senza un background IT) un'installazione con IPv6 abilitato mi sembra leggermente pericoloso perchè la maggior parte non ha la minima idea di cosa sia un firewall e di cosa comporti avere sul PC/TV/lavatrice/asciugatrice/lampadine di casa/forno a microonde un IPv6 pubblicamente ruotabile e magari la rete di casa gestita da un router da supermercato comprato, acceso, "uao funziona" e mai più guardato. Se ci metti poi che magari qualcuno possa avere anche l'esigenza di copiare files tra due pc Windows in rete e che sicuramente il primo risultato trovato su Google consiglia di spegnere il firewall del sistema operativo del computer per "evitare problemi"...

Usare gli indirizzi ULA mascherati dietro l'IP del router mi sembra invece un efficace schermo in grado di fornire un dignitoso grado di protezione per tutte quelle realtà dove non è possibile demandare la gestione della security all'utente finale...
Distribuire dei router con il server DHCPv6 preconfigurato per distribuire sull'interfaccia LAN una classe ULA (anche scelta randomicamente al primo avvio tramite l'algoritmo proposto dalla RFCnonmiricordo) mascherata dietro l'IP del router non mi sembra un'idea così malvagia: Consentirebbe la navigazione internet dei device che devono semplicemente funzionare, soddisfando le esigenze di una larghissima fetta di utenza non tecnica.
Poi chi ha bisogno di setup più evoluti può sicuramente aggiungere anche IPv6 pubblici al medesimo dispositivo, è previsto e fattibile.

« Pagina precedente

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile