Ciao a tutti
Io ho una FTTH Fastweb (su OpenFiber), con il Fastgate Huawei DN8245f2.
A valle del Fastgate (cui ho disattivato il Wi-Fi) ho un router Orbi.
Come server DNS e DHCP uso un Raspberry Pi su cui è installato Pi-Hole.

Al momento il Fastgate l'ho impostato tipo modem, con la DMZ che punta sul mio Router Orbi, ovviamente c'è un doppio NAT (quello del Fastgate e quello di Orbi); questo comporta che per i servizi che girano sulla LAN devo impostare il port-forwarding sia sul Fastgate che su Orbi.

A valle del Fastgate tutto funziona su IPv4.

Se volessi passare ad IPv6 ... è fattibile?
Come devo impostare il router Orbi, e come devo impostare il Pi-Hole?
Risolverei la questione del doppio NAT?

Grazie!

    lollapalooza Si salvo compatibilità dei device in tuo possesso. Hai IP pubblico? Se si personalmente propenderei per farmi assegnare una /48 da HE. La /64 di Fastweb a me personalmente (ma non sono l'unico che si lamentava) dava problemi di raggiungibilità di alcuni IP (v6) remoti.
    Con IPv6 hai un ip pubblico prt ciascun device quindi risolvi tutte le problematiche di NAT (salvo che remotamente sia supportato IPv6).

    Per quanto riguarda il PH, io al momento ho settato quanto segue:
    In /etc/pihole-FTL.conf ho aggiunto AAAA_QUERY_ANALYSIS=yes e in /etc/setupVars.conf ho aggiunto IPV6_ADDRESS= indicando l'IPv6 (non il link local fe80, ma il pubblico) del pihole (che chiaramente andrà configurato anche sull'interfaccia ethernet) della macchina dove il pihole sta girando

      Si, con FW ho IP pubblico.
      Ma quello che mi hai scritto non mi è molto chiaro 😅

      • Alfoele ha risposto a questo messaggio

        lollapalooza Non conosco il tuo router (Orbi) e ho eliminato da sempre il FG. Detto questo (ma sono su Debian), in sintesi:

        • ho attivato un tunnel IPv6 su HE, per ottenere da loro un blocco /48 IPv6;
        • ho configurato la Debian (che è il mio router IPv4 sulla quale ho ip pubblico) in modo da essere anche il gateway IPv6, nonché da fare anche da DHCPv6 per la lan. In realtà il gateway IPv6, sul quale attivare il tunnel, potrebbe anche essere un altro device;
        • ho attivato IPv6 sugli gli altri device in LAN in modo da ricevere in automatico anche l'IPv6 (oltre al 4) in dhcp o, a seconda dei casi, impostando un IPv6 statico;
        • ho configurato il firewall in modo da bloccare le richieste in INPUT/FORWARD verso la LAN (tieni conto che diversamente tutta la LAN IPv6 sarebbe esposta su Internet), salvo quanto eventualmente da esporre
          Fatto questo correttamente, che consente di avere già IPv6 funzionante sui diversi device/pc, si può procedere con le 2 modifiche alla config del pihole sopra indicate (ma prima deve funzionare quanto sopra)

          Toglierei volentieri da mezzo il Fastgate anche io, ma ho provato in passato più volte (con IPv4, ovviamente), e non ci sono riuscito in nessun modo. Né clonando il MAC address del FG, né inserendo la DHCP option.
          Alla fine ci ho rinunciato.

          Non capisco perché dovrei attivare un tunnel su Hurricane Electric, visto che Fastweb supporta IPv6 nativamente.

          Cmq questo è quello che Orbi mi permette di impostare:

          E selezionando 6rd (credo che Fastweb usi questo sistema), mi compare questa schermata, e non saprei cosa mettere, tenendo anche presente che io ho sempre il Pi-hole nella LAN che mi deve fare da DHCP e DNS.

          • Alfoele ha risposto a questo messaggio

            Il problema è che 6in4 è portless, non credo funzioni correttamente attraverso il NAT. Comunque prova a cercare Fastweb border relay, l'IP dovrebbe essere quello

              eutampieri Il problema è che 6in4 è portless

              Da quello che ho letto, credo che Fastweb usi 6rd, non 6to4.

                  lollapalooza perché dovrei attivare un tunnel su Hurricane Electric, visto che Fastweb supporta IPv6 nativamente

                  Io l'ho fatto per 2 ragioni:

                  1. a me (ma anche ad altri) l'ipv6 fastweb dava problemi (alcuni dei mie device, ma senza una logica, avevano problemi a raggiungere certi ipv6 esterni)
                  2. mi servivano più subnet e fastweb fornisce una sola /64. HE invece fornisce una /48 che consente di avere più /64

                  lollapalooza il Pi-hole nella LAN che mi deve fare da DHCP e DNS

                  Per il dhcp ho attivato un'istanza (in realtà più di una avendo più vlan) di dnsmasq indipendente da pihole. Non ho invece attivato SLAAC (tieni conto che android, salvo accrocchi) ha bisogno di SLAAC per andare in ipv6.

                      Vabbè... credo di aver capito che non è ancora il caso di passare a IPv6.
                      Troppo complicato (e probabilmente io ne so troppo poco).

                      Per non parlare poi delle questioni di sicurezza (se ho ben capito, ogni device sarà poi esposto pubblicamente su internet).

                      • Alfoele ha risposto a questo messaggio

                        lollapalooza Diciamo che ad oggi, salvo l'eventuale utilità di avere ip pubblici su tutti gli apparati, ipv6 non dà particolari vantaggi, anche perché molti server su internet sono solo ipv4 (ad esempio la stessa amazon e quasi tutta la pa italica)... Potresti iniziare a metterci le mani e prenderci confidenza.
                        Le 2 grosse differenze con IPv4 sono il funzionamento del DHCP (+ SLAAC e relativo dimensionamento subnet) e il fatto che la gestione del firewall che, benché uguale a IPv4, deve tener conto di "tutti ip pubblici" quindi le regole non possono essere identiche a quelle di una soluzione nattata...

                            lollapalooza Da quello che ho letto, credo che Fastweb usi 6rd, non 6to4.

                            Il protocollo a livello IP è sempre lo stesso, il numero 41

                              Alfoele la gestione del firewall che, benché uguale a IPv4, deve tener conto di "tutti ip pubblici" quindi le regole non possono essere identiche a quelle di una soluzione nattata...

                              Eh certo... e questo complica notevolmente le cose.
                              E tra l'altro i normali router caslinghi non ti permettono di creare regole firewall, come invece è per i prodotti enterprise.

                                un anno dopo

                                lollapalooza so che il post è un po' datato e in verità non ti scrivo in merto alla tua richiesta, in realtà vedo che hai una configurazione molto simile a quella che vorrei fare io, non sono un esperto in materia, mi aiuteresti nel setup? come imposti il fastgate come modem? Orbi è in modalità AP? hai settato ip e altro manualmente? grazie mille per l'aiuto

                                  Guarda, dipende da cosa vuoi fare.
                                  Io l’ho messo in modalità router perché alcune caratteristiche non sono disponibili quando è in modalità AP (il servizio VPN, se ricordo bene).

                                  Se lo vuoi in modalità AP, sul Fastgate non devi fare niente, a parte disattivare il Wi-Fi.
                                  Se la vuoi in modalità router, devi farlo diventare come se fosse un modem. Con Google trovi tutte le guide che ti servono, ma fondamentalmente non devi fare altro che collegare Orbi in cascata con IP statico, e impostare la DMZ sul Fastgate verso quell’IP.

                                  Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                  P.I. IT16712091004 - info@fibraclick.it

                                  ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile