Ciao a tutti, sto cercando di capire come funziona ipv6. Il mio provider è aruba, che da contratto mi offre una /56 che dovrebbero essere tanti ipv6 da usare.
Fin qui tutto ok.
Allora vado sul sito https://www.my-ip.io/ e controllo se ho ipv6: c'è (2a00:6d............). Il problema è che non corrisponde a quello che ho nelle impostazioni di sistema windows: ne ho 3 (di cui uno è il link local, fin qui ci arrivo). Ma quello nel mio pool /54 è diverso: è sempre parte di 2a00:6d............ ma è diverso!
Mi sapete spiegare come mai?

Inoltre a che serve il terzo indirizzo che mi assegna windows?

  • x_term ha risposto a questo messaggio
  • Rekko ha messo mi piace.

    OK, ho letto, grazie dell'articolo, molto ben fatto e chiaro.

    Ho capito le tre tipologie di ipv6 assegnati al mio dispositivo: dovrebbero essere un GUA (global unicast, che serve a navigare su internet), un ULA (unique local, che serve come indirizzo privato ad esempio nelle reti locali) e link-local (che serve per SLAAC). Il che risponde alla mia seconda domanda.

    Ma la mia (prima) domanda rimane senza risposta: perché l'indrizzo GUA che rilevo dalle impostazioni internet è diverso da quello che rilevano i siti web come mio ipv6 pubblico?

    • fl4co ha risposto a questo messaggio

      OK navigando (e rileggendo) ho trovato la risposta: gli indirizi temporanei.

        pazzoide Strano non sia mostrato in ipconfig, comunque.

        Sta sera provo

          pazzoide Su Windows 11, vedi effettivamente solo l'indirizzo "stabile", ma puoi usare ipconfig da riga di comando per vederli tutti.
          Su Windows 10 non ricordo e non ho modo di verificare.

              fl4co Sì, si vedono gli indirizzi temporanei anche su win10 (io ho la versione Pro), sempre con ipconfig, analogamente a quello che succede con ip addr in linux.

                Sì confermo, si vedono sia su w10 che su linux, ma in entrambi i s.o. solo da riga di comando. Le gui non sembrano dare molto peso a questa molteplicità...
                Mi risulta difficile capire con quale logica viene usato un indirizzo temporano piùttosto che un altro, questo rende molto complesso per esempio impostare un ipv6 statico per usare dei servizi specifici.
                Nella mia "to do list" di quando ho tempo di farlo, c'è la migrazione di tutta la mia lan su ipv6, ma sto inziando a pensare che sia più complesso del previsto. Le guide su internet sono poco chiare... Qualcuno di voi lo ha fatto?

                  • [cancellato]

                  • Messaggio #9

                  pazzoide Mi risulta difficile capire con quale logica viene usato un indirizzo temporano piùttosto che un altro,

                  È spiegato nella RFC 6724 e nella precedente 3484, dipende a cosa è aggiornato il sistema operativo. In IPv6 c'è il concetto di "scope" con una lista di preferenze con pesi ed "etichette" (che può essere modificabile). Secondo la RFC di default un sistema dovrebbe preferire l'indirizzo temporaneo come indirizzo sorgente, ma di solito si può invertire la priorità. È anche possibile disabilitare la generazione dell'indirizzo temporaneo.

                  Impostare un IPv6 statico e usarlo non è un problema - io ho la LAN in dual stack con sei subnet, senza particolari problemi.

                    pazzoide la migrazione di tutta la mia lan su ipv6

                    Cosa intendi? IPv6 only? Che senso avrebbe? Se invece vuoi creare una rete totalmente dual-stack, e fare in modo che i tuoi apparati interni abbiano un indirizzo IPv6 statico, allora non è un grosso problema. Con linux è molto facile fare in modo che accanto all'indirizzo IPv6 temporaneo ci sia un indirizzo statico EUI-64 basato sul MAC address, di solito lo puoi fare dalla GUI di NetworkManager. Anche per Windows che io sappia si può fare, se non sbaglio con il comando da PowerShell (come admin) set-netipv6protocol -RandomizeIdentifiers Disabled. Ma prendi l'informazione con le molle, non uso Windows da una vita... In questo modo puoi far raggiungere anche una macchina dall'esterno in IPv6, mentre la stessa macchina "uscirà" su Internet con un indirizzo temporaneo...
                    Con gli ULA non puoi uscire all'esterno, né entrare...
                    Poi ci sono anche altre soluzioni, utilizzando indirizzi IPv6 statici assegnati alle interfacce, ma perché complicarsi la vita? Qualunque router consumer moderno, che usi SLAAC o DHCPv6, è in grado di gestire quanto ti ho descritto senza accrocchi strani. Ed il tutto funziona anche con un tunnel, se il tuo ISP non ti assegna un prefisso.
                    Ricorda solo di proteggere le macchine con un firewall ben configurato, io ad esempio (che sono linux-only) non permetto connessioni in ingresso tranne che sul NAS, che deve essere raggiungibile dall'esterno, su una porta non standard, e proteggo anche la rete interna, con un firewall che permette ai computer di comunicare solo con ssh, ed anche qui su una porta non standard... In più le connessioni ssh non si basano su password, ma su certificati.

                        • [cancellato]

                        • Messaggio #11

                        psychotrain65 su una porta non standard

                        Perché nmap & C. non se ne accorgono di cosa c'è dietro.... 😉

                            [cancellato] Eh, vabbé, certo. Cerco di mettermi in sicurezza, non sono paranoico e non custodisco segreti di stato... 😉. D'altra parte in ambiente professionale vedo cose che gridano vendetta. Ovviamente lì IPv6 è un errore di stampa, non pervenuto...

                              Mah, il tracciamento tramite indirizzo IP, non importa se v4 o v6, è poco efficace. Poteva dare risultati soddisfacenti fino a una ventina di anni fa, ma oggigiorno esistono tecniche molto più sofisticate (che peraltro non prendono neppure in considerazione l'indirizzo IP) ed è contro di esse che bisogna premunirsi.

                              Morale della storia: cambiare indirizzo IP è meglio di niente, ma se qualcuno vuole tracciarti sul serio ha a disposizione una sfilza di metodi alternativi molto migliori. Anche questi ultimi possono essere contrastati, ma di certo non con il banale cambio di IP address. Insomma, adoperando contromisure adeguate, questi indirizzi "temporanei" diventano completamente inutili.

                                • [cancellato]

                                • Messaggio #14

                                giorgino

                                Gli indirizzi creati via SLAAC con EUI-64 sono particolarmente rischiosi perché contengono il MAC address della scheda. Permettono quindi di tracciare una macchina man mano che si sposta anche su reti diverse.

                                La collezione di dati è multidimensionale e fatta da molti attori lungo la catena, tutto fa brodo - meglio toglierli dalle manacce tutti i bit possibili. Se poi usate il PC mentre siete loggati a Google e Facebook...

                                    Va beh, non voleva diventare una discussione sull'anonimato in rete... a parte che per quello usare VPN + TOR e si è abbastanza in una botte di ferro...

                                    @psychotrain65 l'idea mia era di abbandonare ipv4 totalmente, più per una questione accademica (ovvero vedere se ne sono in grado) e anche per evitare il NAT sul router, che, a proposito, gira su openwrt e che già di suo dovrebbe droppare tutte le richieste ipv6 in entrata sulla wan6.

                                    Ovvio che è una mezza pazzia non avere dual-stack, quindi farei una rete ipv6 only in un ambiente virtuale.

                                    Un aspetto che non ho capito leggendo in rete è come fare, avendo un pool di indirizzi (/56), per richiedere all'ISP una sorta di "delega" per la gestione del routing interno gestito dal mio router. In pratica, se ho capito bene, l'ISP dovrebbe delegare all'ipv6 del mio router la funzione di routing dei pacchetti all'interno della mia LAN giusto? Questo perche non c'è più NAT

                                      pazzoide Giusto. Il router si occupa della distribuzione degli indirizzi, utilizzando un prefisso /64 di quelli disponibili. Oltretutto puoi creare più sottoreti indipendenti, ognuno con la sua /64, o addirittura avere un secondo router in cascata (mi sembra che di default openwrt delega ai router "successivi" una /62, ma è un parametro personalizzabile).

                                        • [cancellato]

                                        • Messaggio #17

                                        pazzoide l'idea mia era di abbandonare ipv4 totalmente

                                        Per ora non puoi farlo - se lo fai non accedi più a nulla che è accessibile solo in IPv4.

                                        pazzoide avendo un pool di indirizzi (/56), per richiedere all'ISP una sorta di "delega" per la gestione del routing interno gestito dal mio router.

                                        Non c'è bisogno di chiedere nulla - il routing nella tua LAN è già in carico a te e non cambia se il gateway per uscire su Internet fa NAT o no. Se hai più subnet devi ovviamente configurare correttamente il routing, statico o dinamico che sia.

                                            [cancellato] Devo ringraziare particolarmente l'autore per questo post; anche se gli indirizzi EUI-64 li usavo solo per la rete interna e sono comunque "noprefixroute", ho scoperto che il buon NetworkManager ora (e chissà da quanto) gestisce indirizzi statici non EUI-64, ma di tipo "stable-privacy", come da RFC8064. La discussione mi ha reso curioso, la curiosità spinge a leggere, la lettura mi ha permesso di aumentare un poco la sicurezza della mia rete casalinga... Avendo su IPv6 da più di 10 anni, ho finito con il "sedermi" su quanto c'era e funzionava...

                                              Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                              P.I. IT16712091004 - info@fibraclick.it

                                              ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile