Operatori con pieno supporto ipv6

mark_one · 2019-09-08T16:48:36+00:00

Salve, parto subito con la domanda: quali operatori forniscono il pieno supporto ipv6? Vi spiego meglio il motivo della richiesta. Attualmente sono in FTTC F...

lore20

[cancellato] Certo, ma così ti ritroveresti il prefix /64 che cambia per ogni cambio di IP, giusto?

Per il fatto che ti danno connettività senza autenticazione direi che non è un grosso problema per Fastweb avendo un mapping 1:1 IPv4-Prefisso... Ci fossero abusi basta una banale conversione hex->dec per trovare l'IPv4 responsabile

[cancellato]

edofullo Non richiede autenticazione il tunnel?

No...

lore20 Certo, ma così ti ritroveresti il prefix /64 che cambia per ogni cambio di IP, giusto?

Sì, assolutamente sì.. d'altronde, è una soluzione che di per sé è già un po' una schifezza (tunnel v6-in-v4)... va bene per smanettare e provare, non ci andrei a cablare una rete di casa con IPv6 statici però.
Con indirizzi dinamici tutto sommato si può anche fare.

eang

Scusate la domanda ma a cosa dovrebbe servirmi un indirizzo IPv6?

lore20

eang Un singolo indirizzo IPv6 ad abbastanza poco, ti darebbe la possibilità di accedere ai siti IPv6-only, ma non conosco siti di qualche utilità che non siano raggiungibili anche in IPv4.

Il grosso vantaggio è che il modello di utilizzo previsto per l'IPv6 dovrebbe prevedere il completo superamento del NAT. Le linee guida prevedono che l'operatore assegni all'utente finale non un indirizzo, ma un prefisso, quindi tanti indirizzi. Il router tuo di casa non opererebbe più da NAT e ogni dispositivo connesso accederebbe ad internet con un suo proprio IP pubblico derivato da quell'indirizzo. Quindi addio problemi di port-forwarding... E soprattutto per gli ISP addio Carrier-Grade NAT!

Per quanto riguarda me, ad esempio, ho ottenuto un prefisso /48 tramite tunnel da un provider americano (Hurricane Electrics) e ho assegnato IPv6 pubblici statici a vari dispositivi da casa che possono essere raggiunti da remoto. Grazie a IPv6 ogni dispositivo ha il suo indirizzo e non vanno fatte cose strane tipo reverse-proxy o differenziare le porte esterne che uso per raggiungere ogni dispositivo.
Ovviamente per ora si tratta molto di "baloccarsi", visto che è raro che in Italia possa trovare un'altra connessione IPv6 da cui accedere ai miei servizi, ma le cose lentamente stanno cambiando...

eang

lore20 Hmm capisco, ma l'idea di avere tutti i miei device esposti ad internet non so se mi alletta. Il NAT è anche una forma di protezione, basta un unico firewall sul ruoter WAN e sei apposto. Con l'IPv6 non c'è modo di fare NAT se si desidera?

lore20

eang Non è necessario, ti basta un firewall: anche se non sono "NATttate" le connessioni transitano comunque tutte dal router/gateway.

Puoi mettere come regola di default per il forwarding router <-> rete interna un bel DROP, e aprire solo lo stretto necessario a livello di ip, porta, o combo ip-porta.

Io ad esempio ho protocollo icmp (ping/traceroute) abilitato verso tutti gli ip interni. SSH abilitato verso tutti gli ip di una sottorete, porte 80/443 abilitate solo su specifici ip dove mi servono, tutto il resto chiuso...

Credo (qua non sono sicuro) che a livello di performance sia leggermente più veloce un firewall che un nat, ma roba di microsecondi per gamers fissati col ping!

[cancellato]

eang Il NAT è anche una forma di protezione, basta un unico firewall sul ruoter WAN

NAT e firewall sono due cose diverse, anche se per come funziona il NAT in ambito consumer è analogo a una forma grezza di firewall. Ma se fai ad esempio NAT 1:1 non ha quel tipo di protezione. Con IPv6 diventa indispensabile un firewall, almeno sul router (o subito dietro).

eang Con l'IPv6 non c'è modo di fare NAT se si desidera?

Sì può fare - purché si usi un router che lo supporti, anche se è sconsigliato. Però ci sono situazioni in cui può diventare necessario, ma nella maggior parte dei casi togliere NAT di mezzo semplifica la vita.

x_term meno uso di CPU/memoria per i router e anche meno tempo (anche se come ha detto @lore20 parliamo di microsecondi)

Con le connessioni a 1Gb però comincia a diventare non irrilevante - tant'è che i router senza sufficienti risorse di calcolo devono trovare modo per accelerarlo pena connessioni più lente.

MarcoMondin Forse alcuni HW dei providers non lo sono,

Credo che i motivi siano altri - dover modificare e validare l'intera infrastruttura, il training di tutti gli operatori, perdere alcune fonti di reddito come l'affitto degli IP statici, un aumento della complessità del supporto all'utente finale, il rischio che gli smanettoni si facciano il datacenter in cantina o soffitta....

Per chi fosse interessato a come siamo messi rispetto al resto del mondo:

https://ipv6ripeness.ripe.net/

matteocontrini

eang l'IPv6 comunque nasce soprattutto perché gli IPv4 sono finiti, cosa che sta costringendo gli ISP a usare il NAT, quindi è progettato in modo che non serva più fare "porcate" come il NAT. Il NAT è un gigantesco pasticcio, per funzionare deve manipolare i pacchetti a diversi livelli violando completamente il funzionamento a strati dei protocolli di rete. Non ce ne libereremo facilmente ma l'IPv6 è la soluzione.

Questo dal punto di vista tecnico ovviamente, all'utente medio cambia poco e niente... A parte forse se gioca online

eang

Capisco, grazie. Effettivamente così diventa interessante...

x_term

Non sono esposti totalmente, il dispositivo continua a fare funzioni di router e firewall, solo che non dovrà più fare anche NAT, che significa: niente modifica di ogni singolo pacchetto in entrata/uscita... meno uso di CPU/memoria per i router e anche meno tempo (anche se come ha detto @lore20 parliamo di microsecondi)

MarcoMondin

Un firewall basta! Si evita il NAT con tutto quello che ne consegue! Molto meglio!
Poi si possono costruire grossi sistemi IoT interfacciati agli assistant! Non è male!
Ormai i SERVER e i PC sono tutti pronti per una transizione trasparente. Forse alcuni HW dei providers non lo sono, ma i tempi per una transizione trasparente non sono solo maturi, tra un po' diventano avariati!

[cancellato]

Se gli ISP non implementeranno IPv6 come dio comanda, temo che di pasticci ne vedremo ancora. Se ad esempio non ascoltano le raccomandazioni di dare almeno un /56 e daranno solo /64 ci sarà chi farà NAT tra quelli e gli indirizzi ULA per usare le sue subnet. O se ti cambiano il prefisso ad ogni riavvio costringendoti a trovare un modo per evitare il renumbering. Se poi uno cambia operatore spesso, ha di nuovo questo problema....

stemax97

MarcoMondin Per altro l'IPV6 di fastweb funziona su qualunque operatore, basta possedere un IP pubblico statico v4.

È legale/lecito utilizzarlo da un altro operatore?

[cancellato]

stemax97 Buona domanda... Probabilmente sì anche perché l'indirizzo v4 di fatto rimane visibile anche negli indirizzi sorgenti v6 "tradotti".

stemax97

[cancellato]

Sì, quindi a livello di logging non ci sono problemi (faccio la conversione da esadecimale a binario e ricostruisco l'IP).
Immagino poi che se una persona scarica decine di gigabyte al giorno per mesi potrebbero limitare,

Secondo voi, è un errore voluto da parte di Fastweb (del tipo "facciamo divertire quelle poche persone in Italia che sanno configurare un tunnel 6rd") o è una dimenticanza? 😂

[cancellato]

stemax97 Mah in realtà non è che sia un errore, semplicemente non è facile filtrare i sorgenti in modo stateless (vantaggio dei tunnel 6rd)...

Banda: Fastweb non credo abbia problemi in tal senso 😃 mal che vada possono fare dello shaping.

stemax97

[cancellato]

Potresti spiegarmi la difficoltà del filtraggio? Non sarebbe stato sufficiente semplicemente mettere in whitelist gli IP appartenenti alle subnet di Fastweb e droppare gli altri?

[cancellato]

stemax97 Il prolema è: filtri in quale verso? 🙂

Lasciando perdere UDP che è stateless per definizione, concentriamoci sul TCP; per limitare l'uso del 6rd ai "suoi" clienti operando solo con filtri stateless/ACL, Fastweb dovrebbe scartare i pacchetti con flag SYN non originati dai suoi blocchi, giusto? Peccato che facendo così spacchi tutto: non essendoci NAT in mezzo, un indirizzo "tradotto" IPv6 6rd può essere il lato "server" di una connessione, ed essere direttamente raggiungibile dall'esterno della rete (classico esempio: una telecamera, che sotto IPv4 vedrebbe il DNAT, con IPv6 ha il suo indirizzo proprio, e il TCP SYN arriva dal tuo cellulare che la vuol visionare). Il tunnel e il range di indirizzi allocati in questo modo sarebbe "inutile" perché di fatto permetterebbe solo connessioni outbound, alla stregua di un CGNAT.

Con il NAT la cosa sta in piedi perché il router che maschera gli indirizzi possiede la tabella dei flussi (connection table, conntrack, state table, chiamala come vuoi...) e può scartare pacchetti che non corrispondono ad un flow definito e iniziato da un client mascherato, ma questo non si verifica nei 6rd, anzi pensa a quale sarebbe la mole di tali flow table con i milioni di indirizzi e porte disponibili e assegnati! Pensa che anche solo nel routing dei pacchetti IPv6 si considerano solo (generalmente) i primi 64 bit dell'indirizzo, lasciando gli ultimi 64 al device una volta individuato il dominio L2 di appartenenza.

Spero sia almeno vagamente comprensibile.

stemax97

[cancellato]
Ti ringrazio per la spiegazione e per la disponibilità, ma sono testardo (👉👈) e continua a sfuggirmi perché non si potrebbe fare un blocco a livello IPV4 sul border relay.
Per intenderci lo stesso risultato che otterrei con:
iptables -A INPUT -s subnet1_consentita -j ACCEPT
iptables -A INPUT -s subnet2_consentia -j ACCEPT
iptables -A INPUT -s tutto_il_resto -J DROP

In questa maniera impedisci a qualsiasi IPV4 non autorizzato di attivare il tunnel.

[cancellato]

stemax97 Questo funziona perché fai conntrack, ovvero valuti il pacchetto all'instaurarsi della connessione (difatti prima hai un ACCEPT ESTABLISHED/RELATED solitamente).

Facendo così, ammesso che il router abbia capacità nella TCAM di tenere tutte le tabelle, non permetti agli host della "tua" rete di ricevere connessioni dall'esterno, e quindi perdi (quasi) tutti i vantaggi di avere un IP "pubblico" ruotabile ad ogni device.

Fare così comunque equivale ad analizzare i pacchetti con il flag SYN nel caso TCP comunque 😉

stemax97 In questa maniera impedisci a qualsiasi IPV4 non autorizzato di attivare il tunnel.

Eh dipende... dipende se questi controlli possono essere fatti in modo stateless, dovresti valutare gli address che abbiano un IPv6 in un IPv4, forse si potrebbe anche fare, combinando i filtri con l'inner protocol del layer IPv4... 🤔
Forse semplicemente in questo caso a Fastweb non gli è interessato limitare i client 😃

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile