Operatori con pieno supporto ipv6

mark_one · 2019-09-08T16:48:36+00:00

Salve, parto subito con la domanda: quali operatori forniscono il pieno supporto ipv6? Vi spiego meglio il motivo della richiesta. Attualmente sono in FTTC F...

lore20

eang Non è necessario, ti basta un firewall: anche se non sono "NATttate" le connessioni transitano comunque tutte dal router/gateway.

Puoi mettere come regola di default per il forwarding router <-> rete interna un bel DROP, e aprire solo lo stretto necessario a livello di ip, porta, o combo ip-porta.

Io ad esempio ho protocollo icmp (ping/traceroute) abilitato verso tutti gli ip interni. SSH abilitato verso tutti gli ip di una sottorete, porte 80/443 abilitate solo su specifici ip dove mi servono, tutto il resto chiuso...

Credo (qua non sono sicuro) che a livello di performance sia leggermente più veloce un firewall che un nat, ma roba di microsecondi per gamers fissati col ping!

eang

Capisco, grazie. Effettivamente così diventa interessante...

x_term

Non sono esposti totalmente, il dispositivo continua a fare funzioni di router e firewall, solo che non dovrà più fare anche NAT, che significa: niente modifica di ogni singolo pacchetto in entrata/uscita... meno uso di CPU/memoria per i router e anche meno tempo (anche se come ha detto @lore20 parliamo di microsecondi)

[cancellato]

eang Il NAT è anche una forma di protezione, basta un unico firewall sul ruoter WAN

NAT e firewall sono due cose diverse, anche se per come funziona il NAT in ambito consumer è analogo a una forma grezza di firewall. Ma se fai ad esempio NAT 1:1 non ha quel tipo di protezione. Con IPv6 diventa indispensabile un firewall, almeno sul router (o subito dietro).

eang Con l'IPv6 non c'è modo di fare NAT se si desidera?

Sì può fare - purché si usi un router che lo supporti, anche se è sconsigliato. Però ci sono situazioni in cui può diventare necessario, ma nella maggior parte dei casi togliere NAT di mezzo semplifica la vita.

x_term meno uso di CPU/memoria per i router e anche meno tempo (anche se come ha detto @lore20 parliamo di microsecondi)

Con le connessioni a 1Gb però comincia a diventare non irrilevante - tant'è che i router senza sufficienti risorse di calcolo devono trovare modo per accelerarlo pena connessioni più lente.

MarcoMondin Forse alcuni HW dei providers non lo sono,

Credo che i motivi siano altri - dover modificare e validare l'intera infrastruttura, il training di tutti gli operatori, perdere alcune fonti di reddito come l'affitto degli IP statici, un aumento della complessità del supporto all'utente finale, il rischio che gli smanettoni si facciano il datacenter in cantina o soffitta....

Per chi fosse interessato a come siamo messi rispetto al resto del mondo:

https://ipv6ripeness.ripe.net/

MarcoMondin

Un firewall basta! Si evita il NAT con tutto quello che ne consegue! Molto meglio!
Poi si possono costruire grossi sistemi IoT interfacciati agli assistant! Non è male!
Ormai i SERVER e i PC sono tutti pronti per una transizione trasparente. Forse alcuni HW dei providers non lo sono, ma i tempi per una transizione trasparente non sono solo maturi, tra un po' diventano avariati!

matteocontrini

eang l'IPv6 comunque nasce soprattutto perché gli IPv4 sono finiti, cosa che sta costringendo gli ISP a usare il NAT, quindi è progettato in modo che non serva più fare "porcate" come il NAT. Il NAT è un gigantesco pasticcio, per funzionare deve manipolare i pacchetti a diversi livelli violando completamente il funzionamento a strati dei protocolli di rete. Non ce ne libereremo facilmente ma l'IPv6 è la soluzione.

Questo dal punto di vista tecnico ovviamente, all'utente medio cambia poco e niente... A parte forse se gioca online

[cancellato]

Se gli ISP non implementeranno IPv6 come dio comanda, temo che di pasticci ne vedremo ancora. Se ad esempio non ascoltano le raccomandazioni di dare almeno un /56 e daranno solo /64 ci sarà chi farà NAT tra quelli e gli indirizzi ULA per usare le sue subnet. O se ti cambiano il prefisso ad ogni riavvio costringendoti a trovare un modo per evitare il renumbering. Se poi uno cambia operatore spesso, ha di nuovo questo problema....

stemax97

MarcoMondin Per altro l'IPV6 di fastweb funziona su qualunque operatore, basta possedere un IP pubblico statico v4.

È legale/lecito utilizzarlo da un altro operatore?

[cancellato]

stemax97 Buona domanda... Probabilmente sì anche perché l'indirizzo v4 di fatto rimane visibile anche negli indirizzi sorgenti v6 "tradotti".

stemax97

[cancellato]

Sì, quindi a livello di logging non ci sono problemi (faccio la conversione da esadecimale a binario e ricostruisco l'IP).
Immagino poi che se una persona scarica decine di gigabyte al giorno per mesi potrebbero limitare,

Secondo voi, è un errore voluto da parte di Fastweb (del tipo "facciamo divertire quelle poche persone in Italia che sanno configurare un tunnel 6rd") o è una dimenticanza? 😂

[cancellato]

stemax97 Mah in realtà non è che sia un errore, semplicemente non è facile filtrare i sorgenti in modo stateless (vantaggio dei tunnel 6rd)...

Banda: Fastweb non credo abbia problemi in tal senso 😃 mal che vada possono fare dello shaping.

stemax97

[cancellato]

Potresti spiegarmi la difficoltà del filtraggio? Non sarebbe stato sufficiente semplicemente mettere in whitelist gli IP appartenenti alle subnet di Fastweb e droppare gli altri?

[cancellato]

stemax97 Il prolema è: filtri in quale verso? 🙂

Lasciando perdere UDP che è stateless per definizione, concentriamoci sul TCP; per limitare l'uso del 6rd ai "suoi" clienti operando solo con filtri stateless/ACL, Fastweb dovrebbe scartare i pacchetti con flag SYN non originati dai suoi blocchi, giusto? Peccato che facendo così spacchi tutto: non essendoci NAT in mezzo, un indirizzo "tradotto" IPv6 6rd può essere il lato "server" di una connessione, ed essere direttamente raggiungibile dall'esterno della rete (classico esempio: una telecamera, che sotto IPv4 vedrebbe il DNAT, con IPv6 ha il suo indirizzo proprio, e il TCP SYN arriva dal tuo cellulare che la vuol visionare). Il tunnel e il range di indirizzi allocati in questo modo sarebbe "inutile" perché di fatto permetterebbe solo connessioni outbound, alla stregua di un CGNAT.

Con il NAT la cosa sta in piedi perché il router che maschera gli indirizzi possiede la tabella dei flussi (connection table, conntrack, state table, chiamala come vuoi...) e può scartare pacchetti che non corrispondono ad un flow definito e iniziato da un client mascherato, ma questo non si verifica nei 6rd, anzi pensa a quale sarebbe la mole di tali flow table con i milioni di indirizzi e porte disponibili e assegnati! Pensa che anche solo nel routing dei pacchetti IPv6 si considerano solo (generalmente) i primi 64 bit dell'indirizzo, lasciando gli ultimi 64 al device una volta individuato il dominio L2 di appartenenza.

Spero sia almeno vagamente comprensibile.

stemax97

[cancellato]
Ti ringrazio per la spiegazione e per la disponibilità, ma sono testardo (👉👈) e continua a sfuggirmi perché non si potrebbe fare un blocco a livello IPV4 sul border relay.
Per intenderci lo stesso risultato che otterrei con:
iptables -A INPUT -s subnet1_consentita -j ACCEPT
iptables -A INPUT -s subnet2_consentia -j ACCEPT
iptables -A INPUT -s tutto_il_resto -J DROP

In questa maniera impedisci a qualsiasi IPV4 non autorizzato di attivare il tunnel.

[cancellato]

stemax97 Questo funziona perché fai conntrack, ovvero valuti il pacchetto all'instaurarsi della connessione (difatti prima hai un ACCEPT ESTABLISHED/RELATED solitamente).

Facendo così, ammesso che il router abbia capacità nella TCAM di tenere tutte le tabelle, non permetti agli host della "tua" rete di ricevere connessioni dall'esterno, e quindi perdi (quasi) tutti i vantaggi di avere un IP "pubblico" ruotabile ad ogni device.

Fare così comunque equivale ad analizzare i pacchetti con il flag SYN nel caso TCP comunque 😉

stemax97 In questa maniera impedisci a qualsiasi IPV4 non autorizzato di attivare il tunnel.

Eh dipende... dipende se questi controlli possono essere fatti in modo stateless, dovresti valutare gli address che abbiano un IPv6 in un IPv4, forse si potrebbe anche fare, combinando i filtri con l'inner protocol del layer IPv4... 🤔
Forse semplicemente in questo caso a Fastweb non gli è interessato limitare i client 😃

stemax97

[cancellato]

Grazie degli ottimi insight, sei veramente molto disponibile!
Premetto che potrei non aver ben chiaro come funziona 6rd, quindi mi studierò la documentazione di come funziona il protocollo. Nel frattempo, la mia comprensione attuale è questa.

Ipotizziamo che io abbia una videocamera e un router.
Il router non ha connettività IPV6, quindi attiva un tunnel 6rd verso un border relay. In questa maniera si crea sul router un'interfaccia che assume un prefisso IPV6, che verrà utilizzato anche per dare indirizzi alla videocamera.
Il traffico fra il router e il border relay avviene in IPV4: i pacchetti scambiati contengono pacchetti IPV6. Il border relay riceve quindi questi pacchetti incapsulati, li "decapsula" e vede i pacchetti IPV6, che routerà verso le rispettive destinazioni. Se qualcuno si vuole collegare alla mia videocamera (che, come detto prima, ha un indirizzo IP6), invierà un pacchetto avente tale indirizzo come destinazione. Dal momento che il border relay 6rd annuncia il mio prefisso IPV6, questi pacchetti arriveranno al border relay, che li incapsulerà in un pacchetto IPV4, che arriverà al mio router, che li decapsulerà in pacchetti IP6, forwardandoli alla videocamera.

A livello di filtraggio, io semplicemente bloccherei le richieste di attivazione del tunnel agli IPV4 non abilitati (come puoi fare per bloccare il protocollo ICMP), in maniera tale che questi non possano ottenere il prefisso (a meno che ottenere il prefisso non richieda di comunicare con il border relay). Quindi sì, farei conntrack, e so quanto può essere dispendioso a livello di risorse.
Nel caso opposto, invece, quando arriva nel border relay un pacchetto destinato a un host della rete interna IP6, basterebbe analizzare l'indirizzo IP6 per ricavare l'IP4 cui inoltrare il pacchetto incapsulato. Questo dovrebbe essere fatto sempre, altrimenti come potrebbe il border relay sapere su quale tunnel inviarlo?

[cancellato]

stemax97 quando arriva nel border relay un pacchetto destinato a un host della rete interna IP6, basterebbe analizzare l'indirizzo IP6 per ricavare l'IP4 cui inoltrare il pacchetto incapsulato. Questo dovrebbe essere fatto sempre, altrimenti come potrebbe il border relay sapere su quale tunnel inviarlo?

Corretto.
In realtà più che un tunnel è un incapsulamento IPv6-in-IPv4, non serve che ci sia una connessione diretta, una sessione TCP o un flow UDP (tanto che per esempio non riesci ad avere due tunnel 6rd dietro uno stesso router di NAT in rete domestica). La "traduzione" 6rd nel border router viene fatta stateless prendendo la "porzione" di indirizzo IPv6 dopo il prefix e quei 4 byte diventano l'IPv4 destinazione del pacchetto incapsulante.

Quindi sì, mi hai fatto riflettere e sì, tecnicamente sarebbe possibile limitare gli indirizzi IPv4 verso i quali incapsulare i pacchetti (e quindi destinatari dei tunnel)... evidentemente non gli interessava, oppure la cardinalità dei blocchi era tale che esaurivano la lunghezza massima delle ACL applicabili (che ricordo vengono valutate in ASIC, quindi la flessibilità è quel che è).

artu72

Mi sembra che anche Dimensione su FTTH openfiber offra il pieno supporto IPv6, me lo diceva @giusgius

giusgius

artu72 confermo, con rilascio di una /48

stemax97

giusgius

Purtroppo prima del 2022 non siete un'opzione possibile... dal 2022 spero di sì!
In quella data il mio indirizzo risulterà coperto da 2 FWA VHCN (Eolo 100 che c'è già ora e OpenFiber FWA)

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile