Non sarò @LucaTNT, ma uso IPv6 da prima che Fastweb lo implementasse, per tutto il tempo che sono stato con loro ed anche ora.
Matteo_Mabesolani Cosa succede se da Internet punto verso la WAN del Fastgate con IPv6?
La WAN di Fastweb NON ha IPv6. È un tunnel, la connessione IPv6 è incapsulata in pacchetti IPv4. Gli host sono raggiungibili (firewall permettendo) da qualunque altra macchina nel mondo con un IPv6.
matteocontrini c'è questa opzione qua:
Che non assegna IPv6 pubblici agli host (che quindi non possono navigare in IPv6). Non so se il router comunque si espone sulla WAN con un IPv6. Probabile ma boh, non c'è scritto neanche qual è...
L'opzione IPv6 su LAN assegna un prefisso alla LAN (una sola LAN), ed a quel punto tutti gli host hanno un IPv6 routable con un prefisso che inizia con 2001:b07::, che fa parte dei prefissi assegnati a Fastweb. Ovviamente avranno anche l'indirizzo link-local (che inizia con fe80..). Uno stesso host può avere multipli indirizzi IPv6, ad esempio nella mia rete linux ho settato in modo che abbiamo un indirizzo temporaneo con cui navigare ma anche un secondo indirizzo statico a cui siano raggiungibili (anche dall'esterno).
Il Fastgate assegna gli indirizzi IPv6 agli host via DHCPv6, con cui annuncia anche il DNS, ma è possibile farlo senza, in modalità stateless , con RA (Router Advertisement). Android ad esempio non usa DHCPv6, ma i telefoni nella rete wireless Fastweb ottengono il loro bravo indirizzo IPv6...
Se si usa IPv6, bisogna dimenticarsi il concetto di NAT. Semplicemente non ha senso di esistere. Tutti gli host sono su internet, tutti gli host devono avere un firewall attivo. Tenete conto che è possibile assegnare indirizzi temporanei per la navigazione, a protezione della privacy. Quando vi assegnano un /64, come nel caso di Fastweb, vi assegnano 18.446.744.073.709.551.616 indirizzi. Direi che per una LAN sola sono abbastanza, ed anche per rendere praticamente irrintracciabile una singola macchina.
Del firewall del Fastgate non mi sono mai fidato per nulla, se volete provare la vostra esposizione in IPv6 potete fare un test al sito https://ipv6.chappell-family.com/ipv6tcptest/ anche per porte specifiche ed anche per UDP.
Ricordo che tutta la connettività IPv6 per funzionare usa il protocollo ICMP, quindi bisogna essere "pingabili", o meglio, si possono filtrare le echo request, ma non altri tipi di comunicazione ICMP...
IPv6 è un sistema estremamente pratico e semplice per implementare reti, che sono autoconfiguranti, ed anche un grande passo avanti per la sicurezza, vista l'enormità degli indirizzi disponibili. Scompare (o quasi) il concetto di rete privata (anche se esistono IPv6 privati, del blocco fd00::/8), ci sono indirizzi statici a volontà (almeno quanti sono i MAC delle schede di rete), sparisce la necessità di port forwarding e tutte le complicazioni legate al NAT. Già, perchè il NAT non deve essere considerato un motivo di sicurezza, ma solo una complicazione nata dalla carenza di indirizzi...
Attualmente uso un tunnel IPv6 Hurricane Electric, che mi assegna un /48, cioè la possibilità di distribuire indirizzi a 65.536 LAN con 18.446.744.073.709.551.616 indirizzi disponibili ciascuna. Viva l'abbondanza!
Spero di essere stato utile, nel limite delle mie conoscenze di vecchio smanettone (tanta pratica, ma troppa poca teoria...)
