Router: WAN IPv6, LAN IPv4
Pročítám článek na Živě: http://www.zive.cz/clanky/jak-se-cesko-pripravuje- na-novou-generaci-internetu-s-ipv6/sc-3-a-152621/d efault.aspx o přechodu na IPv6.
Dočetl jsem se, že pod IPv6 nefunguje NAT. Jenže jak potom jednoduše oddělit (zneviditelnit) domácí síť od internetu? Nemám zájem, aby provider nějak viděl/věděl i o všech mých domácích IP zařízeních, o přenosech dat mezi nima.
Proto by mi asi vyhovovalo přidělení jedné IPv6 adresy providerem a co si s ní doma udělám (v IPv4 síti), bude moje věc. Existuje router, který tohle dokáže? Či existuje jiné elegantní (a jednoduché) řešení?
Sítím nerozumím, třeba někdo dá jednoduché vysvětlení. Díky.
Mali by to vediet vsetky routre, ktore vedia ipv6 a 4. Cize vlastne vsetky podporujuce ipv6;o).
Definuje to Network Address Translator - Protocol Translator (NAT-PT) RFC 2766 a bolo to vymyslene vlastne na komunikaciu medzi ipv4 a 6 sietami.
Komunikace na tve lokalni siti prece nepujde pres ISP, bude zustavat pouze u tebe na LAN.
To bych samozřejmě rád, "bojím" se toho díky těm přiděleným veřejným adresám. Pokud je to strach z neznalosti a veřejnost IP neznamená, že data "někde veřejně tečou", je to jen dobře.
Je to pro mě bohužel španělská vesnice a nemám ani sílu, čas a chuť na nějaké podrobnější studium Jde mi hlavně o bezpečnost (a neprůstřelnost zvenčí) domácí sítě.
Dnes mám wifi připojení, provider se dostane jen na bridge. Přístup na router mám zaheslovaný a remote management zakázaný.
Proc by mel kdokoli videt komunikaci zarizeni v tve siti? Ano, kazde koncovce zarizeni pristupujici do internetu bude mit svou verejnou adresu, bude unikatne identifikovatelne, nicmene firewall stale funguje, takze interni provoz je stale utajen a co si pres firewall nepustis, tak to se to tam proste neuvidi. Jedine co provider uvidi je IP adresa zarizeni, a jeho provoz do internetu. Z IP adresy se ovsem neda jakkoli odvodit, co je to za zarizeni.
Takze suma sumarum proti stavajicimu stavu:
Provider samozrejme vidi na svych routrech stale veksery provoz do internetu, akorat ze nevychazi z jedne IP adresy, ale z, tobe prideleneho, rozsahu adres. Me osobne tohle absolutne nevadi.
Ono jaksi s NATem pojem Firewall byl ponekud zkreslen a na sposte zarizeni je firewall vypnuty a vyuziva se toho, ze z internetu nemuze prijit paket s neverejnou adresou, a tedy nemuze dosahnout na konkretni koncove zarizeni.
Teoreticky se to da odrbat tak, kdyz mas verejnou adresu na stejnem segmentu site jako tvuj cil, tak nastavis pro tu vnitrni sit (treba 192.168.0.0/24, zalezi kam chces utocit) next hop verejnou adresu routru tveho cile a tim se bez problemu do te site dostanes.
Druhý odstavec je pro mě bohužel nesrozumitelný
To je pohled z hlediska případného útočníka zvenčí, aby se dostal "za NAT"?
Mno, moc tomu stejně nerozumím... Omluvte proto případné stupidity.
Jde mi o pár věcí:
- kopírování souborů na LAN funguje i když vytáhnu WAN kabel, jak tomu bude v případě IPv6, kdy každé zařízení bude mít veřejnou IP?
- dnes mám za NATem zapnuté sdílení souborů a tiskáren (pro LAN oblast 192.168...), běžně se PC a některé adresáře po síti vidí (bez hesel). Nerad bych se dostal do situace, aby po získání IPv6 adres zde jakkoliv mohl nakukovat provider (tak jako neveřím servisákům, že ze zájmu neprohlížejí HDD uživatele, nevěřím ani ISP, že by ho nezajímal obsah domácí sítě)
- předpokládám, že na IPv6 bude muset být připraven i OS; do Windowsů bude asi nutno doinstalovat podporu UPv6 protokolu, co? (připojení k místní síti - obecné - nainstalovat - protokol)
To samozrejme bude fungovat uplne stejne, protoze architektura je uplne stejna, tedy: internet - router - tvoje sit. Prestoze tvoje sit obsahuje verejne adresy, tak je porad za routrem a je to jeden segment site, ktery kdyz odpojis od internetu, tak se nic nestane a v ramci segmentu bude komunikace probihat dal.
Do tve vnitrni site se z internetu podiva jen to, cemu to na firewallu povolis, vse ostatni zustane utajeno.
IPv6 by idealne mely umet vsechny prvky v siti, pocitace, tiskarny, routry (u APcek a switchu je tu ponekud jedno, jen by ses musel smirit s faktem, ze se z vnitrni site nedostanes na management).
Bohužel předpokládám, že tohle nebude triviální záležitost.
Moc netuším, jak je dneska (IPv4) těžké se dostat zvenku do PC v LAN přes router s NATem, bez firewallu na routeru, pouze s firewalem v OS (pokud to vůbec jde). Zde se po přechodu na IPv6 něco v tomhle změní (NAT odpadne) a bude potřeba pečlivě konfigurovat firewall na routeru.
Díky za trpělivost
Zalezi jak budou vyrobci routeru rozumni, ve vychozim stavu by idealne mel byt smer LAN->WAN povolen a WAN->LAN zakazan.
Timpadem se dostavas do stejne situace jako nyni se SOHO routry. S tim rozdilem, ze kdyz budes chtit nejakou sluzbu vystavit do internetu, tak se nebude delat DNAS (virtual server a pod.), ale povoli se konkretni port na konkretni verejnou adresu (v tve vnitrni siti), veskera osatni komunikace WAN->LAN bude zapovezena.
Čili obdoba dnešního port forwardingu (třeba pro p2p sítě)?
WAN->LAN defaultě zakázat je rozumné. Přístup do routeru zaheslovat snad taky bude možné. Až na to dojde, nechám si s pořízením nějakého vhodného routeru poradit (s Gbit switchem, 8 LAN konektory a slušnými možnostmi konfigurace).
Hned jsem trochu klidnější
Da se to tak rict.
Jojo, presne tak.
No, osobne bych SOHO (ja teda bych soho nebral vubec nic) 1Gb router nebral, jednoduse proto, ze mala krabicka nedokaze mit vykon na prepinani 8Gb/s. Vubec si nedelam iluze o rychlostech nemanagovatelnych SOHO 1Gb switchu. Divil bych se, kdyby to vubec dokazalo utahnout 1Gb/s mezi dvema zarizenimi, natoz pak osmi.
i dokáže, mám doma 8-portový gigabitový D-link a je to v pohodě, na SMB mi to dělá cca 50-60MB/s (a řekl bych, že to limituje už spíše disk, než switch). Samozřejmě routování je problém, mám doma desku Intel Johnstown, ta zvládá něco okolo 400Mbit/s; běžné routery s MIPS CPU pojedou max. okolo 100MBit/s, spíše méně (můj Asus Wl-500gP udělal okolo 50Mbit/s)
Stale tu, ale preberate len varaintu prechodu celej lan siete na na ipv6, co nie je jedine riesenie.
Samozrejme po nastupe ipv6 bude simultanne fungovat aj ipv4. Nastup ipv6 sa ohlasuje apokalypticky uz snad 10 rokov a stale sa nic nedeje. Takye tvrdit dnes, ze rok 2011 bude ten pravy je viac ako odvazne.
Podstatne je, ze routre budu este veeeelmi dlho podporovat aj ipv4 protokol, cize situacia sa zmeni max tak, ze router dostane verejnu ipv6 adresu na wan roghrani z zvysok siete bude veselo fungovat na privatnej ipv4, pretoze NAT je mozny.
Cize ziadne bububu sa nekona.
Ja osobne tlacim na providera aby, svoj IPv6 rozsah mel propojeny do sveta, abych ho mohl konecne nasadit ve sve siti. Zadny NAT, jen IPv6.
Dovodov za a proti je mnoho. Ja osobne som sice za, ale viem obhajit situacie ked by som bol proti.