Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailem Router: WAN IPv6, LAN IPv4

Pročítám článek na Živě: http://www.zive.cz/clanky/jak-se-cesko-pripravuje- na-novou-generaci-internetu-s-ipv6/sc-3-a-152621/d efault.aspx o přechodu na IPv6.

Dočetl jsem se, že pod IPv6 nefunguje NAT. Jenže jak potom jednoduše oddělit (zneviditelnit) domácí síť od internetu? Nemám zájem, aby provider nějak viděl/věděl i o všech mých domácích IP zařízeních, o přenosech dat mezi nima.

Proto by mi asi vyhovovalo přidělení jedné IPv6 adresy providerem a co si s ní doma udělám (v IPv4 síti), bude moje věc. Existuje router, který tohle dokáže? Či existuje jiné elegantní (a jednoduché) řešení?

Sítím nerozumím, třeba někdo dá jednoduché vysvětlení. Díky.

Předmět Autor Datum
Mali by to vediet vsetky routre, ktore vedia ipv6 a 4. Cize vlastne vsetky podporujuce ipv6;o). Defi…
fleg 14.06.2010 10:09
fleg
Nemám zájem, aby provider nějak viděl/věděl i o všech mých domácích IP zařízeních, o přenosech dat m…
rh 14.06.2010 10:14
rh
To bych samozřejmě rád, "bojím" se toho díky těm přiděleným veřejným adresám. Pokud je to strach z n…
L-Core 14.06.2010 11:19
L-Core
Proc by mel kdokoli videt komunikaci zarizeni v tve siti? Ano, kazde koncovce zarizeni pristupujici…
JR_Ewing 14.06.2010 10:16
JR_Ewing
Ono jaksi s NATem pojem Firewall byl ponekud zkreslen a na sposte zarizeni je firewall vypnuty a vyu…
JR_Ewing 14.06.2010 10:22
JR_Ewing
Druhý odstavec je pro mě bohužel nesrozumitelný :-| To je pohled z hlediska případného útočníka zven…
L-Core 14.06.2010 11:14
L-Core
Mno, moc tomu stejně nerozumím... ;-) Omluvte proto případné stupidity. Jde mi o pár věcí: - kopíro…
L-Core 14.06.2010 11:12
L-Core
- kopírování souborů na LAN funguje i když vytáhnu WAN kabel, jak tomu bude v případě IPv6, kdy každ…
JR_Ewing 14.06.2010 11:18
JR_Ewing
Do tve vnitrni site se z internetu podiva jen to, cemu to na firewallu povolis, vse ostatni zustane…
L-Core 14.06.2010 11:26
L-Core
Zalezi jak budou vyrobci routeru rozumni, ve vychozim stavu by idealne mel byt smer LAN->WAN povolen…
JR_Ewing 14.06.2010 11:30
JR_Ewing
Čili obdoba dnešního port forwardingu (třeba pro p2p sítě)? WAN->LAN defaultě zakázat je rozumné. P…
L-Core 14.06.2010 11:41
L-Core
Čili obdoba dnešního port forwardingu (třeba pro p2p sítě)? Da se to tak rict.
rh 14.06.2010 11:49
rh
Čili obdoba dnešního port forwardingu (třeba pro p2p sítě)? Jojo, presne tak. No, osobne bych SOHO…
JR_Ewing 14.06.2010 11:50
JR_Ewing
i dokáže, mám doma 8-portový gigabitový D-link a je to v pohodě, na SMB mi to dělá cca 50-60MB/s (a…
touchwood 14.06.2010 12:20
touchwood
Stale tu, ale preberate len varaintu prechodu celej lan siete na na ipv6, co nie je jedine riesenie.…
fleg-sk 14.06.2010 12:11
fleg-sk
Ja osobne tlacim na providera aby, svoj IPv6 rozsah mel propojeny do sveta, abych ho mohl konecne na…
JR_Ewing 14.06.2010 12:40
JR_Ewing
Dovodov za a proti je mnoho. Ja osobne som sice za, ale viem obhajit situacie ked by som bol proti. poslední
fleg 14.06.2010 13:42
fleg

Mali by to vediet vsetky routre, ktore vedia ipv6 a 4. Cize vlastne vsetky podporujuce ipv6;o).
Definuje to Network Address Translator - Protocol Translator (NAT-PT) RFC 2766 a bolo to vymyslene vlastne na komunikaciu medzi ipv4 a 6 sietami.

To bych samozřejmě rád, "bojím" se toho díky těm přiděleným veřejným adresám. Pokud je to strach z neznalosti a veřejnost IP neznamená, že data "někde veřejně tečou", je to jen dobře.

Je to pro mě bohužel španělská vesnice a nemám ani sílu, čas a chuť na nějaké podrobnější studium :-| Jde mi hlavně o bezpečnost (a neprůstřelnost zvenčí) domácí sítě.

Dnes mám wifi připojení, provider se dostane jen na bridge. Přístup na router mám zaheslovaný a remote management zakázaný.

Proc by mel kdokoli videt komunikaci zarizeni v tve siti? Ano, kazde koncovce zarizeni pristupujici do internetu bude mit svou verejnou adresu, bude unikatne identifikovatelne, nicmene firewall stale funguje, takze interni provoz je stale utajen a co si pres firewall nepustis, tak to se to tam proste neuvidi. Jedine co provider uvidi je IP adresa zarizeni, a jeho provoz do internetu. Z IP adresy se ovsem neda jakkoli odvodit, co je to za zarizeni.

Takze suma sumarum proti stavajicimu stavu:

Provider samozrejme vidi na svych routrech stale veksery provoz do internetu, akorat ze nevychazi z jedne IP adresy, ale z, tobe prideleneho, rozsahu adres. Me osobne tohle absolutne nevadi.

Ono jaksi s NATem pojem Firewall byl ponekud zkreslen a na sposte zarizeni je firewall vypnuty a vyuziva se toho, ze z internetu nemuze prijit paket s neverejnou adresou, a tedy nemuze dosahnout na konkretni koncove zarizeni.

Teoreticky se to da odrbat tak, kdyz mas verejnou adresu na stejnem segmentu site jako tvuj cil, tak nastavis pro tu vnitrni sit (treba 192.168.0.0/24, zalezi kam chces utocit) next hop verejnou adresu routru tveho cile a tim se bez problemu do te site dostanes.

Mno, moc tomu stejně nerozumím... ;-) Omluvte proto případné stupidity.

Jde mi o pár věcí:
- kopírování souborů na LAN funguje i když vytáhnu WAN kabel, jak tomu bude v případě IPv6, kdy každé zařízení bude mít veřejnou IP?
- dnes mám za NATem zapnuté sdílení souborů a tiskáren (pro LAN oblast 192.168...), běžně se PC a některé adresáře po síti vidí (bez hesel). Nerad bych se dostal do situace, aby po získání IPv6 adres zde jakkoliv mohl nakukovat provider (tak jako neveřím servisákům, že ze zájmu neprohlížejí HDD uživatele, nevěřím ani ISP, že by ho nezajímal obsah domácí sítě)
- předpokládám, že na IPv6 bude muset být připraven i OS; do Windowsů bude asi nutno doinstalovat podporu UPv6 protokolu, co? (připojení k místní síti - obecné - nainstalovat - protokol)

- kopírování souborů na LAN funguje i když vytáhnu WAN kabel, jak tomu bude v případě IPv6, kdy každé zařízení bude mít veřejnou IP?

To samozrejme bude fungovat uplne stejne, protoze architektura je uplne stejna, tedy: internet - router - tvoje sit. Prestoze tvoje sit obsahuje verejne adresy, tak je porad za routrem a je to jeden segment site, ktery kdyz odpojis od internetu, tak se nic nestane a v ramci segmentu bude komunikace probihat dal.

- dnes mám za NATem zapnuté sdílení souborů a tiskáren (pro LAN oblast 192.168...), běžně se PC a některé adresáře po síti vidí (bez hesel). Nerad bych se dostal do situace, aby po získání IPv6 adres zde jakkoliv mohl nakukovat provider (tak jako neveřím servisákům, že ze zájmu neprohlížejí HDD uživatele, nevěřím ani ISP, že by ho nezajímal obsah domácí sítě)

Do tve vnitrni site se z internetu podiva jen to, cemu to na firewallu povolis, vse ostatni zustane utajeno.

- předpokládám, že na IPv6 bude muset být připraven i OS; do Windowsů bude asi nutno doinstalovat podporu UPv6 protokolu, co? (připojení k místní síti - obecné - nainstalovat - protokol)

IPv6 by idealne mely umet vsechny prvky v siti, pocitace, tiskarny, routry (u APcek a switchu je tu ponekud jedno, jen by ses musel smirit s faktem, ze se z vnitrni site nedostanes na management).

Do tve vnitrni site se z internetu podiva jen to, cemu to na firewallu povolis, vse ostatni zustane utajeno.

Bohužel předpokládám, že tohle nebude triviální záležitost.

Moc netuším, jak je dneska (IPv4) těžké se dostat zvenku do PC v LAN přes router s NATem, bez firewallu na routeru, pouze s firewalem v OS (pokud to vůbec jde). Zde se po přechodu na IPv6 něco v tomhle změní (NAT odpadne) a bude potřeba pečlivě konfigurovat firewall na routeru.

Díky za trpělivost :-)

Zalezi jak budou vyrobci routeru rozumni, ve vychozim stavu by idealne mel byt smer LAN->WAN povolen a WAN->LAN zakazan.

Timpadem se dostavas do stejne situace jako nyni se SOHO routry. S tim rozdilem, ze kdyz budes chtit nejakou sluzbu vystavit do internetu, tak se nebude delat DNAS (virtual server a pod.), ale povoli se konkretni port na konkretni verejnou adresu (v tve vnitrni siti), veskera osatni komunikace WAN->LAN bude zapovezena.

Čili obdoba dnešního port forwardingu (třeba pro p2p sítě)?

WAN->LAN defaultě zakázat je rozumné. Přístup do routeru zaheslovat snad taky bude možné. Až na to dojde, nechám si s pořízením nějakého vhodného routeru poradit (s Gbit switchem, 8 LAN konektory a slušnými možnostmi konfigurace).

Hned jsem trochu klidnější :-)

Čili obdoba dnešního port forwardingu (třeba pro p2p sítě)?

Jojo, presne tak.

No, osobne bych SOHO (ja teda bych soho nebral vubec nic) 1Gb router nebral, jednoduse proto, ze mala krabicka nedokaze mit vykon na prepinani 8Gb/s. Vubec si nedelam iluze o rychlostech nemanagovatelnych SOHO 1Gb switchu. Divil bych se, kdyby to vubec dokazalo utahnout 1Gb/s mezi dvema zarizenimi, natoz pak osmi.

i dokáže, mám doma 8-portový gigabitový D-link a je to v pohodě, na SMB mi to dělá cca 50-60MB/s (a řekl bych, že to limituje už spíše disk, než switch). Samozřejmě routování je problém, mám doma desku Intel Johnstown, ta zvládá něco okolo 400Mbit/s; běžné routery s MIPS CPU pojedou max. okolo 100MBit/s, spíše méně (můj Asus Wl-500gP udělal okolo 50Mbit/s)

Stale tu, ale preberate len varaintu prechodu celej lan siete na na ipv6, co nie je jedine riesenie.
Samozrejme po nastupe ipv6 bude simultanne fungovat aj ipv4. Nastup ipv6 sa ohlasuje apokalypticky uz snad 10 rokov a stale sa nic nedeje. Takye tvrdit dnes, ze rok 2011 bude ten pravy je viac ako odvazne.
Podstatne je, ze routre budu este veeeelmi dlho podporovat aj ipv4 protokol, cize situacia sa zmeni max tak, ze router dostane verejnu ipv6 adresu na wan roghrani z zvysok siete bude veselo fungovat na privatnej ipv4, pretoze NAT je mozny.
Cize ziadne bububu sa nekona.

Ja osobne tlacim na providera aby, svoj IPv6 rozsah mel propojeny do sveta, abych ho mohl konecne nasadit ve sve siti. Zadny NAT, jen IPv6.

Zpět do poradny Odpovědět na původní otázku Nahoru