Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz

IPv6 v roce 2020

Příspěvky, které nespadají do žádného z vytvořených fór.
Uživatelský avatar
hapi
Příspěvky: 12989
Registrován: 16 years ago

Re: IPv6 v roce 2020

Příspěvekod hapi » 4 years ago

ludvik píše:ano, link-local stačí. Do té doby, než tě naštve výstup traceroute :-)


naštvat tě to nemusí. Stačí vytvořit fiktivní bridge co nemá žádný porty a umístit na něj klidně /128 adresu a pak se na router dostaneč po IPv6 odkudkoliv a tuhle adresu začne používat i pro odpovědi na tracert a přitom dál lokálně používá LL.
1 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků

TTcko
Příspěvky: 771
Registrován: 12 years ago

Příspěvekod TTcko » 4 years ago

hapi píše:
ludvik píše:ano, link-local stačí. Do té doby, než tě naštve výstup traceroute :-)


naštvat tě to nemusí. Stačí vytvořit fiktivní bridge co nemá žádný porty a umístit na něj klidně /128 adresu a pak se na router dostaneč po IPv6 odkudkoliv a tuhle adresu začne používat i pro odpovědi na tracert a přitom dál lokálně používá LL.


+1
přesně takhle to mám taky :-)
0 x

rsaf
Příspěvky: 1669
Registrován: 17 years ago

Příspěvekod rsaf » 4 years ago

Viděl jsem spojovačku řešenou jako /64, ale místo adres ::1 a ::2 byly použity nějaké náhodné delší adresy (něco jako ::a111:b222::1111), údajně kvůli útokům/scannování (proscannovat všechny ::1 v každé /64 z přídělu není zase takový problém, proscannova celý rozsah už ano...). Co si o tom myslíte?
0 x

zajdee
Příspěvky: 256
Registrován: 14 years ago
antispam: Ano

Příspěvekod zajdee » 4 years ago

Nahodne adresy jsou videt v traceroute. Skenovat /64 nikdo nebude, skenovat prvnich N adres v bloku uz je samozrejme jednodussi. Pokud chci ale zjistit adresy routeru na ceste, muzu pouzivat traceroute nebo ping s umyslne snizenym TTL, a routery v ceste (pokud maji alespon jednu globalni adresu a nezahazuji ICMPv6 Hop Limit Expired) mi poslusne odpovi s celou svou adresou.

Na ochranu je lepsi pouzit firewall spis nez obfuskaci adres. ;-)

Mimochodem pokud je na spojovacce prirazen /64 on-link rozsah, tak skenovani porad muze vycerpat kapacitu neighbor table (na neosetrenych strojich). Proto je lepsi pro spojovacky pouzit mensi prefix (a je pak na kazdem, jestli pro kazdou spojovacku alokuje /64 z vetsiho bloku /48 a na interface priradi napr. /126, nebo jestli bude alokovat /126 z /64 a na interface prirazovat po /126, neno jestli zvoli nejakou cestu mezi).
0 x

Uživatelský avatar
okoun
Příspěvky: 6980
Registrován: 15 years ago
antispam: Ano
Bydliště: Mordor

Příspěvekod okoun » 4 years ago

ludvik píše:ano, link-local stačí. Do té doby, než tě naštve výstup traceroute :-)


řekl bych že je na to blbej pohled, jednak ospfv3 by mělo kopírovat ospf tedy myslím jako costově takže tracert bych stále dělal jako v4 protože stejně ten primární backend sítě pojede jako v4, takhle to bude ještě hodně hodně dlouhou než bude vše ipv4 only.... přeci jen furt ipv4 se v hlavě lépe pamatuje a dělat na vše revezní dns stojí také trochu práce :(
0 x
Povoláním ISP není jen připojovat lidi k internetu, ale také jim dokázat vysvětlit, že bez pořádné investice do HW nelze udělat kvalitní přípojku a domácí síť...

TTcko
Příspěvky: 771
Registrován: 12 years ago

Příspěvekod TTcko » 4 years ago

zajdee píše:Na ochranu je lepsi pouzit firewall spis nez obfuskaci adres. ;-)



OT/ROFL: von tam není takovej ten přirozenej NAT firewall? to musí bejt nebezpečný!😂
1 x

ludvik
Příspěvky: 4448
Registrován: 12 years ago

Příspěvekod ludvik » 4 years ago

Měl bys pravdu, kdyby ipv6 bylo stejně spolehlivé, jako ipv4. Bohužel stále není.
A stejná trasa být též nemusí. Třeba chci obcházet NAT.
okoun píše:
ludvik píše:ano, link-local stačí. Do té doby, než tě naštve výstup traceroute :-)


řekl bych že je na to blbej pohled, jednak ospfv3 by mělo kopírovat ospf tedy myslím jako costově takže tracert bych stále dělal jako v4 protože stejně ten primární backend sítě pojede jako v4, takhle to bude ještě hodně hodně dlouhou než bude vše ipv4 only.... přeci jen furt ipv4 se v hlavě lépe pamatuje a dělat na vše revezní dns stojí také trochu práce :(


Kromě toho jsem nemluvil o DNS, ale o adresách. Bez globálních máš v traceroute jen hvězdičky.

---
Ad. loopbacky pro traceroute: dost pochybuji, že takový mikrotik při příchodu nějakého ICMP/UDP paketu bude odpovídat s adresou, kterou si někde u sebe náhodně vybere na nějakém z bridgů (nutno přiznat, že už jsem to dlouho nezkoušel, třeba to tam nějak dobastlili). Ještě bych věřil nějakým specializovanějším routerům, co mají doslova loopback adresu. Ale mikrotik/linux má prostě "jen adresy".
Ano, samozřejmě ji mohu použít pro ostatní běžné služby. Ono to bez toho vlastně ani moc nejde (mám-li více cest a může-li to padat).
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.

Uživatelský avatar
hapi
Příspěvky: 12989
Registrován: 16 years ago

Příspěvekod hapi » 4 years ago

hmm proč ne? při tracertech z globálů ti logicky odpoví globální. Je jedno na jakém iface je když ostatní jsou lokální. Pak router odpoví na globální adresu globální adresou. Je to běžná praxe, nikdo si to tady nevymyslel. Tušim že to je i jako příklad na wiki mikrotiku. Zajistí ti to full IPv6 síť. Když se na router nemůžu dostat přes IPv6 tak to podle mě není IPv6 síť. Navíc to má jednu podstatnou výhodu. Můžeš narvat do jedný /64 všechny OSPF routery a jedním vrzem je chránit na hraničním routeru pravidlem.

Mimochodem, tohle existuje i na IPv4. Když windows nenajde DHCP server tak si nastaví local link adresu v IPv4 což je něco z rozsahu 169.254.0.0/16 čímž zajistí lokální komunikaci s ostatními PC což je to samí jako local-link adresy u IPv6.
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků

zajdee
Příspěvky: 256
Registrován: 14 years ago
antispam: Ano

Příspěvekod zajdee » 4 years ago

TTcko píše:
zajdee píše:Na ochranu je lepsi pouzit firewall spis nez obfuskaci adres. ;-)



OT/ROFL: von tam není takovej ten přirozenej NAT firewall? to musí bejt nebezpečný!😂

Co bych ti na to asi tak mel rict, abychom nebyli moc offtopic? :sweat_smile:

Ad odpovidani z globalnich adres, je to doporucene chovani podle RFC:
[RFC6724] recommends that IPv6 addresses that are greater than link-local scope be used as the source IPv6 address for all generated ICMPv6 messages sent to a non-link-local address, with the exception of ICMPv6 redirect messages (as defined in Section 4.5 of [RFC4861]).
Jinak vizte tez https://tools.ietf.org/html/rfc7404
0 x