classic.ISPforum.cz

ludvik píše:ano, link-local stačí. Do té doby, než tě naštve výstup traceroute

naštvat tě to nemusí. Stačí vytvořit fiktivní bridge co nemá žádný porty a umístit na něj klidně /128 adresu a pak se na router dostaneč po IPv6 odkudkoliv a tuhle adresu začne používat i pro odpovědi na tracert a přitom dál lokálně používá LL.

hapi píše:

ludvik píše:ano, link-local stačí. Do té doby, než tě naštve výstup traceroute

naštvat tě to nemusí. Stačí vytvořit fiktivní bridge co nemá žádný porty a umístit na něj klidně /128 adresu a pak se na router dostaneč po IPv6 odkudkoliv a tuhle adresu začne používat i pro odpovědi na tracert a přitom dál lokálně používá LL.

+1
přesně takhle to mám taky

Viděl jsem spojovačku řešenou jako /64, ale místo adres ::1 a ::2 byly použity nějaké náhodné delší adresy (něco jako ::a111:b222::1111), údajně kvůli útokům/scannování (proscannovat všechny ::1 v každé /64 z přídělu není zase takový problém, proscannova celý rozsah už ano...). Co si o tom myslíte?

Nahodne adresy jsou videt v traceroute. Skenovat /64 nikdo nebude, skenovat prvnich N adres v bloku uz je samozrejme jednodussi. Pokud chci ale zjistit adresy routeru na ceste, muzu pouzivat traceroute nebo ping s umyslne snizenym TTL, a routery v ceste (pokud maji alespon jednu globalni adresu a nezahazuji ICMPv6 Hop Limit Expired) mi poslusne odpovi s celou svou adresou.

Na ochranu je lepsi pouzit firewall spis nez obfuskaci adres.

Mimochodem pokud je na spojovacce prirazen /64 on-link rozsah, tak skenovani porad muze vycerpat kapacitu neighbor table (na neosetrenych strojich). Proto je lepsi pro spojovacky pouzit mensi prefix (a je pak na kazdem, jestli pro kazdou spojovacku alokuje /64 z vetsiho bloku /48 a na interface priradi napr. /126, nebo jestli bude alokovat /126 z /64 a na interface prirazovat po /126, neno jestli zvoli nejakou cestu mezi).

ludvik píše:ano, link-local stačí. Do té doby, než tě naštve výstup traceroute

řekl bych že je na to blbej pohled, jednak ospfv3 by mělo kopírovat ospf tedy myslím jako costově takže tracert bych stále dělal jako v4 protože stejně ten primární backend sítě pojede jako v4, takhle to bude ještě hodně hodně dlouhou než bude vše ipv4 only.... přeci jen furt ipv4 se v hlavě lépe pamatuje a dělat na vše revezní dns stojí také trochu práce

zajdee píše:Na ochranu je lepsi pouzit firewall spis nez obfuskaci adres.

OT/ROFL: von tam není takovej ten přirozenej NAT firewall? to musí bejt nebezpečný!

Měl bys pravdu, kdyby ipv6 bylo stejně spolehlivé, jako ipv4. Bohužel stále není.
A stejná trasa být též nemusí. Třeba chci obcházet NAT.

okoun píše:

ludvik píše:ano, link-local stačí. Do té doby, než tě naštve výstup traceroute

řekl bych že je na to blbej pohled, jednak ospfv3 by mělo kopírovat ospf tedy myslím jako costově takže tracert bych stále dělal jako v4 protože stejně ten primární backend sítě pojede jako v4, takhle to bude ještě hodně hodně dlouhou než bude vše ipv4 only.... přeci jen furt ipv4 se v hlavě lépe pamatuje a dělat na vše revezní dns stojí také trochu práce

Kromě toho jsem nemluvil o DNS, ale o adresách. Bez globálních máš v traceroute jen hvězdičky.

---
Ad. loopbacky pro traceroute: dost pochybuji, že takový mikrotik při příchodu nějakého ICMP/UDP paketu bude odpovídat s adresou, kterou si někde u sebe náhodně vybere na nějakém z bridgů (nutno přiznat, že už jsem to dlouho nezkoušel, třeba to tam nějak dobastlili). Ještě bych věřil nějakým specializovanějším routerům, co mají doslova loopback adresu. Ale mikrotik/linux má prostě "jen adresy".
Ano, samozřejmě ji mohu použít pro ostatní běžné služby. Ono to bez toho vlastně ani moc nejde (mám-li více cest a může-li to padat).

hmm proč ne? při tracertech z globálů ti logicky odpoví globální. Je jedno na jakém iface je když ostatní jsou lokální. Pak router odpoví na globální adresu globální adresou. Je to běžná praxe, nikdo si to tady nevymyslel. Tušim že to je i jako příklad na wiki mikrotiku. Zajistí ti to full IPv6 síť. Když se na router nemůžu dostat přes IPv6 tak to podle mě není IPv6 síť. Navíc to má jednu podstatnou výhodu. Můžeš narvat do jedný /64 všechny OSPF routery a jedním vrzem je chránit na hraničním routeru pravidlem.

Mimochodem, tohle existuje i na IPv4. Když windows nenajde DHCP server tak si nastaví local link adresu v IPv4 což je něco z rozsahu 169.254.0.0/16 čímž zajistí lokální komunikaci s ostatními PC což je to samí jako local-link adresy u IPv6.

TTcko píše:

zajdee píše:Na ochranu je lepsi pouzit firewall spis nez obfuskaci adres.

OT/ROFL: von tam není takovej ten přirozenej NAT firewall? to musí bejt nebezpečný!

Co bych ti na to asi tak mel rict, abychom nebyli moc offtopic?

Ad odpovidani z globalnich adres, je to doporucene chovani podle RFC:
[RFC6724] recommends that IPv6 addresses that are greater than link-local scope be used as the source IPv6 address for all generated ICMPv6 messages sent to a non-link-local address, with the exception of ICMPv6 redirect messages (as defined in Section 4.5 of [RFC4861]).
Jinak vizte tez https://tools.ietf.org/html/rfc7404