classic.ISPforum.cz

jo ale čemu to vadí?

přesně, jsme v 21. soletí, na Linuxu je dualstack tak dlouho, že už si to ani nepamatuju od kdy, na XPčkách to už šlo zapnout taky, tak fakt nechápu, co kdo pořád něco má proti 6ce.

V podstatě to nevadí ničemu a ani proti tomu nic nemám, jen mne to překvapilo, protože všechny předchozí verze to měly volitelně. Je to alespoň možné vypnout v tom smyslu, aby router na jakýkoli příchozí paket IPv6 nereagoval?

Radek.Kovacik píše:V podstatě to nevadí ničemu a ani proti tomu nic nemám, jen mne to překvapilo, protože všechny předchozí verze to měly volitelně. Je to alespoň možné vypnout v tom smyslu, aby router na jakýkoli příchozí paket IPv6 nereagoval?

IPv6 firewall - drop vše?

Radek.Kovacik píše:V podstatě to nevadí ničemu a ani proti tomu nic nemám, jen mne to překvapilo, protože všechny předchozí verze to měly volitelně. Je to alespoň možné vypnout v tom smyslu, aby router na jakýkoli příchozí paket IPv6 nereagoval?

když nezapneš dhcp ani autoconfig tak jak by router měl reagovat?

na link-local.

Blbé je, že adresy z autokonfigurace nejsou běžně vidět. Čili se jednoduše dá udělat chyba.

furt nerozumím, čemu to vadí, dneska každej pitomej tplink má ipv6 a ničemu to při nepoužívání ipv6 nevadí
na linklocal se nedostaneš bez zapnutého routování co já vim

Každej pitomej tplink má sice IPv6, ale lze prohlásit, že nepoužitelné. A v defaultu vypnuté.

To nedostaneš, link-local je prostě local. Ale u mikrotiku je předpoklad použití na nějakém sdíleném segmentu. A to už může stačit k problému.

ludvik píše:Každej pitomej tplink má sice IPv6, ale lze prohlásit, že nepoužitelné.

Nelze, IPv6 na TPlinku normálně funguje. I když opravdu v defaultu vypnuté.

Záleží možná na verzi. Ale u všech, co jsem zkoušel (vč. archerů) to prostě moc použitelné nebylo.
Někdy si nedokázal udělat renew.
A naprosto všechny měly problém s IAID. Každý reboot (a myslím, že jsem viděl, že i každý renew) tuto hodnotu změnil. Možná to někomu nevadí, ale pokud má někdo DHCPv6-PD na mikrotiku, tak to vadí. Není totiž pak možné udělat statický příděl. A co je možná horší, každý jeho reboot si vezme další a další segment. Měl jsem i případ, že jsem to musel vypnout, protože to dotyčnému padalo tak strašně, že měl stovky za den ...

A celé to komplikuje, že má tplink strašnou spoustu typů zařízení a i v rámci jednoho typu spoustu revizí a každý má zjevně vlastní firmware. V podstatě se to ani nedá pořádně otestovat.

Smeruje to k off-topicu ale pridám sa:
s TP-Link WR841N a IPv6 som problém nemal, testované s PPPoE a PD. Avšak keď sa router presunul do IPv4-only siete, router si stále pamätal posledný prefix delegation a ten rozdával ešte niekoľko týždňou. Rozbíjalo to spojenia, fail-over trval desiatky sekúnd u väčšiny aplikácií.

(TL-WR841N v13 00000013, 0.9.1 4.16 v0001.0 Build 180119 Rel.65243n)

Stačí nepoužívat archaické FW a funguje to úplně v pohodě. 840, C6ky atd. Asusy taky. Pokud je tam X let starý FW, tak se možné, že to bude blbnout. Stejně se ale choval Mikrotik, kdy např. na 6.44 zlobila delegace prefixů vůči nonmikrotik zařízením.

ludvik píše:Každej pitomej tplink má sice IPv6, ale lze prohlásit, že nepoužitelné. A v defaultu vypnuté.

To nedostaneš, link-local je prostě local. Ale u mikrotiku je předpoklad použití na nějakém sdíleném segmentu. A to už může stačit k problému.

Coze? Pouzivate linklocal adresy na nejaken jinem segmentu?
Pokud mate navrzenou ipv6 tak jak ma byt vubec vas mikrotik nemuze ohrozit. Neni ani jak.

Pokud ty mikrotiky nemáš na L2 oddělené, tak je link-local adresa zneužitelná jako každá jiná každým dalším zařízením na stejném segmentu.

Jak tu adresu útočník zjistí?