Statické routování IPV6 ?

[Standa99]

U Pody musím používat NDP proxy a IPv6 tunelovat přes OpenVPN, protože mi větší prefix jak /64 delegovat nechtějí Rozsekal jsem si to na pár /112, což je fušeřina (+ ve Windows mi přes TAP adaptér projde max. 130 Mbit/s, takže to trochu dost brzdí). To i u T-Mobilu mají rozumnější přístup.
Ještě jak se tady uvažovalo o transparentním bridge, tak s tím by měl být problém, protože je Layer 2, zatím co IP je Layer 3.

[radik]

Tak to je poskytovatel pak uplne na nic, kdyz si musis delat VPN aby ti to vubec jelo. Navic /64 je hodne k nicemu, s tim neudelas nikdy nic.

[the.max]

Běžnému BFU /64 stačí, on stejně nevidí rozdíl mezi v4 a v6, jemu stačí, když mu ty internety půjdou, uvidí tam Seznam, do řádky napíšou 'fejsbook' a nakonec kliknou na 'Vyhledat'.

A teď ruku na srdce, kdo z vás má doma několik oddělených segmentů sítě (kde nutně potřebuje v6)?

[Myghael]

Souhlasím. 99,9 % uživatelů to nikdy potřebovat nebude, takže většina bude mít na nějakém CPE nadelegovaný /64 a nikdo s tím nebude mít problém.

Samozřejmě je lepší dávat koncákům automaticky /56, my to tak děláme s tím, že na optice a jinde kde je možnost mají rovnou /64 na LAN a /64 na Wi-Fi, a kdykoliv se dá z toho /56 přidat další na cokoliv. Osobně mám doma plně dual-stack síť s 6 oddělenými rozsahy (LAN, LAN Wi-Fi, Guest, síť na pokusy a další) a těch /56 mi stačí taky. Ve firmách kde děláme i správu sítě nebo rovnou komplet IT jsme taktéž nenarazili na problém, i když firmám kde je víc než 5 počítačů dáváme už raději /48.

[radik]

Běžnému BFU /64 stačí, on stejně nevidí rozdíl mezi v4 a v6, jemu stačí, když mu ty internety půjdou, uvidí tam Seznam, do řádky napíšou 'fejsbook' a nakonec kliknou na 'Vyhledat'.

A teď ruku na srdce, kdo z vás má doma několik oddělených segmentů sítě (kde nutně potřebuje v6)?

No, az se to objevi klient co si potrebuje udelat VPN dom, tak mu reknes ze ma smulu? Zmenis mu adresaci cele site, kdyz se s tim nepocitalo od zacatku navhu? Budes mit kazdyho klienta nakonfigurovanyho pokazdy jinak(jeden bude mit /64, druhej /56, treti /63 apod.)?
Ale jo, tak pokud je sit mala tak to asi problem neni, ale i tak mit neco pokazdy jinak... hold tady to uvazovani je prave to, proc to kazdy porad odsuzuje ipv6.

[radik]

Souhlasím. 99,9 % uživatelů to nikdy potřebovat nebude, takže většina bude mít na nějakém CPE nadelegovaný /64 a nikdo s tím nebude mít problém.

Samozřejmě je lepší dávat koncákům automaticky /56, my to tak děláme s tím, že na optice a jinde kde je možnost mají rovnou /64 na LAN a /64 na Wi-Fi, a kdykoliv se dá z toho /56 přidat další na cokoliv. Osobně mám doma plně dual-stack síť s 6 oddělenými rozsahy (LAN, LAN Wi-Fi, Guest, síť na pokusy a další) a těch /56 mi stačí taky. Ve firmách kde děláme i správu sítě nebo rovnou komplet IT jsme taktéž nenarazili na problém, i když firmám kde je víc než 5 počítačů dáváme už raději /48.

Tak je to spravne. I kdyz to uz muzes rovnou delegovat i /56 kdyz mas rezervu a nemusis v budoucnu nic menit.
Tohle bude pro radu "ISP" problem, protoze nejsou v RIPE a nikdo jim vic nez /48 neda (teda dat muze, ale je to proti pravidlum RIPE a hrozi postih). To je ten duvod proc se nekdo pak ohani tim, ze /64 pro koncaka musi stacit (protoze mu ani v podstate o moc vic dat nemuze).

[the.max]

Psal jsem, že běžnému BFU /64 stačí. Nepsal jsem tam nic o advenced users, kteří chtějí i větší rozsah. Pokud ho chtějí, tak jim ho dám. Routuju dynamicky, s tím nemám větší problém. Ať si s tím pak dělají co chtějí.

Co se týká VPN, tak s příchodem IPv6 je IMHO VPN tak trochu mimo, protože pokud mám oba konce na 6ce, tak přece nemusím řešit žádné vpnky a dohulákám se rovnou tam kam potřebuju, samozřejmě záleží na nastavení firewallu. IPv6 navíc definuje rfc7157 a až tohle bude plně implementované, tak IMHO VPNky budou moci zmizet. A pokud jde o šifrování, tak je tu zase přímá podpora IPSecu. Jiná věc je, podpora těchto fičur na routerech, což se o TePlejch Lincích za pár korun říct nedá.

[Myghael]

Myslím, že VPNky kvůli IPv6 určitě nezmizí, nebo alespoň ne v nějaké opravdu podstatné míře. Zmizí jen ty, které byly založené jen kvůli NATu, a těch nebude příliš mnoho.

[TTcko]

Myslím, že VPNky kvůli IPv6 určitě nezmizí, nebo alespoň ne v nějaké opravdu podstatné míře. Zmizí jen ty, které byly založené jen kvůli NATu, a těch nebude příliš mnoho.

K cemu je vpn, kdyz mas stroje na verejne ipv6, ptam se, no flame..

[radik]

Treba pro zjednoduesni firewallu ve firmach apod. Nemusis resit z kama se jaky klient propojuje. Stejny jak kdyz ma nekdo verejnou IPv4 a stejn si dela do firmy vpn. Povazujes pak sit co je ve VPN za bezpecnou.

[Myghael]

K cemu je vpn, kdyz mas stroje na verejne ipv6, ptam se, no flame..

Protože firewall. Než řešit neustálou děravost toho či ono, drtivá většina vsadí na jistotu a firewall bude fungovat podobně jako je zvykem dnes, tzn. všechno zvenčí bude zakázáno a povoleno jen něco. A než se babrat s pravidly pro to či ono, plus ještě blokace čínských a jiných IP adres, tak je jednodušší používat VPN, a koneckonců i bezpečnější, jelikož vnitřní zařízení nejsou vystavena ven.

[sub_zero]

Trošku se vrátím k tématu.
Nakonec jsme se s dodavatelem dohodli na následujícím řešení a prosím zkušenější o připomínkování:
Z našeho prefixu /48 vyčlení /64 a tu použije jako p2p mezi jeho a naším boxem. (původně chtěl na p2p použít /127 ale vzhledem k problémům (https://tools.ietf.org/html/rfc3627) a doporučení trváme na /64))
Zbytek prefixu naroutuje k nám a my uděláme de-fakto to stejný. Vemem /64, posadíme na VLANu k zákazníkovi a na něj mu naroutujeme /56. Otázka je, jestli by jim na LAN nestačilo také /64. Bude tam cca 150PC.

Je to takto ok?

Díky

[radik]

No, pokud ti ma poskytovatel dat /48, tak proc ti bere z tvojeho bloku neco? To je nesmysl, ja bych trval at si na spojovacku da svoji sit a ty mas celych /48 tak jak to ma byt.
/127 bych jako spojovacku ani neresil, /64 je OK.
Do budoucna si vyber jednu sit /56 z ktere budes delat pozdeji spojovacky (pokud nepouzivas PPPoE). Klientovy bych dal neco vic nez /64 i kdyz nepotrebuje, vyhnes se problemum do budoucna. Pak si musis urcit, jestli budes davat klientum vsem stejne a nebo jeden klient pak bude mit /64, druhy /62 apod. Osobne bych to nedelal a mel to vsude stejne.

Problem, ktery ti nastane, ze jsi omezeny tim blokem /48, ktery je fakt malo pro IPv6 a protoze nejsi v RIPE tak mas smulu a vic nedostanes. Pro ty co to mysli s IPv6 vazne, tak nemaji moc na vyber nez dat klientovi /56 a nebo /60; /48; /52. (a /60 muze byt malo za par let, protoze je to jen 16x /64). Tohle je kvuli DNS, kdyby nekdo chtel delegovat prefix k sobe na DNS. Pokud tu sit rozdrobis jinak, tak toho moc jednoduse delegovat nemuzes.

(A jen bych prosil, at na to neodpovidaji ti, co zas budou tvrdil ze je nesmysl, aby mel klient x miliard adres. Proste to takto u IPv6 funguje i kdyz se budete nekteri stavet na hlavu.)

[TTcko]

Protože firewall. Než řešit neustálou děravost toho či ono, drtivá většina vsadí na jistotu a firewall bude fungovat podobně jako je zvykem dnes, tzn. všechno zvenčí bude zakázáno a povoleno jen něco. A než se babrat s pravidly pro to či ono, plus ještě blokace čínských a jiných IP adres, tak je jednodušší používat VPN, a koneckonců i bezpečnější, jelikož vnitřní zařízení nejsou vystavena ven.

Sem myslel ze tohle resi v ipv6 ipsec, ale ok rozumim..

[radik]

IPsec resi sifrovani. Kdyz mas VPN, tak vnitrni sit muze byt viditelna pouze pro VPN a zaroven muze byt vnitrni sit odstrizena firewallem uplne od sveta. Kdybys tyhle pravidla mel resit na firewallu, tak bys pak mel pro jednoho klienta nekolik desitek siti (musel bys tam dat vzdy vyjimku jak by se pripojil jinde). Pozdeji by v tom byl chaoz a i bezpecnostni dira.
Stejny to je ale i u IPv4.