Dne 19. 4. 2015 v 14:14 Dan Lukes napsal(a):
On 04/19/15 13:37, Zbyněk Burget:
muj ISP mi dal na vedomu, ze prechazi na IPv6
Soucasne ale jeste samozrejme funguje i puvodni IPv4.
Aha, takze neprechazi, ale zavadi. To je ale *podstatny* rozdil.
Vypada to jako slovickareni, ale tim, ze pouzivas spatny slovo o tom
nasledne taky spatne premejslis. Tvuj ISP na IPv6 neprechazi a ty
samozrejme taky ne. Zavedenim IPv6 se na stavajici IPv4 konektivite
nic nemeni.
Abych to upresnil, rekl mi, ze mam funkcni IPv6.
Byla mi pridelena IPv6 sit /48
spojovaci adresa /64
brana
priznam se, ze z toho zatim moc moudry nejsem, i kdyz jsem se snazil o
IPv6 precist, co se dalo. Predpokladam, ze spojovaci adresa je muj WAN,
i kdyz zatim nechapu, proc je /64.
Takze jsem alespon prozatim chtel jen an svuj WAN dat IPv6. Ale bude pak
fungovat takova konfigurace, kdy mam ve vnitrni siti IPv4 a na vnejsi
siti budu jen IPv6? Nebo je tohle nesmysl a budu mit na WAN strane i
IPv6 i IPv4, kazdou pro prislusny rozsah uvnitr?
Co se serveru tyce, zminujes jen SSHD. Ano, to systemove je defaultne
nakonfigurovane tak, ze bude-li k dispozici IPv6, zacne poslouchat (i)
na nem. Tim se v praxi nic nemeni dokud pro jmeno toho serveru
nepublikujes v DNS AAAA zaznam. SSH klient, kterym se tam pripadne
pokusis spojit, nema (bez toho AAAA zaznamu) tuseni, ze by tam snad
nejaka IPv6 byt mohla, takze ji ani nezkusi. A IPv4 funguje jako driv.
defaultne sshd nakonfigurovane uplne nemam. Na tom routeru jsou nejake
jaily, ktere jsou ovsem napojene na IP adresy na vnitrnim iface. Proto
sshad posloucha jen na konkretnich vybranych adresach. Ale nevidim
problem v tom, abych tu konfiguraci upravil.
Co se klientu tyce, pises, ze tam nic neni, coz znamena, ze tam bud'
skutecne zadny neni, nebo jsi na DNS server zapomel.
DNS server mam na jine vnitrni (verejne samozrejme) adrese.
Bude to opravdu tak jednoduche, ze jen nastavim na vnejsim adapteru IPv6
a zmenim default routu (+ drobnost s ListenAddress u sshd) nebo toho
bude vic?
Neprechazis na IPv6. Nezmenis default routu. Zavadis IPv6, pridas IPv6
default route.
Z tehle odpovedi tedy spis vyplyva to, ze stavajici infrastruktura,
ktera pouziva IPv4 zustane vcetne veskereho smerovani zachovana beze
zmeny a k ni pribude navic jeste IPv6. To znamena, ze samotne nastaveni
IPv6 na WAN stranu samo o sobe nic neznamena bez toho, aby na IPv6
bezela nejaka dalsi sluzba. To by znamenalo, ze jsem to cele prozatim
pochopil spatne a musim zacit premyslet uplne jinym smerem.
Znamena to tedy, ze smysl to ma v okamziku, kdy a) nastavim IPv6 i do
vnitrni site, b) pridelim ho i klientum c) z vyse uvedeneho vyplyva, ze
prislusni klienti musi prejit na IPv6 i na svych domacich sitich a to se
vsemi svymi zarizenimi. No nedovedu si to moc predstavit vzheldem k
tomu, co kdo ma doma za nejlevnejsi cinske routery, pripadne stroje,
ktere pamatuji, kdyz mel jeste Zizka obe oci...
O neco komplikovanejsi to zacne byt az/pokud se rozhodnes IPv6 nejen
prijmout na vstupnim interface, ale taky nabizet klientum do vnitrni
site. Ale ani tam to neni nejak zasadne slozitejsi.
Navic, uz ted vsichni tvoji Windows uzivatele IPv6 konektivitu, ktera
navic zcela obchazi tvoje firewally, maji, takze z hlediska jejich
bezpecnosti muzes tim, ze jim zacnes IPv6 konektivitu poskytovat
"nativne" tezko neco zasadne zhorsit.
Tohle jsem tedy moc nepochopil, coz muze pramenit z me
neznalosti/nepochopeni IPv6. Klient, ktery sice ma na svem Windows IPv6,
ale na jeho domaci siti bezi pouze IPv4, na vnejsi strane jeho routeru
je pouze IPv4, na vesnickem routeru je jak na vnitrni, tak na vnejsi
strane opet jen IPv4 a i na mem hranicnim routeru je na obou stranach
pouze IPv4, prece nemuze mit moznost realne komunikovat pres IPv6 tak,
aby obesel moje firewally? Resp. to slovo firewally je tady trochu
zavadejici. Moje firewally by se vicemene daly nazvat spis shapery. Moc
se tam toho nezakazuje, veskery provoz je az na drobne vyjimky volne
pruchozi.
Zbyněk Burget
Mlýnská 397
798 26 Nezamyslice
tel: 588 580 000, 739 930 931
http://www.burgnet.cz
IČ: 606 88 220; DIČ: CZ7210184674
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l
