Ahoj,
také bych zkusil přispět svojí troškou do mlýna.
Dan Lukes napsal(a):
mam trochu obsahlejsi dotaz, tykajici se DHCP/DHCP6 a isc-dhcpd-server
balicku.
V soucasnosti pouzivam tento balicek pro pridelovani IPv4 adres a chci
zacit zkouset pridelovani IPv6, kde bych si chtel overit nektere
chovani. Vetsina provideru na IPv6 stale neni pripravena, takze
potrebuji vyresit i dalsi, souvisejici otazky, to je:
- - filtrovani IPv6
- - preklad IPv6-IPv4 a obracene
- - spravou adresaci v lokalni siti (fe80::?)
No, IPv6 je presne pripad pro vyrok:
V kazdem problemu se skryva rada podproblemu, z nichz nektere jsou vetsi
nez puvodni problem.
Jeden z nich je, ze u IPv6 neprideluje vsechny sitove parametry DHCP.
Cast ze sitove konfigurace se ke klientovi dostane pres Router
Advertising protokol.
A je to i na druhou stranu, kdy dle puvodniho navrhu SLAAC (stateless
address autoconfiguration) nešířily IPv6 adresy DNS serverů. Následně
byl standard upraven, ale ani v této době nebudou všechny klientské OS
rozšíření rozumět.
Pata je, ze neni az tak neobvykle, ze ti nekdo do site pripoji pocitac
nakonfigurovany jako router, kterej ti bude do site plivat vlastni RTADV
avizujici stateless konfiguraci a nepatricny prefix. O moznosti, ze by
na nem mohl bezet taky DHCPv6 server nemluvim, to tak obvykle neni.
Toto ve Windows dělá Internet Connection Sharing. Pomůckou pro
administrátora je NDPMon http://en.wikipedia.org/wiki/NDPMon
Pouzitelne IPv6 site by mely byt patrne z nasledujicich rozsahu, ale
zatim se v tom stale snazim zorientovat:
fe80::
fc00::
2000::
fc00 je obsolete, a nikdy se poradne pouzivat nezacalo, uz bych s tim v
nove siti nezacinal (bez velmi dobryho duvodu) a z venku by ti nic
takovyho prijit nemelo.
Jen pro upřesnění. Jsou Site Local IPv6 adresy FEC0::/10, které jsou v
RFC 3879 označeny za zastaralé. Vedle toho jsou Unique Local IPv6
Unicast Addresses z rozsahu FC00::/7. Osobně bych je nezatracoval.
fe80 jsou link lokal adresy, to je taky feature na kterou si clovek musi
zvyknout a ma to svy hacky.
A bez nich IPv6 konektivita nefunguje.
Celkove je ten seznam dost neuplny. Bezne se budes potkavat s adresami
2001, 2002 a vyskytnou se i dalsi. Pro ucely tehle debaty ale asi neni
potreba mit kompletni seznam pouzivanych adres ;-)
Já mám doma prefix začínající 2a02:: Tabulka rozdělení IPv6 adresového
prostoru je na
http://www.iana.org/assignments/ipv6-address-space/ipv6-address-space.xhtml
Doporucil by mi nekdo rozumne reseni i pro IPv6
O tom jake reseni je nejvhodnejsi pro IPv6 muze vypuknout sverepa hadka.
Pravda je jen jedna a tu mám JÁ ;-)
Misto toho ti reknu jak to mam ja (tam, kde IPv6 je).
Ke kazde IPv4 siti mam IPv6 sit s takovou maskou aby pocet hostu byl
stejny. Kazda adresa IPv4 ma tak sve prime a pevne dane alter-ego v IPv6
prostoru.
Tohle nebude vždy všude fungovat. Někteří výrobci směrujících L3
přepínačů mají problém se zpracováním proměnlivé délky prefixu v hw a
když jsme zkoušeli mít spojovací sítě s prefixem délky 112 bitů, tak se
tyto sítě nepropagovaly z OSPF do hw. Takže jsme se vrátili k prefixům
délky 64 bitů všude.
Naopak bych se vyhnul na prvni pohled velmi lakave moznosti delat
lokalni site o velikosti 64bitu. Prave pro tuto velikost je definovane
stateless pridelovani a je tu tudiz nejvetsi riziko, ze si klienti
prideli adresu bez tebe.
Hacek je, ze dhclient nastavi na interface masku /64 bez ohledu na to,
jakou skutecnou delku prefixu sit pozaduje. Takze na FreeBSD abys masku
konfiguroval staticky. Windows s tim problem nemaj, co pouzivaji Linuxy
netusim, ale mam pocit, ze tam s tim taky byla alespon na nekterych potiz.
authoritative;
Filtrování je rozsáhlá kapitola. Určitě je nutné vhodně filtrovat
ICMPv6. Více najdeš v https://www.ietf.org/rfc/rfc4890.txt
Teď na www.root.cz vycházejí pěkné články o bezpečnosti IPv6.
http://www.root.cz/serialy/bezpecne-ipv6/#ic=serial-box&icc=title
Mějte se
I.
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l
