Комментарии 25
Хм, вопрос.... А как быть если внутри домашней подсетки все девайсы будут под IPv6 (утрирую немного, но все к этому в итоге и идет) ? Если на компах прикрыть от внешних "товарищей" файрволом службы для расшаривания ресурсов - то придется в правилах писать исключения, чтобы свои "компы" таки могли ??? Думается с таким подходом роутер WAN_IPv6-NAT-LAN_IPv4 для домашних подсеток будет еще оооочень долго востребован.
Здесь проблем нет, для локалок есть link local адреса (на картинке в тексте хорошо видны):
https://ru.wikipedia.org/wiki/Link-local_address
Вы можете вообще внутри оставить чистый ipv6. Это работает, так, например, делает МТС для мобильных клиентов иногда. Но, конечно, легаси софту плохо и днс нужно транслировать. Но в типовом сценарии когда интернет это браузер это вообще незаметно
Было бы интересно узнать, какие компании перевели (переводят) свой интранет на чистый ipv6 (без ipv4). Насколько мне известно - Яндекс. Оказывается МТС. Будет интересно узнать и другие.
Я у себя на одной из площадок делаю такое. То есть чистый v6, wpad, squid, вообще никакого ipv4 внутри. Работает, пользователю незаметно. Если пытается какой-то хлам запустить - скорее всего обломается. Забавно. Между филиалами связь тоже удобно, ipv6 реально уникальные адреса. Непривычно немного в работе, особенно в виланах с контрол-плейнами оборудования но надо же как-то себя дрессировать :)
Ламерский вопрос: что насчет DDOS атак частных пользователей? Время процессора, по идее, тратится на ответ по открытым портам
Открытые порты частных пользователей лучше сделать закрытыми для интернета (на шлюзе), чтобы не иметь проблем не только с DOS.
Какой смысл такого интернета? Лучше выкинуть весь старый хлам, калек вроде ардуин с куцыми дырявыми стеками и так далее. Объективно говоря современная ОС что мобильная что для ПК вполне себе выживает(и должна выживать) имея реальный IP без МСЭ между ней и интернетом.
Ну вы оставьте открытым порт, который вам нужен наружу. А остальное почикайте на firewall-е шлюза. Это называется - нормально закрытый firewall.
У меня dualstack в ходу давным-давно, я в курсе. Я писал о том, что любое устройство на рынке не должно требовать стороннего файрволла, чтобы не помереть/не стать частью ботнета. То есть штуки типа "SMB, bonjour etc по умолчанию отвечают только в local scope" должны быть дефолтными. Не файрволлом, а в коде сервиса. И переключить только руками.
Я бы лучше переложил это на шлюз дистрибуции, а не на оконечное устройство.
Это типичное "то, как делать не надо"
Не согласен. Оконечные устройства могут не уметь закрывать порты. Кроме того в доверенной сети может быть запущено множество сервисов. И не вижу смысл дублировать функции и тем самым не эффективно задействовать ресурсы. Вообще шлюз на то и шлюз, чтобы решать сетевые L3 задачи. Приведите обоснование своего "то, как делать не надо" .
Мне лень объяснять прописные истины, которые уже неоднократно разжеваны в куче гайдов и даже рассказываются в вузах. Все равно будут участники специальной олимпиады которые «не согласны», они изобретут очередной лисапед, его поломают, хакеры, солонка, идем на новый круг.
Мне это очень напоминает похожую тему с умными домами, даже тут, на хабре. Или дурачки-погромисты ставят в щиты непонятную китайщину или электрики дают, грубо говоря, реальник ардуине. А и пусть, зато мне всегда будет где заработать.
И как решать ситуацию когда что-то ищется по Bonjor но клиент которому оно надо внезапно оказывается вне дома - VPN городить и крутить настройки что с VPN - можно? Так уж лучше это на роутере настраивать.
Не понятно сформулировали вопрос.
А как решать ситуацию, что с карточки сбербанка нужно снять наличные без процентов вот прям щас, а вы в антарктиде?
Бонжур - штука сугубо локальная. Точка. Не надо его пускать через VPNы, даже L2. Это будет костыль, который не факт что заработает. Точнее он, конечно работает, когда делаешь тот же Ethernet bridging over gif/ipsec например, или тем же tinc’ом через tap-интерфейс. Но это в гамаке и стоя, и обычно тот кто это делает уже понимает, почему, зачем и как.
Любую шляпу типа принтера, сканера, видеокамеры, домашней файлопомойки которая анонсит себя в локалку вытаскивать в глобальный интернет с теми же, так скажем, «правами» клиента, что у соседа по локалке это какой-то выстрел в ногу.
Я не понимаю что в этом случае можно настроить роутере. Бонжур вовнутрь для любого произвольного IP извне? Это бред какой-то, так не бывает.
Доступ к устройству с v6 глобальным адресом? Нет проблем. Но причем здесь роутер? Устройство в базовом функционале должно иметь галку/свич «разрешать только локальные подключения/разрешать все» я об этом.
Каждый раз видя статьи про IpV6 у меня возникает вопрос - а ради чего всё это, собственно, надо для SOHO сегмента?
В процессе настройки я сделал некоторые выводы. Поправьте меня, если я где то заблуждаюсь.
Плюсы IpV6
уникальный внешний ipV6 адрес моих устройств в интернете.
Возможность создавать свои подсети
Можно поднять сайт на кофеварке и он сразу будет доступен всему интернету
Нет NAT
Минусы
Куча настройки чтобы всё это контролируемым образом заработало
Совершенно неочевидная случайная генерация адресов для устройств
Необходимость DNS сервера (с бумажки такие адреса сложновато вбить в браузер)
Необходимость настройки фаерволла, чтобы кофеварка осталась только внутри моей подсети
Я до сих пор не понимаю выгоду от использования данной технологии в бытовом сегменте.
В первой части статьи в самом начале есть ссылка на перевод хорошей мотивационной статьи по поводу ipv6, рекомендую ознакомиться. Мое мнение следующее: ipv6 - технология, которая сменить в интернете ipv4, как архаизм, оставив ему место на чулан-ресурсах и незамысловатых локалках. Выгода следующая - фонд ipv4 иссякнет, nat станет не эффективным.
Как начать работать с IPv6 там, где его нет (часть 2)