Vlákno názorů k článku IPv6 umožní používat IoT bez závislosti na službě třetí strany od rpajik - Ta posedlost hodit každé zařízení na internet mě...
-
Ta posedlost hodit každé zařízení na internet mě docela děsí. Je to obrovské bezpečnostní riziko ...
Za rozumné minimum bych považoval, že všechny tyhle pračky, teploměry a podobné nesmysly uzavřu do samostatné vlan a před to strčím velmi restriktivní firewall - protože ta zařízení prostě nejsou a nebudou bezpečná. Jenže takhle si to zapojí možná trošku paranoidní IŤák, co má doma i chytřejší switch a trošku ponětí o tom jak ty věci fungují. BFU to strčí všechno do jedné sítě a pak se bude strašně divit, že mu domácí NASku nebo notebook někdo hackne zkrz pračku, která je permanentně připojená do nějakého podivného cloudu.
IPv6 tomu moc nepomůže, protože kolik operátorů domácímu uživateli dá takový rozsah, aby si ho mohl rozdělit na víc /64 do různých vlan ? To samozřejmě neni problém samotné technologie ale toho jak se to implementuje.
-
Jenze zamostatna VLAN se da smysluplne udelat jen tak, ze jsou site oddelene i na L3. A taky nastava potiz, kdyz provider prideli jen IPv6 segment /64 (jak je bezne, kdyz uz nekdo IPv6 adresu dostane. To umoznu je provozovat jen jedinou L3 sit, protoze prestoze 2^64 adres je dost, tak /64 sit je dale nedelitelna (z vice duvodu, i kdyz se to muze podarit rozdelit, je to mimo standart a casem se najde nejake nechtene prekvapeni).
-
Už im to funguje? Super. Teraz trocha posuniem bránku: dá sa použiť ich modem v bridge mode s vlastným routerom? A aj annoncujú AFTR cez DHCPv6? (Vážne neviem, preto sa pýtam).
Ja som v tej situácii, že mám k dispozícií UPC, pomalé DSL (lebo stred mesta) alebo LTE (merané dáta a stred mesta). Takže mám UPC, s modemom Hitron v bridge mode, teda napevno v IPv4 sieti a so statickou IPv4 adresou.
Keďže výber v rámci UPC v čase keď som robil prípojku bol statická IPv4 + router aký chcem, alebo DS Lite + povinne Compal v router mode, tak výber bol ľahký, aj keď to znamená žiadne IPv6.
-
Na Compalu jim to funguje už nejmíň od roku 2017 (ale už jsem zažil i takový kus, který bylo pro rozfungování prefix delegation resetovat do defaultu). Tenhle router je ale taková hrůza, že nepomůže ani mít ho v bridge. Např. to, že v IPv4-only režimu (i v bridge) shapuje 6in4 provoz, takže všechny tunely s IP protokolem 41 jedou max. 20 Mbps.
Ve středu města mám na PPPoE DSL lepší latenci, jitter a plnohodnotný dual-stack. Jen tu rychlost nedoženu (100/10 vs. 500/30).
Ad adresa pomocí DHCPv6 a DHCPv6 option s AFTR - technicky jim to funguje, ovšem někdo moudrý rozhodl, že ten Compal ani jiný modem s podporou IPv6, který nabízejí, nebude možné přepnout do bridge. Asi proto, že jsme podle Liberty Global všichni příliš neschopní pořídit si vlastní CPE s podporou DS-Lite. Takže je to prostě "jen" zakázané. :-(
-
Zdroj. :-)
Jediný zdroj, který k tomu mám, je můj blogpost, ve kterém jsem tohle chování (poprvé pozorováno v letech 2016-2017, když jsem na Compal přešel, a naposledy viděno před pár dny na úplně jiném Compalu s jiným firmwarem) zadokumentoval:
https://zajic.v.pytli.cz/2020/06/15/pomale-ipv6-tunely-s-modemem-compal-od-upc-vodafone/Jde o pozorování na vícero nezávislých linkách a kusech modemů, tzn. nejde o problém jednoho kusu.
Je to spíš bug než featura a podle všeho už to někdo řeší. Jestli to vyřeší, to je jiná otázka. -
Adam KaliszStříbrný podporovatelRadek Zajíc na nějakém IPv6 dni zmiňoval, že tohle řeší přes Hetznera, kde se dá o dodatečné /64 požádat nebo si je nějak naklikat snad. Jestli Vám stačí 20 TB za měsíc (většině tohle asi stačit bude) tak to je asi docela dobrá volba. Za ca. 3 € na měsíc to myslím je dost ok. Hlavně tam můžete dobře rozchodit např. Wireguard.
https://www.hetzner.com/cloud?country=czJinak existuje např. tunel od VPSfree v režiji Ondřeje Caletky: https://kb.vpsfree.cz/informace/projekty/ipv6tunel
https://www.linuxdays.cz/2017/video/Ondrej_Caletka-IPv6_tunely_pomoci_OpenVPN.pdfJinak asi Hurricane Electric Free IPv6 Tunnel Broker
https://tunnelbroker.net/16. 6. 2020, 15:05 editováno autorem komentáře
-
Žádal je o to kolega, jde o /48 a platí se za to nějaký ne úplně malý poplatek (bohužel to teĎ nemůžu dohledat a na webu o tom nepíšou). Prakticky bude lepší použít vpsfree (výhodou je geolokace do CZ) nebo IPv6 VPN od švýcarského serverhostingu Ungleich (https://ungleich.ch/ipv6/vpn/).
-
Problém bude mnohem víc to, že BFU neví že něco takového má vůbec řešit. To že lidi jako my tu situaci nějak vyřeší, považuji za samozřejmé. Jestli vytáhneme od operátora alespoň /56 pro IPv6, použijeme pouze lokální IPv4 a NAT, nebo to vyřešíme nějak jinak ... to je pouze technická věc.
Ale případů, kdy nějaké IOT zařízení se stane prostředníkem pro útok na zařízení v interní síti bude prostě čím dál víc. Osvěta je kolem toho nulová a každý výrobce tlačí svoje ultra chytré zařízení ovládané přes aplikaci zkrz cloud. Možná jsem paranoidní ... ale ja takových věcí prostě fanouškem nejsem a zařízení ve své síti chci mít co nejvíce pod kontrolou.
-
V tom se shodneme. Jako vývojář HW + embedded to vidím takto:
1) Konektivita stojí peníze. Za HW, SW a testování. Pokud nepřinese bonus pro zákazníka, který je ochotný zaplatit, tak je nesmysl se připravit o zisk, nebo být dražší než konkurence.
2) Pokud tam už nějaká komunikace musí být, je lepší volit dráty. Protože rušení, odposlech, vysoký vysílací výkon (nejlešpí přítel akumulátorů a baterií) a cena (když připočítám homologace atd.)
3) Pokud jde o interní komunikaci systému, je lepší volit jednodušší a levnější řešení ( jako Modbus po RS-485 nebo CAN ), než se drbat s TCP/IP, web serverem a zabezpečením.
4) Pokud chci ze systému ven, je lepší udělat gateway (nebo komunikační kartu). Uživatel získá jedno rozhraní (ne 20 webů na 20 krabičkách), já jako dodavatel chybu v komunikaci ven opravuju na jednom místě v jednom produktu (ne zvlášť vypínač, zvlášť zásuvku, zvlášť lustr,...) a gateway si koupí jenom ten, kdo o ni stojí. A mám tam dost výkonu (ty nářky, že teploměr nedá ani AES a MD5 jsou na kopanec špičatou botou).
5) Pokud si povolím přístup z veřejné sítě, zodpovídám za průšvihy a musím řešit záplaty. Ať si zákoš připlatí za podporu. A pokud mám tunelovat NATy a řešit podobný kulišárny, ať si to taky zaplatí. -
Je, ale ve světě IPv6 to znamená /64 pro každou VLANu. A když nějakým zázrakem ISP přidělí jenom /64, je vymalováno. Všechno na jedné hromadě (špatně), nebo ULA prefix a NATování (ještě horší, pak IPv6 ztratí smysl).
Momentálně doma jedu na šesti sítích:
0. WAN mezi routerem a modemem
1. LAN (klasicky komply s Linuxem, záplatovaný a relativně bezpečný)
2. "Špinavá" síť pro mobily, telku s HBB, WiFi,...
3. IPTV pro set top boxy + pronajatý stroje, o kterých vím jenom to, že mají víc než dva roky starý FW
4. WiFi pro hosty
5. IoT síť, kde je třeba tiskárna apod., do které se dá dostat jenom z LAN a špinavé sítě
6. Síť pro management, kde můžu konfigutrovat APčka, switche, router,... a je přístupná jenom z LANky
7. Ani to nepočítám jako síť, ale servisní rozhraní z modemu mám trunkem přihozený jako VLANu na switch v pracovně, kdybych něco musel řešit.Je super, že mám /56 prefix. Jinak by to byl docela problém...
