Vlákno názorů k článku Už i v Africe docházejí IPv4 adresy od Petr - Mám IPv6 od operátora, mám Turris, myslel jsem,...
-
Petr M (neregistrovaný)
Co na tom chceš nastavovat, mimo firewall? To je právě výhoda IPv6, že nemusíš řešit rozsah adres pro DHCP za NATem, tunely skrz NAT, VPNka a podobný kraviny.
Router se nakonfiguruje sám na základě toho, co mu sdělí síť od ISP
Zařízení se nakonfiguruje samo na základě dat od routeru.
Co potřebuješ, je jenom zařízením přidělit nějakou zapamatovatelnou adresu za prefixem, pokud s tím budeš pracovat nějak ručně. A pokud z nich chceš ven, tak zkontrolovat, jestli je vynucený IPSEC a povolit jeho vystrčení ven na firewallu. A tím to hasne, protože zařízení šifruje a je viditelný z celýho IP6 netu, takže VPN vlastně ani nepotřebuješ.
A ohledně VPN, standard je vygenerovat si u ISP větší prefix a udělat tam několik sítí, ty pak "propojíš" standardně na routeru. A běhá to i na nemanagovaným switchi. Zařízení prostě dostane podle DUUID prefixy sítí, do kterých smí. Takže na co vlastně VLAN? Jenom nesmí být ISP debil a musí přidělovat podle RFC.
-
Petr (neregistrovaný)
Cože? Na co VLAN a VPN je kravina? Určitě nechci, aby ta hromada zařízení s pochybným fw/sw, co mám, byly viditelné z celého IP6 netu. VPN je jediný správný způsob jak lézt z venku do LAN. Jasně definované VLANy mám na to, že zařízení podle stupně jak jim věřím mohou vzájemně komunikovat nebo se vzájemně byť jen vidět (i v rámci jedné VLAN), (ne)mít přístup na inet atd. S takovou argumentací zastánců IP6 se vůbec nedivím, že to nikdo nechce a lidi chtějí současný NAT.
A to co jsem popsal se dá definovat jen v IPv4, respektive všechny návody popisují jak to udělat v IPv4, v IPv6 se člověk setkává akorát s podobnými výkřiky, jak to je blbost a všechno bude rovnou přístupné z venku. Starat se o zabezpečení jednotlivých nezabezpečitelných zařízení, to určitě... -
Petr M (neregistrovaný)
Otázka je, proč přes VPN lezeš do konkrétní sítě.
1) Proto, že se chceš šifrovaně připojit k nějakýmu stroji. Pak stačí mít možnost šifrovat (podporováno IPv6) a vidět to zařízení ze současné pozice (= veřejná IP adresa) a připojíš se přímo. Jenom řekneš firewallu, že tohle zařízení má povoleno poslouchat zvenčí ten a ten port a hotovo.
2) Proto, abys se na cestách mohl chovat stejně, jak doma a měl všechno k dispozici. Na tohle existuje automatická finta, že si zařízení na cestách ponechá svou IPv6 adresu z domova, kontaktuje svůj router a sdělí mu, ve které síti se nachází. A veškerý traffic na tvou domácí IP adresu jde najednou na tvůj stroj v cizí síti. Stejně tak ostatní z domácí sítě tě vidí, jako kdybys byl doma. Dokonce i ti zvenčí, tvůj router ti přepošle první paket a jim sdělí, že sedíš v jiné síti a už to jde rovnou tam. A nemusíš nic konfigurovat, funguje to "samo". IPv4 to neumí, nemá dost adres.
3) Potřebuješ protunelovat NAT. Ten na IPv6 nemáš, pokud nejsi blbý, takže tam VPN postrádá smysl. Naopak, protuneloval bys firewall a návštěvník by si mohl dělat, co chce. A to zase asi nechceš ty.Tak proč se mordovat s konfigurací nějaké VPNky?
-
MP (neregistrovaný)
Takze pokud tomu rozumim, tak by to znamenalo:
1] servery, ktere nemaji byt pristupne zvenci budou pristupne zvenci plus bude se muset podle potreby modifikovat firewall na potrebne sluzby. Oproti tomu, pri VPN do konkretni zony jsou veskere sluzby povolene. Zadne zjistovani, kdo ma jakou IP adresu v IPvX (ano, lze resit certifkaty, ale...).
2] jak tohle funguje pres firewally? -
Až to nastuduješ, tak pro tebe mám jednu dobrou zprávu. Při nákupu levných soho routerů kupuj vždy dva, zapojuj je za sebe do série a vnitřní síť buduj až za tím druhým. Jen musíš každému nastavit jiný rozsah na LAN, což by mohlo být výrazně jednodušší, než si koupit jeden a nastavit na něm FW :D Tím se zbavíš nejjednodušší cesty prolomení NATu z venku :D
-
Což mě přivedlo na skvělou myšlenku... projekt "Lama NAT super secure router/firewall". Bude to 8/16/24 portové zařízení (home, small business, enterprise), ve kterém budou interně první dva porty switch, třetí bude za jedním natem, čtvrtý za dvěma, pátý za třemi atd. Čím dál člověk zapojí LANku, tím bude zabezpečenější :D Asi zkusím crowfunding, když tak vidím, kolik lidí má zcela mylné představy, mohl by to být trhák... Turris by se měl začít třást strachy :D
-
Ano, je to přesně tak! Možná ani nemusím vyvíjet HW a asi ještě poupravím obchodní model. Vše poběží na stejném HW, MiktoTik CRS-125 a se správným nastavením by to mělo tak nějak fungovat. V základu budou enablované pouze 4 porty a na každý další bude licence zvlášť :D Pravda, nebude to zcela oddělené, ale to nevadí, to nikdo nepozná, NATy proběhnou :) Jen mám trochu obavu o výkon, už jsem to MK viděl nastavený jako poměrně komplexní router s FW a moc to nedával... asi ví, proč tomu říkají router switch a ne jen router... :D
