LINUX.ORG.RU

История изменений

Исправление ValdikSS, (текущая версия) :

У вас есть, как мне кажется, некоторые заблуждения касательно IPv6.

Окей у нас раздается на ПК конечного пользователя два адреса: один для внутренних сервисов (по dhcp), второй для внешних (по slaac).

DHCPv6, в общем случае, не может работать сам по себе, как в IPv4. Первичная настройка осуществляется с помощью Route Advertisement, и уже внутри Route Advertisement может быть указан флаг, чтобы клиент обратился к DHCP и запросил себе адрес.

Внутренняя сеть может быть организована полностью на публичных адресах, может быть на публичных адресах + ULA (аналог приватных диапазонов типа 10.0.0.0/8 в IPv4), либо как-нибудь ещё, причем количество разных диапазонов на одном ПК не ограничено, у меня вполне бывает, что на одном интерфейсе по 10+ адресов, причем маршрутизация между ними работает корректно автоматически (как правило), в отличие от IPv4, где нужно настраивать таблицы и правила маршрутизации.

Я рекомендую вам на каждый офис запрашивать диапазон /56, как рекомендует RIPE. В IPv6, в общем случае, минимальная единица адресации — /64, и если вы будете запрашивать у провайдера только одну /64, вам будет очень неудобно настраивать маршрутизацию и логическую сегрегацию сегментов, а с /56 вы сможете, например, выделить /64 под публичный интернет, /64 для внутренних ресурсов конкретного филиала, /64 для серверов, /64 для административных нужд, и по каждой /64 будет удобно настраивать общие правила доступа на межсетевом экране, а не для каждого отдельного адреса.
Одну /64 банально нельзя «легко» раздать в локальную сеть: если сеть direct connected, а не routed (когда настроена на провайдерском маршрутизаторе непосредственно на интерфейсе, и используется ND, а не маршрутизация) вам придётся применять костыли в виде nd-proxy (аналог arp-proxy), а если сеть routed, то будут проблемы с назначением глобального адреса самому маршрутизатору, на котором настраивается IPv6.

Если вам не нравится идея маршрутизации по глобальным адресам, и вы мыслите категориями NAT в IPv4, то не стоит беспокоиться: любые современные межсетевые экраны можно настроить на блокировку входящего трафика, но при этом разрешить любой исходящий, при этом не будет происходить трансляция адресов.
Либо можно использовать только stateless-экран, с блокировкой портов ниже 1024, как это делает мобильный МТС по умолчанию (да, у МТС в РФ есть IPv6 на всю страну, включена по умолчанию).

Дальше, есть указание скрывать внешние IP при выходе в «дикий» интернет, т.к. IPv6 привязывается к юр. лицу префиксом, то надо скрывать целиком префикс…ну окей, покупаем VPN с /56, делаем до него туннельный IPsec и либо надеемся что vpn провайдер будет dhcpv6-pd в туннель пускать, либо статикой.

Ничего не понял. Что имеется в виду под скрытием адреса?

Исходная версия ValdikSS, :

У вас есть, как мне кажется, некоторые заблуждения касательно IPv6.

Окей у нас раздается на ПК конечного пользователя два адреса: один для внутренних сервисов (по dhcp), второй для внешних (по slaac).

DHCPv6, в общем случае, не может работать сам по себе, как в IPv4. Первичная настройка осуществляется с помощью Route Advertisement, и уже внутри Route Advertisement может быть указан флаг, чтобы клиент обратился к DHCP и запросил себе адрес.

Внутренняя сеть может быть организована полностью на публичных адресах, может быть на публичных адресах + ULA (аналог приватных диапазонов типа 10.0.0.0/8 в IPv4), либо как-нибудь ещё, причем количество разных диапазонов на одном ПК не ограничено, у меня вполне бывает, что на одном интерфейсе по 10+ адресов, причем маршрутизация между ними работает корректно автоматически (как правило), в отличие от IPv4, где нужно настраивать таблицы и правила маршрутизации.

Я рекомендую вам на каждый офис запрашивать диапазон /56, как рекомендует RIPE. В IPv6, в общем случае, минимальная единица адресации — /64, и если вы будете запрашивать у провайдера только одну /64, вам будет очень неудобно настраивать маршрутизацию и логическую сегрегацию сегментов, а с /56 вы сможете, например, выделить /64 под публичный интернет, /64 для внутренних ресурсов конкретного филиала, /64 для серверов, /64 для административных нужд, и по каждой /64 будет удобно настраивать общие правила доступа на межсетевом экране, а не для каждого отдельного адреса.
Одну /64 банально нельзя «легко» раздать в локальную сеть: если сеть direct connected, а не routed (когда настроена на провайдерском маршрутизаторе и используется ND, а не маршрутизация) вам придётся применять костыли в виде nd-proxy (аналог arp-proxy), а если сеть routed, то будут проблемы с назначением глобального адреса самому маршрутизатору, на котором настраивается IPv6.

Если вам не нравится идея маршрутизации по глобальным адресам, и вы мыслите категориями NAT в IPv4, то не стоит беспокоиться: любые современные межсетевые экраны можно настроить на блокировку входящего трафика, но при этом разрешить любой исходящий, при этом не будет происходить трансляция адресов.
Либо можно использовать только stateless-экран, с блокировкой портов ниже 1024, как это делает мобильный МТС по умолчанию (да, у МТС в РФ есть IPv6 на всю страну, включена по умолчанию).

Дальше, есть указание скрывать внешние IP при выходе в «дикий» интернет, т.к. IPv6 привязывается к юр. лицу префиксом, то надо скрывать целиком префикс…ну окей, покупаем VPN с /56, делаем до него туннельный IPsec и либо надеемся что vpn провайдер будет dhcpv6-pd в туннель пускать, либо статикой.

Ничего не понял. Что имеется в виду под скрытием адреса?