LINUX.ORG.RU
ФорумAdmin

IPv6 для не специалиста. Вопрос

 


2

2

Преамбула. Узнал, что мой провайдер выдает ipv6.

Если коротко. Пров. делегирует префикс 56. Заинтересовался, настроил. Роутер Mikrotik. Получил по DHCPv6 префикс на внешнем интерфейсе. Как понимаю, получил 256 подсетей(по факту адресов) Раздал на локальный «bridge». С префиксом 64, Все работает. Почитал про, что это вообще и, как работает. Возник вопрос… Какой адрес у интерфейсов роутера? Объясните, пожалуйста, как это работает…) Или поделитесь ссылкой) Как обратиться к внешнему интерфейсу, как к внутреннему? Читал мануалы, статьи, на русском и английском. Как-то этот вопрос обходят стороной. RFC не предлагать. Пытался читать, но, там для спецов…

По сути, все адреса ipv6 находятся на всех интерфейсах. Формально они еще привязываются к интерфейсам, но реально все равнозначные. Там нет ARP, поэтому пофиг.

Префикс 56 - это не 256 адресов. Это 2 в степени 72 адресов.

Oleg_Iu
()

На wan интерфейсе роутера видимо link-local адрес. На lan интерфейсе роутера адрес из /64 префикса, который ты раздал в lan. У остальных хостов в lan этот адрес как дефолт шлюз (ip -6 ro get default). Посмотреть адреса на интерфейсах микротика можно в веб-морде микротика.

DHCPv6 PD (prefix delegation) это протокол, по которому даунстрим роутер получает префиксы от апстрим роутера. Когда апстрим роутер выдаёт эти префиксы, он добавляет в свою таблицу маршрутизации маршрут к ним через даунстрим роутер. Т.е. одновременно происходит и выделение адресного пространства, и настройка маршрутизации до этого адресного пространства.

iliyap ★★★★★
()
Последнее исправление: iliyap (всего исправлений: 1)

роутеру передается не адрес.
а делегируется диапазон адресов.
префикс 56 говорит что первые 56 бит адреса неизменны, а остальные 72 бита произвольны. т.е. тебе передана внушительная пачка в 2^72 адресов, т.е. 4 722 366 482 869 645 213 696 адресов, да, это более 4 *10^21 адресов, которыми роутер может полностью распоряжаться как хочет.
все пакет с адресом «кому» из этого диапазона провайдер будет считать находящимися в твоей локалке и перенаправлять твоему роутеру.

роутер в принципе может произвольно назначить себе и другим устройствам в локалке любой адрес из этого диапазона.
и тут возникает минус - каждое твое устройство получается торчит голой жопой в интернете ипв6, а это чревато - дырки есть везде.
потому и дают так дохрена адресов и советую выдавать адреса рандомно, чтобы в этом диапазоне было достаточно трудно выковырять устройства тупым перебором.

адрес внешнего интерфейса смотри в настройках роутерав разделе WAN, их будет несколько.
адрес внутреннего интерфейса там же, в разделе LAN. один из них будет начинаться с fe80: этот адрес будет статичен, ибо формируется на основе MAC-адреса сетевого порта и доступен только по локалке, в тырнете запрещена передача пакетов с этими адресами. по нему ты всегда зайдешь на свой роутер по ипв6.

pfg ★★★★★
()
Последнее исправление: pfg (всего исправлений: 2)
Ответ на: комментарий от X512

Без трансляции можно адреса ipv6 провайдера и свои в локалке делать, на одном интерфейсе несколько адресов.
Просто ula адрес добавляешь на бридже роутера и вообщем то все, в итоге на устройствах адреса провайдера и локалки одновременно работают.
Странно что ipv6 не настраивают пока тормоза-ограничители-интернетов не клюнут,
ведь если интернет ограничат пропадут адреса, как будто в интернетах этих ваших что то важное есть, главное чтобы локалка работала же

naKovoNapalBaran
()
Ответ на: комментарий от naKovoNapalBaran

Я в использовании глобальных адресов вижу разные угрозы:

  1. Трекинг и определение местонахождения по IP адресу программами. Проблемы приватности. Программам не должен быть доступен глобальный адрес компьютера.

  2. Идентификация и трекинг пользователя со стороны сервера. Опять же проблемы приватности.

  3. Возможность обратиться во внутреннюю сеть извне без установки соединения и что-нибудь взломать. Уязвимостей в сишном коде, включая ядро Линукс, полно.

  4. Возможные сбои при смене провайдера из-за изменившихся адресов.

X512 ★★★★★
()
Последнее исправление: X512 (всего исправлений: 1)

Как обратиться к внешнему интерфейсу, как к внутреннему?

Ты это про WAN и LAN?
Эту сугубо условные названия и роль интерфейса определяется тем, в какую сетевую карту компьютера-роутера ты воткнул кабель от провайдера, а в какой кабель от домашнего компьютера.

Но в бытовых роутерах в качестве LAN обычно используется многопортовая сетевая карта или продвинутый свитч, а выход на WAN подключают к отдельному разделительному ВЧ трансформатору, чтобы потвозможности исключить пробитие с WAN на LAN и выгорание портов(но так к сожалению делают не во всех роутерах)

torvn77 ★★★★★
()
Последнее исправление: torvn77 (всего исправлений: 2)

Спасибо.

Конфигурация такая. На WAN интерфейсе работает DHCPv6 клиент. Получает от прова префикс 56 и кладет его в пул с длинной префикса 64. На WAN адрес fe80:xxx::/64 Т. е. локального канала На localbridge. fe80:xxx::/64 и префикс xxxx:yyyy::/64, который я назначил из пула. Т. е. внешнего адреса на интерфейсах роутера нет. Устройства подключенные через localbridge получают по SLAAC Уже адреса вида xxxx:yyyy::zzzz/64 Причем, почему-то два. Один из которых называется временный. В качестве шлюза указан адрес fe80:xxx::/64 localbridge.

Вот тут возникает вопрос. «Внешних» адресов на интерфейсах роутера нет. Есть только префиксы. Как, например, получить доступ к веб интерфейсу роутера извне. Указывать в адресной строке полученный от провайдера префикс?

AndrK189100
() автор топика
Ответ на: комментарий от X512

Программам не должен быть доступен глобальный адрес компьютера.

это с какого перепугу

а как же всякие p2p ноды себя анонсировать будут

раздача торрентов и всё такое

Harald ★★★★★
()
Ответ на: комментарий от Harald

а как же всякие p2p ноды себя анонсировать будут

раздача торрентов и всё такое

Это для злобных пиратов. Порядочным людям не нужно.

X512 ★★★★★
()
Ответ на: комментарий от Harald

И что? Через HTTP[S] и FTP их можно без проблем скачать. Пиратские торренты не нужны.

X512 ★★★★★
()
Ответ на: комментарий от Harald

это с какого перепугу

В программе могут например сделать региональные ограничения если она будет видеть глобальный IP адрес.

X512 ★★★★★
()
Ответ на: комментарий от AndrK189100

Вот тут возникает вопрос. «Внешних» адресов на интерфейсах роутера нет. Есть только префиксы. Как, например, получить доступ к веб интерфейсу роутера извне. Указывать в адресной строке полученный от провайдера префикс?

Ставите на локальном интерфейсе :1 одного из префикса /64, того, например, который раздает по slaac. Роутер должен сам сообразить его использовать при хождении в мир. Это если вам пров не выдал отдельный адрес для роутера.

Клиенты по slaac сами выбирают адреса. Один генерируют по MAC, второй для хождения в интерет не привязанный к хостику. Он может меняться для безопасности и запрета трекинга.

Oleg_Iu
()
Ответ на: комментарий от X512

Проприетарщина не нужна в любом виде. А свой глобальный адрес программа и так узнает, обратившись к какому-нибудь серверу и спросив свой адрес.

Harald ★★★★★
()
Ответ на: комментарий от Oleg_Iu

Проверил. Роутер «из мира» доступен по префиксу. Что логично) В принципе, почитал про NDP. В голове уложилось, как оно работает.

AndrK189100
() автор топика
Ответ на: комментарий от naKovoNapalBaran

так можно же использовать локальные и глобальные адреса на интерфейсах одновременно. отлючат интернет - просто убиваем dhcp/radvd на роутере и живем дальше :)

Rost ★★★★★
()
Ответ на: комментарий от intelfx

SkyNet питерский. Оно правда в тесте с 2018г. Поддержки по ipv6 ноль. Типа бесплатно, идите нафиг. Потихоньку расширяют сеть. Грозятся сделать платным, когда-нибудь… Они, вообще, по современным меркам, очень адекватные)

AndrK189100
() автор топика
Последнее исправление: AndrK189100 (всего исправлений: 1)
Ответ на: комментарий от Turbid

Да нет их, провайдеров здорового человека, по крайней мере в Москве. У меня онлайм, он как раз выдаёт /56 через DHCP-PD, вот только воды нет, растительности нет, населена роботами входящие соединения работают через раз, префикс динамический и постоянно меняется, а на правила lifetime был забит огромный хер (ну то есть интернет может внезапно закончиться в любой момент, потому что провайдер решил выдать тебе новый префикс, а старый всё, с этого момента больше не работает).

Нахера оно такое нужно — решительно не понятно.

intelfx ★★★★★
()
Ответ на: комментарий от intelfx

SkyNet выделяет статический префикс. Ну, по крайней мере, так говорит… Они и ipv4 динамический белый бесплатно выделяют). Меняется, когда забыл заплатить абонентку или, какая-то переконфигурация их сети. У меня за полтора года сменился один раз, как раз недавно. Причем, за 50р. предлагают вернуть обратно, если надо и не занят :D

AndrK189100
() автор топика
Последнее исправление: AndrK189100 (всего исправлений: 1)
Ответ на: комментарий от AndrK189100

Причем, за 50р. предлагают вернуть обратно, если надо и не занят :D

Круто! Мне пчелы v4, за который я деньги плачу, мля сменили. Причем полностью по их вине смена произошла, они мне в процессе починяй инет нафиг отключили услугу белой статики, после того как подключили назад адрес уже другой и старый сцуко у них никакого желания возвращать не возникло.

anc ★★★★★
()
Ответ на: комментарий от X512

Возможность обратиться во внутреннюю сеть извне без установки соединения и что-нибудь взломать. Уязвимостей в сишном коде, включая ядро Линукс, полно.

Это задача файрвола, а не NAT.

ivlad ★★★★★
()
Ответ на: комментарий от ivlad

Это задача файрвола, а не NAT.

Радует, что хоть кто-то это понимает. :)

Oleg_Iu
()
Ответ на: комментарий от X512

В программе могут например сделать региональные ограничения если она будет видеть глобальный IP адрес.

Программа может и в интернет сходить, посмотреть, какой у неё внешний адрес. А без интернета вообще не работать.

ivlad ★★★★★
()
Ответ на: комментарий от ivlad

Чтобы посмотреть IP адрес и в интернет выходить не надо. У IP адреса есть много разных шансов утечь. Не должны программы видеть глобальный IP адрес, небезопасно это.

X512 ★★★★★
()
Ответ на: комментарий от ivlad

Это задача файрвола, а не NAT.

На практике функции файрвола выполняет то же устройство, что и NAT. Там совмещённый функционал.

X512 ★★★★★
()
Последнее исправление: X512 (всего исправлений: 1)
Ответ на: комментарий от X512

Не должны программы видеть глобальный IP адрес, небезопасно это.

Интересно чем это оно небезопасно?

anc ★★★★★
()
Ответ на: комментарий от anc

Не должна программа ничего знать о пользователе короче. IP адрес даёт слишком много информации вроде адреса проживания, иногда довольно точного.

X512 ★★★★★
()
Последнее исправление: X512 (всего исправлений: 1)
Ответ на: комментарий от X512

:) привычку жить за NAT надо оставлять в ipv4 :)
знание параметров рабочей среды, в том числе и адресов, вполне нормальное состояние програмы.

pfg ★★★★★
()
Ответ на: комментарий от pfg

Если меня заставят пользоваться IPv6, то настрою NAT66. Никаких глобальных адресов в локалке. У программ среда локальная, нечего им знать про интернет, они могут работать по LAN с отключённым интернетом.

Вообще IPv6 несёт угрозу приватности потому что им можно однозначно идентифицировать каждого пользователя.

X512 ★★★★★
()
Последнее исправление: X512 (всего исправлений: 3)
Ответ на: комментарий от X512

Эммм...
1. А вы зачем пользуетесь программами которым не доверяете?
2. Как вы запретите программе получить эту информацию?

anc ★★★★★
()
Ответ на: комментарий от X512

лучше такие программы запускать в контейнере или виртуальной машине - там можно и нат настроить и сеть отключить совсем

Rost ★★★★★
()
Ответ на: комментарий от X512

так можно и договориться, что программа и к файлам в хомяке доступ на чтение даже не должна иметь

но какая от неё польза будет тогда

Harald ★★★★★
()
Ответ на: комментарий от Harald

так можно и договориться, что программа и к файлам в хомяке доступ на чтение даже не должна иметь

По идее да потому что есть криптовымогатнли. Программа должна получать доступ к файлу по открытию из файлового менеджера или через защищённый файловый диалог.

X512 ★★★★★
()
Ответ на: комментарий от anc
  1. А вы зачем пользуетесь программами которым не доверяете?

У современного софта огромные объёмы кода и я не в состоянии его весь проверить.

  1. Как вы запретите программе получить эту информацию?

Файрволом ОС например. Запретить получение IP адреса уже сложнее.

X512 ★★★★★
()
Последнее исправление: X512 (всего исправлений: 1)
Ответ на: комментарий от X512

если боишься анальных црушно-кгбешных имплантов, то этого мало. коль есть необходимость изоляции и полной анонимности то даже tails дыряв - пользуйся сразу whonix !!
основную угрозу несет недопонимание простоым обывателем работы технологий.

pfg ★★★★★
()
Ответ на: комментарий от X512

Вообще IPv6 несёт угрозу приватности потому что им можно однозначно идентифицировать каждого пользователя.

Вы точно про ipv6 говорите? Ибо во всех стеках ipv6 реализовано security extension.

Oleg_Iu
()
Ответ на: комментарий от X512

На практике функции файрвола выполняет то же устройство, что и NAT. Там совмещённый функционал.

Это не важно, что это выполняет одно устройство. Функциональность эта разная и NAT функции безопасности не несёт. Несёт её файрвол. В IPv6 точно также есть файрвол, который может дропать (и в консьюмерских маршрутизаторах по умолчанию именно так и делает) приходящие снаружи попытки установить соединение.

Не должны программы видеть глобальный IP адрес, небезопасно это.

Это, разумеется, бред, потому, что от знания IP внутри программы никакого вреда нет. А чтобы утечка данных произошла, нужно куда-то подключиться. А если куда-то подключиться, то IP утечёт уже по факту самого подключения.

Вообще, этот клоунский аргумент надо запостить @noIPv6, в коллекцию.

ivlad ★★★★★
()
Ответ на: комментарий от X512

Вообще IPv6 несёт угрозу приватности потому что им можно однозначно идентифицировать каждого пользователя.

Нельзя.

ivlad ★★★★★
()
Ответ на: комментарий от Oleg_Iu

Ибо во всех стеках ipv6 реализовано

Наивные. Некоторые провайдеры выдают IPv6 адреса без подсети.

X512 ★★★★★
()
Ответ на: комментарий от X512

криптовымогателям вообще до звезды твой айпи и где ты живешь…
им от тебя только балабос нужон. как и большинству вирусов, троянов и прочих заражателей. даже рекламщикам, кои активно собирают информацию о пользователе, глубоко похрен на тебя о велики джо. им нужна статистика. а твоя уникальная личность… нутыпонел…

а когда твоей личностью конкретно заинтересуются, то все твои NAT уже никому и серые псевдоскрытия айпишников уже не помогут.

pfg ★★★★★
()
Ответ на: комментарий от ivlad

Это, разумеется, бред, потому, что от знания IP внутри программы никакого вреда нет.

Есть. С помощью сверки по зашитой в код таблице диапазонов адресов можно определить регион. А не хочу чтобы программа знала про регион. Программа должна иметь минимальный доступ к информации необходимый для её функционала.

IPv6 выглядит как метод усиления корпорациями слежки за пользователями и загона в информационные пузыри. IPv4 это чисто технически не позволяет – всем номеров не хватает и приходится использовать пулы адресов.

X512 ★★★★★
()
Последнее исправление: X512 (всего исправлений: 2)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.