Subject: Re: IPv6

Re: IPv6

From: Christian Huldt <christian_at_solvare.se>
Date: Thu, 10 Jul 2014 10:19:25 +0200

Hej!

Det känns som att det är något väldigt grundläggande jag inte fattat alls...

Vi har en ganska vanlig (? - har sett den på flera sätten...) setup för
små kontor (1-15 pers typ), linan utifrån går in i en switch, tre burkar
inkopplade på denna varav en är en NAT-gateway för vårt interna lan, de
andra får sköta sina brandväggsregler själva.

Utan att reta gallfeber på alla skulle jag vilja köra dualstack när vi
får ipv6, men vi kommer att ha delnät både innanför och utanför
brandväggen då, så något behöver göras åt routningen.

Det verkar som jag behöver ett nätverkskort till och köra DMZ (eller
åtminstone routning) för de andra burkarna? Alternativt konfa switchen?

2014-07-10 09:17, Magnus Sandberg skrev:
> Hej!
>
> RA (router adverticement) är ett sätt för din router att tala om för
> dina klienter vad de ska använda för default-gateway. DHCPv6 fungerar
> inte som DHCP för IPv4. Man ska alltså INTE ha RA aktivt på sitt/sina
> externa nätverksportar.
Det var som jag trodde :-)

> Hur du talar om för omvärlden vad som finns på insidan gär man via DNS,
> oftast med AAAA-records om det gäller hostnamn till IPv6-adress.
Men hur förstår omvärlden att subnäten innanför ska (måste) routas via
brandväggen?

> // Mem
>
>
>
> 2014-07-08 12:32, Christian Huldt skrev:
>> Tack för alla svar!
>>
>> Det är en sak jag undrar - vilket iofs kan bero på att jag är ovan vid
>> IPv6, bara har vana vid NATade nät, och/eller är lite för van vid arp -
>> Hur delges externa enheter vad som finns innanför brandväggen? Ska man
>> köra RA? (har gjort lite experiment i mindre skala, men de annalkande
>> semestertiderna borde vara lämpliga för större skala...)
>>
>>
>>
>> 2014-06-16 14:24, Magnus Sandberg skrev:
>>> Hej!
>>>
>>> Först av allt skulle jag så klart inte köra NAT för IPv6 utan enbart
>>> filtrering av trafiken (men det är väl självklart).
>>>
>>> Vid /56 skulle jag göra följande:
>>>
>>> En /60 för interna länknät, typ från brandväggs router till respektive
>>> företags egen router.
>>>
>>> En /60 för management av routrar och switchar (helst på loopback adresser).
>>>
>>> Ge varje företag var sin /60 väl utspritt, så att om någon vill/behöver
>>> växa till /59 eller större kan det ske utan omnumrering eller kludder
>>> med en massa små /64:ro.
>>>
>>> Om ni får en /48 skulle jag ta /56 för alla kategorierna ovan.
>>>
>>>
>>> Genom att lägga länknäten och management separat kan man blockar dessa
>>> nät lite hårdare utifrån om man vill skydda routrar eller switchar extra
>>> noga.
>>>
>>>
>>> Att använda sista positionen i IPv4 som samma adress i IPv6 kan
>>> underlätta felsökning eftersom vår hjärna de senaste åren programmerats
>>> för IPv4-adresser. Typ 192.168.95.47 blir 2001:dead:cafe:1::47.
>>>
>>>
>>> Och som PS: /64 är inte de minsta näten man kan använda. Det går bra att
>>> ha ett länknät som är /126. Jag säker inte att det vare sig är smart
>>> eller vackert men det går.
>>>
>>> // Mem
>>>
>>>
>>>
>>> 2014-06-12 17:31, Christian Huldt skrev:
>>>> Vi får ipv6 nu.
>>>> Till kontoret.
>>>> Som befolkas av ett antal olika småföretag (det största är 4 pers).
>>>>
>>>> Idag står en linuxburk med två nätverkskort som kör nat och iptables,
>>>> plus några burkar utanför.
>>>>
>>>> Om jag behärskar mina primära cyberhippieimpulser och inte bara kör in
>>>> linan i switchen direkt, hur ska jag tänka då?
>>>>
>>>> Min Google-fu^W ixquick.com-fu är tillräckligt dålig för att jag inte
>>>> ska hitta något om en sån setup, dvs med linuxburken som
>>>> single-point-of-failure, ip6tables etc.
>>>>
>>>> Bör det interna nätverket få ett eget subnät (ja förstås) men bör då det
>>>> externa nätverkskortet ingå i detta nätverk eller ska det ha ett eget
>>>> som routas?
>>>>
>>>> Ska jag planera olika om vi får ett /48 eller ett /56?
>>>>
>>>> Ja, jag är en noob på ipv6, men det kanske går över med tiden...
>>>> _______________________________________________
>>>> http://www.foss-sthlm.se/
>>>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
>>>>
>>> _______________________________________________
>>> http://www.foss-sthlm.se/
>>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
>> _______________________________________________
>> http://www.foss-sthlm.se/
>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
>>
> _______________________________________________
> http://www.foss-sthlm.se/
> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm

_______________________________________________
http://www.foss-sthlm.se/
http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
Received on 2014-07-10