Hej!
Det går ju inte att säga så här bara med den lilla text du skrivit. Den
där burken som är NAT-gateway är väl det jag skulle kalla router.
Frågan är om denna bruk klarar IPv6.
Hur får ni länknät idag? Kör denna NAT-gateway som DHCP-klient på
utsidan för att få IPv4-adress från er ISP eller är länknätet statiskt
konfigurerat?
Hur kommer de leverera IPv6? Statisk routing? DHCPv6? Neighbur discovery?
Om du/ni inte vet att du kommer få IPv6 så tror jag inte du ska hålla
andan. Det är inte det lättaste att få IPv6 i Sverige idag.
Om du/ni blivit lovade IPv6 då skulle jag som steg två oroa mig för
NAT-gateway:en då de produkter som går under sådana benämningar i
princip aldrig stödjer IPv6. Finns det management för IPv6 i gateway:en?
// Mem
2014-07-10 10:19, Christian Huldt skrev:
> Hej!
>
> Det känns som att det är något väldigt grundläggande jag inte fattat alls...
>
> Vi har en ganska vanlig (? - har sett den på flera sätten...) setup för
> små kontor (1-15 pers typ), linan utifrån går in i en switch, tre burkar
> inkopplade på denna varav en är en NAT-gateway för vårt interna lan, de
> andra får sköta sina brandväggsregler själva.
>
> Utan att reta gallfeber på alla skulle jag vilja köra dualstack när vi
> får ipv6, men vi kommer att ha delnät både innanför och utanför
> brandväggen då, så något behöver göras åt routningen.
>
> Det verkar som jag behöver ett nätverkskort till och köra DMZ (eller
> åtminstone routning) för de andra burkarna? Alternativt konfa switchen?
>
> 2014-07-10 09:17, Magnus Sandberg skrev:
>> Hej!
>>
>> RA (router adverticement) är ett sätt för din router att tala om för
>> dina klienter vad de ska använda för default-gateway. DHCPv6 fungerar
>> inte som DHCP för IPv4. Man ska alltså INTE ha RA aktivt på sitt/sina
>> externa nätverksportar.
> Det var som jag trodde :-)
>
>> Hur du talar om för omvärlden vad som finns på insidan gär man via DNS,
>> oftast med AAAA-records om det gäller hostnamn till IPv6-adress.
> Men hur förstår omvärlden att subnäten innanför ska (måste) routas via
> brandväggen?
>
>> // Mem
>>
>>
>>
>> 2014-07-08 12:32, Christian Huldt skrev:
>>> Tack för alla svar!
>>>
>>> Det är en sak jag undrar - vilket iofs kan bero på att jag är ovan vid
>>> IPv6, bara har vana vid NATade nät, och/eller är lite för van vid arp -
>>> Hur delges externa enheter vad som finns innanför brandväggen? Ska man
>>> köra RA? (har gjort lite experiment i mindre skala, men de annalkande
>>> semestertiderna borde vara lämpliga för större skala...)
>>>
>>>
>>>
>>> 2014-06-16 14:24, Magnus Sandberg skrev:
>>>> Hej!
>>>>
>>>> Först av allt skulle jag så klart inte köra NAT för IPv6 utan enbart
>>>> filtrering av trafiken (men det är väl självklart).
>>>>
>>>> Vid /56 skulle jag göra följande:
>>>>
>>>> En /60 för interna länknät, typ från brandväggs router till respektive
>>>> företags egen router.
>>>>
>>>> En /60 för management av routrar och switchar (helst på loopback adresser).
>>>>
>>>> Ge varje företag var sin /60 väl utspritt, så att om någon vill/behöver
>>>> växa till /59 eller större kan det ske utan omnumrering eller kludder
>>>> med en massa små /64:ro.
>>>>
>>>> Om ni får en /48 skulle jag ta /56 för alla kategorierna ovan.
>>>>
>>>>
>>>> Genom att lägga länknäten och management separat kan man blockar dessa
>>>> nät lite hårdare utifrån om man vill skydda routrar eller switchar extra
>>>> noga.
>>>>
>>>>
>>>> Att använda sista positionen i IPv4 som samma adress i IPv6 kan
>>>> underlätta felsökning eftersom vår hjärna de senaste åren programmerats
>>>> för IPv4-adresser. Typ 192.168.95.47 blir 2001:dead:cafe:1::47.
>>>>
>>>>
>>>> Och som PS: /64 är inte de minsta näten man kan använda. Det går bra att
>>>> ha ett länknät som är /126. Jag säker inte att det vare sig är smart
>>>> eller vackert men det går.
>>>>
>>>> // Mem
>>>>
>>>>
>>>>
>>>> 2014-06-12 17:31, Christian Huldt skrev:
>>>>> Vi får ipv6 nu.
>>>>> Till kontoret.
>>>>> Som befolkas av ett antal olika småföretag (det största är 4 pers).
>>>>>
>>>>> Idag står en linuxburk med två nätverkskort som kör nat och iptables,
>>>>> plus några burkar utanför.
>>>>>
>>>>> Om jag behärskar mina primära cyberhippieimpulser och inte bara kör in
>>>>> linan i switchen direkt, hur ska jag tänka då?
>>>>>
>>>>> Min Google-fu^W ixquick.com-fu är tillräckligt dålig för att jag inte
>>>>> ska hitta något om en sån setup, dvs med linuxburken som
>>>>> single-point-of-failure, ip6tables etc.
>>>>>
>>>>> Bör det interna nätverket få ett eget subnät (ja förstås) men bör då det
>>>>> externa nätverkskortet ingå i detta nätverk eller ska det ha ett eget
>>>>> som routas?
>>>>>
>>>>> Ska jag planera olika om vi får ett /48 eller ett /56?
>>>>>
>>>>> Ja, jag är en noob på ipv6, men det kanske går över med tiden...
>>>>> _______________________________________________
>>>>> http://www.foss-sthlm.se/
>>>>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
>>>>>
>>>> _______________________________________________
>>>> http://www.foss-sthlm.se/
>>>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
>>> _______________________________________________
>>> http://www.foss-sthlm.se/
>>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
>>>
>> _______________________________________________
>> http://www.foss-sthlm.se/
>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
>
> _______________________________________________
> http://www.foss-sthlm.se/
> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
>
_______________________________________________
http://www.foss-sthlm.se/
http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
Received on 2014-07-10