Subject: Re: IPv6

Re: IPv6

From: Christian Huldt <christian_at_solvare.se>
Date: Thu, 10 Jul 2014 15:25:22 +0200

Hej!

Routern är en standard-pc med linux (Gentoo) (och klarar ipv6...)
(faktiskt två stycken som delar ut skilda dhcp-range inom samma nät inåt)

Vi har idag statisk IPv4 och kommer att få statisk IPv6, /48 eller /56
under juli (Den som skulle berätta detaljerna är på semester...). Det
krävdes lite tjat och hänvisningar till 6:e juni (inte i år, som sagt,
lite tid tar det). Länknätet går via cat5 från leverantörens "fiberlåda"
in i en liten switch - om denna vet jag föga, troligen en billig no-name...

2014-07-10 14:02, Magnus Sandberg skrev:
> Hej!
>
> Det går ju inte att säga så här bara med den lilla text du skrivit. Den
> där burken som är NAT-gateway är väl det jag skulle kalla router.
>
> Frågan är om denna bruk klarar IPv6.
>
> Hur får ni länknät idag? Kör denna NAT-gateway som DHCP-klient på
> utsidan för att få IPv4-adress från er ISP eller är länknätet statiskt
> konfigurerat?
>
> Hur kommer de leverera IPv6? Statisk routing? DHCPv6? Neighbur discovery?
>
>
> Om du/ni inte vet att du kommer få IPv6 så tror jag inte du ska hålla
> andan. Det är inte det lättaste att få IPv6 i Sverige idag.
>
> Om du/ni blivit lovade IPv6 då skulle jag som steg två oroa mig för
> NAT-gateway:en då de produkter som går under sådana benämningar i
> princip aldrig stödjer IPv6. Finns det management för IPv6 i gateway:en?
>
>
> // Mem
>
>
>
> 2014-07-10 10:19, Christian Huldt skrev:
>> Hej!
>>
>> Det känns som att det är något väldigt grundläggande jag inte fattat alls...
>>
>> Vi har en ganska vanlig (? - har sett den på flera sätten...) setup för
>> små kontor (1-15 pers typ), linan utifrån går in i en switch, tre burkar
>> inkopplade på denna varav en är en NAT-gateway för vårt interna lan, de
>> andra får sköta sina brandväggsregler själva.
>>
>> Utan att reta gallfeber på alla skulle jag vilja köra dualstack när vi
>> får ipv6, men vi kommer att ha delnät både innanför och utanför
>> brandväggen då, så något behöver göras åt routningen.
>>
>> Det verkar som jag behöver ett nätverkskort till och köra DMZ (eller
>> åtminstone routning) för de andra burkarna? Alternativt konfa switchen?
>>
>> 2014-07-10 09:17, Magnus Sandberg skrev:
>>> Hej!
>>>
>>> RA (router adverticement) är ett sätt för din router att tala om för
>>> dina klienter vad de ska använda för default-gateway. DHCPv6 fungerar
>>> inte som DHCP för IPv4. Man ska alltså INTE ha RA aktivt på sitt/sina
>>> externa nätverksportar.
>> Det var som jag trodde :-)
>>
>>> Hur du talar om för omvärlden vad som finns på insidan gär man via DNS,
>>> oftast med AAAA-records om det gäller hostnamn till IPv6-adress.
>> Men hur förstår omvärlden att subnäten innanför ska (måste) routas via
>> brandväggen?
>>
>>> // Mem
>>>
>>>
>>>
>>> 2014-07-08 12:32, Christian Huldt skrev:
>>>> Tack för alla svar!
>>>>
>>>> Det är en sak jag undrar - vilket iofs kan bero på att jag är ovan vid
>>>> IPv6, bara har vana vid NATade nät, och/eller är lite för van vid arp -
>>>> Hur delges externa enheter vad som finns innanför brandväggen? Ska man
>>>> köra RA? (har gjort lite experiment i mindre skala, men de annalkande
>>>> semestertiderna borde vara lämpliga för större skala...)
>>>>
>>>>
>>>>
>>>> 2014-06-16 14:24, Magnus Sandberg skrev:
>>>>> Hej!
>>>>>
>>>>> Först av allt skulle jag så klart inte köra NAT för IPv6 utan enbart
>>>>> filtrering av trafiken (men det är väl självklart).
>>>>>
>>>>> Vid /56 skulle jag göra följande:
>>>>>
>>>>> En /60 för interna länknät, typ från brandväggs router till respektive
>>>>> företags egen router.
>>>>>
>>>>> En /60 för management av routrar och switchar (helst på loopback adresser).
>>>>>
>>>>> Ge varje företag var sin /60 väl utspritt, så att om någon vill/behöver
>>>>> växa till /59 eller större kan det ske utan omnumrering eller kludder
>>>>> med en massa små /64:ro.
>>>>>
>>>>> Om ni får en /48 skulle jag ta /56 för alla kategorierna ovan.
>>>>>
>>>>>
>>>>> Genom att lägga länknäten och management separat kan man blockar dessa
>>>>> nät lite hårdare utifrån om man vill skydda routrar eller switchar extra
>>>>> noga.
>>>>>
>>>>>
>>>>> Att använda sista positionen i IPv4 som samma adress i IPv6 kan
>>>>> underlätta felsökning eftersom vår hjärna de senaste åren programmerats
>>>>> för IPv4-adresser. Typ 192.168.95.47 blir 2001:dead:cafe:1::47.
>>>>>
>>>>>
>>>>> Och som PS: /64 är inte de minsta näten man kan använda. Det går bra att
>>>>> ha ett länknät som är /126. Jag säker inte att det vare sig är smart
>>>>> eller vackert men det går.
>>>>>
>>>>> // Mem
>>>>>
>>>>>
>>>>>
>>>>> 2014-06-12 17:31, Christian Huldt skrev:
>>>>>> Vi får ipv6 nu.
>>>>>> Till kontoret.
>>>>>> Som befolkas av ett antal olika småföretag (det största är 4 pers).
>>>>>>
>>>>>> Idag står en linuxburk med två nätverkskort som kör nat och iptables,
>>>>>> plus några burkar utanför.
>>>>>>
>>>>>> Om jag behärskar mina primära cyberhippieimpulser och inte bara kör in
>>>>>> linan i switchen direkt, hur ska jag tänka då?
>>>>>>
>>>>>> Min Google-fu^W ixquick.com-fu är tillräckligt dålig för att jag inte
>>>>>> ska hitta något om en sån setup, dvs med linuxburken som
>>>>>> single-point-of-failure, ip6tables etc.
>>>>>>
>>>>>> Bör det interna nätverket få ett eget subnät (ja förstås) men bör då det
>>>>>> externa nätverkskortet ingå i detta nätverk eller ska det ha ett eget
>>>>>> som routas?
>>>>>>
>>>>>> Ska jag planera olika om vi får ett /48 eller ett /56?
>>>>>>
>>>>>> Ja, jag är en noob på ipv6, men det kanske går över med tiden...
>>>>>> _______________________________________________
>>>>>> http://www.foss-sthlm.se/
>>>>>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
>>>>>>
>>>>> _______________________________________________
>>>>> http://www.foss-sthlm.se/
>>>>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
>>>> _______________________________________________
>>>> http://www.foss-sthlm.se/
>>>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
>>>>
>>> _______________________________________________
>>> http://www.foss-sthlm.se/
>>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
>> _______________________________________________
>> http://www.foss-sthlm.se/
>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
>>
> _______________________________________________
> http://www.foss-sthlm.se/
> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm

_______________________________________________
http://www.foss-sthlm.se/
http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
Received on 2014-07-10