>>> Vi har en ganska vanlig (? - har sett den på flera sätten...) setup för
>>> små kontor (1-15 pers typ), linan utifrån går in i en switch, tre burkar
>>> inkopplade på denna varav en är en NAT-gateway för vårt interna lan, de
>>> andra får sköta sina brandväggsregler själva.
>>>
>>> Utan att reta gallfeber på alla skulle jag vilja köra dualstack när vi
>>> får ipv6, men vi kommer att ha delnät både innanför och utanför
>>> brandväggen då, så något behöver göras åt routningen.
Kör själv dual-stack med linuxburk som router. Använder VLAN men
uppsättning är ekvivalent med 1 nwkort utåt och 2 nätverkskort inåt, 1
per undernät.
Har 1 IPv6 /56 range där jag skapat 2 /64 ranges för mina undernät. Där
har min router adress <nw adress>::1 i dessa nät. Hade jag haft en DMZ
hade jag lagt denna i ytterligare en /64 adress range.
Inkommande till min router finns en helt separat (annat nw prefix) /64
range där mitt externa routergränssnitt får en adress, och sedan är
default gateway mot internet till providerns router på adress
<nw-adress>::1. Har för stunden statisk adress här, men borde egentligen
tilldelas från providerns router via RA.
På insidan sker router advertisement (RA) med dnsmasq, som ger ut
adresser till enheter på insidan i varje subnät. Dessa kan bli lite vad
som helt (Windows 7 kör gärna slumpmässiga adresser, annars bygga på
MAC). Trevligt nog så skapar dnsmasq DNS entries från datorer den känner
till MAC adressen för, till dessa okända adresser. Så när min
androidtelefon kopplar upp sig, får den en IPv6, men jag kan hitta den
med 'nslookup nexus4.hemma'. Varje enhet får default gateway till
routern och sedan får man se till att routingtabeller + brandväggsregler
är bra i shorewall6, så funkar det bra.
IPv4 är helt separat konfigurationsmässigt. vanliga shorewall, med NAT
setup och undergrupper precis som vanligt. använder 192.168.0.0/24 för
ena och 192.168.1.0/24 för andra. Portforwardering som det brukar vara.
Dnsmasq stödjer att har man talat om MAC adress för en enhet, så skapar
den 'A' record för IPv4 adressen och 'AAAA' record för IPv6 så båda går
att komma åt.
En nackdel var att för enheter som vandrar mellan subnäten, så gick det
inte att få statisk adress beroende på inkommande nätverkskort, utan det
får bli dynamisk där. Men det är ok, då DNS entries finns.
En oväntat begränsning var att med IPv4 + NAT, så kan man portforwardera
olika tjänster till olika burkar men fortfarande komma åt dom med samma
DNS namn. Det funkar inte helt rent i IPv6. T.ex. en burk är SMTP host
medan en annan har webmailen, så kan jag inte ha DNS namn 'mail.xxx.xx'
för bägge. I IPv6 fallet måste de resolvas till 2 olika adresser
beroende på port, så behöver 2 olika DNS namn. Går säkert att komma
runt, men då bryter man den rena '1 dator/1 adress' som det var tänkt
från början med IP.
Hoppas beskrivningen gett något.
/ Mikael R
-- __________________________ Mikael Rosbacke Akaza AB tel: +46707925781 epost: mikael_at_rosbacke.org webb: http://www.rosbacke.org webb: http://www.akaza.se _______________________________________________ http://www.foss-sthlm.se/ http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlmReceived on 2014-07-10