2014-07-10 19:33, Mikael Rosbacke skrev:
>>>> Vi har en ganska vanlig (? - har sett den på flera sätten...) setup
>>>> för
>>>> små kontor (1-15 pers typ), linan utifrån går in i en switch, tre
>>>> burkar
>>>> inkopplade på denna varav en är en NAT-gateway för vårt interna
>>>> lan, de
>>>> andra får sköta sina brandväggsregler själva.
>>>>
>>>> Utan att reta gallfeber på alla skulle jag vilja köra dualstack när vi
>>>> får ipv6, men vi kommer att ha delnät både innanför och utanför
>>>> brandväggen då, så något behöver göras åt routningen.
>
> Kör själv dual-stack med linuxburk som router. Använder VLAN men
> uppsättning är ekvivalent med 1 nwkort utåt och 2 nätverkskort inåt, 1
> per undernät.
> Har 1 IPv6 /56 range där jag skapat 2 /64 ranges för mina undernät.
> Där har min router adress <nw adress>::1 i dessa nät. Hade jag haft en
> DMZ hade jag lagt denna i ytterligare en /64 adress range.
> Inkommande till min router finns en helt separat (annat nw prefix) /64
> range där mitt externa routergränssnitt får en adress, och sedan är
> default gateway mot internet till providerns router på adress
> <nw-adress>::1. Har för stunden statisk adress här, men borde
> egentligen tilldelas från providerns router via RA.
Vad jag undrar handlar om routingen, om jag får
2001:db8:1111::
och delar upp det på
2001:db8:1111:1111::
och
2001:db8:1111:2222::
osv.
och ger min gateway 2001:db8:1111:1111::1 på utsidan och
2001:db8:1111:2222::1 på insidan, kommer extern trafik att hitta till
2001:db8:1111:2222::2 utan att jag specar detta på något sätt?
Förutsatt att /proc/sys/net/ipv6/conf/*/forwarding är satt till 1...
> På insidan sker router advertisement (RA) med dnsmasq, som ger ut
> adresser till enheter på insidan i varje subnät. Dessa kan bli lite
> vad som helt (Windows 7 kör gärna slumpmässiga adresser, annars bygga
> på MAC). Trevligt nog så skapar dnsmasq DNS entries från datorer den
> känner till MAC adressen för, till dessa okända adresser. Så när min
> androidtelefon kopplar upp sig, får den en IPv6, men jag kan hitta den
> med 'nslookup nexus4.hemma'. Varje enhet får default gateway till
> routern och sedan får man se till att routingtabeller +
> brandväggsregler är bra i shorewall6, så funkar det bra.
>
> IPv4 är helt separat konfigurationsmässigt. vanliga shorewall, med NAT
> setup och undergrupper precis som vanligt. använder 192.168.0.0/24 för
> ena och 192.168.1.0/24 för andra. Portforwardering som det brukar vara.
> Dnsmasq stödjer att har man talat om MAC adress för en enhet, så
> skapar den 'A' record för IPv4 adressen och 'AAAA' record för IPv6 så
> båda går att komma åt.
> En nackdel var att för enheter som vandrar mellan subnäten, så gick
> det inte att få statisk adress beroende på inkommande nätverkskort,
> utan det får bli dynamisk där. Men det är ok, då DNS entries finns.
> En oväntat begränsning var att med IPv4 + NAT, så kan man
> portforwardera olika tjänster till olika burkar men fortfarande komma
> åt dom med samma DNS namn. Det funkar inte helt rent i IPv6. T.ex. en
> burk är SMTP host medan en annan har webmailen, så kan jag inte ha DNS
> namn 'mail.xxx.xx' för bägge. I IPv6 fallet måste de resolvas till 2
> olika adresser beroende på port, så behöver 2 olika DNS namn. Går
> säkert att komma runt, men då bryter man den rena '1 dator/1 adress'
> som det var tänkt från början med IP.
>
> Hoppas beskrivningen gett något.
>
> / Mikael R
>
>
_______________________________________________
http://www.foss-sthlm.se/
http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
Received on 2014-07-10