On 2019-05-13, marrgol <marrgol@address.invalid> wrote:
> On 2019-05-13 at 09:20, Mateusz Viste wrote:
>>> Może to faktycznie kwestia przyzwyczajeń, ale segmentacja sieci na
>>> lokalnych adresach wydaje się mi dużo bardziej przejrzysta. Jak coś jest
>>> bardziej przejrzyste, to trudniej o błędy.
>>
>> W kwestii routingu nic się nie zmienia. Odchodzi tylko bolesny NAT.
>>
>> Zamiast mieć takie 3 sieci:
>> 192.168.1.0/24
>> 192.168.2.0/24
>> 192.168.3.0/24
>>
>> Będziesz mieć np. takie trzy*:
>>
>> 2a01:aaaa:bbbb:1:/64
>> 2a01:aaaa:bbbb:2:/64
>> 2a01:aaaa:bbbb:3:/64
>>
>> *przy czym powyższe zależy od tego co oferuje ISP, patrz dwa punkty
>> niżej. Jeśli to normalny ISP dla normalnych ludzi (a nie tranzytowiec lub
>> łączność "dla firm"), to sprawa może być nieco mniej oczywista.
>>
>>> W IPv6 jak rozumiem dostanę pewną pulę adresów od IPSa (też mnie to
>>> przeraża, że będę zalezny w takiej kwestii od IPS).
>>
>> No ale przecież już jesteś zależny, jeśli chodzi o adres publiczny. Przy
>> IPv6 twoja sieć staje się faktyczną częścią internetu - dlatego też nie
>> może mieć tu miejsca żadna dowolność.
>>
>>> Pewnie da się to też posegmentować, na poziomie FW i bez NATu.
>>
>> Tak, możesz mieć w domu różne podsieci do różnych potrzeb, ale pod
>> warunkiem, że ISP przydzieli ci prefiks większy od /64 i zgodzi się
>> wykonywać routing prefiksów na twoją domową bramę. Sądzę jednak, że
>> większość ISP raczej będzie przydzielać klientom domowym bloki /64, a to
>> oznacza tylko jedną sieć logiczną (mającą za to ponad 4 miliardy razy
>> więcej adresów niż cały obecny internet). Niemniej jeśli się uprzesz to i
>> w takiej sytuacji możesz dokonać segmentacji w domu - twój domowy router/
>> firewall musi wtedy działać po części w trybie bridge, tj. zezwolić aby
>> kilka jego interfejsów należało do tej samej sieci IP. Filtry z reguły
>> ustawia się wtedy w zależności od interfejsów, a nie adresacji (np. "to
>> co wchodzi interfejsem CCTV_0 nie ma prawa wyjść w internet").
>
> W IPv6 jest zdefiniowana pula adresów lokalnych (tzw. ULA) będąca
> odpowiednikiem prywatnych sieci w IPv4, więc nic nie stoi na
> przeszkodzie by nadal samemu kontrolować/segmentować swoją sieć
> lokalną, bez uzależnienia od przydziału adresu, czy nawet całej
> puli, od IPS-a, i z miejscem na pewną dowolność. :-)
>
> Szczegóły: https://tools.ietf.org/html/rfc4193.
Mateusz, marrgol, dzięki za informacje.
W tej chwili jest tak jak się spodziewałem - walczę już drugi dzień z
ISP, który twierdzi, że właczył, a mój ONR jakoś nie dostaje adresu
IPv6. Znając miejscowe kompetencje, mocno obawiam się, ze nie dość, że
tego nie zrobią to jeszcze coś gruntownie sp. Stad i obawy, że mieliby
dysponować pulą przydzielanych adresów. Jak mam tylko lokalne adresy w
obrebie wewnętrznej sieci to choćby WAN padł to u mnie nadal wszystko
wewnętrznie działa, a tu, jak mi lo coś wywina to jak? Zasoby są
obsługiwane po IP. Chyba się jednak nie obejdzie bez lokalnych adresów.
Na razie planuje to tak, że o ile się uda ISP w końcu to włączyc, to
zrobię sobię małą siec testową obok obecnej i tam będę się bawił.
--
Marcin
|