Chezzet:netmaster,
Как в таком случае ограничивать взаимодействие разных категорий устройств друг с другом?
Скорее всего никак
И все потому что в IPv6 все адреса маршрутизируемые
Firewall на входящие соединения и всё
Chezzet:netmaster,
Как в таком случае ограничивать взаимодействие разных категорий устройств друг с другом?
Скорее всего никак
И все потому что в IPv6 все адреса маршрутизируемые
Firewall на входящие соединения и всё
netmaster:И все потому что в IPv6 все адреса маршрутизируемые
не все )
fc00::/7
Pose1don:Chezzet, так же, как и на v4 - вланы.
netmaster,
Опять таки это в случае разделения на подсети вроде /72, в то время как в данном случае предлагается все разместить в одной сети, соответственно логического разделения нет и в целом либо все клиенты общаются друг с другом в пределах этой подсети /64 либо никто не общается ( client isolation + block wan inbound )
По указанным выше причинам разбивать на /72 подсети не выглядит вариантом
Кстати, запросил у космоса /64 префикс, пока только на один влан прокину основной.
Случился интересный разговор, они сказали что предоставление данной услуги может занять до одного месяца с их стороны и что некоторые сайты перестанут работать. Весело выглядят сроки. Да и какого черта в дуал стек сайты перестанут работать, в целом выглядело как будто пытались отговорить
Chezzet:и в целом либо все клиенты общаются друг с другом в пределах этой подсети /64 либо никто не общается
Выглядит логично получить несколько сетей /64 и далее маршрутизировать их между собой, иначе возникают сложности с клиентами-гостями. Например, если не у гостей можно указать статические адреса или точно знать их на основании slaac и далее настраивать видимость друг друга, то у гостей же не будешь спрашивать "а какой у тебя mac? " и на время присутствия править строки фаервола. Особенно неудобно, если wifi-гости, ведь с ними конкретным портом в L3-свиче не отделаешься. Как вариант, всех гостей собрать на отдельной гостевой точке, они видят друг друга, но не видят остальную сеть.
Поэтому, как мне кажется, без гостевой сети можно обойтись одной сетью /64, с гостями - не особо удобно Во всём виноват необходимый slaac.
Кстати, небольшой лайфхак
Если кого интересует доменное имя (не важно какое, лишь бы постоянное имя), то ripe выдаёт их под свою программу atlas, если зонд указан как public.
Chezzet, а ula-адреса гостям не подойдут? Запихнуть их за nat и всё
yury_by,
Похоже что вариант с ula и nat66 будет оптимальным хоть и не хотелось тянуть наследие.
Ну и весь спичь про гостей полностью поддерживаю
А по поводу нескольких 64 я как раз за этим и приходил, узнать получилось ли у кого у космоса телекома получить несколько 64 или меньший префикс
Добрый день. Подскажите пожалуйста. Такое ощущение что меня сильно так надули в белтелеком.
Ситуация такая. Сидел на A1, звонил в WikiLink, там везде IPv6 идёт либо из коробки - подключил и работает или по звонку в сервисный центр. Пришлось уйти с A1 и в белтелекоме ситуация оказалась немного иной. Настройка WAN недоступна из админки под любыми пользователями, IPv6 там отключен, по звонку с просьбой включить в 123 сказали что они не могут это сделать и чтобы был IPv6 его надо купить. Со скрежетом в зубах и смирением я пошёл в белтелеком где мне зачем-то выделили статический IPv6 адрес и обязали заплатить 27 рублей за подключение и около 6 в месяц за пользование согласно этому документу https://beltelecom.by/private/hosting/dedicated-server/adresnogo- ... kim-litsam. Так же сказали что терминал я буду настраивать сам, но напомню что
Настройка WAN недоступна из админки под любыми пользователями
так что получается мне видимо придётся снова долбить 123 с расспросом как настроить WAN на IPv6. Так вот после того как я узнал что мне подключили статический IPv6 адрес - возник вопрос. А просто динамику они совсем не собираются подключать? Т.е. любому кому нужно чтобы в доме работал IPv6 протокол нужно покупать статику? Мне например статика совсем не упала, и собственно большинству людей тоже. У меня складывается ощущение что всё таки динамика бесплатная, просто меня немного надули. Может кто подсказать, кто сталкивался с белтелекомом?
P.S. Мне вообще кажется что такие действия белтелекома незаконны учитывая указ о IPv6 и препятствуют развитию протокола.
P.P.S. По ссылке выше вообще написано что мне выделяется подсеть, о каком статическом IPv6 адресе идёт речь (в документе сказали указать 1) если по сути вся подсеть должна быть в моём распоряжении?
3828004, IPv6 в реализации БТК выглядит именно так
они платно дают префикс /56
как Вы будете рулить этими адресами - это Ваше личное дело
терминал - не самое лучшее устройство для работы с V6
в Указе №350 про деньги нет ни слова ни в каком виде.
он обязывает предоставлять услугу, а платно или нет - в Указе не написано.
3828004:Мне например статика совсем не упала, и собственно большинству людей тоже.
динамика на ipv6 это глупость. проблема не в статике, а в том, что бтк за ipv6 хочет денег.
netmaster:Chezzet:В остальном тот же БТ выделяет /56.
Я до сих пор не понимаю зачем
Наверное их оборудование по другому не умеет
А зачем сразу делать плохо, если можно хорошо? Понятно что изначальные рекомендации по распределению типа /48 для устройства - это избыточно, и они вполне закономерно трансформировались в /64 для оконечного устройства. Только роутер - это не оконечное устройство.
Собственно сейчас будет «best practice» это сконфигурировать роутеру на wan ipv6-адрес (dhcp/slaac/статически), и смаршрутизировать через этот адрес подсеть /56 или /48 (Prefix delegation).
Если на wan роутеру отдается публичный /128 - то все равно лучше резервировать под клиента /64 целиком, если адрес не маршрутизируемый - то не обязательно, да, так тоже можно (правда в случае не маршрутизируемых адресов - есть кое-какие ограничения).
Если через PD отдается /56 - лучше все равно резервировать под клиента /48.
Что и как клиент будет делать со своим маршрутизируемым префиксом - дело только клиента.
Естественно с «best practice» как ожидаемо можно встретиться далеко не в каждом ДЦ, не говоря уже о интернет-провайдерах. Вон, тот же А1 в своём ДЦ тоже ipv6 поштучно раздает (интересно, а если вписать туда количество адресов в /48, дадут подсетью? ). Почему так происходит - это вопрос отдельной беседы
yury_by:
Опять считают адресами, когда надо считать подсетями
Принимайте! Сегодня успешно соединил по ipv6 от БТ домашний компьютер с компьютером на даче по RDP. xPON с VDSL2. Были нюансы с Keenetic, но все наконец взлетело. Теперь думаю "как жить дальше"? Надо как-то обрубить доступ от лишних сетей, а функционал у модемов оставляет желать лучшего. Keentic IPv6 - только делегирует и никак с ним не взаимодействует. Кто в теме - поделитесь опытом.
2936926, полноценный фаервол ipv6 есть на микротах. кмк заморачиваться сильно не стоит и достаточно настроить фаервол на самом компе с рдп.
2936926:Надо как-то обрубить доступ от лишних сетей,
RDP в интернет - плохой вариант. Предпочтительнее его использовать поверх любого VPN, функционал которого присутствует в Кинетике. Тогда и ограничивать не придётся.
2936926, в кинетиках в принципе с ipv6 всё плохо. Вот только недавно с последними апдейтами в каких то компонентах начал появляться.
2936926:Принимайте! Сегодня успешно соединил по ipv6 от БТ домашний компьютер с компьютером на даче по RDP. xPON с VDSL2. Были нюансы с Keenetic, но все наконец взлетело. Теперь думаю "как жить дальше"? Надо как-то обрубить доступ от лишних сетей, а функционал у модемов оставляет желать лучшего. Keentic IPv6 - только делегирует и никак с ним не взаимодействует. Кто в теме - поделитесь опытом.
Ахренеть
А что отрубать то надо?
Для начала доступ только из одной своей сети в другую оставить. В сервисах нет rdp - пришлось временно фаерволл на минимум. Может в консоли можно прописать подсети. Или ждать , когда keenetic выставит полноценную поддкржку ipv6.
yury_by:предпочтительнее его использовать поверх любого VPN
впн не защищает от взлома. более того, все известные мне случаи шифрования серверов были произведены через впн )
2936926:Или ждать , когда keenetic выставит полноценную поддкржку ipv6.
если вы нигде не светите реальный ipv6 адрес компа, то вероятность того, что кто-то на него постучит, исключительно мала. в вашем случае достаточно настроить фаервол на самой винде.
Тоже склоняюсь к мысли, что перебирать 2 в 32 адресов, даже зная перфикс - неблагодарное занятие. Да и компьютер я включаю по мере надобности. В видеорегистраторе наверняка свой фаерволл. Вот насчет "умных розеток" и прочих IoT. Даже "Алисы" полезли на ipv6. Так их всех nat прикрывал.
Вот еще, как теперь внутри сети искать всех по ipv6?
Pose1don:если вы нигде не светите реальный ipv6 адрес компа, т
Любой сайт знает откуда Вы на него зашли. Несветить в принципе невозможно..
2936926:Любой сайт знает откуда Вы на него зашли. Несветить в принципе невозможно..
сайт, тот же test-ipv6.com видит ВРЕМЕННЫЙ адрес, т.е. он знает /64
для подключения по RDP надо обращаться на постоянный. а возможных адресов как минимум 2**64