Ответить
  • netmaster Senior Member
    офлайн
    netmaster Senior Member

    5681

    23 года на сайте
    пользователь #1092

    Профиль
    Написать сообщение

    5681
    # 2 ноября 2024 15:49
    Chezzet:

    netmaster,
    Как в таком случае ограничивать взаимодействие разных категорий устройств друг с другом?

    Скорее всего никак
    И все потому что в IPv6 все адреса маршрутизируемые
    Firewall на входящие соединения и всё

  • Pose1don Senior Member
    офлайн
    Pose1don Senior Member

    4377

    21 год на сайте
    пользователь #9516

    Профиль
    Написать сообщение

    4377
    # 2 ноября 2024 16:48
    netmaster:

    И все потому что в IPv6 все адреса маршрутизируемые

    не все )
    fc00::/7

  • Chezzet Neophyte Poster
    офлайн
    Chezzet Neophyte Poster

    15

    7 лет на сайте
    пользователь #2297780

    Профиль
    Написать сообщение

    15
    # 3 ноября 2024 00:45
    Pose1don:

    Chezzet, так же, как и на v4 - вланы.

    netmaster,

    Опять таки это в случае разделения на подсети вроде /72, в то время как в данном случае предлагается все разместить в одной сети, соответственно логического разделения нет и в целом либо все клиенты общаются друг с другом в пределах этой подсети /64 либо никто не общается ( client isolation + block wan inbound )

    По указанным выше причинам разбивать на /72 подсети не выглядит вариантом

    Добавлено спустя 2 минуты 48 секунд

    Кстати, запросил у космоса /64 префикс, пока только на один влан прокину основной.

    Случился интересный разговор, они сказали что предоставление данной услуги может занять до одного месяца с их стороны и что некоторые сайты перестанут работать. Весело выглядят сроки. Да и какого черта в дуал стек сайты перестанут работать, в целом выглядело как будто пытались отговорить :)

  • yury_by Клуб Самоделкиных
    офлайн
    yury_by Клуб Самоделкиных

    16489

    13 лет на сайте
    пользователь #535842

    Профиль
    Написать сообщение

    16489
    # 3 ноября 2024 08:32
    Chezzet:

    и в целом либо все клиенты общаются друг с другом в пределах этой подсети /64 либо никто не общается

    Выглядит логично получить несколько сетей /64 и далее маршрутизировать их между собой, иначе возникают сложности с клиентами-гостями. Например, если не у гостей можно указать статические адреса или точно знать их на основании slaac и далее настраивать видимость друг друга, то у гостей же не будешь спрашивать "а какой у тебя mac? :shuffle: " и на время присутствия править строки фаервола. Особенно неудобно, если wifi-гости, ведь с ними конкретным портом в L3-свиче не отделаешься. Как вариант, всех гостей собрать на отдельной гостевой точке, они видят друг друга, но не видят остальную сеть.
    Поэтому, как мне кажется, без гостевой сети можно обойтись одной сетью /64, с гостями - не особо удобно :) Во всём виноват необходимый slaac.

    Добавлено спустя 3 минуты 36 секунд

    Кстати, небольшой лайфхак :)
    Если кого интересует доменное имя (не важно какое, лишь бы постоянное имя), то ripe выдаёт их под свою программу atlas, если зонд указан как public.

    Добавлено спустя 3 минуты 36 секунд

    Chezzet, а ula-адреса гостям не подойдут? Запихнуть их за nat и всё :rotate:

    Делай хорошо, а плохо само получится
  • Chezzet Neophyte Poster
    офлайн
    Chezzet Neophyte Poster

    15

    7 лет на сайте
    пользователь #2297780

    Профиль
    Написать сообщение

    15
    # 3 ноября 2024 12:01

    yury_by,

    Похоже что вариант с ula и nat66 будет оптимальным хоть и не хотелось тянуть наследие.

    Ну и весь спичь про гостей полностью поддерживаю

    А по поводу нескольких 64 я как раз за этим и приходил, узнать получилось ли у кого у космоса телекома получить несколько 64 или меньший префикс

  • 3828004 Neophyte Poster
    офлайн
    3828004 Neophyte Poster

    3

    более полугода на сайте
    пользователь #3828004

    Профиль
    Написать сообщение

    3
    # 6 декабря 2024 15:52 Редактировалось 3828004, 3 раз(а).

    Добрый день. Подскажите пожалуйста. Такое ощущение что меня сильно так надули в белтелеком.
    Ситуация такая. Сидел на A1, звонил в WikiLink, там везде IPv6 идёт либо из коробки - подключил и работает или по звонку в сервисный центр. Пришлось уйти с A1 и в белтелекоме ситуация оказалась немного иной. Настройка WAN недоступна из админки под любыми пользователями, IPv6 там отключен, по звонку с просьбой включить в 123 сказали что они не могут это сделать и чтобы был IPv6 его надо купить. Со скрежетом в зубах и смирением я пошёл в белтелеком где мне зачем-то выделили статический IPv6 адрес и обязали заплатить 27 рублей за подключение и около 6 в месяц за пользование согласно этому документу https://beltelecom.by/private/hosting/dedicated-server/adresnogo- ... kim-litsam. Так же сказали что терминал я буду настраивать сам, но напомню что

    Настройка WAN недоступна из админки под любыми пользователями

    так что получается мне видимо придётся снова долбить 123 с расспросом как настроить WAN на IPv6. Так вот после того как я узнал что мне подключили статический IPv6 адрес - возник вопрос. А просто динамику они совсем не собираются подключать? Т.е. любому кому нужно чтобы в доме работал IPv6 протокол нужно покупать статику? Мне например статика совсем не упала, и собственно большинству людей тоже. У меня складывается ощущение что всё таки динамика бесплатная, просто меня немного надули. Может кто подсказать, кто сталкивался с белтелекомом?

    P.S. Мне вообще кажется что такие действия белтелекома незаконны учитывая указ о IPv6 и препятствуют развитию протокола.
    P.P.S. По ссылке выше вообще написано что мне выделяется подсеть, о каком статическом IPv6 адресе идёт речь (в документе сказали указать 1) если по сути вся подсеть должна быть в моём распоряжении?

  • SergeiT Senior Member
    офлайн
    SergeiT Senior Member

    10175

    15 лет на сайте
    пользователь #188579

    Профиль
    Написать сообщение

    10175
    # 6 декабря 2024 16:07

    3828004, IPv6 в реализации БТК выглядит именно так
    они платно дают префикс /56
    как Вы будете рулить этими адресами - это Ваше личное дело
    терминал - не самое лучшее устройство для работы с V6
    в Указе №350 про деньги нет ни слова ни в каком виде.
    он обязывает предоставлять услугу, а платно или нет - в Указе не написано.

    любите интернет- источник знания
  • 3368524 Member
    офлайн
    3368524 Member

    379

    3 года на сайте
    пользователь #3368524

    Профиль
    Написать сообщение

    379
    # 6 декабря 2024 17:29 Редактировалось 3368524, 1 раз.

  • Pose1don Senior Member
    офлайн
    Pose1don Senior Member

    4377

    21 год на сайте
    пользователь #9516

    Профиль
    Написать сообщение

    4377
    # 6 декабря 2024 17:59
    3828004:

    Мне например статика совсем не упала, и собственно большинству людей тоже.

    динамика на ipv6 это глупость. проблема не в статике, а в том, что бтк за ipv6 хочет денег.

  • yury_by Клуб Самоделкиных
    офлайн
    yury_by Клуб Самоделкиных

    16489

    13 лет на сайте
    пользователь #535842

    Профиль
    Написать сообщение

    16489
    Делай хорошо, а плохо само получится
  • wtuuuu Junior Member
    офлайн
    wtuuuu Junior Member

    35

    7 лет на сайте
    пользователь #2180926

    Профиль
    Написать сообщение

    35
    # 12 декабря 2024 13:48 Редактировалось wtuuuu, 4 раз(а).
    netmaster:

    Chezzet:

    В остальном тот же БТ выделяет /56.

    Я до сих пор не понимаю зачем
    Наверное их оборудование по другому не умеет

    А зачем сразу делать плохо, если можно хорошо? Понятно что изначальные рекомендации по распределению типа /48 для устройства - это избыточно, и они вполне закономерно трансформировались в /64 для оконечного устройства. Только роутер - это не оконечное устройство.
    Собственно сейчас будет «best practice» это сконфигурировать роутеру на wan ipv6-адрес (dhcp/slaac/статически), и смаршрутизировать через этот адрес подсеть /56 или /48 (Prefix delegation).

    Если на wan роутеру отдается публичный /128 - то все равно лучше резервировать под клиента /64 целиком, если адрес не маршрутизируемый - то не обязательно, да, так тоже можно (правда в случае не маршрутизируемых адресов - есть кое-какие ограничения).
    Если через PD отдается /56 - лучше все равно резервировать под клиента /48.
    Что и как клиент будет делать со своим маршрутизируемым префиксом - дело только клиента.

    Естественно с «best practice» как ожидаемо можно встретиться далеко не в каждом ДЦ, не говоря уже о интернет-провайдерах. Вон, тот же А1 в своём ДЦ тоже ipv6 поштучно раздает (интересно, а если вписать туда количество адресов в /48, дадут подсетью? ;)). Почему так происходит - это вопрос отдельной беседы

    yury_by:

    Huawei получила более 2,5 дециллионов IPv6-адресов

    Опять считают адресами, когда надо считать подсетями

  • 2936926 Neophyte Poster
    офлайн
    2936926 Neophyte Poster

    10

    5 лет на сайте
    пользователь #2936926

    Профиль
    Написать сообщение

    10
    # 18 декабря 2024 20:13

    Принимайте! Сегодня успешно соединил по ipv6 от БТ домашний компьютер с компьютером на даче по RDP. xPON с VDSL2. Были нюансы с Keenetic, но все наконец взлетело. Теперь думаю "как жить дальше"? Надо как-то обрубить доступ от лишних сетей, а функционал у модемов оставляет желать лучшего. Keentic IPv6 - только делегирует и никак с ним не взаимодействует. Кто в теме - поделитесь опытом.

  • Pose1don Senior Member
    офлайн
    Pose1don Senior Member

    4377

    21 год на сайте
    пользователь #9516

    Профиль
    Написать сообщение

    4377
    # 18 декабря 2024 21:46

    2936926, полноценный фаервол ipv6 есть на микротах. кмк заморачиваться сильно не стоит и достаточно настроить фаервол на самом компе с рдп.

  • yury_by Клуб Самоделкиных
    офлайн
    yury_by Клуб Самоделкиных

    16489

    13 лет на сайте
    пользователь #535842

    Профиль
    Написать сообщение

    16489
    # 18 декабря 2024 21:51
    2936926:

    Надо как-то обрубить доступ от лишних сетей,

    RDP в интернет - плохой вариант. Предпочтительнее его использовать поверх любого VPN, функционал которого присутствует в Кинетике. Тогда и ограничивать не придётся.

    Делай хорошо, а плохо само получится
  • ByPass Member
    офлайн
    ByPass Member

    408

    7 лет на сайте
    пользователь #2176882

    Профиль
    Написать сообщение

    408
    # 18 декабря 2024 22:34

    2936926, в кинетиках в принципе с ipv6 всё плохо. Вот только недавно с последними апдейтами в каких то компонентах начал появляться.

  • netmaster Senior Member
    офлайн
    netmaster Senior Member

    5681

    23 года на сайте
    пользователь #1092

    Профиль
    Написать сообщение

    5681
    # 18 декабря 2024 23:30
    2936926:

    Принимайте! Сегодня успешно соединил по ipv6 от БТ домашний компьютер с компьютером на даче по RDP. xPON с VDSL2. Были нюансы с Keenetic, но все наконец взлетело. Теперь думаю "как жить дальше"? Надо как-то обрубить доступ от лишних сетей, а функционал у модемов оставляет желать лучшего. Keentic IPv6 - только делегирует и никак с ним не взаимодействует. Кто в теме - поделитесь опытом.

    Ахренеть
    А что отрубать то надо?

  • 2936926 Neophyte Poster
    офлайн
    2936926 Neophyte Poster

    10

    5 лет на сайте
    пользователь #2936926

    Профиль
    Написать сообщение

    10
    # 19 декабря 2024 09:30

    Для начала доступ только из одной своей сети в другую оставить. В сервисах нет rdp - пришлось временно фаерволл на минимум. Может в консоли можно прописать подсети. Или ждать , когда keenetic выставит полноценную поддкржку ipv6.

  • Pose1don Senior Member
    офлайн
    Pose1don Senior Member

    4377

    21 год на сайте
    пользователь #9516

    Профиль
    Написать сообщение

    4377
    # 19 декабря 2024 09:35
    yury_by:

    предпочтительнее его использовать поверх любого VPN

    впн не защищает от взлома. более того, все известные мне случаи шифрования серверов были произведены через впн )

    Добавлено спустя 7 минут 56 секунд

    2936926:

    Или ждать , когда keenetic выставит полноценную поддкржку ipv6.

    если вы нигде не светите реальный ipv6 адрес компа, то вероятность того, что кто-то на него постучит, исключительно мала. в вашем случае достаточно настроить фаервол на самой винде.

  • 2936926 Neophyte Poster
    офлайн
    2936926 Neophyte Poster

    10

    5 лет на сайте
    пользователь #2936926

    Профиль
    Написать сообщение

    10
    # 19 декабря 2024 09:53

    Тоже склоняюсь к мысли, что перебирать 2 в 32 адресов, даже зная перфикс - неблагодарное занятие. Да и компьютер я включаю по мере надобности. В видеорегистраторе наверняка свой фаерволл. Вот насчет "умных розеток" и прочих IoT. Даже "Алисы" полезли на ipv6. Так их всех nat прикрывал.

    Добавлено спустя 5 минут 58 секунд

    Вот еще, как теперь внутри сети искать всех по ipv6?

    Добавлено спустя 12 минут 14 секунд

    Pose1don:

    если вы нигде не светите реальный ipv6 адрес компа, т

    Любой сайт знает откуда Вы на него зашли. Несветить в принципе невозможно..

  • SergeiT Senior Member
    офлайн
    SergeiT Senior Member

    10175

    15 лет на сайте
    пользователь #188579

    Профиль
    Написать сообщение

    10175
    # 19 декабря 2024 10:17
    2936926:

    Любой сайт знает откуда Вы на него зашли. Несветить в принципе невозможно..

    сайт, тот же test-ipv6.com видит ВРЕМЕННЫЙ адрес, т.е. он знает /64
    для подключения по RDP надо обращаться на постоянный. а возможных адресов как минимум 2**64

    любите интернет- источник знания