ipv6 in t-2

[NoName]

z današnjim dnem so pa na ipv6 še strežniki za prihajajočo pošto ter spletno pošto.

[KoMar]

[DC]

Ena "napaka" je.

Po mojih izkušnjah cca 90% IPv6 prostora nima urejenih reverse DNS.
Vaš mail server pa zahteva reverse, da sprejme mail.

Ker spamerjev na v6 zaenkrat še ni bi bilo mogoče dobro tole začasno ukint

[NoName]

heavens no! ce imajo lahko ipv6 naslovi t-2 postnih streznikov pravilno urejene reverze, bodo to imeli tudi ostali!

[GregecSLO]

x2

[DC]

Sarkazem on:
Točno tako, cel svet se more obnašat kot T-2
Sarkazem off.

Lejte sej so vaši uporabniki, ki ne bodo dobivali mailov.

[NoName]

umm.. elaborate... kako ne bodo dobival mailov? če je nekdo proper postavu poštni strežnik je poskrbel za pripadajoč MX, A, AAAA ter vse PTR recorde.. če je pa mal bolj ozaveščen, je porihtal tudi kak SPF... kakorkoli... če si kaj MX gledal, si lahko videl, da so smtp-good-* in smtp-bad-* serverji... no.. good-i prejmejo pošto *takoj* od vseh proper pošiljateljev, bad-i pa jo prejmejo tudi od tistih, ki imajo kaj narobe, vendar.. with a twist... greylisting. vsekakor pa končni uporabniki dobijo pošto.

[DC]

Jaz sem opazil, ker ena stranka ni imel urejenega reversa in je bilo notri ogromno mailov za t-2.net
Vsi so bili res deffered samo po 4 ure in več.

[NoName]

lemme guess.. na exchangeu?

[GregecSLO]

Odvisno kako imaš retry naštelan in za koliko časa T-2 greylista.

@noname
mi mamo Exchange pa ni nobenih problemov whatsoever pri dostavi pošte pri greylist response...

[DC]

Ne postfixu.
Pa retry lepo deluje in pravilo obdeluje greyliste

[JanZorz]

PTR recordi se morajo na IPv6 za serverje vpisovati rocno. Avtomatsko populiranje reverse zone tu ne deluje vec, saj bi rabil samo za en /64 okrog 17 miljard zapisov. Naj nekdo proba in pove a) koliko casa je /64 zono generiral in b) koliko casa se je DNS server pobiral po loadu zone (ce se je sploh).

[gulikoza]

Malo razmišljam in se mi zadeve zdijo vedno manj rožnate:

1. RDP

Veliko delam iz terena doma, preko RDP. Doma mi lepo lavfajo aplikacije, mail, imam vse certifikate, vpn povezave, ... kjerkoli sem, se s z laptopom ali kar kakšnim random računalnikom povežem domov in delam. Da nimam od povsod odprt RDP port, se SSHjam na server (kjer so ustrezne fail2ban skripte za preprečevanje brute force napadov) in preko tunela sforwardam RDP na domačo kišto. Na IPv6 bom imel povsod zunanji IP, samo vpišem svoj IP in...eh? Mi bodo hekerji dan in noč hekali RDP? Na SSH imam relativno dolg pass, na windowsih pač ne, bom enkrat nek bug ali nek nezaščiten account na winsih omogočil vsem prost dostop do moje mašine? Odpade mi torej prva avtentikacija (in log, ker točno vidim kdaj od kje in za koliko časa sem se heftal), na public mašinah sem zdownloadal Putty, se sshajal, remotal na 127.0.0.1:3390 preko tunela in delal. Ko sem šel, sem putty izbrisal, razen fingerprinta v putty cachu na mašini ne ostane dosti - vsak ki odpre rdp bo videl, da sem se priklapljal na 127.0.0.1:3390...tako pa ostane notri moj ip. Razen če delam pač tako kot do sedaj...

IPv6 ima mandatory IPSEC. Vendar v praksi še nisem zasledil kako to deluje. Je to na nivoju aplikacije, operacijskega sistema, ...? Mora vsaka aplikacija posebej podpirati IPSEC, bom namesto da zdownloadam Putty in se povezal na server s sabo na ključku nosil certifikat ali pa preshared key za IPSEC?
Kako je z VPNji? Načeloma VPN, vsaj zaradi dostopa do omrežja ni več nuja, ampak še vedno je pa nuja zaradi enkripcije in avtentikacije. Kako narediš site-to-site VPN, samo naštimaš v crypto-map destination IP? Bosta routerja potem avtomatično kriptirala promet? Kaj pa s trgovskimi potniki, kako njih varno povežeš v podjetje da ti realtime naročila padajo v bazo?

2. Torrenti in podobno

Nič več NATa, super zadeva, vsi "high-id". Samo v firewallu odprem port na svoj IP...hm, kater IP? Za tiste, ki ne vejo, IPv6 stateless autoconfig načeloma kartici določi 2 IPja. Eden je relativno statičen in je zgeneriran iz prefixa + mac adrese kartice. IP je statičen vsaj toliko časa dokler ne zamenjaš mrežne, kar je nekako podobno kot če si MAC adreso vpisuješ v DHCP. Drugi IP se zgenerira popolnoma na random in se tudi menja vsake toliko časa (12 ur?). Za razliko od prvega je namenjen outgoing povezavam, saj če je IP vedno vezan na MAC adreso postane trackanje uporabnikov trivialno in deluje celo če zamenjajo omrežje, saj host del ostane enak . Kateri IP bo torej uporabljal torrent odjemalec? Nastavim v fw odprt port za "ta-statičen" IP in pozabim, da lahko kdorkoli naredi točno listo česarkoli sem kdajkoli posnel na torrentu, tudi če sem bil v drugem omrežju in bo imel točen računalnik z MAC adreso in vsem? Ali dam v firewall drugi, temporary IP, ki se menja vsakih 12(?) ur? Podoben problem z vsemi ostalimi aplikacijami, ki si dinamično po svoje odpirajo porte. NATa ni več, skini še firewall in orgija se lahko začne . FW na vsaki napravi posebej? Nightmare za administracijo in patchanje, poleg tega če je naprava okužena, padejo vse zaščite.

3. Ko naenkrat 18.446.744.073.709.551.616 (/64) IPjev postane premalo

Osnovni subnet v IPv6 je /64. Drobljenje na manjše subnete je načeloma možno, vendar potem ne deluje več stateless autoconfig. Pri IPv4 si zaradi NATa lokalno omrežje lahko postavil kakor si hotel. Pri IPv6 si omejen na tisto kar ti ponudi ISP. Če dobiš en /64 subnet, je to to. Nič več ločenega wirelessa v svojem subnetu, nič več DMZ za serverje...vse skupaj je en velik /64 subnet.
Ok, mogoče sem poseben primer, malo bolj napreden uporabnik. Trenutno, roughly, imam IPv4 omrežje razdeljeno takole:
- subnet za statične mašine
- subnet za WIFI (ločen zaradi multicasta)
- DMZ za serverje
- Virtualno omrežje za VMWare

Med vsakim omrežjem je firewall, ki natančno predpisuje kaj gre lahko kam. Da bi postavil enako na IPv6, bi rabil 1 /62 ali še bolje 2x /63 subnet (zakaj, beri točko 4.). S tem bi dobil 4 /64 subnete. Kaj če bi hotel postaviti še en ločen WIFI (dandanes, ko so WIFI routerji poceni, se mi je že nekajkrat zgodilo, da je nekdo hotel imeti 2 različna WIFI subneta, enega z dolgim geslom ki ga itak ne ve in ga ima vpisanega v laptop in drugega, ločenega, samo z dostopom do interneta, z enostavnim geslom za obiske, ki se nikoli ne znajo priklopit na prvi wifi ker noben razen mene ne ve gesla in ker bi lahko v takem primeru vseeno našli hidden stash pr0na nekje na nekem NASu). Potrebe po subnetih se ti povečajo, in moraš "fehtati" ISPja da ti dodeli večjo alokacijo, menjati vse public IPje itd...

Lahko vzameš nekaj za rezervo, nekje se je govorilo, da bo standardna rezidenčna alokacija /56 in /48 za firme. Kar naenkrat pa potem IPv6 ni več tako velika zverina, kjer je IPjev več kot atomov na zemlji (ali kjerkoli že). ISPji načeloma dobijo /32 alokacijo. Iz /32 sestaviš 16,7M /56 alokacij ali komaj 65K /48 alokacij. Veliko mogoče za slovenijo in T-2, vendar ne za nekega recimo US ali kitajskega kabelskega operaterja. Glede na to, da se včasih že za povezovalne segmente priporoča kar cel /64 subnet, je tukaj izguba IPjev astronomska. Trenutno se IPji dodeljujejo iz enega 2000::/3 subneta, kar pomeni približno 2^28 /32 alokacij (dobrih 260 miljonov). Glede na to, da bodo večji ISPji pokurili sigurno več kot eno /32 alokacijo, da se /32 dodeljuje tudi ne-ISPjem (več v naslednjem odstavku) in da je ostalih 7 /3 ali reserved ali future use (kako je z future use vemo iz IPv4...ko pride future ni useable, ker so si vsi označili za future use ) naenkrat IPv6 ni več tako astronomsko velik, ane.

SLO trenutno kuri 33 /32 alokacij, če sem prav našel. Poleg ISPjev se najdejo na seznamu tudi Domenca, Kontrola zračnega prometa, RTV SLO, FE UNI, itd., ki niti pod razno ne spadajo v kategorijo ISPja. Zakaj rabi nekdo, ki ni ISP, kar za 4 miljarde (2^32, toliko kot je sedaj vseh IPjev!) /64 subnetov? Hja...točno ne vem, pač, lahko da se sedaj tala /32 tako kot se je včasih /8...in bomo čez 30 let jih grdo gledali kaj so hoteli s celim /32 subnetom. Druga, najbrž verjetnejša možnost je, da vzameš /32 zato, ker rabiš povezljivost preko različnih providerjev. Spet posledica da ni NATa. Danes je redundanco lahko postaviti. Na router daš nek tracking, ki v primeru izpada primarne preklopi na rezervno povezavo. Za oddaljene PE enote, narediš več tunelov za vsako povezavo posebej in s kakim enostavnim EIGRP routaš promet čez pravi tunel, tisti ki je pač trenutno up. Na IPv6 je zadeva težavnejša. Ko izpade primarna povezava, izpade cel tvoj naslovni prostor. Razen če imaš svojega. Alo fethat RIPE za /32 subnet in svojo AS številko, nastavit routerje za BGP... (čeprav sem nekje bral, da naj bi RIPE za take primere raje dodeljeval /48 iz enega posebnega subneta, ampak to samo RIPE, ostali pač dajo /32 pa fertik maša). Skratka, redundanca postane nightmare, IPjev pa dobiš like miljonkrat preveč.

4. Redundanca v povezljivosti

Trenutno na T-2 dobiš poleg statičnega tudi nekaj dinamičnih IPjev oz. če si firma celo več statičnih. To pride prav zaradi redundance v povezljivosti. Če jaz drkam svoj wifi router (ki je recimo tudi glavni router) mi pade celo omrežje. Če imam pa recimo serverje in DMZ posebej priklopljeno na T-2, tisto potem ni več odvisno od mojega routerja, da mi pa pade samo lokalno omrežje pa recimo za čas flašanja routerja ni take panike. Skratka point of failure se skrči na single točko, to je router, ki je na T-2 zaveden kot gateway za moj prefix. Če mi, bognedaj, skuri vse strela, lahko sedaj priklopim laptop, ki je bil varno v torbi na T-2 switch (recimo da je preživel) in bom surfal preko dinamičnega IPja. Na IPv6 rabim najprej dobiti nek router, ki bo spet znal usmerjati moj /64 prefix. Lahko sicer nastavim statično IP povezovalnega segmenta...ne vem, ali je to ok? Imam slabe izkušnje s tem, ker sem nekoč za neko šolo konfiguriral router in mi je vse delalo fino fajn, razen router sam ni prišel nikamor (nisem mogel narediti backupa, ntp se ni sinhroniziral...). Ko sem si razbijal glavo in na koncu vprašal na Arnes zakaj mi to ne dela, so mi rekli da jasno da ne morem surfati z IPjem povezovalnega segmenta (čeprav je bil čisto klasičen public IPv4). Dobro, sem pač na samem routerju nastavil SNAT za outgoing povezave na routed subnet, vendar od takrat nekako IPje povezovalnih segmentov pustim pri miru . Skratka, ne samo da bi bil en /64 zame premajhen, za podobno postavitev kot jo imam sedaj, bi rabil nekaj ločenih večjih subnetov, ki bi jih preko različnih routerjev usmerjal v pravi subnet.

Ali pa pač vzameš od ISPja stateless konfiguracijo namesto routed, vržeš vse v en subnet in čao bao? Deluje potem to tako, da ti pač ISP direktno dodeli prefix in se tvoje mašine direktno autoconfigurirajo? Kje imaš potem firewall?

Obstaja sicer varianta, da rečeš stateless autoconfigu adijo in grem na dhcpv6. V tem primeru si lahko iz enega /64 subneta naredim 72.057.594.037.927.936 (2^56) klasičnih 256 IP velikih /120 subnetov. Dovolj za vse privat wifije in dmzje . S statičnim IPjem v dhcpv6 rešim še 2. točko. 1. točko pač delam tako kot do sedaj, 4. točke pa to ne reši. Poleg tega me označijo za konzervo, ker ne znam ven iz IPv4 okvirov

V glavnem, zdi se mi, da IPv6 nekatere probleme rešuje zelo slabo oz. jih še dodatno zakomplicira. Dobro, ni NATa, vendar pa je NAT vseeno sem ter tja kar uporabna zadeva. Če bi na grobo aplikacije razdelil na 3 dele, dobim:

1. strežniške aplikacije (mail, dns, www)
2. uporabniške aplikacije z dinamičnim dodeljevanje portov (torrent, videokonference, chat, ...)
3. uporabniške aplikacije brez incoming povezovanja (klasično surfanje...)

1. IPv6 rešuje super. Za https server rabiš za vsak virtualhost svoj public IP (tisti extension še ni povsod podrt...). Tukaj jih imaš v enem subnetu kar 2^64, dovolj da daš vse serverje, na svoj IP. In vsi so public, nobenega NATa, FTP se ne pokvari zaradi ne-transliranja port komand, itd...
2. se rešuje zelo slabo. Stateless config še dodatno zakomplicira, da klient mašine nimajo statičnih IPjev. Ali odpreš firewall na cel rang IPjev, ali pa je vse skupaj popolnoma zaprto...dvomim da bo v tem segmentu manj težav kot je bilo pri IPv4. Sploh ker ti bojo naprimer na public točkah in podobno pomojem zaprli vse incoming porte, boš na istem kot sedaj.
3. je že z NATom delal čisto ok...včasih se mi to res zdi najbolj enostavno - klientu lahko daš katerkoli IP, ga NATaš na ven, bolj ali manj si ga uspešno že samo s tem obvaroval pred odprtimi RDP in VNC porti ali čem drugim, če bo samo surfal mu je prav malo mar kako in kolikokrat se nekaj NATa.

(malo sem se razpisal...če se moderatorjem zdi primerno, se lahko odpre tudi nova tema - IPv6 Best Practices )

[SoLoR]

Hja... glede VPNja sem tudi jaz razmišljal kako bi si dal ipv6 ko se prikljalpljam preko pptp vpnja, baje se da prepričati da ti radvd advertisa na ppp+ interfacih samo je catch. radvd ne moraš zalafati na interfacu dokler interface ne obstaja (duh) tako da uporabljati razne postup postdown scripte se mi zdi tako odvratno da nisem še niti testiral če to deluje... o native vpnju pa niti na googlu nisem še nič (pametnega) našel, da niti ne govorim da dokler ipv6 ne bo res razširjen (čez par let) boš itak vedo rabil oboje...

Pa ja jaz pomanjkanje NATa tudi vidim kot napol slabost, ki jo bodo windows črvi veselo koristili... pač v primeru routerje boš imel recimo možnosti, forwardati ves promet in lavfati firewall na vsakem računalniku posebej oz filtrirati forwardan promet, kar ti bo spremenilo uporabnost ipv6 kot si imel prej na ipv4/nat, ko boš moral odpirati samo določen promet (na ipv4 si pa imel UPNP/NAT-PMP in ročno preusmerjanje portov). Jaz osebno trenutno forwardam ves promet ampak to samo zato ker pač ipv6 ni razširjen, ko enkrat bo je vprašanje če se bom zadovoljil z recimo windows firewallom da mi ščiti računalnike...

Drugače pa itak nas bo večina tistih ki bomo hoteli imeti mrežo porihtano, logično urejeno in po možnosti še kako domeno vezano nanjo s PTR recordi uporabljala stateful konfiguracijo, za rulijo "ki jim je pa vseeno in važno samo da dela" bo pa stateless.

[OmegaBlue]

Mogoče malo bolj kratek in krut odgovor.

IPSEC je vgrajen na stack nivoju med dvema mašinama, aplikacija se tega ne zaveda komunikacija med tema dvema je avtomatsko kriptirana.

Bojazni glede "kako bom pa tuneliral če nevem kje sem!" je super rešena s prenoslivostjo IP naslova, kjerkoli si imaš isti IP (tudi že v praksi lepo deluje).

Glede NAT.. prosim dajte si že v glavo NAT NI in NIKOLI NI BIL varnostni mehanizem, EVER. Je samo lepa pravljica ki ustvarja lažen občutek varnosti. In ja FW na prehodu/gateway in na client mašini, zato je tam že od win XP naprej linux pa itak nosi s sabo že dolgo dolgo časa.

IP-jev imaš v svojem subnetu toliko da ti jih ne bo nikoli zmanjkalo, kako jih razdeliš si že sam pogruntal, je tvoja stvar. Single point of failure imaš že zdaj, T-2 modem/switch. O kakšni redundanci se lahko pogovarjamo šele pri več ISP priključkih.

Še vedno poganjaš zadeve na dualstack kar bo dalo ljudem možnost se navadit na nov princip dela z ipv6 in ja.. boste mogli pokukati ven iz škatle ipv4 razmišljanja. Po pravici pa ni tako bistveno drugačen način razmišljanja kot pri z delom z /24 subnetom nekega podjetja kjer ima vsaka mašina svoj (zunanji) ip, pa zaradi tega ni konec sveta.