Onderwerp: IPv6 Routering

Je zou ULA adressen aan je 'binnenkant' kunnen gebruiken, maar echt, NAT, WAAROM? Het levert meer ellende op dat het oplost. Regel gewoon dat die /64 naar je firewall gerouteerd wordt, dan heb je aan LAN en WAN zijde gewoon gerouteerde adressen. IPv6 biedt je de mogelijkheid om netwerken netjes in te richten en niet met NAT te hoeven rommelen, gebruik die, in plaats van vast te houden aan wat in IPv4 een noodzaak was.

Wat Wido en ik je tot nu toe geprobeerd hebben uit te leggen is overigens absoluut geen transparante firewall. Het is een simpele, routed oplossing.

Trouwens, je citeert eerder (#26) dat je een /64 gekregen hebt, maar geef je een subnet van /48. Hoe zit het nou?

Oorspronkelijk geplaatst door tvi

Trouwens, je citeert eerder (#26) dat je een /64 gekregen hebt, maar geef je een subnet van /48. Hoe zit het nou?

Van TransIp hebben we inderdaad een /64 gekregen. Echter moeten de adressen ingesteld worden met een /48 omdat de router buiten de range bevind.

Zie help TransIp:

Code:

Waarom zie ik als subnet /48 staan terwijl ik een /64 IPv6-range heb?

Omdat op onze colocated racks een gedeelde /48 range is geconfigureerd staat er als subnet/prefixlen /48 vermeld in het overzicht. Dit is, omdat de default gateway buiten de toegewezen /64 range ligt.
Bij het configureren van het ip-nummer op uw apparatuur dient u er  hierom rekening mee te houden om als prefixlen /48 op te geven.

Ik ga vragen of het mogelijk is deze reeks te routeren.

Indien dit niet is, kan ik de ULA adressen intern gebruiken maar middels een router (NAT/Masquerade) voorzien van IPv6 internet toegang?

Ik heb niet zo'n problemen met NAT in mijn omgeving. Wellicht komt het omdat ik dit allang gewend ben.

Iedereen is zo onderhand wel gewend aan NAT op v4, en juist dáárom is het zo prettig dat het in v6 niet hoeft/kan/whatever

NAT was niet meer dan een lapmiddel ivm het tekort aan IPv4 adressen. Met v6 hebben we er voorlopig weer even genoeg.

AUB, GEEN NAT! Harder dan dat kan ik het niet schreeuwen.

Stel op je eth0 als adres in: 2a01:7c8:c060:1220::1

Laat vervolgens (als voorbeeld), TransIP 2a01:7c8:c060:1221::/64 routeren naar 2a01:7c8:c060:1220::1

Op je eth1 stel je in als adres: 2a01:7c8:c060:1221::1

Zet nu /proc/sys/net/ipv6/conf/default/forwarding op 1 en je moet kunnen routeren op je server. Je servers kan je vervolgens addressen uit 2a01:7c8:c060:1221::/64 geven.

Via ip6tables kun je vervolgens een firewall bouwen Veilig, mooie oplossing en vooral geen NAT

Kan wel hoor.

Oorspronkelijk geplaatst door Wido

AUB, GEEN NAT! Harder dan dat kan ik het niet schreeuwen.

Oorspronkelijk geplaatst door Domenico

Kan wel hoor.

Kun je wellicht een korte uitleg geven? Zodat ik weet begrijp hoe het werkt.

Heb bij TransIp aangevraagd voor de routering, nu even afwachten...

Oorspronkelijk geplaatst door Wido

AUB, GEEN NAT! Harder dan dat kan ik het niet schreeuwen.

Stel op je eth0 als adres in: 2a01:7c8:c060:1220::1

Laat vervolgens (als voorbeeld), TransIP 2a01:7c8:c060:1221::/64 routeren naar 2a01:7c8:c060:1220::1

Op je eth1 stel je in als adres: 2a01:7c8:c060:1221::1

Zet nu /proc/sys/net/ipv6/conf/default/forwarding op 1 en je moet kunnen routeren op je server. Je servers kan je vervolgens addressen uit 2a01:7c8:c060:1221::/64 geven.

Via ip6tables kun je vervolgens een firewall bouwen Veilig, mooie oplossing en vooral geen NAT

Daarnaast is 't ook niet onverstandig om de IP-adressen die je niet gebruikt, op de router te blackholen, anders gaan ze terug via je default route en dan krijg je een hoop troep op je netwerk.

Oorspronkelijk geplaatst door ascent

Daarnaast is 't ook niet onverstandig om de IP-adressen die je niet gebruikt, op de router te blackholen, anders gaan ze terug via je default route en dan krijg je een hoop troep op je netwerk.

Hoe kan ik dit blackholen het beste doen?
Nadat ik 1 route accepteer alle andere droppen binnen IPtables of binnen de routering?

Ik zou met ip6tables AL het verkeer blokkeren en alleen toestaan naar hosts/poorten die jij specificeert, dan moet je dat probleem ook oplossen.

Antwoord van TransIp:

Dit is alleen mogelijk bij een private rack.
Bij een colo (1 t/m 20 U) maakt het IPv6 block deel uit van een /48 die op het colorack geconfigureerd is. Elke colo in dat rack krijgt daarbinnen een /64 toegewezen, maar zoals u zelf ook wel gemerkt zult hebben moet u als prefixlen nog steeds die /48 opgeven.
Hierdoor is het voor ons onmogelijk om een enkele /64 uit deze /48 naar een specifieke colo te routeren.

Dit is nu vervelend omdat ik geen private rack heb.
Welke opties blijven er over?

• NAT ondanks het duidelijke afraden
• Bridge (transparante firewall)

Oorspronkelijk geplaatst door Wido

Ik zou met ip6tables AL het verkeer blokkeren en alleen toestaan naar hosts/poorten die jij specificeert, dan moet je dat probleem ook oplossen.

Werkt uiteraard allebei, ik los 't op met een blackhole routering. Wat zou "beter" zijn, vraag ik me nu even af? Beter in de termen van systeembelasting cq. hoelang een pakketje wat niet verder kan in je router blijft hangen, etc?

Oorspronkelijk geplaatst door johan.smits

Antwoord van TransIp:


Dit is nu vervelend omdat ik geen private rack heb.
Welke opties blijven er over?

• NAT ondanks het duidelijke afraden
• Bridge (transparante firewall)

Hier zat ik onlangs wat over te lezen. (nog geen hands on mee).
Bijna net zoals je het in IPv4 zou oplossen...

Stel, je ISP heeft een /24 subnet, en geeft jou vier IPs daaruit, die jij op servers achter een router/firewall server wilt gebruiken...
Bij IPv4 gebruik je dan (evt) proxy arp, en wat statische routes.

Bij IPv6 kun je proxy-NDP (neighbour discovery protocol) gebruiken, want NDP is het V6 equivalent van arp.

De beste webpagina hierover lijkt
http://linux-attitude.fr/post/proxy-ndp-ipv6
te zijn. (niet vaak, dat je op Franse pagina's moet zijn).
Blijkbaar heeft de franse v6-leverende ISP ook een model zonder routering naar de klant-router/firewall.
Ik heb nog niet goed kunnen opmaken of je proxy'd voor een heel subnet, of voor een host adres. Let op dat je de privacy-feature van V6 uitzet als je proxy per-adres is en niet per subnet.

Maar het blijven lelijke kludges, als je een aantal adressen uit een plat subnet door een laag-3 device heen wilt 'routeren' naar achterliggende hosts.

Oorspronkelijk geplaatst door johan.smits

Antwoord van TransIp:


Dit is nu vervelend omdat ik geen private rack heb.
Welke opties blijven er over?

• NAT ondanks het duidelijke afraden
• Bridge (transparante firewall)

Dan zou ik zeggen zet een transparante firewall in.

Oorspronkelijk geplaatst door Rob77

Dan zou ik zeggen zet een transparante firewall in.

dat kan dus niet, je gaat dan immers routeren en dat doen ze niet voor losse colo klanten.

Bij een colo (1 t/m 20 U) maakt het IPv6 block deel uit van een /48 die op het colorack geconfigureerd is. Elke colo in dat rack krijgt daarbinnen een /64 toegewezen, maar zoals u zelf ook wel gemerkt zult hebben moet u als prefixlen nog steeds die /48 opgeven.
Hierdoor is het voor ons onmogelijk om een enkele /64 uit deze /48 naar een specifieke colo te routeren.

Oorspronkelijk geplaatst door pierce

dat kan dus niet, je gaat dan immers routeren en dat doen ze niet voor losse colo klanten.

Uh, niet met een transparante firewall?

Neem een machine met minimaal 3 NIC's.

Via bridge-utils maak je een bridge tussen eth0 en eth1, daar laat je je verkeer dan doorheen gaan. eth2 gebruik je dan om je firewall via te beheren.

Mwa, bedenk me net, het kan zelfs met 2 NIC's