Meu ISP gentilmente me entregou um prefixo / 64 e estou construindo um roteador Ubuntu, já que a maioria dos meus equipamentos existentes é muito antiga para suportar IPv6. Usando vários artigos, consegui fazê-lo funcionar principalmente, mas a maioria dos exemplos que encontrei estão centrados em torno de roteadores de túnel, que eu também criei, mas acho que estou procurando mais práticas recomendadas quando se trata de um roteador / firewall IPv6 nativo.
Como pano de fundo, eth0 é minha interface interna e eth1 é externa. Atualmente tenho algo como:
iface eth0 inet6 static
address 2605:xxxx:yyyy:zzzz::1
netmask 64
iface eth1 inet6 static
address 2605:xxxx:yyyy:zzzz::2
netmask 64
A conectividade foi verificada em / out na eth1, por isso estou sendo roteado corretamente pelo meu ISP. Estou planejando usar o radvd no eth0. Eu também estou planejando usar ip6tables como o firewall.
Onde eu estou confuso é como (ou se) eu deveria subdividir meu prefixo. Eu tenho um número de VLANs acessíveis para eth0, embora dada a idade do meu equipamento, eu provavelmente terei que rotea-los através deste roteador (virtual), então eu posso acabar com mais interfaces ou usar trunking de alguma forma em eth0 .
A maioria das máquinas nesta rede é virtual, principalmente em duas VLANs. Existem provavelmente menos de 200 máquinas ativas, a maioria com capacidade para IPv6.
Eu originalmente considerei a criação de uma ponte em vez de um roteador, mas eu quero proteção na minha rede - a maioria das máquinas só quer acesso de saída, e não iremos hospedar nenhum servidor público neste momento.
Minhas perguntas são bem básicas:
A minha principal questão é que não parece haver muitos exemplos nativos por aí que não sejam simples, não sejam sobre equipamentos da Cisco ou não usem o BGP. Um bom exemplo simples provavelmente responderia a todas as minhas perguntas.
Obrigado!
O tamanho que você deve rotear para uma sub-rede é um / 64. Coisas como autoconfiguração não funcionam se você não usar um / 64 por sub-rede. Se você obtiver apenas um / 64 de seu ISP, não será possível rotear de maneira conveniente. Um ISP deve fornecer um / 48, ou pelo menos um / 56, e rotear todo o prefixo para o seu roteador de gateway. Então você pode criar sub-redes e rotas.
Basicamente, com sua configuração atual, você está limitado a uma única sub-rede. Então você deve criar uma ponte.
Eu reconsideraria usar seu ISP como um provedor IPv6 se eles não tiverem lhe fornecido pelo menos uma rede IPv6 / 64 roteada para você e um endereço IPv6 para sua interface externa para seu roteador. Pode ser que você tenha entendido mal o que eles lhe deram.
Você precisa de um endereço IPv6 em uma rede fornecida pelo seu ISP para sua interface externa. Essa é a sua rede, não a sua, que o seu roteador atinge a Internet. Pode ser dado a você como um DHCPv6 estático ou pelo SLAAC. O primeiro e o segundo precisam de você e seu ISP para comunicar endereços, como o MAC do roteador ou o endereço IPV6 e a máscara de rede (formato CIDR). Com o SLAA, tudo isso é configurado automaticamente.
A rede que você tem deve ser / 64, ou SLAAC e, portanto, o radvd não funcionará. Então você tem que definir manualmente todos os endereços de suas máquinas. Não, o DHCPv6 também não funcionará, pois é construído sobre o mesmo mecanismo que o SLAAC usa.
E se o seu ISP não lhe der uma rede / 48 ou / 56 quando perguntar, você deve reconsiderar novamente a sua escolha do ISP.
Então, uma conexão IPv6 simples com o seu ISP, como você faria com um túnel. E uma rede roteada para suas LANs, e nada menos que / 64 e quando perguntada / 48 ou / 56 net que você pode dividir em diferentes redes / 64 para suas LANs. Não use nada, exceto / 64 para uma LAN, ou você terá problemas.
Para firewall, não use ip6tables puros, a menos que tenha lido e compreendido todos os RFCs relevantes.
Eu recomendaria ufw para servidores e shorewall6 para roteadores.
Você também deve considerar configurar o DNS por meio de radvd (ou DHCPv6 se considerar usar isso e não o SLAAC) e, em seguida, precisará de um pacote para cada clente para definir isso. Também em distribuições baseadas em Debian como o Ubuntu, instale o pacote resolvconf .