Migrar rede doméstica para IPv6 (com firewall)

Navegue suas respostas
1

Cenário inicial: DOCSIS EPC3208G no verdadeiro modo Dual Stack indo para um RouterBoard, que então vai para um switch.

O switch e, portanto, a intranet, reside em outra sub-rede como o EPC3208G. O RouterBoard faz o NAT IPv4, de modo que o EPC3208G considera todo o tráfego residencial como originário do RouterBoard. Como o EPC3208G também é um roteador / gateway NATting, eu efetivamente tenho acesso dual à Internet, que é o que eu quero. Tudo funciona ok, servidores domésticos acessíveis a partir do exterior, bem como dispositivos VoIP são utilizáveis.

Agora quero habilitar o IPv6 lentamente na minha rede doméstica, usando os recursos de firewall do RouterBoard para impedir que os dispositivos conversíveis entrem em contato com a Internet e, posteriormente, desabilitem "Bloquear solicitações de Internet anônimas" no EPC3208G dispositivos para iniciar conexões em minha rede doméstica, de uma maneira muito controlada.

Vamos supor que a sub-rede em que o EPC3208G está é 192.168.1.xe que o switch / home-devices esteja na sub-rede 192.168.2.x.

Para fins de teste, eu mudei um Raspberry Pi para a rede "externa" 192.168.1.x, IPv4-ssh'd para dentro dele e consegui conectá-lo com sucesso a servidores IPv6 (ssh, http). Portanto, essa rede externa tem conectividade IPv6 em funcionamento.

Aí vem o problema, em etapas: Eu habilito a funcionalidade IPv6 no RouterBoard A NIC interna recebe um link local (automaticamente) e um endereço IPv6 público (manualmente). Estou atribuindo o endereço IPv6 público manualmente, partindo do prefixo IPv6 da LAN que o EPC3208G distribui para seus clientes (ou seja, para o Raspberry Pi). Eu ligo Anunciar para a interface interna e externa, para que (pelo menos) os dispositivos na rede interna se configurem automaticamente para obter um IP público que esteja no prefixo IPv6 atribuído a mim.

Quando, em seguida, faço ping no Raspberry Pi em seu endereço IPv6 de dentro da rede, vejo que ele recebe os pings. Mas eu tenho que inserir uma rota manual no Raspberry Pi para que ele não tente responder através do EPC3208G, que não sabe que há dispositivos por trás do RouterBoard, mas envia as respostas para o RouterBoard. Portanto, adicionar a rota manualmente ao Raspberry Pi permite efetivamente comunicações IPv6 pela RouterBoard.

Para esclarecimentos: Se o prefixo da LAN IPv6 for: 2a02: 123: 123: 5c0 0 :: / 56, então o Raspberry Pi atribuirá a si mesmo um endereço na 2a02: 123: 123: 5c0 1 :: / 64. Por isso, estou atribuindo a NIC outer do RouterBoard a um endereço 2a02: 123: 123: 5c0 1 :: / 64 e a NIC interna an 2a02: 123: 123: 5c0 2 :: / 64 para que todos os dispositivos no switch se atribuam um 2a02: 123: 123: 5c0 2 :: / 64 IP. Então, o RouterBoard está efetivamente roteando entre essas duas sub-redes, certo?

O problema é que os dispositivos na rede interna não podem se comunicar com servidores IPv6 na Internet. Eu acho que é porque o EPC3208G não sabe que deve enviar o tráfego de entrada (resposta) para o RouterBoard, e não tenho como dizer ao EPC3208G que todo o tráfego destinado a uma certa sub-rede dessa sub-rede de prefixo IPv6 (2a02 : 123: 123: 5c0 2 :: / 64) deve ser direcionado para a RouterBoard para que seja roteado para o dispositivo de destino.

Estou entendendo a situação corretamente? O que posso fazer para resolver este problema?

Acho que estou tendo um problema adicional. Aparentemente, o EPC3208G recebe instruções do ISP para alterar o prefixo IPv6 local às vezes. Isso significaria que eu teria que adaptar os IPs atribuídos manualmente no RouterBoard em cada alteração, certo?

Então, quais são minhas chances de migrar este dispositivo de rede por dispositivo para o padrão IPv6? Como eu posso fazer isso? Preciso confiar em serviços de terceiros, como o SixXS, ao qual o RouterBoard se conecta diretamente? O problema é a falta de configuração do EPC3208G, né?

Obrigado pela sua ajuda.

PD: Se eu "aumentar" o meu plano para aumentar / baixar, eu poderia obter um FritzBox como o Router / Gateway DOCSIS. De acordo com seus documentos , ele tem uma opção para:

In the "Additional IPv6 Routers in the Home Network" section, enable the option "Allow IPv6 prefixes announced by other IPv6 routers in the home network".

isso resolveria meu problema?

    
por Daniel F 30.08.2015 / 11:52

1 resposta

1

Você precisa do EPC3208G para fazer DHCPv6-PD (Prefixo Delegation) na sua routerboard ou caixa Fritz !. O seu EPC3208G recebe um prefixo dinâmico do seu ISP e ele deve delegar dinamicamente parte desse prefixo ao seu roteador, que pode então usá-lo para suas LANs (ou delegar parte desse prefixo ainda mais, como o Fritz! Box pode fazer). / p>

Os roteadores que suportam DHCPv6-PD downstream também atualizam automaticamente sua tabela de roteamento para rotear o prefixo delegado para o cliente correto e atualizam o prefixo quando ele é alterado. Sem o DHCPv6-PD, você precisaria de prefixos estáveis e sem alterações e de entradas de roteamento manuais no EPC3208G.

Tente conectar a caixa Fritz !, atrás da EPC3208G (porque a caixa Fritz! não requer muita configuração e, portanto, é menos provável que seja configurada incorretamente do que a routerboard) e veja se ela recebe um prefixo da EPC3208G. Se não, você deve entrar em contato com seu ISP e explicar a eles que estão impedindo você de usar corretamente o IPv6.

    
por 30.08.2015 / 12:50

Tags

Problemas ao instalar o “Ping de uma direção (OWAMP)” no Mac OS X Precisa de ajuda para instalar o programa; não consigo fazer o 'make' funcionar no diretório src