Telekom ipv6 biztonság

IPv6

A telekomnál automatikusan oszt ipv6 címeket a router a helyi hálózatba. Kíváncsiságból kívülről megpróbáltam pingelni az ilyen címeket, sikeresen, majd pedig kívülről próbáltam csatlakozni a belső hálón lévő RDP szerverre, a v6 címen keresztül. Sikeresen.

Ez nem egy súlyos, kezelendő biztonsági rés most nekem? Mert elvileg NAT mögött lévő RDP szervert nem lehet kívülről elérni, hiszen nem tudom megcímezni (a routeren nincsen DMZ, se portforward) Viszont v6 címen elérhető.

Kell ezzel kezdenem valamit, érdemes letiltani az ipv6-ot a telekom (gyári) routerben, vagy ez így nem lesz gond?

( hory v | 2023. 10. 07., szo – 20:53 )

Szerkesztve: 2023. 10. 07., szo – 20:57

Udv a v6 fantasztikusam megtervezett, atgondolt es gondosan bevezetett vilagaban!

Persze, hogy gond. Sot, jobbat mondok, mivel nagyon sok, v4 alatt mukodo szolgaltatas a legtobb mai router-ben kurvara nincs megcsinalva, tesztelve v6 alatt, igazabol ilyen otthoni szintu routerek tobbsegeben jobban jarsz, ha ives mozdulattal kikapcsolod a p*ba az egesz v6-ot, ahogy van. Tisztelet a kivetelnek.

De persze attol, hogy a ping6 atmegy, meg nem kovetkezik, hogy tcp/udp is atmenne. Azokat kulon kell tesztelned.

Es meg egy fontos dolog. Ha ugy dontesz, hogy megis akarsz v6-ot, elobb olvass utana. Az ipv6 ugyanis kvazi mindenben, de tenyleg mindenben mas, mint a v4.

A gyakorlatban nehezen kulonvalaszthato, hogy ki volt a ludas, amikor neighbor discovery-t raktak a linux kernelbe (goodbye VIP), meg amikor hosszu-hosszu kinlodas utan tettek be NAT-ot. De pl. ez, hogy a ping-et alapbol atengedi a legtobb hazi router, szinten agyrem.

Most biztos utana lehetne nezni, hogy az RFC, a linux kernel vagy a router gyartoja volt-e a ludas, csak igazabol nem erdekel, mert nem valtoztat a vegfelhasznalo helyzeten. Az biztos, hogy aki ilyen default konfiggal kiadott router-t, annak fogalma se volt, hogy mi az a security.

Udv a v6 fantasztikusam megtervezett, atgondolt es gondosan bevezetett vilagaban!

Nekem volt szerencsém hálózatosnak lenni azokban a boldog szép békeidőkben, amikor még aprópénzért volt IPv4 cím, a NAT pedig gyakorlatilag nem is létezett. (Az RFC már megvolt rá, de gyakorlatilag semmi nem implementálta, vagy éppenséggel szükség sem volt rá.)

Az már akkor is teljesen magától értetődő volt, hogy a publikus címmezőt használó hálózat transzparensen átjárható. Hol van ebben az újdonság?

jobban jarsz, ha ives mozdulattal kikapcsolod a p*ba az egesz v6-ot, ahogy van

Csodálatos hozzáállás ez 2023-ban.

Alig várom, hogy az IPv6 penetráció végre elérje az 50%-ot. (A Google-féle statisztikákban jelenleg globálisan 40-45% között ingadozik, napszaktól és a hét napjától függően.) Ha majd stabilan meghaladja az 50%-ot, azaz több kérés fog érkezni IPv6-on, mint IPv4-en, akkor jelentsük ki végre, hogy az IPv6 az Internet első számú protokollja.

Az ipv6 ugyanis kvazi mindenben, de tenyleg mindenben mas, mint a v4.

Kiváncsi lennék rá, hogy mire gondolsz, mert van néhány dolog, ami más IPv6-on (pl. neighbor discovery, address (auto)configuration és társai), de ezektől eltekintve, a teljes feature-szett kb. 90%-a tökugyanaz, csak "másképp néznek ki a címek".

Az már akkor is teljesen magától értetődő volt, hogy a publikus címmezőt használó hálózat transzparensen átjárható. Hol van ebben az újdonság?

Az ujdonsag az, hogy kozben eltelt 30 ev, es ilyet (ti. belso halozat publikusan elerhetove tetele) ma mar senki, sehol sem tesz, talan par edge case kivetelevel.

 

Csodálatos hozzáállás ez 2023-ban.

context -rol hallottal mar? azt irtam elotte, hogy "igazabol ilyen otthoni szintu routerek tobbsegeben jobban jarsz, ha" ... Es igen, csodalatos, hogy bemesz egy boltba igy anno 2023-ban, veszel egy random nemgagyi router-t, es az ipv6 tamogatas egy almenu kis fuleben van, 3 opcioval, ennyi. Ezt tenyleg jobb, ha kikapcsolod, de legalabbis nagyon alaposan atteszteled hasznalat elott.

ezektől eltekintve, a teljes feature-szett kb. 90%-a tökugyanaz, csak "másképp néznek ki a címek".

most csak azt sorolom fel, ami tenylegesen komoly fejfajast okozott az elmult evtizedben, es most epp eszembe is jutott:

- ND miatt a -VIP -re epulo load balancing/failover modszert, ami tokeletesen es faek egyszeruseggel mukodott v4-en, dobhattuk a kukaba, es kereshettunk valami teljesen ujat.

- IP alapu megfigyeles / monitoring / banning szinte lehetetlen, mert nem tudod, mekkora range felett rendelkezik az abuser. whois-ben az inet6num objectben van 'assignment-size:' property, de a megbizhatosaga kerdeses.

- rdns. ez mondjuk gyakorlati problema, de kvazi senki, sehol nem csinal rdns-t ipv6 cimekhez. ipv4-nel azert tobbe-kevesbe voltak. de ez egy cosmetic problema.

- v4-mapped-v6. na ez egy kulon jo vicc, ami kivaloan alkalmazhato az errol az amugy hasznos feature-rol nem tudo admin/dev-ek megszivatasara :(

- szinten inkabb gyakorlati problema, de iszonyu gaz, hogy az ipv6 cimeket sokfelekepp lehet leirni: leading 0, ::, kisbetu-nagybetu. sajnos gyakran fut bele az ember abba, hogy debug/emergency kozben nincs lehetosege strukturalt logokat banyaszni, es ilyenkor bizony iszonyu gaz tud ez lenni, hogy nem talalod, mert az egyik helyen igy logoljak, a masikban meg ugy, ne adj' isten a kliens tolja be egy harmadik modon.

- gyakorlati problema az is, hogy mig az ipv4 faek egyszerusegu, addig az atlag dev iszonyuan megszenved az ipv6-al a fentiek miatt, mert nem erti, nem tudja. Komolyan mondom, ipv4 alapu szurest azert a legtobben ossze tudnak hozni, ha mashogy nem string-kent rakja adatbazisba es ugy keres ra - mukodik, mert 1:1 -ben mappelodik, es amig par szaz-par ezer van csak, nem szamit igazabol. De a v6... ha nem vagyok ott, rogton a kisbetu-nagybetu probleman elhasal, de persze deploy megy production-be, mert a tesztjeben mukodott...

 

Most nem jut eszembe tobb, de volt meg fofajas miatta boven, hidd el. Persze ez nem mind az ipv6 tervezok hibaja, de sokat segitett volna, ha nem bonyolitjak szejjel az ipv6-ot, hanem megtarjak egy vekony retegnek, es az extra feature-oket kulonvalasztjak - de hat ez van, most mar mind1.

IMHO viszont amikor tervezel valamit, gondolni kell arra, hogy ez a gyakorlatban hogyan lesz applikalva. Ebben az ipv6 sajnos rondan elverzik. Mert az atlagdev nem phd. Amikor ilyen alapszintu dolgot tervezel, mint egy IP szabvany, annak mindenekelott egyszerunek kell lennie. Beton egyszerunek.

Nem mondom, a v4 se volt nagy szam, de akkor, ott, amikor csinaltak, oke volt, es sok apro patkolassal az elmult evtizedekben egesz jol szuperalt. A v6-tol sokkal tobbet vartam, es szinte minden tekintetben sokkal jobbra lehetett volna csinalni. Nagy csalodas.

Ez talán még kevésbé ismert.

~ $ ping -c1 1.1
PING 1.1 (1.0.0.1) 56(84) bytes of data.
64 bytes from 1.0.0.1: icmp_seq=1 ttl=56 time=12.4 ms

--- 1.1 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 12.411/12.411/12.411/0.000 ms

Az 1.1.1-ből meg 1.1.0.1 lesz, csak az nem válaszol, de a 192.168.0.254 is írható 192.168.254-ként.

Nem tudom hogy ez így az RFC vagy csak glibc, de Linuxon működik.

...a 10.123456-ból meg 10.1.226.64 :-)

Végülis logikus, ha 10/8 network (Class A), akkor 123456 a host – és hadd ne én kelljen byte-okra lebontsam.

Ami már szebb, hogy 226.000.000.037-ből viszont 226.0.0.31 lesz (oktális), szóval csak óvatosan a nullákkal... :-D

Az inet_aton(3) a bűnös amúgy.

"- ND miatt a -VIP -re epulo load balancing/failover modszert, ami tokeletesen es faek egyszeruseggel mukodott v4-en, dobhattuk a kukaba, es kereshettunk valami teljesen ujat."

Ezt a problemat kifejtened bovebben?

"- IP alapu megfigyeles / monitoring / banning szinte lehetetlen, mert nem tudod, mekkora range felett rendelkezik az abuser. whois-ben az inet6num objectben van 'assignment-size:' property, de a megbizhatosaga kerdeses."

Nem kulonosebben nehezebb mint v4 eseteben.

"- rdns. ez mondjuk gyakorlati problema, de kvazi senki, sehol nem csinal rdns-t ipv6 cimekhez. ipv4-nel azert tobbe-kevesbe voltak. de ez egy cosmetic problema."

Mi a diff a v4 es v6 rdns kozott amit szerinted nem oldott meg senki?

> ND miatt a -VIP -re epulo load balancing/failover modszert,

ND nem kotelezo (se nyujtani, se elfogadni), v6-on ugyanugy allithatsz be kezzel fix ip-t, vagy pl. keepalived-vel VIP-t.

> mert nem tudod, mekkora range felett rendelkezik az abuser

miert, IPv4 eseten tudod? ott meg annyira se, mert eleg regota felbontjak a /24-et is kisebb-nagyobb tartomanyokra, es ez ugyanugy nem szokott a whois-ben latszodni.

> de kvazi senki, sehol nem csinal rdns-t ipv6 cimekhez

ezt mire alapozod? en eddig amit megneztem v6 cimeket mindennek volt rev dns-e. meg a magyar ISP-k altal home/mobilnet usereknek osztott cimeknek is...

> atlag dev iszonyuan megszenved az ipv6-al a fentiek miatt, mert nem erti, nem tudja

es errol nem a dev tehet hanem a v6? ok, jo...

> errol az amugy hasznos feature-rol nem tudo admin/dev-ek

amirol megintcsak a v6 tehet es nem a kepzetlen admin...

> iszonyu gaz, hogy az ipv6 cimeket sokfelekepp lehet leirni

miert gaz? inkabb az a gaz ha valaki ugy implemental egy ip osszehasonlitast, hogy stringeket hasonlit ossze, es nem a 128 bites szamokat.

> annak mindenekelott egyszerunek kell lennie

hat az IPv4 az volt, aztan latjuk mennyi minden hianyzik belole vagy szarul van megoldva, ganyolva benne. ezeket probaltak a v6 tervezesekor orvosolni (pl. stateless mukodes) tobb-kevesebb sikerrel (azert vegyuk hozza hogy a v6 is 1997 korul jelent meg, szoval kozel 30 eves - ne a mai igenyekhez hasonlitsd azt se)

a v6-al a legnagyobb gond, hogy a hozzad hasonloan gondolkozo adminok "jujjdeszar! de bonyolult! nem olyan mint a v4! bottal se piszkalnam!" hozzaallasa miatt lassan terjed, nincs sok helyen normalisan beallitva, hasznalva. 20 eve biztos voltam benne hogy 10 even belul kivaltja a v4-et, aztan azota 2x is eltelt 10 ev es meg mindig sehol.

lattam...  a log-ba iraskor ugye a binaris v6 cimbol generalodott string kerul, aminek megvan az rfc-ben definalt algoritmusa, e svan ra posix fuggveny is. ha valami ezt leszarja es nem ugy konvertalja stringre ahogy kene, az nem a v6 hibaja, ennyi erovel a v4 cimeket is logolhatna pl. 0-val 3 szamjegyre paddingelve, mert ugy is helyes.

amugy ha ez valos problema lenne akkor is max 5 perc alatt irnek egy 10 soros "grep"-et pythonban ami a stringekben megkeresi a v6 cimeket atkonvertalja binarisba es ugy hasonlitja ossze. de akkor mar mas is megirta volna ezt, ha igeny volna ra.

lattam...  a log-ba iraskor ugye a binaris v6 cimbol generalodott string kerul, aminek megvan az rfc-ben definalt algoritmusa, e svan ra posix fuggveny is

és ettől még lehet többféle, nem muszáj shortolni. És ja, a dotted decimalra sincs, csak azt hálistennek senki nem írja rosszul.

amugy ha ez valos problema lenne akkor is max 5 perc alatt irnek egy 10 soros "grep"-et pythonban ami a stringekben megkeresi a v6 cimeket atkonvertalja binarisba es ugy hasonlitja ossze. de akkor mar mas is megirta volna ezt, ha igeny volna ra.

persze, nem egy tragédia megoldani, de mivel a logok nagy része még mindig text, ezért ez pl egy olyan szívás, amit nyugodtan el lehetett volna kerülni, mert ez így kevésbé vicces, mi van, amikor nem grepelni akarsz (vagy nem csak azt), hanem mondjuk vmi logfeldolgozó bele, ahol egyébként már jobb híján regex van és hasonlók. Szóval ez speciel eléggé odabasz a KISSnek, 

a v6-al a legnagyobb gond, hogy a hozzad hasonloan gondolkozo adminok "jujjdeszar! de bonyolult! nem olyan mint a v4! bottal se piszkalnam!" hozzaallasa miatt lassan terjed, nincs sok helyen normalisan beallitva, hasznalva. 20 eve biztos voltam benne hogy 10 even belul kivaltja a v4-et, aztan azota 2x is eltelt 10 ev es meg mindig sehol.

Ez nem az adminokon, hanem a szolgáltatókon múlik, meg azon, hogy valójában a userek rohadt nagy részének semmi pluszt nem ad, szóval nem lehet nekik eladni, szóval nem terjed, tehát nem baj, ha bugos az eszköz, még ha tudja is, és így megyünk szépen körbe-körbe. :) 

Nem tűzfal, ettől még az internet userek 99,9%-át megvédi attól, hogy a belső gépeik elérhetőek legyenek kivülről, anélkül, hogy nemhogy tűzfalt tudnának beállitani, de akárcsak tudnák, hogy van egy webes felülete a routerüknek. (hátmég azokat, akik a modemet sem tudják megkülönböztetni a routertől, csak "antennás" és "nemantennás" dobozokról tudnak)

nem. max az ipv4 van cgnaton. (nem mellessleg anno teszteltuk, ket sim ugyanazon szolgaltatonal a 2 cgnatolt ip kozott siman ment minden _is_ :D ergo, jah, csak eppen a "helyi halod" par100k masik eszkozzel van osszedrotozva, atomszekur!!!!!)
arra pedig kivancsi volnek hany ember tiltja a telefonjan az ipv6-ot :)
a nat nem ved meg semmit, lasd amit itt is irtam.

Teszteltem a v6-ot is eszközök közt, ment simán, legalább is pár éve.

Az is igaz, hogy ha meg a v6 címeket az ISP szűrné, vagy a CGNAT-nál nem engednék kommunikálni a végpontokat, azon problémáznának sokan.

 

De ahogy pont a Telekom bevezette az új pro csomagjait DNS filter-rel meg backup net opcióval, úgy lehetne egy ilyen megoldás, hogy alapból a v4-en és a v6-on is csak a bentről kezdeményezett kapcsolatokat engedjék, akár valami ISP-féle firewall-on (bár nem tudom, a teljesítményt ez hogy befolyásolná), aztán kérésre oldják fel. Akinek kell a külső elérés, az fel tudja oldatni, a többieknek meg biztonság lenne. Az biztos, hogy a jelenlegi megoldás az IPv4-nél mázlifaktorból egy látszólagos védelem a NAT miatt, v6-on látszólagos sem, de semmiképp nem ideális.

TheAdam

imho itt nagyon sokan keverik a szezont a fazonnal, az internetszolgaltato azt vallalja, hogy van kapcsolatod es tudsz ki-be forgalmazni. amint ez teljesul, mehet a szamla az ugyfel fele, a szolgaltatas el.

ha veszel toluk szekuricsi szolgaltatast, onnantol panaszkodhatsz, hogy miert nem vedtek meg "a munder becsuletet"...

szerintem pont az a gaz, ha a szolgaltato nem transzparensen adja amit ad es elkezd random szurogetni. :) de ez mar messzire vezet, mindenki eldontheti vermersekletenek megfeleloen mi a preferenciaja.

Szerintem is legyen transzparens és szűretlen by-default, mint szakmában érintett én is ezt preferálom.

 

De ha arra gondolok, hogy mennyi hozzá nem értő eszköze kószál csak úgy simán kiengedve a netre, árnyalódik a kép. Ha más nem, a HGW-ket lenne jó, ha rendberaknák a szolgáltatók ilyen szempontból...

TheAdam

szerintem is, de ha arra gondolok, hogy mennyi hozza nem erto eszkoze koszal csak ugy siman kiengedve a netre, arnyalodik a kep, ha mas nem a userek komputereit lenne jo, ha rendberaknak  nem basznak szet a kedves userek ilyen szempontbol...
azt meg nem tudom hogyan gondoltad, hogy legyen transzparens _is_, de azert szurje _is_ a szolgaltato :D most akko' mivan? :D

A Digi ad v6-ot, business melle, de hiaba kersz fix ip-t, a v6 prefixed nem lesz fix. Nekem naponta a PPPoE-t se bontja, viszont kb naponta hirdet uj v6 prefixet, ugy, hogy a regi meg elvileg ervenyes. A belso kliensek pedig, hasznalnak tovabb a regit, ami mar nem routeolodik. Szoval, a bekesseget az hozta el, ha ki lett kapcsolva a v6. 

Most így hirtelen felmerült bennem a kérdés, hogy a routeredben nem tudod átírni, hogy belülre rövid lifetime al osztogassa az IP-ket ?

Mi is így csináljuk v6-on. Mivel nincsen se fix IP se fix PD, viszont a lifetime asszem 4 perc vagy 2, most fejből nem tudom. Így ha kap új IP/PD -t max 1-2 perc és jó lesz.

Fedora 38, Thinkpad x280

Akkor mégegyszer megkérdezem: mi köze van a szálhoz - azaz, hogy a nat megvédi a belső hálóatot a külső eléréstől - annak, hogy a mobiltelefonod milyen ip-t kap? NAT-olod a mobiloddal a belső hálózatodat?

Az upnp meg mellébeszélés. Egy alap windows, linux, akármi telepités nem nyit ki semmilyen portot a routereden, sem upnp-n sem máshogy. Az, hogy te feltelepitesz valami hulladékot (torrent kliens és társai) ami megpróbálja kinyitni az a te bajod és egyenértékű azzal, mintha port forwardolnál a routereden.

Nekem egyébként nem is rémlik, hogy torrenten kivül bármilyen közismert program megpróbálna upnp-zni, rég elavult dolog, skype és társai meg sem próbálják évek óta, mert nincs rá szükségük.

De még ha ki is nyit magára egy konkrét portot egy konkrét alkalmazás, addig amig fut, még mindig irtó messze vagyunk az állapottól, hogy minden belső gép, minden portja kivülről korlátlanul elérhető.

kerheted a legtobb szolgaltatotol, hogy ne legyen pub ip-d. minden lehetoseged adott, hogy nat moge kerulj. kikapcsolgathatod minden eszkozodon az ipv6-ot. ettol meg egy netszolgaltatas legyen transzparens, ne szurogessen nekem senki semmit. mint irtam is, nem tuzfalazast veszel, internetet...
erre meg en nem mondok semmit, nekem a google elso par talalata kozt ilyen van, de majd megszakerted ezt is :D

"„UPnP Not Successful” (Sikertelen UPnP) felirat jelenik ...

Xbox Support

https://support.xbox.com › help

Ha az Xbox konzol hálózati beállításai között megjelenik az „UPnP sikertelen” üzenet, lehet, hogy frissítenie kell az útválasztót."

Kevered a dolgokat. Miért akarnék nat mögé kerülni a szolgáltató által? A szolgálató adjon csak publikus cimet, ahogy eddig is.

Senki nem kérte, hogy a szolgáltató bármit is szűrjön. Arról beszélgetünk napok óta, hogy mig v4 esetén a polcról levett router megvédte a belső eszközeidet, hogy kivülről bármelyik hülye elérje, v6 esetén ez nincs igy.

Xbox és upnp-ről nem tudok nyilatkozni, egy gyors keresés alapján van aki állitja, hogy semmi szükség rá, van aki azt irja kell. De próbáld meg még egyszer elolvasni és értelezni mit irtam fentebb az upnp-ről. Még ha használod is, annak sincs ezredannyi veszélye sem, mint a komplett belső hálót elérhetővé tenni kivülről.

nem teszi elerhetove senki a belso halodat, fel kene fogd, az ipv6 nem belso halo. igen, tudod szurni ott ahol a routing van. ennyi.

"a polcról levett router megvédte a belső eszközeidet" vs "Miért akarnék nat mögé kerülni a szolgáltató által?" vs "v6 esetén ez nincs igy." vs. "Senki nem kérte, hogy a szolgáltató bármit is szűrjön."
akkor el kene donteni, hogy a szolgaltato elerhetove tegye feled a Zinternetet vagy vedjen meg egy router/tuzfallal es szurjon. a ketto egyutt nem mukodik. :D

"Xbox és upnp-ről nem tudok nyilatkozni" > pedig megtetted, es lasd, megis a MS elso szamu otthoni szorakoztatoelektronikai eszkoze a MS szerint igenyli es azt mondja, kapcsold be a routeren. (aki szerint nem kell ilyen, 99%, hogy amugy be van kapcsolva a routeren, csak nem tud rola es/vagy nativ ipv6-ot kap a konzol, ergo nem kell neki upnp)

miert lenne akar 1-gyel is veszelyesebb olyan portok "elerhetosege", ahol nem ul szolgaltatas es amugy is a windo'ztuzfal vedi? :D ha ezt nekem meg tudod magyarazni, esku, meghivlak egy sorre :D
ugyebar abbol indulunk ki, hogy a windows tuzfal semmit nem enged, explicit azt kell mondd, hogy Te XY szolgaltatast/portot/szoftvert elerhetove akarod tenni XY halozat fele. egy windows ha nem baszod szet, koszoni szepen nagyon jol elvan az internetre engedve.
erdekes, hogy telefon eseten senkinek nem faj, hogy pub ipje van es nincs elotte szures, mintha az valami csoda volna :D pedig csak egy koszos custom linux...

"komplett belső hálót elérhetővé tenni" > fogd fel, ipv6 eseten nem belso halo! az az internet! es ugy is kell kezelni. ha valamit belso halon akarsz elerhetove tenni, ne kosd ra az internetre. erteeeem?

"el kene donteni, hogy a szolgaltato elerhetove tegye feled a Zinternetet vagy vedjen meg egy router/tuzfallal es szurjon. a ketto egyutt nem mukodik"

Ne a szolgáltató védjen/szűrjön, hanem a saját routerem. (nem az enyém, én be tudom állitani, hanem az átlag pistikének)

Ezt eddig megtette v4-en, nem teszi meg v6-on. Ennél jobban nem tudom leirni, ha nem érted, akkor lépjünk tovább.

"miert lenne akar 1-gyel is veszelyesebb olyan portok "elerhetosege", ahol nem ul szolgaltatas"

honnan vetted ezt a hülyeséget, hogy nem ül ott szolgáltatás? Csilliárd szolgáltatás ül, amit a helyi hálón megengedhetek bárkinek, a neten pedig nem. Még egyszer és utoljára: nem kell(ett) tűzfalazni, a v4-es nat a routeren tökéltesen megvédte kivülről. (a sört köszi nem kérem)

"ugyebar abbol indulunk ki, hogy a windows tuzfal semmit nem enged"

Mondjuk úgy, hogy a te fejedben, ebből indultál ki. A valóság pedig, hogy a usereknek millió féle eszköze van, hogy csak a legyszerűbbet emlitsem nas fileszerverrel. Hol véd az meg, hogy ne publikáld ki a home és egyéb videóidat, ha kap egy v6-os ip-t a routertől ami kivülről eélrheted? (és ha már ide hegyezted ki a mondandód legvégét: pedig hipiszupi-überbiztonságos linux fut rajta :)

"erdekes, hogy telefon eseten senkinek nem faj, hogy pub ipje van es nincs elotte szures"

Windows-on sem zavar senkit, az is pont ugyanúgy megvédi magát, ha publikus netre rakod, kár, hogy még mindig nem érted, hogy nem a konkrét eszközt kell védeni v6 esetén aki az internetet kapja, hanem a belső hálózat viselkedik máshogy v6-on.

"fogd fel, ipv6 eseten nem belso halo! az az internet!"

Sajnos nem érted amit már többen is leirtak és nem sem sikerült megértetnem.

Feladom.

nem teszi meg v6-on. > akkor valamit szarul csinalsz, forward lancon szurjed. :)
Ennél jobban nem tudom leirni > igen, ez baj :)
a v4-es nat a routeren tökéltesen megvédte kivülről > most meg a forward lancon szures.
nem kell(ett) tűzfalazni > de, meg NAT is volt a tuzfaladon :)
v6-os ip-t a routertől ami kivülről eélrheted? > ha nem szurod forward lancon es/vagy, mint irtam is internet != localnet... minden masra ott az ACL (mint minden normalis szolgaltatas eseten!)
überbiztonságos linux fut rajta > ha nem vagy kreten es nyitod ki mindenkinek auth nelkul az internet fele... az ellen semmilyen operencias rencer nem ved. :D
hanem a belső hálózat viselkedik máshogy v6-on > kevered a belso halozatot az internettel...
Sajnos nem érted amit már többen is leirtak és nem sem sikerült megértetnem. > mit is? hogy az szerinted az internet a belso halo? :D

( azbest | 2023. 10. 07., szo – 21:07 )

Szerkesztve: 2023. 10. 07., szo – 21:12

Melyik router?   FAST3686 v2 koaxos? Bár ebből újabb fw változatúról is hallottam, amit nagyon szidtak. 

Egyébként hivatalosan a telekom ügyfélszolgálattal tiltathatod le, hogy ipv6 címet is adjanak. A routerben bármit állítasz, akkor is bejön (ha az a típus amit írtam).

Van hogy menüben van rejtett mező ahol ipv6 prefix megadható lenne, ahol esetleg local-link értéket megadva lehet csak belső hálózati címeket fog osztani.

Egyébként pont az ipv6 miatt gondolkodom azon, hogy mindenképp muszáj lesz egy komolyabb belső tűzfal eszközt betenni a szolgáltatói mögé, mert teljes átjáróház lehet a rendszerük ipv6-tal. Hogy a telekomos ipv6-ot nem lehetett kiírtani a belső hálózatomból, amikor a yetteles netemet akartam éppen használni, mert mindig kap ipv6 címet és azon megy forgalom telekom irányba.

( arpi_esp v | 2023. 10. 07., szo – 21:58 )

Szerkesztve: 2023. 10. 07., szo – 22:03

> telekom (gyári) routerben

hat pont ez a router dolga. hogy routeol. en akkor lennek morcos, ha a router nem routeolna 2 public ip kozott.

amit te szeretnel, azt tuzfalnak hivjak, az egy masik termek...

v6 eseten egyebklent nem annyira trivialis kitalalni az ip-t, mivel /64 a belso resze, azt nem fogja vegig scannelni senki sose, meg ha feltetelezik hogy a mac-cimbol van generalva az utolso 64 bit akkor is 2^48 kombinacio van (esetleg 1-1 gyarto 1 oui tartomanyara szukitve legyen "csak" 2^24), de egyre jellemzobb a teljesen random temporary (idonkent valtozo) cimek hasznalata v6-on.  konnyebb lesz kitalalni az rdp jelszavat mint az rdp-s gep ipv6 cimet...

amugy meg a belso halon ugyanugy meg kell vedeni a gepeket (rdp stb), foleg a mai IoT-s vilagban, mert barmelyik kutyudet felnyomhatjak akar egy webes exploittal es azon at mar bent is vannak a LAN-ban es elerik a tobbi gepet is.

hallottam mar olyanrol is, hogy egy ceges haloba (pedig volt tuzfaluk is) bejutottak egy win kliens gepre (vszinu valami webes trojaival, mert emailbe nem volt nyoma), es azon keresztul feltortek az ip telefont majd emelt dijas hivasokat inditottak, egy ejszaka csinaltak sokmillas szamlat vele...  nem veletlen vannak a telefonok, kamerak, belepteto, wifi stb mind kulon vlanokban ott ahol en uzemeltetem a halozatot.

hat pont ez a router dolga. hogy routeol.

A routelos Technicolor ONT dobozukban van tűzfal. :) Igaz állítgatni nem lehet (css mágiával rejtve van) és szerintem alapból eldobja a bejövő csomagokat. 

Incoming default policy: DROP

The incoming policy defines what is done with packets destined to the gateway. They can be either REJECTED (the gateway will notify the sender they were rejected) or DROPPED (the gateway will silently discard those packets).

A régi Huawei-n legalább be lehetett állítani tűzfalszabályokat, ha be akart engedni valamit az ember. :)

amit te szeretnel, azt tuzfalnak hivjak, az egy masik termek...

Persze, ezt tudja kb. akinek ez a szakmája (ez az IT szakembereknek is töredéke). Ilyen dobozokat azonban olyanoknak rakják az otthoni hálózatukba, akiknek fogalmuk sincs, hogy átkerültek IPv6-ra, és IPv4 kapcsán az ilyen doboz biztosított is valamilyen szintű biztonságot. Nos ez teljesen megszűnt, és ráadásul ő vesz otthonra IP kamerát, mert milyen jópofa, hogy az irodában mutogatja a kollégáknak, hogy mit ökörködik otthon a macska.

Nos nekik ha pisitike a szomszédból aki ha meglát négy, ponttal elkülönített számot akkor elsuttogja, hogy ipécím és ettől már valami istenkirály hekkernek hiszik. 

( STP | 2023. 10. 07., szo – 22:15 )

Már egy közepesen képzett szaki is bridge módba rakatja a szolgáltatói eszközt és saját maga gondoskodik a biztonságáról.

Ha utána TV-zni is szeretne még, akkor lehet izzadni fog kicsit a míg kitalálja a tartományt kell így is a Telekom dobozon keresztül küldeni és, hogy milyen DHCP optiont (kell?) lepasszolni a STB-nek :)

Amúgy ha tényleg van olyan telekom doboz ami úgy van tűzfalazva, hogy az IPV6 bejővő forgalmat simán átengedi szerintem is gáz. (Mert nem csak szakik vannak az előfizetőik között)

Szintén Telekom, nálam a Sagemcom F@st 3896 web UI-án olyan van, hogy Hozzáférésszabályozás -> Haladó beállítások -> WAN blokkolás kapcsoló, ez alapból be van kapcsolva.  Próbából kikapcsoltam, de ennek ellenére sem elérhető az IPv6 címen kívülről a mögötte lévő linuxos host.  Megkérdeztem a chates ügyfélszolgálatot, ahol azt a tájékoztatást kaptam, hogy valójában nincs lehetőség a bejövő IPv6 forgalom szűrésére lehetőség, úgyhogy gondolom az egyetlen megoldás erre nálam az lenne, hogy bridge módba tegyem a saját routeremet és akkor ott mindent finomhangolhatok (feltéve persze, hogy annak a szoftvere elég rugalmas, OpenWRT sajnos nincs rá).

A 3686-on teljesen hektikusan működik az IPv6 tűzfal engedélyező része. HA valamit beengedsz, simán lehet, hogy 3 nap múlva tudod használni kívülről, újabb egy hét múlva meg megáll. Egy ilyen végponttal küzdöttünk sokat, mert bridged mód kizárt az IPTV miatt, 2023-ban meg tech beállítottsággal használná haverom a v6-ot.

 

Az egyetlen vigasz, hogy az utóbbi időben elvileg a Sagemcom 3686 átengedi magán a /56-os prefix-et, azaz az általa, a LAN-on használt /64-en túl a többi /64-et - elvileg - fel tudja venni egy DHCPv6 kliens. Gyakorlatilag nem tudom, elég katyvasz az ASUS-on futó firm, hogy számomra ez ne legyen egyértelmű. A lényeg, hogy működik hellyel-közzel. Persze olyan stabil nincs, mint az optikai végponton, PPPoE passtrough-val felrakott OpenWRT, ebben ugyanis a v6 kezelése hibátlan, a tűzfal nagyon jól testreszabható, a dinamikus prefix-xel is elbánik, főnyereménynek is mondható:D

 

bennyh | 2023. 10. 08., v – 12:42 )

 

Én ilyen IPv6 NAT-olós módszert WireGuard VPN-nél használok, ahol a változó prefix nem annyira szerencsés:D

De az MT szerény IPv6 képességei miatt váltottam OpenWRT-re. Otthoni környezetben nem bántam meg, vállalatiban viszont inkább marad perpill a v4 és a RouterOS.

TheAdam

6+ éve használom a Telekomos ONT-t (első pár évben Sagemcom 5655v2, most 5670) bridge módban, úgy hogy mellette IPTV is van. Jelenleg a box megkapja azt a VLAN-t, amiben a PPPoE megy, de működött a saját MikroTik router mögött is, megfelelően konfigurálva a multicast routingot + az ONT-t

( kassaiviktor | 2023. 10. 08., v – 12:13 )

kb első dolgom volt titlani az ipv6-ot. felőlem beszánthatják az egészt, úgy ahogy van!

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

Annyiban egyetértek vele, hogy végfelhasználóként én is próbálom megérteni, miért kell nekem IPv6. Eddig nem jöttem rá. Pedig minden hálózati eszközöm támogatja (EdgeRouter-4, Zyxel gs1900-8hp switch, Unifi U6-Lite AP), nem látom miért töltsek el órákat/napokat, hogy mindent megfelelően bekonfiguráljak. Tényleg érdekel, hogy mit nyernék vele.

Az mindjárt más lenne, ha nem kapnék IPv4 címet, akkor rá lennék kényszerítve.

az asztali PC/laptop, mint olyan a mult hagyateka 2023-ban...
mar reg nem ezekrol neteznek a nepek, hanem mobilrol, TV-rol, tabletrol...
onnantol meg, hogy rajta log a mobilneten _is_, minek veszodnel azzal, hogy ipv6-ot szurogetsz a wifi routereden? jonnek a masik v6 cimen :)

( bennyh | 2023. 10. 08., v – 12:42 )

Bridge mód és mögé valami rendes router.

Én itthon Mikrotik-en vagy fél éve Prefix translation-t használok a LAN-on IPv6-ra (netmap + script, hogy ha új prefixet kapok, frissítse a szabályt), mondjuk ehhez is szükség van külön tűzfal szabályokra, hogy akárki ne jöhessen be, hisz n:n leképzés történik, és csak a prefix íródik át. Az IoT hálón meg sima masquerade.

Hogy ne legyen gond azzal, hogy nem komálják az ULA-t az alkalmazások (inkább használnak v4-et), átváltottam egy 2001:DB8::/32 beli tartományra. 

Persze nem kell ezt így megbonyolítani :D

( djsilas | 2023. 10. 10., k – 10:26 )

Ez nem egy súlyos, kezelendő biztonsági rés most nekem?

- Nem!

Kell ezzel kezdenem valamit

- Tanuld meg használni és élvezni az előnyeit, amúgy is ez a jövő!

érdemes letiltani az ipv6-ot a telekom (gyári) routerben

- Nem!

vagy ez így nem lesz gond?

- Így? De, lehet gond belőle...

A hőskorban az IPv4-et is /8-asával hajigálták mindenki után, mert "örökre" elég lesz. Hát nem lett, így megerőszakolták a NAT-tal. Ami se nem firewall, se nem security megoldás.

Aztán jött az igény, hogy hoppá, milyen jó dolog lenne, ha minden egyes ruhaszárító csipesznek meg izzónak külön IP címe lenne. Na jöjjön akkor az IPv6, ami aztán tényleg "örökre" elég lesz! Megy is a habzsi-dőzsi, megint csak ingyen és szinte kéretlenül dobálják az ember után az egy szem szerverére is a /64-et. Majd elmúlik ez is... ámde, ha az egész lényege az, hogy mindennek is legyen saját IP címe, akkor most miért is csodálkozunk, hogy mindennek is lett IP címe? Erről szólt az egész, hogy a kényszerű/kellemetlen IPv4 NAT-tól megszabaduljunk, mission complete!

Szubjektíven: elég szar az irány, de mégsem a sátánról van szó, sőt! Elég sokat változott a szabvány, eltűnt a fix IPv6, mégis csak bejött a "NAT" (NPTv6/NAT66), pazarolják a hatalmas tartományokat, ránkszabadították a DS-Liteot (akasztani való az összes, aki részt vett benne...) és még lehetne sorolni sokáig. Bőven van probléma és megoldandó dolog, de jellemzően pont nem azok, amik itt fel lettek hozva. Ez itt csak felesleges, hozzá nem értő picsogás fentebb. Tudni kellene, hogy mire való, hogyan működik és aszerint használni. És igen... bár szolgáltatónként is változik a megvalósítás, de van ahol tényleg hirtelen elérhető lesz minden IPv6-on, ami eddig IPv4-en nem volt (volt ahol pl pont ez "mentett meg" Telekom IPTV esetén). Igen, ebből lesz/lehet sok kellemetlenség ott, ahol nem foglalkoznak vele megfelelően. De ugyan, mégis: amikor meg berak a Telekom/Digi/Vodafone/bármelyik CGNAT mögé és elveszi a publikus IP-t, akkor köszönet helyett miért mindenki visszakövetelni akarja a címet? :) Mert arra már fel vagy készülve, megtanultad használni és tudod, hogy jó dolog... ;)

Én pl. azért kértem vissza a V4 címet, mert a Voda képes volt 1 db /64 címet adni, még azt sem lehetett megoldani, hogy legalább a /64 teljes tartomány bejöjjön a saját routeremre. Ezen kívül meg egy CGNAT. Hát köszönöm. Majd ha kapok egy /56-ot minimum, akkor beszélhetünk a dologról.

egyreszt egyetertek, de a gyakorlat azt mutatja hogy sehol nem szoktak /64-nel tobbet adni az ISP-k endusernek. erre talaltak ki "megoldasnak" a "brouter"-t, ami ipv6-on bridge, ipv4-en router...

mondjuk a CGNAT nagyobb problema, a dslite-ot el kene mar felejteni, igazabol azt se ertem minek talaltak fel egyaltalan

de a gyakorlat azt mutatja hogy sehol nem szoktak /64-nel tobbet adni az ISP-k endusernek

Nálam az alábbi kapcsolatok vannak most:

  • Vodafone (korábban UPC): /64 a WAN oldalon és /60 DHCPv6 PD-vel
  • Telekom (PPPoE, GPON): /128 a WAN oldalon és /56 DHCPv6 PD-vel
  • DIGI (PPPoE, GPON): /128 a WAN oldalon és /64 DHCPv6 PD-vel.

a dslite-ot el kene mar felejteni, igazabol azt se ertem minek talaltak fel egyaltalan

A DS-Lite alapjaiban véve annyi, hogy a teljes infrastruktúrán nem routolják párhuzamosan az IPv4-et és IPv6-ot, hanem egy natív IPv6 only hálózatban tunnelezik ki neked az IPv4-et. Ennek az egyetlen valódi hátránya a tunnel (enkapszuláció) okozta kisebb MTU érték. A tunnelben technikailag lehetne publikus IPv4 cím is, CGNAT nélkül. Az az implementáció kérdése, hogy miért erőltették rá a CGNAT-ot.

Hasonló történet a Yettelnél, hogy két APN van:

  • net - publikus IPv4 és nincs IPv6
  • online - privát IPv4 és van IPv6

de, hogy miért nincs olyan APN, amin publikus IPv4 és IPv6 van egyszerre, az rejtély.

IPv6 noob kérdéseim:

- Digi optikai nettel érdemes IPv6 kísérletezni?
- Van olyan site / program amivel az IPv6 hálózatom alapvető beállításait lehet csekkolni kívülről? Gondolok a fent említett "belül minden pingelhető" problémára és hasonlókra

Gábriel Ákos

A DIGI optikán DHCPv6-tal ad egy /64-es blokkot. Én is ezen kezdtem el megbarátkozni a v6-tal.

Sajna nem tudok konkrétan ilyen oldalról. Azt kell csekkolni, hogy akármelyik v6-os címmel rendelkező végponti kliensed hogyan éred el kintről, pl. egy VPS-ről. Ha MikroTik vagy OpenWRT-s routered van, akkor meg ott egyértelműen tudod konfigurálni.

Illetve ami még eleinte engem szivatott (néha még most is), hogy a RA miatt, ha a szolgáltató ad egy új prefixet a PPPoE újrakapcsolódás után, a régi hajlamos beragadni, ami azt okozza, hogy v6-on megáll a forgalom amíg ki nem fut a régi cím, vagy nem kér újat a gép. Erre sokat tákoltam MikroTik script-tel meg ilyenekkel, most az említett gyártó megoldása, hogy a blokk lejáratakor (ha pl. újat ad a DIGI), küld egy 0-s valid és preferred lifetime-ot, de ugye a gyakorlatban a valid és a preferred nem egyszerre módosítandó, ha a preferred lejár, a valid-on még mehetnek a már felépített kapcsolatok. Ezzel ellentétben viszont, ha a PPPoE link lemegy, akkor teljesen megszűnik az adott blokk, nem lehet tehát kifuttatni a valid lifetime-ot...

 

Szóval a just-works-nél picit több a beállítása. Ez már nem neked, inkább a többi kommentre, hogy miben is ad többet. Nekem abban, hogy a v4 és a v6 routing sok esetben eltér a v6 javára, így egy alternatíva, ha pl. lassú valamilyen irányba a forgalom.

TheAdam

- Van olyan site / program amivel az IPv6 hálózatom alapvető beállításait lehet csekkolni kívülről? Gondolok a fent említett "belül minden pingelhető" problémára és hasonlókra

https://ipv6.chappell-family.com/ipv6tcptest/

Ha nem is a "minden pingelhető" problémára ad választ (nem is tudom, hogy csinálná, végigpróbál egy /64-et?), de az adott gépet, amiről nézed, azt megnézi.

Jah, hát igen, a Voda is a DS-Liteot tolja... Bár úgy gondolom, hogy nekem is szükségem lenne otthon IPv6-ra, hogy az azzal rendelkező szervereimet és rendszereimet én is ki tudjam próbálni és le tudjam tesztelni (levelezés pláne külön állatfaj tud lenni...), ámde az abban a formában a szolgáltatáshoz adott HGW-el karöltve egy olyan szinten hitvány megoldás, hogy én is inkább visszakértem a publikus IPv4 címet, IPv6 nélkül, bridgebe rakva. :/
Bezzeg a Digi!? Az volt a jó világ, de elköltöztünk, itt meg csak Voda van... :(

Nézd, lehet hogy a NAT nem tűzfal és security megoldás, ettől még IPv4-en, a szokásos end user architerctúrában akként is szolgál. És a konkrét OP konkrét baja: "Ez nem egy súlyos, kezelendő biztonsági rés most nekem?" arra szerintem nem az a határozott válasz, hogy "Nem!", hanem pont ellenkezőleg, kifejezetten az, hogy "De!". Azon lehet vitatkozni, hogy súlyos-e, azon nem, hogy kezelni kéne. 

Ne viccelj egy eddigi "default protected" LAN beállításból átmegyünk egy "default unprotected"-be az szerintem nagyon nem szép és főleg nem veszélytelen.
Nagyon nem olyan már az internet mint 30 éve...

És ezt hogy "tűzfalazni" meg "authentikációval védeni" pont a Windowson futó RDP-vel kapcsolatban bírod leírni röhögés nélkül. Ne már.

Gábriel Ákos

ne mar, a windowsban szted miota van beegetett tuzfal, raadasul meg is kerdezi, ha kapcsolodsz egy halozathoz, h public vagy private es a szerint tuzfalazhatsz...
autentikalni meg legyen kotelezo. igen, egy koszos windowsra is... ha nem az, akkor azon a gepen nincs ertekes adat. :)
valamiert csak engedve van a gepen az rdp, ha el kell kintrol erni, keszen is vagyunk. ha nem kell, akkor meg legyen kikapcsolva vagy tuzfalazva. ez nem rocket science.
minden masra ott a "how to disable ipv6 on windows"...
btw szinte minden home eszkoz default adja az upnp/nat-pnp-t, szoval kb. csak az a program nem nyit maganak ipv4 portot rajtuk, amelyik eppen nem akar :D

Ha csak simán NAT-ról beszélünk firewall nélkül, akkor tényelg nem véd semmit: ha küldök egy IP csomagot a routered publikus IP címére, úgy, hogy célként a mögötte lévő gép privát IP címe van, akkor ha firewall nem tiltja (persze nem nagyon van olyan router, ami ne tiltaná), akkor az a csomag bizony továbbítva lesz a privát hálózatba. Persze ez a valóságban nehezen kivitelezhető, de IPv6-őn is ugyanúgy lehet hasonló védelmet csinálni, mint ami IPv4-en manapság már természetes, nem az a jó irány, hogy ne is lehessen megcímezni a "privát" hálózatokat, mert az bizonyos use-case-eket lehetetlenné tesz.

Amúgy pl. az én sok (>5) éves routeremben az a default, hogy nem engedi be az IPv6-os csomagokat by default, csak ha explicit engedélyezem egy szabállyal, tehát igenis létezik jó példa. Amúgy meg manapság a perimeter security nem annyira menő, de értem, hogy lakossági szegmensben ez nehezebben megvalósítható.

Azt nem tudom, honnan haluzzátok, hogy a megoldás szerintem a NAT visszahozatala? Pusztán csak a konkrét esetben eddig kintről nem volt elérhető a belső háló (igen, kvázi egy IPv4 feature abúzusa miatt), most pedig elérhető. A problémának teljesen jó megoldása lehet simán csak a "konfolt be a tűzfalat a fowardon a routeredben", meg még 12 másik dolog. 

Én a teljesen konkrét, valóságban bekövetkezett, security vesztéssel járó változás kategorikus tagadását nehezményezem, azok érvek mentén, hogy az ipv4 megoldása általában szar és nem tetszik, és sose kellett volna úgy legyen. Ezek mind igazak lehetnek, de ettől még a konkrét esetben eddig volt, ami szűrte befele, most meg nincs. Igen, ez egy issue, amit a konkrét esetben kezelni kell, nem elintézni egy okoskodó "nem"-mel.

honnan tudod, hogy szurte, ha nem is tudtal eddig rola? :D

ipv6 nem most kezdett elterjedni, az, hogy Te szemelyesen nem voltal erre felkeszulve...

nem, ez eddig sem volt szekuricsi ho'l, mert default a windows tuzfalaz, pingelni sem lehet. ha te ezt a ficsort eliminaltad belole, az a szekuricsi ho'l kiindulo pontja.

olyan ez, mintha vennel egy kest a boltban, azt szeretned, hogy lehessen vele szeletelni, UGYANAKKOR ne legyen mar eles, ne tudja elvagni a kezed. a ketto egyutt nem mukodik :)

Én nem arra válaszoltam, hogy szerinted a NAT visszahozatala lenne a kívánatos, hanem jeleztem, hogy IPv4-en sem a NAT védi a privát hálózatokat, hanem az, hogy van hozzá firewall. Ugyanígy IPv6-on is szükség van firewallra, ahhoz, hogy biztonságban legyen az otthoni hálózatod. Ha a router nem képes ezt biztonságosan kezelni, az nem az IPv6 hibája, hanem a routeré. Erre mondtam, hogy ahogy az IPv4-en is kialakultak a best practice-ek, IPv6-ra is ki fognak.

Igazából nem ismerem a jelenlegi otthoni routerek általános működését, de az én viszonylag régi routeremben is az a default működés, hogy a firewall nem enged be semmilyen forgalmat explicit engedély nélkül, és a Telekom routereiben is ez a default működés ("HGW-ekben alapértelmezetten az IPv6 tűzfal úgy van konfigurálva, hogy internet felől ne lehessen IPv6 kapcsolatot létrehozni ügyfeleink helyi hálózata felé. Ez a funkció a HGW beállításaiban, jellemzően a http://192.168.0.1/ címen kikapcsolható (kivéve Speedport W724V Type Ci)" (https://www.telekom.hu/rolunk/ipv6/mit_kinal_a_magyar_telekom)), szóval az én tapasztalataim teljesen ellentmondanak az állításodnak, miszerint "eddig volt, ami szűrte befele, most meg nincs", ugyanis eddig is a firewall szűrte, és IPv6-on is az szűri.

( Carter | 2023. 10. 11., sze – 08:58 )

Hogyan tudom kideríteni, hogy /56 /54 vagy esetleg /64 címtartományt kaptam a szolgáltatótól? (Telekom gyári router üzemben továbbra is)

( gabrielakos v | 2023. 10. 11., sze – 22:36 )

V6-tal ha elkezdek kísérletezni az mennyire vágja haza az egyébként ipv4-en futó többi eszközt?
Gondolom ha explicite v4-only-ra van állítva akkor semennyire. Ha windows default az meg gondolom dual-stack (tehát meg is tud akár kattanni).

Az ostoba Epson nyomtató (ami azután is dual stack h elvileg kikapcsoltam) nyilván megkattan :)

Ha ügyes vagyok és az unifin úgy állítom be hogy csak egy új wifi network lesz V6 akkor talán a többi "megússza", nem?

Gábriel Ákos

Alapvetően semennyire. Akkor lehet gond, ha a tartomány érvénytelenedik (pl. PPPoE reconnect), de a klienseken beragad. Ilyenkor a Windows, Debian a v6-on próbál kimenni, mert a preferred lifetime-ja nem 0, de nem tud, mert már nincs routing.

 

Ha külön hálóra rakod tesztelni, úgy viszont semmi gondot nem fog okozni. Értelmes eszközök Wi-Fi váltásnál eldobják a v4 és v6 címeket és újat kérnek. Ha nincs v6, csak v4-et. Így akár a játszós hálóból is simán, gond nélkül mehet vissza bármi a normálba.

TheAdam