IPv6 - jednoduché zprovoznění pro statickou veřejnou IPv4

Dne 2014-05-05 22:55

Všem děkuji, už to běží, už si pingám, už jsem byl na www.nebezi.cz. Jen mi vypsalo toto: Vypadá to, že k vaší IP adrese neexistuje reverzní záznam v systému DNS.
Ještě kdybyste byl někdo tak hodný a vysvětlil mi ty různé adresy ve výpisu ipconfig
Nejsem z toho nějak moudrý.

Connection-specific DNS Suffix . : lan
Autoconfiguration Enabled . . . . : Yes
IPv6 Address. . . . . . . . . . . : 2a01:8c00:ff00:82a4::101(Preferred)
IPv6 Address. . . . . . . . . . . : 2a01:8c00:ff00:82a4:b5a4:6499:52c2:6d8d(Preferred)
Temporary IPv6 Address. . . . . . : 2a01:8c00:ff00:82a4:6d9f:bc1:7cc5:dd1d(Preferred)
Link-local IPv6 Address . . . . . : fe80::b5a4:6499:52c2:6d8d%31(Preferred)
Default Gateway . . . . . . . . . : 2a01:8c00:ff00:2a4::2
fe80::da58:d7ff:fe00:447%31
192.168.10.1
DHCP Server . . . . . . . . . . . : 192.168.10.1
DHCPv6 IAID . . . . . . . . . . . : 536880254
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-1A-BA-5A-9E-00-24-7E-6D-3C-9E
DNS Servers . . . . . . . . . . . : 2001:4860:4860::8888
192.168.10.1
NetBIOS over Tcpip. . . . . . . . : Enabled
Connection-specific DNS Suffix Search List :
lan

Od Ondřej Caletka (>>>)

Dne 2014-05-06 07:59

Co se týká reverzních záznamů, ty si můžete zařídit, ale není to nutné. Doporučuji třeba free službu dns.he.net. Nadelegovat nameservery pro reverzní záznamy umožňuje webové rozhraní SixXS i HE.

K vysvětlení IP adres:

> IPv6 Address. . . . . . . . . . . : 2a01:8c00:ff00:82a4::101(Preferred)

Tohle je adresa přidělená DHCPv6 serverem 6relayd. Pozná se podle toho, že je poměrně krátká. Můžete si i ručně vyhradit trojčíslí na konci pro DUID (jedinečný identifikátor zařízení v DHCPv6) vašeho PC.

> IPv6 Address. . . . . . . . . . . : 2a01:8c00:ff00:82a4:b5a4:6499:52c2:6d8d(Preferred)

Tohle je adresa vzniklá mechanizmem SLAAC. Router dodal prefix 2a01:8c00:ff00:82a4::/64, váš počítač si k němu vymyslel konstantu b5a4:6499:52c2:6d8d a tak vznikla tahle adresa. Kdysi v dávných dobách bývala tato konstanta odvozena z MAC adresy síťové karty, dnes je to ale jen obyčejné náhodné číslo. Je však trvalé, dokud počítač nepřeinstalujete, nezmění se.

> Temporary IPv6 Address. . . . . . : 2a01:8c00:ff00:82a4:6d9f:bc1:7cc5:dd1d(Preferred)

Takhle adresa vznikla také mechanizmem SLAAC a představuje dočasnou náhodnou adresu pro ochranu soukromí podle RFC 4941. Funguje úplně stejně jako adresa výše, až na to, že náhodná konstanta 6d9f:bc1:7cc5:dd1d se v čase mění (tak jednou za 8 dní). Případný zvědavec tak má větší potíže na dálku zjistit, kolik je ve vaší síti aktivních zařízení a zda provoz teče stále ze stejného. (Podle mého soukromého názoru je to kravina, ale ať si každý řídí svou síť jak chce).

> Link-local IPv6 Address . . . . . : fe80::b5a4:6499:52c2:6d8d%31(Preferred)

Tohle je adresa platná jen v rámci linky, neprochází routery a existuje už od aktivace rozhraní bez ohledu na cokoli jiného. Všimněte si, že sdílí konstantu s druhou výše uvedenou adresou. Tahle adresa slouží především pro servisní funkce protokolu, ale v rámci jedné linky je jí možné plnohodnotně používat.

> Default Gateway . . . . . . . . . : 2a01:8c00:ff00:2a4::2

Tahle adreasa brány netuším, jak se vám tam dostala a nejspíš je špatně. Brána nemůže ležet v jiné síti než je síť samotná.

> fe80::da58:d7ff:fe00:447%31

Tohle je adresa brány, kterou se váš systém naučil z RA zpráv. Tou putuje veškerý provoz. Je to link-local adresa Turrise doplněná o identifikátor rozhraní, přes které je Turris připojen (%31)

> 192.168.10.1
> DHCP Server . . . . . . . . . . . : 192.168.10.1
> DHCPv6 IAID . . . . . . . . . . . : 536880254
> DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-1A-BA-5A-9E-00-24-7E-6D-3C-9E

Tohle je DUID, k němu můžete zřídit staticky přidělenou DHCPv6 adresu. Dá se to naklikat i v LuCI.

> DNS Servers . . . . . . . . . . . : 2001:4860:4860::8888

Tohle nevím, jak se vám tam dostalo, ale doporučuji to odstranit. Přicházíte zbytečně o bezpečnou DNSSEC validaci, protože útočník může stát mezi vámi a Googlem. Komunikace s DNS serverem po IPv6 není nezbytná pro plnou funkčnost IPv6 protokolu.

Od palikv.mojeid.c (>)

Dne 2014-05-06 09:53

Dík za vysvětlení a ještě mi řekněte, kterou adresu můžu pingnout. Je možný pak tu adresu přidat u registrátora domény do AAAA záznamu? Znamená to, že teď každý můj stroj v domácí síti může mít svou adresu přístupnou zvenčí?

Od Ondřej Caletka (>>>)

Dne 2014-05-06 11:14

Pingnout můžete všechny, kromě těch link-local (ty můžete pingnout také, ale neprojdou přes router a musíte zadat rozhraní). Počítač bude standardně vystupovat adresou z DHCPv6, tu tedy můžete bez obav přidat do DNS. Jen si ještě předtím vyhraďte rezervaci v DHCPv6 pro DUID vašeho stroje, abyste měl jistotu, že se číslo na konci v čase nebude měnit.

Ano, každý stroj ve vaší domácnosti může mít adresu přístupnou z venčí. V základním nastavení tomu ale brání firewall Turrisu, na kterém musíte explicitně povolit IPv6 provoz z WAN rozhraní do LAN.

Od palikv.mojeid.c (>)

Dne 2014-05-06 12:09 Upraveno 2014-05-06 12:33

Tak zatím se dostanu ven, na ipv6 adresy, ale ani si nepingnu na jakoukoliv ipv6 adresu dovnitř. Už jsem se do toho tak zamotal, že nevím, která bije :-(
Právě, že mi pc vystupuje tou druhou, delší adresou - temporary ipv6 address. A když na ní pingnu, tak neprojde.
PING: transmit failed. General failure.

Od Ondřej Caletka (>>>)

Dne 2014-05-06 13:21

Aby byl propouštěn provoz z Internetu dovnitř, přidejte následující pravidlo do /etc/config/firewall a restartujte službu firewall.


config forwarding
        option name             'IPv6 propoustet'
        option family           ipv6
        option src              wan
        option dest             lan

Pak je možné, že je problém ve firewallu na koncové stanici, to zjistíte asi nejlépe traceroutem.

Od Quantim

Dne 2014-05-06 13:13

vystupováním pod DHCPv6 adresou si nejsem tak úplně jistý, při testech mi WIN7 vystupovaly pod dočasnou adresou... U pingu bych se ještě kouknul, zda je odpověď na něj povolena ve firewallu na daném počítači

Od Ondřej Caletka (>>>)

Dne 2014-05-06 13:23

Je to možné, Windows nepoužívám, na mém linuxu (s dhcpcd) se to chová očekávatelně, tedy adresa z DHCPv6 má přednost před SLAAC. Je to možné snadno vyzkoušet na IPv6 adrese, kterou ukazuje třeba server www.nebezi.cz.

Od NONES

Dne 2014-05-06 19:03

Já jsem spíše Windowsák než Linuxář, tak bych si dovolil doplnit Ondřeje Caletku, jak je to s IPv6 na Windowsech. Obecně se Windowsy nedrží standardu a používají jako vnější identifikátor tu dočasně generovanou IPv6 adresu. Je to z důvodu bezpečnosti (to tvrdí Microsoft), aby další on-line uživatelé nebyli schopni trackovat Váš počítač. Dočasná adresa se dá úplně vypnout a nadále se používá pouze IPv6 adresa (de facto se zapne kompatibilita Windows s EUI-64 standardem).
Postup je následující:
1) přihlásit se do Windows jako uživatel s administrátorskými právy
2) spustit příkazový řádek (Start -> Spustit -> cmd.exe)
3) v příkazovém řádku zadat příkaz "netsh"
4) v netshelu zadat příkaz "interface ipv6 set global randomizeidentifiers=disabled"
(tento příkaz o vypne vlastnost generování náhodné IP adresy)
5) v netshelu zadat příkaz "interface ipv6 set privacy state=disabled
(tento příkaz násilím donutí Windowsy používat EUI-64 standard)
6) následuje krok typický pro Windows - restartovat počítač, aby se výše uvedené změny provedly
7) příkazem "ipconfig" zkontrolovat očekávaný výsledek

Více na http://www.sevenforums.com/tutorials/304071-ipv6-temporary-address-enable-disable.html
nebo
http://technet.microsoft.com/en-us/library/cc736439%28v=ws.10%29.aspx

Od Ondřej Caletka (>>>)

Dne 2014-05-07 08:59

Tenhle postup jsem svého času prováděl na celé řadě různých Windows. Nepříjemný fakt na tom byl, že na nezanedbatelné části stanic toto nastavení nepřežilo restart, zatímco na jiných stanicích ano. Nejspíš to nějak souvisí s odpovědí na otázku „Domácnost/Kancelář/Veřejná síť“, co se objeví při prvním připojení do sítě.

Od palikv.mojeid.c (>)

Dne 2014-05-06 21:50

Nechci kecat, že jsem to vyřešil, ale po té, co jsem do firewallu w8.1 přidal pravidlo pro ping6 a ipv6, tak si na cílové pc pingnu. Dík