"Настоящий" ipv6 — провайдер, файрволл, роутер?

Question

[Quqas]

вот уж 15+ лет как "окончательно" запустили ipv6, выпустили миллионы заметок с тоннами воды, но внятной, однозначной и краткой инфы "про практику" всё равно не найти.

а вопрос в следующем: какие условия должны быть исполнены чтобы каждый девайс в доме, получил настоящий ipv6 адрес 2***: а не только фиктивный f***: ?

и соответственно чтоб к ним с одной стороны был доступ извне (а иначе ради чего бы), а с другой стороны где\как его ограничить\разрешить?

или всё сводится к тому что в эрэфии таких провайдеров тупо нет и\или они на своих файрволлах всё позакрывали и желаемого не достичь?

можно в виде ссылки на внятную статью если тут подробно трудно ответить

Comments

[Василий Банников]

а вопрос в следующем: какие условия должны быть исполнены чтобы каждый девайс в доме, получил настоящий ipv6 адрес 2***: а не только фиктивный f***: ?

Условие всего одно - чтобы провайдер умел в ipv6.

или всё сводится к тому что в эрэфии таких провайдеров тупо нет и\или они на своих файрволлах всё позакрывали и желаемого не достичь?

Есть, но таких мало. Например https://planeta.tc/ умеет в ipv6 и выдает подсеть. (Раньше по-умолчанию, а сейчас надо в кабинете включить).
Адрес вполне настоящий, начинается с 2a02.

и соответственно чтоб к ним с одной стороны был доступ извне (а иначе ради чего бы), а с другой стороны где\как его ограничить\разрешить?

Настраивать фаервол. Можно хоть на конечном устройстве, можно на роутере, если он опять же умеет.

Например у меня роутер Huawei и в нем поддержка ipv6 сделана через ж.

Вопрос тут в том, что конкретно нужно.
Если хочется, чтобы извне никто не мог адресовать конкретный девайс - тогда не надо использовать ipv6 в принципе.

[Quqas]

Василий Банников,

умел в ipv6

именно с этим видать и неопределённость. насколько полноценно он должен уметь? разные мнения про правильный префикс от прова. /64 якобы не кашерен но внятных объяснений почему не даётся

[Василий Банников]

Quqas,

именно с этим видать и неопределённость. насколько полноценно он должен уметь?

А вот тут хз. В моём понимании тут либо умеет, либо не умеет вообще. Без каких-то промежуточных состояний.

разные мнения про правильный префикс от прова. /64 якобы не кашерен но внятных объяснений почему не даётся

А какие есть объяснения?

[Дмитрий]

или всё сводится к тому что в эрэфии таких провайдеров тупо нет

15 лет уже пользуюсь IPv6 в эрэфии без каких бы то проблем.

/64 якобы не кашерен но внятных объяснений почему не даётся

В rfc6177 описаны все зачем и почему.

[Quqas]

Дмитрий,

В rfc6177 описаны все зачем и почему.

вот про это я говорил - тонны воды

15 лет уже пользуюсь IPv6 в эрэфии без каких бы то проблем.

и за 15 лет не видел ни одной заметки где "на пальцах" рассказан реальный опыт
без лишних теоретизирований но и не в виде - "а у меня" всё заработало сразу...
а конкретно на главных отличиях от ip4+nat на реальных примерах

Answer 1

[Павел Межуев]

1. Ваш провайдер должен предоставлять услугу IPv6, а ваш маршрутизатор должен быть способен работать в том формате, который предоставляет провайдер, как правило это DHCPv6 Prefix Delegation с местными наслоениями.
   
2. По сути как и в «классической» маршрутизации IPv4. Несмотря на то, что у каждого устройства будет свой настоящий IPv6-адрес, весь трафик всё равно проходит через ваш маршрутизатор и с помощью подобных правил (синтаксис условный) можно настроить ограничения:
   

   allow all from 2001:db8::/32 to any
   allow icmp from any to 2001:db8::/32
   allow https from any to 2001:db8::10
   deny all

   
   
3. Провайдеры с поддержкой IPv6 в РФ есть: version6.ru/isp.
   

P. S. Внятные объяснения по поводу префиксов: https://www.ripe.net/publications/docs/ripe-690/

Answer 2

[Петровский]

Не нужен каждому девайсу в доме IP-адрес, это как раз то, чего стоит бояться

Comments

[Дмитрий]

если адекватно настроен фаервол на форвардере, бояться нечего

[Петровский]

Дмитрий, а если нет?

[Дмитрий]

Петровский, если нет, то чем это отличается от дыры в IPv4 или любом другом, неправильно настроенном механизме?

[Петровский]

Дмитрий, тем что нат есть

[Дмитрий]

Петровский, в любом роутере фаервол тоже есть, и там точно так же закрыт форвардинг от входящих пакетов

[Петровский]

Дмитрий, входящим и так некуда идти, поэтому и файрволл на бытовых роутерах не нужен, и взяться развитому инструментарию (а также пониманию пользователем) взяться при внезапном переходе на v6 будет неоткуда

[Дмитрий]

Петровский, о каком внезапном переходе речь? Протоколу сто лет в обед. Перевёл свои устройства на IPv6 ещё в 2015 году без каких-либо проблем.

Что такое развитый инструментарий? Не знаю таких фаерволов, которые бы не умели IPv6. Простейший роутер за 30 баксов всё из коробки умеет

[Ziptar]

Петровский, NAT не неуязвим (пример).

Answer 3

[pindschik]

1) Услугу должен предоставлять провайдер. Это делают не все. Но как правило делают.
2) IPv6 должен поддерживаться роутером. Иногда нужно доустановить компонент в конфигураторе (например на кинетиках - поставить нужную галочку).
3) IPv6 адреса вашим домашним устройствам начнет выдавать провайдер. Тем, которые будут их просить.

Comments

[Quqas]

с роутером (и устройствами) ясно - если не 15 то точно 12+ лет как умеют даже длинки с туполинками

неясно на что именно (читая отзывы\заявленные технологии) смотреть при выборе прова? из обрывочных мнений на форумах каждый "какбы ipv6" пров раздаёт адреса через свой костыль и опять же якобы не каждый из методов подходит под хотелку

[pindschik]

Вы выбираете провайдера?
Если нет, то позвоните в поддержку своего. Я лично не вижу смысла выдавать IPv6 через дополнительные костыли - там даже NAT не нужен. Зачем изобретать кривой обходной способ выдачи адресов, вместо выдачи нормальных? Ну только если провайдер а-ля "колхоз-интернет" и у него нет возможности получить свой пул адресов, а услуги он предоставляет полулегально через другого провайдера...
Но таких сразу лучше обходить стороной.

Проведите опрос тут.
Могу от себя сказать (не реклама), что на одном провайдере с брендом на букву "до" и настоящим названием на "эр" - проблем вообще нет с этим. Просто работает.

Answer 4

[rPman]

ВСЯ вина на производителях роутеров.

Уже давно есть, и многие провайдеры не блокируют, ip6v4, но даже в тех небольших роутерах, где вроде бы есть поддержка ipv6, сделана она там на от*бись.

ПРАВИЛЬНО чтобы функционал был продублирован, или хотя бы фаервол был уровня NAT (т.е. либо NAT что для ipv6 не нормально но реально либо доступ из вне в локальную сеть закрыт полностью, но возможность открывать доступ парой кликов мышкой к компьютерам и сервисам), а есть максимум один чекбоксик - включить, и вся локальная сеть пользователя становится голой и доступной снаружи.

Comments

[Дмитрий]

что за бред, роутеры уже лет 15 поддерживают всё, что нужно

[rPman]

Это какие?