IPv6

[Zbyněk Burget]

Dne 19. 4. 2015 v 14:14 Dan Lukes napsal(a):
> On 04/19/15 13:37, Zbyněk Burget:
>> muj ISP mi dal na vedomu, ze prechazi na IPv6
>> Soucasne ale jeste samozrejme funguje i puvodni IPv4.
>
> Aha, takze neprechazi, ale zavadi. To je ale *podstatny* rozdil.
>
> Vypada to jako slovickareni, ale tim, ze pouzivas spatny slovo o tom 
> nasledne taky spatne premejslis. Tvuj ISP na IPv6 neprechazi a ty 
> samozrejme taky ne. Zavedenim IPv6 se na stavajici IPv4 konektivite 
> nic nemeni.

Abych to upresnil, rekl mi, ze mam funkcni IPv6.
Byla mi pridelena IPv6 sit /48
spojovaci adresa /64
brana

priznam se, ze z toho zatim moc moudry nejsem, i kdyz jsem se snazil o 
IPv6 precist, co se dalo. Predpokladam, ze spojovaci adresa je muj WAN, 
i kdyz zatim nechapu, proc je /64.
Takze jsem alespon prozatim chtel jen an svuj WAN dat IPv6. Ale bude pak 
fungovat takova konfigurace, kdy mam ve vnitrni siti IPv4 a na vnejsi 
siti budu jen IPv6? Nebo je tohle nesmysl a budu mit na WAN strane i 
IPv6 i IPv4, kazdou pro prislusny rozsah uvnitr?

> Co se serveru tyce, zminujes jen SSHD. Ano, to systemove je defaultne 
> nakonfigurovane tak, ze bude-li k dispozici IPv6, zacne poslouchat (i) 
> na nem. Tim se v praxi nic nemeni dokud pro jmeno toho serveru 
> nepublikujes v DNS AAAA zaznam. SSH klient, kterym se tam pripadne 
> pokusis spojit, nema (bez toho AAAA zaznamu) tuseni, ze by tam snad 
> nejaka IPv6 byt mohla, takze ji ani nezkusi. A IPv4 funguje jako driv.

defaultne sshd nakonfigurovane uplne nemam. Na tom routeru jsou nejake 
jaily, ktere jsou ovsem napojene na IP adresy na vnitrnim iface. Proto 
sshad posloucha jen na konkretnich vybranych adresach. Ale nevidim 
problem v tom, abych tu konfiguraci upravil.

> Co se klientu tyce, pises, ze tam nic neni, coz znamena, ze tam bud' 
> skutecne zadny neni, nebo jsi na DNS server zapomel.

DNS server mam na jine vnitrni (verejne samozrejme) adrese.

> Bude to opravdu tak jednoduche, ze jen nastavim na vnejsim adapteru IPv6
>> a zmenim default routu (+ drobnost s ListenAddress u sshd) nebo toho
>> bude vic?
>
> Neprechazis na IPv6. Nezmenis default routu. Zavadis IPv6, pridas IPv6 
> default route.

Z tehle odpovedi tedy spis vyplyva to, ze stavajici infrastruktura, 
ktera pouziva IPv4 zustane vcetne veskereho smerovani zachovana beze 
zmeny a k ni pribude navic jeste IPv6. To znamena, ze samotne nastaveni 
IPv6 na WAN stranu samo o sobe nic neznamena bez toho, aby na IPv6 
bezela nejaka dalsi sluzba. To by znamenalo, ze jsem to cele prozatim 
pochopil spatne a musim zacit premyslet uplne jinym smerem.
Znamena to tedy, ze smysl to ma v okamziku, kdy a) nastavim IPv6 i do 
vnitrni site, b) pridelim ho i klientum c) z vyse uvedeneho vyplyva, ze 
prislusni klienti musi prejit na IPv6 i na svych domacich sitich a to se 
vsemi svymi zarizenimi. No nedovedu si to moc predstavit vzheldem k 
tomu, co kdo ma doma za nejlevnejsi cinske routery, pripadne stroje, 
ktere pamatuji, kdyz mel jeste Zizka obe oci...

> O neco komplikovanejsi to zacne byt az/pokud se rozhodnes IPv6 nejen 
> prijmout na vstupnim interface, ale taky nabizet klientum do vnitrni 
> site. Ale ani tam to neni nejak zasadne slozitejsi.
>
> Navic, uz ted vsichni tvoji Windows uzivatele IPv6 konektivitu, ktera 
> navic zcela obchazi tvoje firewally, maji, takze z hlediska jejich 
> bezpecnosti muzes tim, ze jim zacnes IPv6 konektivitu poskytovat 
> "nativne" tezko neco zasadne zhorsit.

Tohle jsem tedy moc nepochopil, coz muze pramenit z me 
neznalosti/nepochopeni IPv6. Klient, ktery sice ma na svem Windows IPv6, 
ale na jeho domaci siti bezi pouze IPv4, na vnejsi strane jeho routeru 
je pouze IPv4, na vesnickem routeru je jak na vnitrni, tak na vnejsi 
strane opet jen IPv4 a i na mem hranicnim routeru je na obou stranach 
pouze IPv4, prece nemuze mit moznost realne komunikovat pres IPv6 tak, 
aby obesel moje firewally? Resp. to slovo firewally je tady trochu 
zavadejici. Moje firewally by se vicemene daly nazvat spis shapery. Moc 
se tam toho nezakazuje, veskery provoz je az na drobne vyjimky volne 
pruchozi.

Zbyněk Burget
Mlýnská 397
798 26 Nezamyslice

tel: 588 580 000, 739 930 931
http://www.burgnet.cz
IČ:  606 88 220; DIČ: CZ7210184674