IPv6 в энтерпрайзе

3

3

Есть у кого истории успешного внедрения IPv6 в существующих компаниях?

Предположим есть средний бизнес, около 30 офисов по стране и один центральный. Сейчас все работает на L2TP/IPsec+OSPF. Когда-нибудь придет время все это переводить на IPv6, ну допустим договоримся с ISP чтобы в региональные офисы по префиксу /64 выделили, в центральный /56 (там много подсетей). Но маршрутизаторах настраивается шифрование транзитного трафика транспортным IPsec, потребность в L2TP и OSPF отпадает (хотя, OSPF наверное в центральном останется).

А что дальше? Сейчас за пользовательскими компами закреплены IPv4 и есть фильтры по IP на маршрутизаторах и оконечных серверах. Получается, что SLAAC не подходит и надо будет IA_NA раздавать по DHCP. Но DHCPv6 не умеет раздавать def. route, типа надо использовать LinkLocal адрес маршрутизатора и вот тут мой мозг ломается, к каким проблемам это может привести? Из очевидно в трассировке не будет видно часть хопов (или в IPv6 стек умный и должен отвечать с Global адреса, а если их несколько, как он поймет с какого?)

Дальше, есть указание скрывать внешние IP при выходе в «дикий» интернет, т.к. IPv6 привязывается к юр. лицу префиксом, то надо скрывать целиком префикс...ну окей, покупаем VPN с /56, делаем до него туннельный IPsec и либо надеемся что vpn провайдер будет dhcpv6-pd в туннель пускать, либо статикой.

Окей у нас раздается на ПК конечного пользователя два адреса: один для внутренних сервисов (по dhcp), второй для внешних (по slaac). Все ПК на Windows (это от меня не зависит) т.к. там 1c и прочая порнография. Как оконечным приложениям объяснить какой адрес использовать в качестве src? И как убедиться, что трафик не «утечет» с неправильного.

А еще есть firewall...в схеме с NAT можно было сделать простой firewall, который lan-to-wan пропускает новые соедиения, а обратно только установленные, получается дополнительная линия защиты...IPv6 говорит нам о том, что между двумя хостами должна быть полная связанность, получается на маршрутизаторах надо разрешать входящие соединения wan-to-lan иначе часть сервисов может не заработать и остается надеяться на нормально работающий firewall на оконечных устройствах.

Это все пока просто размышления на фоне изучения IPv6 и я думаю что до реальной ситуации IPv6 не дойдет в виду консервативности руководства...

Ссылка

←	netassist: проблемы с яндексом

Tor HiddenService передача IP

→

← 1 2 3 →

Ответ на: комментарий от anc 05.05.20 01:12:34 MSK

Я написал лишь, то что он умеет в NAT.

Нет. Ты написал, что

как вы сейчас решаете задачу с ipv4? Так же и решайте с ipv6.

А это уже представляет собой вредный и некорректный совет.

intelfx ★★★★★
(05.05.20 12:21:19 MSK)

Ответ на: комментарий от Kolins 04.05.20 23:03:08 MSK

Вопрос, как объяснить приложениям что надо ходить с определенного ip? В linux это скорее всего через netns решается, но у пользователей windows и ничего с этим не поделаешь.

В общем случае приложению строго безразлично какой у хоста адрес, это не его проблема. Тебе надо обеспечить однозначность роутинга, ULA в данном случае дают минимальную гарантию что даже если админы прощёлкали, то у приложения сломается сеть, а не трафик голой жопой пойдёт через интернет.

Хотя…тут вопрос как оно с ULA работает, там вроде можно роуты через RA передавать и тогда можно явно сказать что на ULA адреса ходить через внутреннюю сеть и система сама допрет какой адрес подставить…но тогда это получается тот-же VPN между офисами что и сейчас IPv4.

ULA - это всё то же самое, только с явным требованием не роутиться за border. VPN получается такой же по сути, что и v4, только чуть более прозрачно если грамотно завернуть, а главное у тебя каждый конечный хост может иметь как ula так и ga адреса одновременно и тебе не надо ломать голову как одно с другим срастить. Никак. Оно параллельно работает и зависит друг от друга тоже никак.

Если ты хочешь всё на белых адресах, то тут уже придётся извернуться, чтобы правильно роутить это всё и чтобы не протекало наружу. ИМХО бессмысленное занятие

Dark_SavanT ★★★★★
(05.05.20 19:23:20 MSK)

Ответ на: комментарий от intelfx 05.05.20 12:21:19 MSK

Нет. Ты написал, что
как вы сейчас решаете задачу с ipv4? Так же и решайте с ipv6.
А это уже представляет собой вредный и некорректный совет.

Внимательно читаем задачу в топике. Обьединение сетей разных офисов. С каких пор для этого потребовался NAT ? Все решается использованием впн на уровне маршрутиризации, нат там как-то не особо и требуется.

anc ★★★★★
(05.05.20 20:12:10 MSK)

Ссылка

Ответ на: комментарий от Dark_SavanT 05.05.20 19:23:20 MSK

Почитаю подробнее про ULA, а то у меня сложилось впечатление что оно для IPv6 сетей не подключенных к интернет зарезервировано, а тут вон как все интересно выходит...

Kolins ★★★
(05.05.20 22:23:07 MSK) автор топика

Ответ на: комментарий от Kolins 05.05.20 22:23:07 MSK

Если отмахаться от дурацкого требования «не ходить на 3rd party сайты используя ipv6 адрес полученный от isp» не получится, то существует ipv6 address selection policy https://tools.ietf.org/html/rfc6724. В линуксе таблица настраивается с помощью ip addrlabel, в винде с помощью netsh int ipv6 show prefixpolicies, netsh int ipv6 add prefixpolicy.

Помечаем все префиксы, полученные от isp всех офисов одной и той же меткой, тогда для пакета офис-офис будет выбираться исходящий адрес полученный от isp. Адрес, полученный от туннеля/vpn, получает метку 1 по правилу prefix=::/0 precedence=40 label=1, и выбирается в качестве исходящего для пакетов офис-интернет.

iliyap ★★★★★
(06.05.20 01:10:48 MSK)