IPv6 для не специалиста. Вопрос

По сути, все адреса ipv6 находятся на всех интерфейсах. Формально они еще привязываются к интерфейсам, но реально все равнозначные. Там нет ARP, поэтому пофиг.

Префикс 56 - это не 256 адресов. Это 2 в степени 72 адресов.

На wan интерфейсе роутера видимо link-local адрес. На lan интерфейсе роутера адрес из /64 префикса, который ты раздал в lan. У остальных хостов в lan этот адрес как дефолт шлюз (ip -6 ro get default). Посмотреть адреса на интерфейсах микротика можно в веб-морде микротика.

DHCPv6 PD (prefix delegation) это протокол, по которому даунстрим роутер получает префиксы от апстрим роутера. Когда апстрим роутер выдаёт эти префиксы, он добавляет в свою таблицу маршрутизации маршрут к ним через даунстрим роутер. Т.е. одновременно происходит и выделение адресного пространства, и настройка маршрутизации до этого адресного пространства.

роутеру передается не адрес.
а делегируется диапазон адресов.
префикс 56 говорит что первые 56 бит адреса неизменны, а остальные 72 бита произвольны. т.е. тебе передана внушительная пачка в 2^72 адресов, т.е. 4 722 366 482 869 645 213 696 адресов, да, это более 4 *10^21 адресов, которыми роутер может полностью распоряжаться как хочет.
все пакет с адресом «кому» из этого диапазона провайдер будет считать находящимися в твоей локалке и перенаправлять твоему роутеру.

роутер в принципе может произвольно назначить себе и другим устройствам в локалке любой адрес из этого диапазона.
и тут возникает минус - каждое твое устройство получается торчит голой жопой в интернете ипв6, а это чревато - дырки есть везде.
потому и дают так дохрена адресов и советую выдавать адреса рандомно, чтобы в этом диапазоне было достаточно трудно выковырять устройства тупым перебором.

адрес внешнего интерфейса смотри в настройках роутерав разделе WAN, их будет несколько.
адрес внутреннего интерфейса там же, в разделе LAN. один из них будет начинаться с fe80: этот адрес будет статичен, ибо формируется на основе MAC-адреса сетевого порта и доступен только по локалке, в тырнете запрещена передача пакетов с этими адресами. по нему ты всегда зайдешь на свой роутер по ипв6.

имхо лучше создать для роутера дополнительный адрес локальный и не маршрутизируемый в интернете

NAT66?

Без трансляции можно адреса ipv6 провайдера и свои в локалке делать, на одном интерфейсе несколько адресов.
Просто ula адрес добавляешь на бридже роутера и вообщем то все, в итоге на устройствах адреса провайдера и локалки одновременно работают.
Странно что ipv6 не настраивают пока тормоза-ограничители-интернетов не клюнут,
ведь если интернет ограничат пропадут адреса, как будто в интернетах этих ваших что то важное есть, главное чтобы локалка работала же

ula адрес не делает безопасности как nat, а просто позволяет независимо от провайдера делать сети

Я в использовании глобальных адресов вижу разные угрозы:

1. Трекинг и определение местонахождения по IP адресу программами. Проблемы приватности. Программам не должен быть доступен глобальный адрес компьютера.

2. Идентификация и трекинг пользователя со стороны сервера. Опять же проблемы приватности.

3. Возможность обратиться во внутреннюю сеть извне без установки соединения и что-нибудь взломать. Уязвимостей в сишном коде, включая ядро Линукс, полно.

4. Возможные сбои при смене провайдера из-за изменившихся адресов.

Как обратиться к внешнему интерфейсу, как к внутреннему?

Ты это про WAN и LAN?
Эту сугубо условные названия и роль интерфейса определяется тем, в какую сетевую карту компьютера-роутера ты воткнул кабель от провайдера, а в какой кабель от домашнего компьютера.

Но в бытовых роутерах в качестве LAN обычно используется многопортовая сетевая карта или продвинутый свитч, а выход на WAN подключают к отдельному разделительному ВЧ трансформатору, чтобы потвозможности исключить пробитие с WAN на LAN и выгорание портов(но так к сожалению делают не во всех роутерах)

Спасибо.

Конфигурация такая. На WAN интерфейсе работает DHCPv6 клиент. Получает от прова префикс 56 и кладет его в пул с длинной префикса 64. На WAN адрес fe80:xxx::/64 Т. е. локального канала На localbridge. fe80:xxx::/64 и префикс xxxx:yyyy::/64, который я назначил из пула. Т. е. внешнего адреса на интерфейсах роутера нет. Устройства подключенные через localbridge получают по SLAAC Уже адреса вида xxxx:yyyy::zzzz/64 Причем, почему-то два. Один из которых называется временный. В качестве шлюза указан адрес fe80:xxx::/64 localbridge.

Вот тут возникает вопрос. «Внешних» адресов на интерфейсах роутера нет. Есть только префиксы. Как, например, получить доступ к веб интерфейсу роутера извне. Указывать в адресной строке полученный от провайдера префикс?

Программам не должен быть доступен глобальный адрес компьютера.

это с какого перепугу

а как же всякие p2p ноды себя анонсировать будут

раздача торрентов и всё такое

а как же всякие p2p ноды себя анонсировать будут

раздача торрентов и всё такое

Это для злобных пиратов. Порядочным людям не нужно.

дистрибутивы гнулинукса через торренты тоже раздаются

И что? Через HTTP[S] и FTP их можно без проблем скачать. Пиратские торренты не нужны.

это с какого перепугу

В программе могут например сделать региональные ограничения если она будет видеть глобальный IP адрес.

Вот тут возникает вопрос. «Внешних» адресов на интерфейсах роутера нет. Есть только префиксы. Как, например, получить доступ к веб интерфейсу роутера извне. Указывать в адресной строке полученный от провайдера префикс?

Ставите на локальном интерфейсе :1 одного из префикса /64, того, например, который раздает по slaac. Роутер должен сам сообразить его использовать при хождении в мир. Это если вам пров не выдал отдельный адрес для роутера.

Клиенты по slaac сами выбирают адреса. Один генерируют по MAC, второй для хождения в интерет не привязанный к хостику. Он может меняться для безопасности и запрета трекинга.

Проприетарщина не нужна в любом виде. А свой глобальный адрес программа и так узнает, обратившись к какому-нибудь серверу и спросив свой адрес.

Проверил. Роутер «из мира» доступен по префиксу. Что логично) В принципе, почитал про NDP. В голове уложилось, как оно работает.

так можно же использовать локальные и глобальные адреса на интерфейсах одновременно. отлючат интернет - просто убиваем dhcp/radvd на роутере и живем дальше :)

Что за провайдер выдаёт /56?

Провайдер здорового человека. Мой только /64

SkyNet питерский. Оно правда в тесте с 2018г. Поддержки по ipv6 ноль. Типа бесплатно, идите нафиг. Потихоньку расширяют сеть. Грозятся сделать платным, когда-нибудь… Они, вообще, по современным меркам, очень адекватные)

Да нет их, провайдеров здорового человека, по крайней мере в Москве. У меня онлайм, он как раз выдаёт /56 через DHCP-PD, вот только воды нет, растительности нет, населена роботами входящие соединения работают через раз, префикс динамический и постоянно меняется, а на правила lifetime был забит огромный хер (ну то есть интернет может внезапно закончиться в любой момент, потому что провайдер решил выдать тебе новый префикс, а старый всё, с этого момента больше не работает).

Нахера оно такое нужно — решительно не понятно.

Да, круто. Жаль, не Москва.

SkyNet выделяет статический префикс. Ну, по крайней мере, так говорит… Они и ipv4 динамический белый бесплатно выделяют). Меняется, когда забыл заплатить абонентку или, какая-то переконфигурация их сети. У меня за полтора года сменился один раз, как раз недавно. Причем, за 50р. предлагают вернуть обратно, если надо и не занят :D

Причем, за 50р. предлагают вернуть обратно, если надо и не занят :D

Круто! Мне пчелы v4, за который я деньги плачу, мля сменили. Причем полностью по их вине смена произошла, они мне в процессе починяй инет нафиг отключили услугу белой статики, после того как подключили назад адрес уже другой и старый сцуко у них никакого желания возвращать не возникло.

Возможность обратиться во внутреннюю сеть извне без установки соединения и что-нибудь взломать. Уязвимостей в сишном коде, включая ядро Линукс, полно.

Это задача файрвола, а не NAT.

Это задача файрвола, а не NAT.

Радует, что хоть кто-то это понимает. :)

В программе могут например сделать региональные ограничения если она будет видеть глобальный IP адрес.

Программа может и в интернет сходить, посмотреть, какой у неё внешний адрес. А без интернета вообще не работать.

Чтобы посмотреть IP адрес и в интернет выходить не надо. У IP адреса есть много разных шансов утечь. Не должны программы видеть глобальный IP адрес, небезопасно это.

Это задача файрвола, а не NAT.

На практике функции файрвола выполняет то же устройство, что и NAT. Там совмещённый функционал.

Не должны программы видеть глобальный IP адрес, небезопасно это.

Интересно чем это оно небезопасно?

Утечка персональных данных (в логи, настройки, идентификаторы рекламы и т.п.).

Ещё меньше понял.

Не должна программа ничего знать о пользователе короче. IP адрес даёт слишком много информации вроде адреса проживания, иногда довольно точного.

:) привычку жить за NAT надо оставлять в ipv4 :)
знание параметров рабочей среды, в том числе и адресов, вполне нормальное состояние програмы.

Если меня заставят пользоваться IPv6, то настрою NAT66. Никаких глобальных адресов в локалке. У программ среда локальная, нечего им знать про интернет, они могут работать по LAN с отключённым интернетом.

Вообще IPv6 несёт угрозу приватности потому что им можно однозначно идентифицировать каждого пользователя.

Эммм...
1. А вы зачем пользуетесь программами которым не доверяете?
2. Как вы запретите программе получить эту информацию?

лучше такие программы запускать в контейнере или виртуальной машине - там можно и нат настроить и сеть отключить совсем

так можно и договориться, что программа и к файлам в хомяке доступ на чтение даже не должна иметь

но какая от неё польза будет тогда

так можно и договориться, что программа и к файлам в хомяке доступ на чтение даже не должна иметь

По идее да потому что есть криптовымогатнли. Программа должна получать доступ к файлу по открытию из файлового менеджера или через защищённый файловый диалог.

1. А вы зачем пользуетесь программами которым не доверяете?

У современного софта огромные объёмы кода и я не в состоянии его весь проверить.

2. Как вы запретите программе получить эту информацию?

Файрволом ОС например. Запретить получение IP адреса уже сложнее.

если боишься анальных црушно-кгбешных имплантов, то этого мало. коль есть необходимость изоляции и полной анонимности то даже tails дыряв - пользуйся сразу whonix !!
основную угрозу несет недопонимание простоым обывателем работы технологий.

Вообще IPv6 несёт угрозу приватности потому что им можно однозначно идентифицировать каждого пользователя.

Вы точно про ipv6 говорите? Ибо во всех стеках ipv6 реализовано security extension.

На практике функции файрвола выполняет то же устройство, что и NAT. Там совмещённый функционал.

Это не важно, что это выполняет одно устройство. Функциональность эта разная и NAT функции безопасности не несёт. Несёт её файрвол. В IPv6 точно также есть файрвол, который может дропать (и в консьюмерских маршрутизаторах по умолчанию именно так и делает) приходящие снаружи попытки установить соединение.

Не должны программы видеть глобальный IP адрес, небезопасно это.

Это, разумеется, бред, потому, что от знания IP внутри программы никакого вреда нет. А чтобы утечка данных произошла, нужно куда-то подключиться. А если куда-то подключиться, то IP утечёт уже по факту самого подключения.

Вообще, этот клоунский аргумент надо запостить @noIPv6, в коллекцию.

Вообще IPv6 несёт угрозу приватности потому что им можно однозначно идентифицировать каждого пользователя.

Нельзя.

Ибо во всех стеках ipv6 реализовано

Наивные. Некоторые провайдеры выдают IPv6 адреса без подсети.

криптовымогателям вообще до звезды твой айпи и где ты живешь…
им от тебя только балабос нужон. как и большинству вирусов, троянов и прочих заражателей. даже рекламщикам, кои активно собирают информацию о пользователе, глубоко похрен на тебя о велики джо. им нужна статистика. а твоя уникальная личность… нутыпонел…

а когда твоей личностью конкретно заинтересуются, то все твои NAT уже никому и серые псевдоскрытия айпишников уже не помогут.

Это, разумеется, бред, потому, что от знания IP внутри программы никакого вреда нет.

Есть. С помощью сверки по зашитой в код таблице диапазонов адресов можно определить регион. А не хочу чтобы программа знала про регион. Программа должна иметь минимальный доступ к информации необходимый для её функционала.

IPv6 выглядит как метод усиления корпорациями слежки за пользователями и загона в информационные пузыри. IPv4 это чисто технически не позволяет – всем номеров не хватает и приходится использовать пулы адресов.

дык я и говорю - whonix минимум !!!!!!11111