NAT/NPT IPv6

[Sinna]

Naar aanleiding van de reactie van ITnetadmin in IPV6 (DHCP?) in FB7590:

NAT is wel degelijk belangrijk als first (but not only!) line of defense tegen hackers.
Ik ken banken die geen IPv6 wensen in te voeren zonder NAT, omdat ze niet willen dat buitenstaanders ook maar enig idee krijgen welke servers welke services runnen.
Ook bv omdat in Belgie en Duitsland (omwille van privacy en commerciele redenen) IPv6 dynamisch geimplementeerd wordt.
Zonder manier om je prefix dynamisch in te vullen, en je suffix statisch, heb je dus miserie met static ips als je prefix wijzigt; tenzij je NAT of NPT runt.

En bij dual homed netwerken lijk je mij niet onder NPT uit te kunnen.
Iemand al een werkende configuratie? Ik zou graag ook overstappen op IPv6 maar zie momenteel nog veel te veel hobbels (w.o. die dual home).
Mijn bedoeling zou zijn dat het interne netwerk van buitenaf niet bereikbaar is, tenzij via de firewall. Dat interne netwerk is via VDSL en coax met het internet verbonden.

10u, Update vanuit de FB-draad:

Want banken hebben altijd het beste track record met de specs te volgen.
Waar jij meer over praat is load balancers en andere van dat soort zaken. Vergelijkbaar met NAT in a way maar niet hetzelfde IMO.
Het is meer vergelijkbaar met een CDN dan met NAT. (Ongeveer) zelfde eindresultaat maar niet waar wij het hier over hebben.

Dynamische prefix heb ik nog niet vaak tegen gekomen eigenlijk. suffix kan je makkelijk echter wel bekomen met je OS z'n privacy extentions.
Ik had wel begrepen dat Telenet dat in het begin wou of deed, maar weet niet of ze het nog altijd doen?

Je hebt gelijk dat dynamic prefix lastig is. Op dingen als OpenBSD's PF (of pfsense als je het liever "simpel" hebt, al is FreeBSD hun PF ouder en dat kleine beetje anders) zou je het wel vrij simpel voor elkaar kunnen krijgen maar de meest gebruikte dingen hebben het er inderdaad lastig mee.

Alsnog, NAT is geen firewall. Het feit dat poorten die niet ingesteld staan niet geforward worden is een lucky side effect, echter denken door statements als dit dat "omdat ze achter NAT zitten ze safe zijn voor hackers".

De bedoeling van IPv6 was ook alsnog dat iedereen een static range zou kunnen krijgen voor zover dat mogelijk was. Dingen als dynamic prefix is in mijn ogen net als NAT op IPv4 een hack op de spec...
Nuja ISP's zien niet graag hun melkkoe varen denk ik

Ik ben akkoord dat NAT geen firewall is, maar het helpt wel om het interne netwerk toch enigszins afgeschermd te houden.

[blaatpraat]

Omtrent de laatste alinea:
Vanaf je een NAT naar het internet doet, ben je niet beveiligd, zelfs geen enigszins meer.

Iemand met goede bedoelingen:
Ik kan perfect je PC via teamviewer overnemen, terwijl zowel jij als ik achter NAT zitten, en we doen niet aan port forwarding, en de firewall laat gewoon surfen vanaf een client toe (dus poort 80 outgoing).

Ok, dat is een geplande actie, maar de security van het overnemen zit hem bij Teamviewer, niet op het netwerk bij jezelf.

Zonder al te diep technisch gaan hierop: via een gelijkaardige manier kan men toch je netwerk penetreren, terwijl deze zou beschermd zijn met NAT.

[ITnetadmin]

En ik zeg nog net "NAT is wel degelijk belangrijk als first (but not only!) line of defense tegen hackers".
Je mag dat uiteraard niet gebruiken als enige line of defense.
Maar "security through obscurity" is wel degelijk goeie security, op voorwaarde dat het niet je enige security is.

[Splitter]

ik zou eigenlijk gerust ipv6 willen maar tot aan de firewall.
intern wil ik geenszins van ipv4 afstappen en heb daar ook geen reden toe.

[dovo]

Ipv6 kan je perfect dual homen zonder NPT, een RA sturen van beide isp's kan gewoon, en ieder device heeft dan ook gewoon een IP.
Voor lokale communicatie ken je ook nog eens een ULA toe. Meerdere adressen per interface is perfect mogelijk.

[ITnetadmin]

Met een static global ip?
Ik wist niet dat ipv6 dynamic prefixes kan assignen aan static suffixes.

[GuntherDW]

Dat meerdere addresses aan 1 interface kan is eigenlijk ook met IPv4 mogelijk.
Hoewel het klopt dat je "gewoon" meerdere RA's kan hebben op je netwerk, echt "proper" is het ook niet.

Het hangt dan voornamelijk af welke RA eerst of laatst binnenkomt welke je device als default route gaat nemen en tenzij je dat niet erg vind is het vrij snel een hell om te beheren eigenlijk.
Ik het geval van (grotere) bedrijven wil je niet echt aan de "goodwill" van RA's overgelaten worden maar net dingen als DHCPv6 gebruiken.
In dat geval zet je dus in linux bv je adapter z'n "accept_ra" uit.

[dovo]

Dat meerdere addresses aan 1 interface kan is eigenlijk ook met IPv4 mogelijk.
Hoewel het klopt dat je "gewoon" meerdere RA's kan hebben op je netwerk, echt "proper" is het ook niet.

Het hangt dan voornamelijk af welke RA eerst of laatst binnenkomt welke je device als default route gaat nemen en tenzij je dat niet erg vind is het vrij snel een hell om te beheren eigenlijk.
Ik het geval van (grotere) bedrijven wil je niet echt aan de "goodwill" van RA's overgelaten worden maar net dingen als DHCPv6 gebruiken.
In dat geval zet je dus in linux bv je adapter z'n "accept_ra" uit.

Je kan gewoon priority meegeven, no issues there. https://tools.ietf.org/html/rfc4191#section-2.1

[ITnetadmin]

Het gaat er ook om dat in veel bedrijven de netwerkbeheerders (terecht) zeggen "*Wij* zijn baas in het netwerk, niet de provider, en *wij* zullen wel beslissen welke settings hier uitgedeeld worden".
Vandaar dat, tegen alle protest van de puristen in, er toch nat oplossingen komen.

IPv6 is een systeem gemaakt door mensen die er papers over wilden publiceren.
Het werkt (mooi) als je het laat doen wat het wil, maar als je controle over je netwerk wil, en dingen doen zoals je zelf wil en altijd gedaan hebt, dan ben je er voortdurend mee aan het vechten.

Ikzelf bv wacht nog altijd tot het mogelijk is om alle suffixen van dezelfde interface ook gelijk te zettten.
Bv met een dhcp systeem een suffix uitdelen aan een bepaalde computer, en ervoor zorgen dat die suffix niet alleen ingesteld wordt voor het global ip, maar ook voor het link local en het unique local.
Ik wil nl toestellen kunnen groeperen (zoals we dat nu doen, bv alle printers x.x.x.200-210, etc), en belangrijker, kunnen identificeren via wireshark adhv hun ip (maw de computer die :1001 kreeg moet met al zijn ips eindigen met :1001 zodat ie op het oog herkenbaar is).

Nu kan je dat wel proberen, maar gaat die pc voor lokale communicatie toch lekker met zijn eigen gekozen linklocal ip (ffe80:onleesbarerommel) verzenden, zodat hij er moeilijk uit te halen wordt en nog moeilijker om al zijn comms te vinden want gewoon filteren op ip wordt ambetant met meerdere ips.

[GuntherDW]

Je kan gewoon priority meegeven, no issues there

Eerst, fullquote moet niet, is niet toegelaten hier.

Allemaal goed en wel maar dan stuur je zelf de RA's, en configureer je dus alles zelf ipv wat je hier zegt met dat je ISP hun materiaal gewoon de RA's laat sturen.
Die sturen die dingen niet zomaar mee voor zover ik weet?

Dan kan je alsnog gewoon zelf in een bedrijf aan DHCPv6 doen, dan heb je ook alles wat beter onder controle.

ITnetadmin, daar hebben ze RDNS voor uitgevonden. Even een /128 onthouden is wat lastig. Link local adressen zijn ook trouwens zo ingesteld om zo weinig mogelijk conflicten te hebben op het local network, daarom dat ze hun MAC address gebruiken.
Maargoed, als jij dat "puristen" noemt... so be it I guess...

Je kan gewoon je link local address aanpassen/aanmaken zoveel je wil eigenlijk. maar zoals ik al zei, RDNS is iets handig, of typ jij ook elke keer het ip van userbase.be, of google.be of w/e in omdat je dat wil?
Daarom ook die DHCPv6, zodat je clients mooi hun hostname pushen (tenzij anders ingesteld) naar je DHCP server zodat jij mooi dynamisch RDNS entries kan maken. Tenzij je dat allemaal manueel wil doen en vast in je reverse zone smijt.

Maar waar ITnetadmin altijd uitgaat van het zicht van een bedrijf gaat dit uit van een thuisnetwerk. Iedereen z'n netwerk is uiteraard even debiel ingesteld als een bank en heeft fortigate firewalls e.d. staan en enkele GBits/s aan uplink naar verschillende mirrored DC's over het land... right?

[ITnetadmin]

Ik typ intern altijd het ip.
Ik onthoud die ook beter dan namen, die zijn gegroepeerd per device type, je bent bij netwerk issues niet afhankelijk van je dns, etc...
En dat is zowel in mijn werkomgeving zo als bij mij thuis.

Ik kan me overigens niet goed herinneren hoe je link local suffixen manueel instelt.
Het zou alleszins makkelijker zijn als fe80::ffff mijn gateway is en (bv) fe80::1 de eerste pc.
Cisco kan dat dan wel, maar bij windows/linux heb ik het de laatste keer dat ik ernaar zocht niet direct teruggevonden.
Als die dan syncen met hun global ip (bv de fe80::1 is ook de 2001:db8::1) zou dat superhandig zijn voor visual recognition.

Bij bedrijven zou je dan kunnen zeggen dat bv prefix::1:0000/112 (maw de laatste 4 bits zijn variabel) de block is voor pcs, prefix::2:0000 de block voor printers, etc etc.
Als workstation fe80::1:120 dan getraced wordt, dan weet je ook dat zijn andere communicatie zich gaat voordoen met ip 2001:db8::1:120, etc voor alle andere ips van dezelfde interface.

Dat wil uiteraard ook zeggen dat wanneer de dhcp ip suffix ::1:120 uitreikt, de pc die zelf ook gaat moeten instellen en gebruiken bij zijn link local interface, en dus ook automatisch gaat moeten switchen naar fe80::1:120 voor interne communicatie.

[GuntherDW]

Ik bedoelde daarmee dat je op het apparaat dan manueel de link local addresses instelt. Dit is in linux heel simpel met het "ip" command welke je (bijna) al je andere routing dingen mee instelt al.

Tenzij je nog ifconfig gebruikt, al zou het daar ook niet zo moeilijk moeten zijn.

Als je trouwens je clients het adres laat gennen is je link local adres (bijna) hetzelfde als je extern adres. Enkel een bitje is geflipt in het begin van je suffix.

Maargoed dat wil jij niet blijkbaar. Ik herinner me dat je dit standpunt ook al lang hebt. Ik versta dat je baas bent op je eigen netwerk maar als je hiermee constant alle progression wilt blokkeren kan je eigenlijk hetzelfde zeggen over alle andere dingen welke je denkt baas over te zijn.
Waaronder je OS, de firmware van onder andere je routers e.d. en dat soort zaken.

Zoals andere ook doorheen de jaren al gemeld hebben, daarvoor bestaat (R)DNS, laat je clients hun hostname pushen naar je DHCP (is bij windows toch by default zo, Linux hangt het van je DHCP client af) en update daarmee je DNS server. Klaar. Bij wireshark e.d. kan je ook gewoon instellen dat hij IP's moet gaan resolven.

Jij draait bv ook geen ringbus netwerk meer mag ik hopen, of programma's draaien welke enkel over IPX praten?

[ITnetadmin]

Ik verwacht van IPv6 gewoon minstens dezelfde functionaliteit als van IPv4.
Incl herkenbaarheid op IP niveau, mogelijkheid tot het niet uitdelen van gateway adres, etc etc.
Dingen die in 6 moeilijker te doen zijn dan in 4.

Hoe moeilijk is het om te zeggen "zorg ervoor dat een bepaalde interface al zijn suffixen instelt as requested", zodat herkenbaarheid op layer 3 niveau niet verloren raakt?

Veel pragmatici willen hun netwerken runnen volgens procedures die ze al jarendag gebruiken; vaak horen dingen als human readable IPs, NAT, en "geen RAs, de router beslist niet over het netwerk" daarbij.
Je snapt toch dat vele ITers al jaren met human readable IPs werkt, waarbij devices in de IP blocks gegroepeerd worden per soort, zodat ze makkelijk herkenbaar en vindbaar zijn? Dat soort functionaliteit moet behouden blijven.
"Human readable"; zoals mijn voorbeelden hierboven, en geen autogen waarvan een mens totaal niet op het zicht kan afleiden wat voor device het is.

Wat we nu hebben is een rommeltje dat vooral met rust gelaten wil worden, en waarin bepaalde methodieken van IPv4 niet kunnen gerepliceerd worden.
IPv6 is objectief gezien ook veel te complex in mekaar gepruld, zoals velen zeggen, "het is geschreven door mensen die er papers mee willen publishen".

Dit is overigens dezelfde type discussie die puristen vs pragmatici al jaren voeren over "heeft IPv6 een NAT protocol nodig?"; google die kwestie maar ns als je een avondje tijd hebt om alle standpunten daaromtrent na te lezen.

Persoonlijk vind ik het ook niet nodig om teveel layer 7 protocols erbij te sleuren om iets op layer 3 te doen werken.
Dns is een leuk extraatje, maar zonder moet layer 3 ook werkbaar blijven voor de netwerkbeheerder.

IPv6 blijft voor mij vooralsnog een zootje dat zijn r&d verleden dringend moet afschudden en zich wat meer naar de praktijk schikken.
Wil je dat mensen migreren, zorg er dan voor dat je minstens dezelfde functionaliteit hebt als je voorganger.

Dit zie je ook in programmas; hoevaak ik geen oudere versie moet bijhouden omdat de designer bepaalde functies verwijderde.
Vooralsnog is Firefox 52 ESR mijn voorkeurbrowser; sinds quantum werken vele van mijn addons niet meer dus moet ik gedwongen bij het oude blijven om geen functionaliteit te verliezen.
Tja, never break existing workflows.
Apps zijn ook in dat bedje; maar aangezien bij die terugkeren nontrivial is, update ik ook die zelden of nooit.

[charlez]

Zoals bij vele andere blijft ipv6 niet altijd even gemakkelijk te begrijpen.
Niet 100% zeker dat dit de juiste topic is voor mijn 'probleeem'.

Uiteindelijk ipv6 op mijn fortinet firewall met modem only werkende gekregen en passtrough geconfigureerd.
Toestellen intern krijgen mooi een ipv6 adres.

Nu heb ook een pi-hole intern draaien die ik dan ook via ipv6 zou willen kunnen benaderen.
Wat doe je dan? Fixed ip geven...
ow ja, maar je zit met je prefix die zomaar kan veranderen als Telenet er zin in heeft.

Valt dit op te lossen zonder enige al te gekke contructie op te zetten?

[ITnetadmin]

2 oplossingen:

1) NAT66: Dit is de nieuwe NAT zoals je hem al kent, die het volledige interne adres vervangt bij het naar buiten gaan.
2) NPT: Iets meer gebruikt, NPT gaat enkel de prefix vervangen, de suffix blijft.

Zo ga je zelf een interne prefix uitdelen aan je netwerk, en krijgt je provider geen kans om hun prefix op jouw netwerk uit te delen.

Zoals ik hierboven ook al zei, is er geen optie om je IP adres statisch (manueel) in te vullen enkel voor de suffix, en de prefix dynamisch te behouden.
NPT of NAT66 zijn dus je beste opties.

[dupondje]

Of je geeft je devices intern ook gewoon een static private IPv6 naast het global IPv6 adres. Et voila