IPV6 på pfSense

[minim]

Jeg kjører nettverket hjemme fra Telenor ONT og rett i pfSense i en virtuell maskin og derfra ut på 2stk managed 24 Porter. Plagdes så fælt med å få T-We til å fungere at jeg begynte å deaktivere IPv6 i pfSense i går, men årsaken var trolig igmp i switchene. Jeg trodde tildeling av IPv6 IP med manglende regler var årsaken først..

Når jeg begynte å se på å skru IPv6 på igjen begynte jeg å tenke på hvorfor. På et hjemmenettverk har man plenty med adresser i ipv4 og IPv6 byr jo bare på at adressene er uhåndterlig lange samt at man må ha to sett brannmur regler. Jeg har også nada forståelse for IPv6 så sjansen er stor for en dårlig config I brannmuren. I dag er jo IPv6 bygget inn i kjernen i Linux/freebsd og man må i regedit for å få det av i windows så de vil jo tydeligvis at det skal brukes. Hvorfor er det så viktig?

[sk0yern]

Det er vel fortsatt omdiskutert om det er "så viktig".
For mannen i gata så virker jo IPv4 fortsatt fint, og vil trolig gjøre det i mange år framover.
Argumentene nå er vel hovedsaklig å sikre en god ende-til-ende forbindelse.
Ser man f.eks på gaming-consoler, så kan det jo være et lite sirkus. Har du i tillegg flere gaming-console bak samme NAT-device, så blir det enda mer styr. Dette problemet eliminerer IPv6.
Så kan man si at ting blir mindre komplekst med IPv6, med tanke på at man slipper NAT.
Men i overgangsperioden (og gudene vet hvor lenge den vil vare, til 2100?), så blir ting mer komplisert. Du må f.eks som du skriver forholde deg til både IPv4 og IPv6 i brannmuren.

[minim]

Høres igrunnen ut som om det ikke er noe poeng da. Får sperre all IPv6 trafikk i brannmuren og heller se på det i 2050 når det er mer modent er vel allerede noe som kom for 20år siden så er vel en grunn til at det er så lite utbredt.

[sk0yern]

minim skrev (6 timer siden):

Høres igrunnen ut som om det ikke er noe poeng da. Får sperre all IPv6 trafikk i brannmuren og heller se på det i 2050 når det er mer modent er vel allerede noe som kom for 20år siden så er vel en grunn til at det er så lite utbredt.

IPv6 er defintivt modent. Det har bare tatt veldig lang tid å ta det i bruk.
Bruken har dog vokst voldsomt de siste årene, se f.eks: https://www.google.com/intl/en/ipv6/statistics.html

Se også at det varierer stort fra land til land. Den dagen de større ISP'ene i f.eks Kina ruller det ut, vil den grafen gjøre et signifikant hopp.

[NULL]

14 hours ago, sk0yern said:

IPv6 er defintivt modent. Det har bare tatt veldig lang tid å ta det i bruk.
Bruken har dog vokst voldsomt de siste årene, se f.eks: https://www.google.com/intl/en/ipv6/statistics.html

Se også at det varierer stort fra land til land. Den dagen de større ISP'ene i f.eks Kina ruller det ut, vil den grafen gjøre et signifikant hopp.

Bruken sier noe om IPv6-støtte mot Google sine tjenester. Så lenge det ellers blir en god del tjenester som ikke støtter IPv6, endret man opp i en situasjon der man må kjøre dual-stack. 

Den dagen Apple og Google begynner å stille steinharde krav om IPv6-støtte for at apper skal bli godkjente, vil det vel kanskje begynne å skje interessante ting.

[sk0yern]

NULL skrev (9 timer siden):

Bruken sier noe om IPv6-støtte mot Google sine tjenester. Så lenge det ellers blir en god del tjenester som ikke støtter IPv6, endret man opp i en situasjon der man må kjøre dual-stack. 

Den dagen Apple og Google begynner å stille steinharde krav om IPv6-støtte for at apper skal bli godkjente, vil det vel kanskje begynne å skje interessante ting.

Riktig at bruken sier noe om andel klienter som kjører IPv6 mot google sine tjenester, men det gir en god pekepinn utbredelse av IPv6 hos klienter.
Dual-stack må man leve med helt til noen av de større aktørene sier at andelen klienter som støtter IPv6 er så stor, at de kutter ut IPv4. Om det skjer om 10, 20 eller 100 år er en annen sak.

[agvg]

Er manko på IPv4 adresser, mange ISPer vil begynne og plassere kundene bak store NAT løsninger og du vil miste din mulighet til og åpne porter o.l. Hva mener du er problemet med IPv6? Hva er det du kjører  over IPv6 som krever at du må åpne porter og huske adresser?

[norsemanGrey]

Jeg lurer på litt av det samme. Jeg har satt opp en pfSense maskin som min brannmur nylig, men blir forvirret av all ipv6 konfigurasjonen som jeg egentlig ikke kan noe om. Hva er det på et privat nett som i dag er avhengig av ipv6 for å fungere optimalt? Er det noe i det hele tatt eller kan jeg trygt disable alt som har med ipv6 å gjøre i pfSense uten å merke not til det?

[sk0yern]

Du kan ganske sikkert trygt disable alt som har med IPv6 å gjøre, uten at du merker noe spesielt til det.

Dog hadde jeg heller snudd på det, hvorfor vil du ikke benytte muligheten til å lære mer om IPv6?
Lager du en brannmurregel som blokkerer all IPv6 trafikk fra internett mot innside, så skulle det sikkerhetsmessig uansett være tilstrekkelig.

[norsemanGrey]

4 hours ago, sk0yern said:

Du kan ganske sikkert trygt disable alt som har med IPv6 å gjøre, uten at du merker noe spesielt til det.

Dog hadde jeg heller snudd på det, hvorfor vil du ikke benytte muligheten til å lære mer om IPv6?
Lager du en brannmurregel som blokkerer all IPv6 trafikk fra internett mot innside, så skulle det sikkerhetsmessig uansett være tilstrekkelig.

Ja, vil absolutt lære mer om det, men da er det først og fremst greit å vite om det i det hele tatt er noe som faktisk bruker dette på et vanlig hjemmenettverk og i så fall hva.

[agvg]

norsemanGrey skrev (4 timer siden):

Ja, vil absolutt lære mer om det, men da er det først og fremst greit å vite om det i det hele tatt er noe som faktisk bruker dette på et vanlig hjemmenettverk og i så fall hva.

Hva tenker du på? Det brukes da på lik linje med IPv4 til Internett,  Win10 foretrekker IPv6 hvis det er tilgjengelig og jeg regner med at alle andre moderne OSer gjør det samme. 

Men det brukes jo uten at du merker det, er jo en ny og forbedret utgave av protokollen. 

 

[norsemanGrey]

10 hours ago, agvg said:

Hva tenker du på? Det brukes da på lik linje med IPv4 til Internett,  Win10 foretrekker IPv6 hvis det er tilgjengelig og jeg regner med at alle andre moderne OSer gjør det samme. 

Men det brukes jo uten at du merker det, er jo en ny og forbedret utgave av protokollen. 

 

Beklager hvis jeg stiller dumme spørsmål, men når du sier at Win10 foretrekker IPv6, mener du da at applikasjoner / servicer benytter IPv6 til å kommunisere med servere på nettet (forespør de da etter en IPv6 adresse)? Vil det fungere så lenge det f.eks. er kun IPv4 kommunikasjon mellom Windows 10 og ruteren på LAN eller har ikke det noe å si?

[sk0yern]

norsemanGrey skrev (2 timer siden):

Beklager hvis jeg stiller dumme spørsmål, men når du sier at Win10 foretrekker IPv6, mener du da at applikasjoner / servicer benytter IPv6 til å kommunisere med servere på nettet (forespør de da etter en IPv6 adresse)? Vil det fungere så lenge det f.eks. er kun IPv4 kommunikasjon mellom Windows 10 og ruteren på LAN eller har ikke det noe å si?

Det betyr kort fortalt at hvis du forsøker å gå til f.eks www.vg.no, vil det først gjøres et navneoppslag:

host www.vg.no
www.vg.no has address 195.88.54.16
www.vg.no has address 195.88.55.16
www.vg.no has IPv6 address 2001:67c:21e0::16

Hvis maskinen din har en IPv6 adresse, og tror den kan nå vg på IPv6, vil den forsøke det først. Dersom de ikke skulle komme noe svar tilbake i løpet av typisk 250ms, forsøker den på IPv4 isteden.

Dersom du kun kan nå routeren din på IPv4, vil IPv4 bli brukt.

[norsemanGrey]

Var ikke mye IPv6 å spore her 😄

2020-11-04_12-03-28.bmp