IPv6, è ora

[ppraz]

Ciao,
vorrei condividere questo post con chi di voi, per lo più ISP, sta facendo esperienza con IPv6 visto che, diciamocelo chiaramente, è ora di passare a gestire propriamente questo protocollo.
Ottenere una classe pubblica dal RIPE o dal proprio LIR è cosa semplice, annunciare la propria subnet in BGP ai propri operatori fornitori, semplice pure quello, assegnare ip agli apparati in maniera statica... vabbè si può fare, basta abbondare con i "::" e semplificarsi la vita, ma forse la cosa più complicata è assegnare una classe ipv6 ai propri utenti.

Radius ha l'attributo Delegated-IPv6-Prefix che è proprio quello, la classe da dare al proprio cliente
E il routing? E le regole firewall?

Il routing deve essere dinamico, ovvio, è il pppoe-server che si occupa di comunicare al resto della rete la subnet ipv6 assegnata al customer?
Il firewall va attivato, attualmente non lo facciamo perché l'ipv4 pubblico "maschera" la rete interna, ma in ipv6 la nat non esiste, tutti gli ip sono pubblici ed esposti. Che si fa? Regola standard che consente tutto "da in a out" e solo le established-related "da out a in"?

Raccontiamoci le proprie esperienze!

[steste64]

Io questa esperienza la vorrei iniziare ma da dove?

[xanio]

esperienza che vorrei iniziare pure io, ma la vedo MOLTO dura, un mondo completamente stravolto di vedere ed implementare le regole di networking fin adesso usate. Si riparte da zero.

[steste64]

Forse se ci mettiamo in tre qualcosa viene fuori.
Cominciamo a capire se abbiamo esigente convergenti.
Io vorrei migrare per una semplice ragione..... ho finito da un pezzo gli ipv4.
Ho invece una marea di indirizzi miei ipv6

[xanio]

ma per ipv6 se io al mio cliente gli devo dare l'ip pubblico, gliene do un pool e non soltanto 1, ma poi da "internet" riesce a gestirlo bene? Oppure è arrivato il momento in cui devo impiantarmi un dns server per le persone che non sono pratiche vi immaginate uno che mi cerca ip per impianto di videosorveglianza e gli do un bel xxx:::X:::X::X:XXX::X muahuhhau

[ppraz]

Ci sono alcuni paletti, sicuramente Xanio dovrai usare un bel DNS, ma quello ti assicuro che è "il meno"
A livello di configurazione adesso usiamo tutti la NAT con il suo effetto secondario di fare da firewall, ma come dico è un effetto secondario!
In IPv6 dovremo specificare regole firewall attente, ogni IP è pubblico, sapete che casino potrebbe succedere.
E' vero che gli IP sono talmente tanti che uno scan è impossibile da realizzare, ma pensate al caso in cui si prova ad attaccare un host cui è stato assegnato un nome, lo trovi e ha "tutte le porte aperte"
Purtroppo Ste se hai finito gli ipv4 devi nattare, il tempo in cui ipv4 sarà completamente soppiantato è lontano, ma adesso possiamo fare uno sforzo sistemistico (notevole) e passare tutto in dual stack.
Le connessioni ipv4 subiranno nat, ma le ipv6 andranno dirette, e niente nat significa meno calcoli per i nostri apparati, ossia più performance.

Io uso un approccio pppoe based, quindi autentico gli utenti in radius e tramite pppoe gli assegno un ip (pubblico o privato) quindi le cpe degli utenti nattano e io al centro stella decido se effettuare una seconda nat.

in ipv6 sono ancora un po' confuso su cosa fare...
Assegno un framed-ipv6-address? ok
Assegno un delegated prefix (ossia la subnet che la cpe utente userà per assegnare il dhcpv6 locale)? ok credo si faccia così
e poi il routing dinamico? devo instaurare una sessione ospfv6 con tutte le cpe?
insomma, devo provare, a breve avrò tutti gli strumenti per farlo, se qualcuno di voi ci si è già cimentato sarei lieto di scambiare idee

solo per tornare ai "paletti": credo che a un utente finale sia necessario assegnare una /64, un LIR ha una /32 (o più larga ancora, fino a /29) e un AS ha una /48
A conti fatti un LIR può assegnare 65535 AS e ognuno di essi può assegnare 65535 utenti finali muniti di /64
se fate coincidere LIR = AS sono 32 miliardi di utenti finali... not bad at all

[steste64]

>Io uso un approccio pppoe based, quindi autentico gli utenti in radius e tramite pppoe gli assegno un ip >(pubblico o privato) quindi le cpe degli utenti nattano e io al centro stella decido se effettuare una seconda >nat.

Sono nella tua identica situazione.....

[uniconnect]

Ragazzi passare a IPv6 non è uno scherzo!!! ... concordo con ppraz sul dual stack!!! ... ma concordo anche con xanio sulla necessità di cambiare l'approccio!!! ... personalmente lo sto studiando da circa due anni proprio perchè la mia situazione differisce dalla vostra, visto che io non utilizzo servizi pppoe, e quindi passare a ipv6 mi darebbe molti vantaggi...

telecom ha già attivato in alcune zone del nord italia le rotte in ipv6 su client business introducendo regole di nat sul modem finale dell'utente ... mentre la pubblicazione ipv6 è diretta...

In sintesi un gran casino... secondo me si dovrebbe prevedere una migrazione globale programmata verso ipv6 (della serie o tutti o nessuno), questo semplificherebbe un po' le cose ....

Comunque trovo che la discussione sia molto interessante, non la facciamo cadere, alimentiamola

Ciao a tutti.

A.

[steste64]

Domanda: c'è un qualche sussidio in italiano che possa aiutare a inquadrare questo benedetto ipv6?
Una roba non troppo per specialisti. Oppure ipv6 è pensato solo per gli specialisti?

[xanio]

Si parte dal presupposto che se sei un Provider, sei esperto di IT, quindi ipv6 è per spiacilisti

Heheeh, cmq vedrò non poche rogne nell'implementazione dello stesso in produzione