IPv6

Telekom ipv6 biztonság

Fórumok

A telekomnál automatikusan oszt ipv6 címeket a router a helyi hálózatba. Kíváncsiságból kívülről megpróbáltam pingelni az ilyen címeket, sikeresen, majd pedig kívülről próbáltam csatlakozni a belső hálón lévő RDP szerverre, a v6 címen keresztül. Sikeresen.

Ez nem egy súlyos, kezelendő biztonsági rés most nekem? Mert elvileg NAT mögött lévő RDP szervert nem lehet kívülről elérni, hiszen nem tudom megcímezni (a routeren nincsen DMZ, se portforward) Viszont v6 címen elérhető.

Kell ezzel kezdenem valamit, érdemes letiltani az ipv6-ot a telekom (gyári) routerben, vagy ez így nem lesz gond?

Nem vagyok robot

Fórumok

Sziasztok! Újabban ha megnyitom a Google keresőt, ez a szöveg fogad:

"Ez a hálózat a rosszindulatú viselkedéssel kapcsolatos, címzetlen visszaélési panaszok miatt le van tiltva. Ez az oldal ellenőrzi, hogy valóban egy ember küldi-e a kéréseket, és nem egy robot, amely erről a hálózatról érkezik"

HE tunnelen megyek ki az IPv6 hálózat felé. Nem szereti a Google a Hurricane Electric felől jövő kéréseket?

Google CE VM-be 4to6 tunnel

Fórumok

Sziasztok!

Google Cloud Engine VM-be hogyan kell beengedni a 41-es protokollt?
A tunnelbrokertől megvannak az adatok, interfész a VM-ben konfigurálva, de nem jön semmi.
A hordozó IPv4-es forgalmat se látom.

Próbált valaki így IPv6-ot csinálni a Gugli VM-jébe?

A neten egy válaszban azt találtam, hogy nem engedik a 41-es protokollt. A tűzfal (Gugli) beállításoknál viszont nem tiltakozott a protokoll alatt a 41-et beírni, viszont érezhető hatása nincs.

Köszi!

(Megoldva) Vodafone IPv6

Fórumok

Úgy néz ki, engem is utolért a végzet :) A Vodafone külön értesítés nélkül (minek is) IPv6 + CGNAT-ra tett át. Igazából fogalmam sincs mikor, ott derült ki, hogy a fiam szeretett volna magának valami VPN-t csinálni és a korábban hozzá forwardolt portok nem működtek, és már a routerem iptables filterében sem növekedtek a számlálók, ha próbáltam kintről kapcsolódni. Aztán jobban megnézve a vodafone router beállítását, nem találtam a korábbi portforward menüpontot, és ha lekérdeztem az adatokat, a külső IPv4 cím helyett megjelent egy IPv6 cím meg egy prefix delegation egy /57-es tartománnyal (ami azért első körben emberbarátnak tűnik).

Akinek esetleg Vodafone netje van, van információja arról, hogy ez a delegált prefix mennyire állandó (mondjuk egy router restart után)? Ha igen, arra kérem, hogy ossza meg a tapasztalatait.

Mindenesetre első lépcsőként a delegációból sikerült egy IPv6 címet beállítani az edgerouteren, egyelőre eddig jutottam, a tovább delegálás még hátravan (leírást találtam róla, viszonylag egyszerűenk tűnik a dolog), de előtte még be kell lőnöm az IPv6 tűzfalat, hogy ne legyen nyitott a hálózat.

Korábban már próbálkoztam IPv6-tal (Hurricane Electric tunnelen át), tehát nem teljesen szűz terület, ami akkor nem teljesen jött össze, az a DHCPv6. Az automatikus címadás működött rendben (SLAAC), de szeretném elérni, hogy a hostok IPv6 címei bekerüljenek a DNS zónámba. Ha erről valaki tud valami részletes és viszonylag emészthető leírást (angol vagy magyar nyelven), azt szívesen venném.

Egyelőre ennyi.

Router címének kitalálása

Fórumok

Van a digis router.
Ad IPv6-ot (is).

Van a LAN oldalán egy Linuxos gép, szintén IPv6-tal.
Hogyan tudom kitalálni erről a gépről a router LAN és WAN oldali IPv6 címét?

A router WEB oldalán látok IPv6-ot a WAN oldalra és látok MAC címet, ami köszönő viszonyban sincs
egymással! A hálózati rész természetesen kitalálható a prefix-ből, aminek az utolsó 4 bájtját csere-beréli
a Digi (csak azt nem tudom, minek!).

A LAN-ról nem látok semmit ...
 

Szeretném pingetni a router mindkét oldalát, de nem a WEB oldaláról kinézve a WAN oldal címét,
illetve a LAN oldal is jó lenne.
A route -6n kimenetéből a _gateway a fe80::1, ami sokat nem mond, ha a Netről akarnám elérni.

ARP nincs, így hogyan lehet kitalálni a router IPv6 címeit?

Köszi!

IPv6 only site elérése IPv4 only hálózatból

Fórumok

Adott az alábbi probléma: IPv4 CGNAT mögött, és nem is feltétlen szeretnék / tudok vele nagyon harcolni. IPv6 működik szépen.

Mi a leginkább költséghatékony módja, hogy elérjek egy IPv6 site-ot IPv4 hálózatból ?

Ami eddig eszembe jutott, hogy valahol felrántani egy VPS-t, amin lenne v6-v4 reverse proxy. Az a kérdés, hogy van-e ennél egyszerűbb / költséghatékonyabb megoldás? Létezik-e valami ilyesmi szolgáltatás, ahol lehet 1db-ot is igényelni emberi árban?

Amin egyébként gondolkodtam, az a Google compute free tier, ahol maga a VM ingyen lenne, az első GB egress szintén, utána $0.12 /GB ennek az egyetlen hátránya, hogy a free tier csak US region-ben elérhető.


 

https://cloud.google.com/free/docs/free-cloud-features#free-tier

iptables IPv6

Fórumok

Sziasztok!
 

Van egy Debian alapú szerveren. A szolgáltató eszközt cserélt és nincs rendes ipv4 címen. Az alábbi szabályokkal nem érem el a szervert

:INPUT DROP [6:720]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state NEW -p udp -m udp --dport 546 -j ACCEPT
-A INPUT -m state --state NEW -p udp -m udp --dport 547 -j ACCEPT
-A INPUT -p ipv6-icmp --icmpv6-type 128 -j ACCEPT
-A INPUT -m state --state NEW -p tcp -m tcp --dport 22 -j ACCEPT
-A OUTPUT -m state --state INVALID -j DROP

Se a ping se az ssh nem megy. Mit rontottam el?

Segítséget előre is köszönöm

[Megoldottam] Proxmox dual-stack mode

Fórumok

Proxmox VE szervert telepítettem, de valamit rettentően sikerült félrekonfigurálnom, vagy alapvetően félreértem az egész működését.

Alapból ipv4 címekkel telepítettem, írta is a telepítő, hogy VAGY ipv4 VAGY ipv6 a kettőt együtt nem tudja. Ez rendben is lenne. 

Ugye van a LAN csatoló ahonnan bejön/kimegy a net, illetve alapból létrehoz egy bridge interface-t, amire teszi a gyökér hostot, ha jól értelmezem. 

~# cat /etc/network/interfaces
auto lo
iface lo inet loopback

iface enp2s0 inet manual

auto vmbr0
iface vmbr0 inet static
        address 192.168.5.153/24
        gateway 192.168.5.1
        bridge-ports enp2s0
        bridge-stp off
        bridge-fd 0

Tehát, ha jól látom az enp2s0 csatoló nincs konfigurálva? Én ezeket a paramétereket amikor megadtam a telepítéskor, azt hittem, hogy a fő hálózati csatolót (enp2s0) konfigurálom, nem a bridge-t(vmbr0). Ezért is írtam, hogy nem értem, illetve félreértem a szerver működését. Kérdésem: Ezeket a paramétereket megadhatom a fentebbi állományban a másik interface-nek is?

Másik kérdésem: Hogyan lehetne dual-stack működésre bírni a pve-t? 

~# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: enp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master vmbr0 state UP group default qlen 1000
    link/ether d8:9e:f3:96:00:00 brd ff:ff:ff:ff:ff:ff
3: vmbr0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether d8:9e:f3:96:00:00 brd ff:ff:ff:ff:ff:ff
    inet 192.168.5.153/24 scope global vmbr0
       valid_lft forever preferred_lft forever
    inet6 fe80::da9e:f3ff:fe96:0/64 scope link
       valid_lft forever preferred_lft forever

Minden segítő választ köszönök!

VPS IPv6 tartomány továbbosztása otthonra

Fórumok

Üdvözlet mindenkinek

Szükségem lenne némi iránymutatásra IPv6 témában: Előfizettem rackforestnél egy kissebb VPS-re, és kértem/kaptam egy /56 IPv6 címet. Azt szeretném elérni hogy ebből egy /60 vagy /64-es tartományt a saját itthoni hálózatomon tudjak használni tunnel-en keresztül. Odáig jutottam hogy hogy a VPS-en beállítottam egy Wireguard szervert és itthon egy VMWare VM-ben egy Wireguard klienst. Ez idáig remekül működik, a Wireguard csatlakozik, az itthoni (router) VM-ben van IPV6, tudok is pingelni bármilyen V6-os címet. A wireguard interface-ek címei a kapott tartományból statikusan beállított IP címek.

Kapott tartomány: 2aaa:bbbb:1::/56

VPS eth0        : 2aaa:bbbb:1:0::cccc:1/64
VPS wg0         : 2aaa:bbbb:1:1::1/64
Router VM  wg0  : 2aaa:bbbb:1:1::2/64
Router VM  eth0 : /WAN, Nincs csak ipv4 cím/
Router VM  eth1 : /Ide mi kellene megadnom?/

A VM-ben felvettem egy második hálózati csatolót (eth1) amely bridge-elve van az adott host egy fizikai interface-ével. Azt szeretném hogy ami erre az interface-re kerül csatlakoztatásra fizikailag, az kapjon V6-os címet. És itt akadtam el. Azt nem sikerül elérni hogy a VM-ben a wg0 csatolót "bridge"-eljem (tudom egyik layer2 másik layer3 tehát bridge nem lehet) a másik (eth1) csatolóval.

Egész nap ezzel kísérleteztem, keresgéltem és már valószínűleg nem látom a fától az erdőt. Próbáltam static route-al, NDP proxy, IP forwarding engedélyezve van. A VPS és a helyi VM is Debian 11.

Tehát alap kérdés: hogyan tudok a (router/kliens) VM-ben a wg0 és az eth1 között kapcsolatot teremteni?

PS: Átolvastam vagy 10x, sorry ha még így is kusza, ha szükséges még pontosítok.

Bejutás a helyi LAN-ba IPv6-on - Telekom

Fórumok

Sziasztok!

 

Telekom Sagemcom @5670-es dobozka, nem bridge módban (és ez általam nem is változtatható ...).

Pingetni nem lehet a WAN és a LAN oldalt sem!

A helyi LAN-ból megy az IPv6-t, kilátok, de be nem!

 

Van itt valaki, aki nagy szakértője ennek a dobozkának és a Matáv IPv6-os szolgáltatásának?

Yettel nem adott IPv6-ot az OtthoniNet-hez, de ott megoldottam a HE-net TLB-vel. Gondoltam itt könnyebb lesz! Hát befelé jelenleg nem, ráadásul a HE.net TLB-s megoldás csak bridge (?) módban megy, mert valahogy a DMZ-be tett gépre nem jönnek a Proto 41-es csomagok és itt pl. WireGuard VPN (tunnel) nem támogatott.

Milyen lehetőségeim vannak?

Köszi!