@Tux0ne Sì, /56…
@Anonymhmm ognuno ha la propria opinione… ma non sono sicuro di riuscire a capire il tuo ragionamento….
Al momento capisco che desideri portare con te la tua sottorete IPv6 presso un provider, con quanta più larghezza di banda possibile, giusto?
Swisscom Network Engineer IP+ AS3303,
Quindi inizierei l’esperimento in modo più semplice.
Poiché il prefisso qui non è statico. È quindi necessario tenere traccia dell’interfaccia WAN nelle interfacce locali. Quindi con un prefisso 56 hai 8 bit (2 cifre dopo il prefisso) rimasti per creare 64 reti. Quindi puoi andare da 00 a ff.
Ho visto che Internet Büx fa 00.
Quindi configura WAN e localmente. Riavviare l’interfaccia. Quindi puoi anche controllare nel registro del firewall per vedere se qualcosa sulla WAN è stato bloccato con UDP 546. Dovresti quindi attivarlo.
Se non funziona. Altrimenti ho un codice di riferimento pronto 😂
Grazie Tux0ne
Con l’opzione “Richiedi solo un prefisso IPv6” ora ottengo almeno un IPv6 sull’interfaccia WAN: xxxx::xxx:xxxx:xxxx:xxxx%igb2 (non so se il suffisso “%igb2” dovrebbe essere 😉 )
E a quanto pare ho un nuovo IP sull’interfaccia IPv4… 🙄
Sull’interfaccia LAN, Track Interface è attivo:
[upl-immagine-anteprima liId=42296iD48799C706A3ECE8 alt=2.png uuid=f9e80101-08f0-4ac7-b5b8-90252afe29fe]
Nei registri del firewall non vengono visualizzati blocchi su UDP 546:
Tuttavia, ricevo un messaggio sulle pagine di test IPv6 che dice che IPv6 non è supportato:
Esattamente la massima velocità possibile con i miei indirizzi IPv6, che posso portare con me se cambio provider. Ciò ha più che senso.
Non mi aiuta molto se il mio Pfsense ha un indirizzo IPv6 con prefisso Swisscom o Secondo me non ha nulla a che fare con IPv6. Secondo me, chi si preoccupa solo di questo principio non ha capito il concetto e l’idea alla base di IPv6.
Poiché IPv6 non può comunicare con IPv4, devo attivare e configurare IPv6 su ogni dispositivo e non esiste NAT con IPv6, ed è proprio qui che arriva il problema. Ora devo assegnare un indirizzo IPv6 a ogni dispositivo, ad esempio alla mia stampante.
Se ora do alla mia stampante un IPv6 con prefisso Swisscom, quando cambio provider devo riconfigurare la stampante.
Per favore correggimi se è sbagliato, allora non ho fatto i compiti?
Il mio problema (e tutti coloro che hanno un NAS o una fotocamera) ne risentono e saranno davvero nei guai se cambio fornitore. Questo significa dover riconfigurare ogni volta l’intera rete è impensabile per le aziende e se hai ancora la documentazione puoi comunque dimenticartene.
Dovrebbe quindi esserci una decisione del Tribunale federale che disciplini chiaramente tutto ciò, vale a dire che ogni provider deve consentire e fornire anche indirizzi IP indipendenti. L’unica alternativa che vedo è che il provider si faccia carico della riconfigurazione compreso l’aggiornamento della documentazione, quindi non ho problemi con questo. Ovviamente l’accesso al mio appartamento sarebbe garantito, ma ovviamente c’è solo una certa finestra di manutenzione predefinita e non sarà una settimana. In questo caso però probabilmente bisognerebbe adattare le regole del firewall perché devo assegnare anche indirizzi IP fissi. Presumo che per il resto sia chiaro che anche eventuali proxy inversi e storie DNS devono essere modificati.
Non sto parlando di un problema grave qui (a meno che tu non abbia già IPv6 in esecuzione e non ne hai tenuto conto). Ma non riesco a capire perché ragioni di marketing lo rendano così difficile. A proposito, mi piacerebbe vedere i fornitori quando RIPE dirà che riceverete tutti nuovi prefissi perché dobbiamo riorganizzare qualcosa.
Sì, non lo vedi in modo del tutto realistico @Anonymous
Anche se cambi il tuo ISP e il prefisso associato cambia, non devi riconfigurare tutto.
Fondamentalmente hai Slaac, quindi tutto viene affrontato in un modo nuovo. E per i servizi server è possibile effettuare lease statici utilizzando DHCP6.
DHCP6 in pfsense riprende questo se è presente un prefisso dinamico. Sono definiti solo l’intervallo e l’identificatore client statico. Il prefisso viene ripreso in base al tracciamento della WAN. Dovresti configurarlo in questo modo.
Con la risoluzione DNS locale c’è anche la possibilità di adottare i nomi sulla base del lease DHCP6.
Quindi, solo perché hai IPv6 non ti lega improvvisamente all’ISP perché indirizzare i client dovrebbe presentare ostacoli insormontabili.
Penso che il cambio del mio ISP abbia richiesto meno di mezz’ora e avevo alcune configurazioni statiche.
@Anonimo ha scritto:
non esiste NAT con IPv6,
IPv6 supporta anche NAT. Tuttavia, l’utilizzo di NAT con IPv6 è non consigliato:
[https://security.stackexchange.com/questions/44065/with-ipv6-do-we-need-to-use-nat-any-more](https://security.stackexchange.com/questions/44065/ con-ipv6-dobbiamo-utilizzare-più-nat)
@Anonimo ha scritto:
Per favore correggimi se è sbagliato, allora non ho fatto i compiti?
Il mio problema (e tutti coloro che hanno un NAS o una fotocamera) ne risentono e saranno davvero nei guai se cambio fornitore. Ciò significa riconfigurare ogni volta l’intera rete, cosa impensabile per le aziende
Esistono anche meccanismi per la distribuzione completamente automatica degli indirizzi IPv6 globali per IPv6. Ad esempio: DHCPv6 e SLAAC. Chi assegna manualmente un indirizzo IPv6 globale a ogni partecipante alla rete domestica o aziendale fa qualcosa di sbagliato:
https://www.elektronik-kompendium.de/sites/net/2004011.htm
https://www.elektronik-kompendium.de/sites/net/1902141.htm
https://www.elektronik-kompendium.de/sites/net/1902131.htm
@Anonimo ha scritto:
Il mio problema (e tutti coloro che hanno un NAS o una fotocamera) ne risentono e saranno davvero nei guai se cambio fornitore.
Per motivi di sicurezza l’accesso a tali dispositivi da Internet dovrebbe essere possibile solo tramite un tunnel VPN. Vedi “Regola n. 5 per una buona prestazione” all’indirizzo:
[https://community.upc.ch/d/4397-diagnose-tool-der-connect-box-says-your-home-network-hat-derzeit-einige-probl/27](https://community.upc.ch/d/4397-diagnose-tool-der-connect-box-says-your-home-network-hat-derzeit-einige-probl/27] upc.ch/d/4397-diagnose-tool-der-connect-box-says-your-home-network-has-currently-some-probl/27)
\=> IPv4 potrà essere utilizzato anche in un lontano futuro per i tunnel VPN.
In generale dovreste evitare di utilizzare IPv6 finché l’ISP (qui Swisscom) non supporta il dual stack:
https://www.elektronik-kompendium.de/sites/net/1904041.htm
L’uso di soluzioni tunnel IPv6 è non consigliato. Vedi "Regola per una buona prestazione n. 26 e:
[https://community.swisscom.ch/t5/Internet-Allgemein/IPv6-6rd-MTU/td-p/641943](https://community.swisscom.ch/t5/Internet-Allgemein/IPv6-6rd- MTU/td-p/641943)
546 sarebbe la porta locale e non la porta del mittente.
Nessun indirizzo è stato configurato come gateway sulla LAN?
Quindi devi solo fare un po’ di tentativi ed errori.
Puoi anche provare con una configurazione come questa. Semplicemente con il prefisso 56 e non 52!
Non è necessario configurare la RA in modo che i client locali possano utilizzare IPv6. È già chiaro?
> Non è necessario configurare la RA in modo che i client locali possano utilizzare IPv6. È già chiaro?
No, non mi è chiaro, voglio solo dichiararmi un noob di IPv6. 🙈😄
E ho immaginato che sarebbe stato in qualche modo più semplice con l’IPv6.
In realtà vorrei comunque utilizzare IPv6 solo per interesse, ma non ho problemi a disattivarlo se (da quello che ho letto qui) molti provider (inclusa Swisscom) lo rendono ancora più complicato del necessario.
Dato che sono ancora un po’ ambizioso, mi piacerebbe fare qualche altro tentativo.
E per avvicinarci alla diagnosi: no, sull’interfaccia interna (LAN) non è configurato alcun indirizzo IPv6.
Nemmeno il server DHCP viene eseguito sul firewall, è affidato in outsourcing a server interni dietro di esso e non è configurato per IPv6 (se necessario), oppure vedo qui che le RA sembrano far parte del server DHCP6.
Tuttavia, prima di affrontare la configurazione I Pv6 dei client locali, vorrei che la parte sul router funzionasse correttamente.
Tux0ne Anche con tutte le opzioni aggiuntive, l’interfaccia WAN ha solo un indirizzo fe80::, che probabilmente corrisponde al link-local e indica che non è nemmeno stato ottenuto un indirizzo IPv6 “reale”. 😞
Quindi non ho mai fatto questa configurazione su cui stai lavorando su un PF, ma sospetto che il secondo hack sia sbagliato @guybrush82 non vuoi avere la v6 sopra la v4,.. ..
Swisscom Network Engineer IP+ AS3303,
@ChristianEb Questo era solo per testare in base ai consigli di @Tux0ne.
Ora l’ho tolto di nuovo, ma non è cambiato nulla.
Grazie per le vostre risposte da più parti. Devo ancora fare un po’ dei compiti. Ma questo diventa più che complicato con IPv6, tutte le cose che devi/dovresti/puoi prendere in considerazione. Un vero e proprio miscuglio di possibilità. Ciò significa anche che il 90% degli attuali supervisori della rete domestica perderà la panoramica completa con IPv6 😄 a meno che non si abbia molto tempo.
Ma devo ancora documentarmi su alcuni servizi. Conosco il compendio di elettronica ma non l’ho ancora finito.
“Chi assegna manualmente un indirizzo IPv6 globale a ogni partecipante alla rete domestica o aziendale fa qualcosa di sbagliato:”
Sicuramente esaminerò questa affermazione in modo più dettagliato, la testerò e la leggerò. Questo è esattamente il nocciolo della questione.
Il resto riguardava Prestazioni e sicurezza sono argomenti diversi e sono trascurabili nella prima fase perché prima deve essere chiaro il principio di base. Segue la sicurezza e infine le prestazioni.
Scoprirò cosa significano SLAAC e autoconfigurazione. Grazie per l’informazione
Ovviamente sono ancora interessato alle impostazioni del Pfsense. Ma non ho ancora deciso quale Internet mi accompagnerà in futuro. Ma ci vorranno ancora 2 mesi prima che tutti i cavi siano collegati e tutto sia collegato. Quindi ho ancora tempo e devo ancora ordinare l’hardware e valutarlo. Ma puoi vedere che non sono l’unico e mi fa piacere 🙂.
Da ieri è disponibile XGS-PON 10/10 Giga. Ora ho pensato quanto segue:
Ordinando Hybrid7 P2MP è incluso anche lo Zyxel AX7501-B0, che ho impostato in modalità bridge. Dopo arriva il mio Pfsense e lì ho la mia WAN IPv4 dinamica? Ciò non significa un indirizzo interno del modem Zyxel.
Domanda semplice, quindi vorrei una risposta semplice: funziona o non funziona!
Per ora tralasciamo IPv6. Posso configurarlo più tardi. Voglio solo avere il mio IP WAN direttamente su PFsense, se ciò non è possibile avrò dei problemi.
Sono un po’ confuso a causa di affermazioni come questa che ho già ricevuto:
Il 10G tramite PPPOE richiede un utilizzo estremamente intensivo della CPU. Laddove in realtà abbiamo darkfiber/FTTH diretto, il 10G viene semplicemente instradato, PPPOE richiede molta più CPU e quindi ricevo solo lamentele perché raggiunge il picco a 2,3,4GBIT/s a seconda della situazione. Al momento non forniamo una garanzia 10G su BBCS.
La mia prossima domanda:
Hybrid7 P2MP funziona tramite PPPOE, il modem Zyxel effettua la registrazione e poi inoltra semplicemente tutto al Pfsense? Esiste davvero ancora quel tipo di spettacolo? Problemi di calcolo?
Sì, se il router Zyxel è in modalità bridge, il dispositivo downstream riceve l’IP pubblico.
Se Zyxel è in modalità bridge, il router downstream esegue la registrazione. Se Zyxel è in modalità router, accede e con IPv4 puoi eseguire NAT solo sul router downstream.
Sì, PPPoE è un po’ più impegnativo dal punto di vista computazionale.
Anche 10GE richiede hardware potente per pfsense. Se DHCP o PPPoE non ha importanza ora. A seconda che tu faccia solo NAT e FW. IDS è ancora un’altra storia.
Puoi cercare approcci a ciò che è necessario e ciò che è possibile fare con gli Appliance Netgate. Ce ne sono alcuni che raggiungono quasi i 10GE.
init7 ora offre anche il “10GE” tramite XGS PON? Era ancora limitato a 1GE. Avete adeguato i collegamenti e i contratti?
@Tux0ne ha scritto:
Già 10GE richiede hardware potente per pfsense. Se DHCP o PPPoE non ha importanza ora. A seconda che tu faccia solo NAT e FW. IDS è ancora un’altra storia.
Puoi cercare approcci a ciò che è necessario e ciò che è possibile su Netgate Appliances. Ce ne sono alcuni che raggiungono quasi i 10GE.
Se desideri utilizzare il tuo hardware scelto personalmente per il firewall con connessioni Internet da 10 Gbit/s o più veloci, dovresti dare un’occhiata al sito web:
[https://michael. Stapelberg.ch/posts/2021-07-10-linux-25gbit-internet-router-pc-build/](https://michael. Stapelberg.ch/posts/2021-07-10 -linux-25gbit-internet-router-pc-build/)
lasciati ispirare. Questo hardware autoselezionato funziona idealmente con un Linux autoinstallato o un FreeBSD vanilla senza fronzoli dell’interfaccia web come pfSense, OPNsense, IPFire. Se sei interessato a Linux o Vanilla FreeBSD come sistema operativo per il tuo firewall hardware, dovresti continuare a leggere qui:
[https://www.lancom-forum.de/fragen-zum-thema-vpn-f14/vpn-mit-16-kleinen-ausenstellen-t18781.html#p106335] (https://www.lancom-forum.de/fragen-zum-thema-vpn-f14/vpn-mit-16-kleinen-ausenstellen-t18781.html#p106335)
[https://www.lancom-forum.de/aktuelle-lancom-router-serie-f41/vdsl-umzug-glasfarben-neuer-router-t17926.html#p101750] (https://www.lancom-forum.de/aktuelle-lancom-router-serie-f41/vdsl-umzug-glasfarben-neuer-router-t17926.html#p101750)
Fare attenzione quando si utilizza IPerf3 per misurazioni del throughput dei dati nell’intervallo > 1 GBit/s. Con velocità di trasferimento dati > 1 GBit/s la CPU diventa molto presto un collo di bottiglia:
https://github.com/esnet/iperf/issues/289
[https://fasterdata.es.net/performance-testing/network-troubleshooting-tools/iperf/multi-stream-iperf3/](https://fasterdata.es.net/performance-testing/network-troubleshooting-tools /iperf/multi-stream-iperf3/)
Nell’intervallo > 1 Gbit/s le informazioni e i suggerimenti per l’ottimizzazione si trovano generalmente sotto:
essere preso in considerazione.
E tieni sempre a mente la dichiarazione di TuxOne:
Sai cosa. 10gps sono attualmente per una tonnellata. Il mio 95° percentile è 18Mbps a 1Gbps Anschluss e probabilmente è molto alto! Peering, bassa latenza, disponibilità e affidabilità, questi sono importanti e non un post veloce che non fa nulla.
Fonte: [https://www.tuxone.ch/2021/01/4-nullen-und-die-reisschussel.html](https://www.tuxone.ch/2021/01/4-nullen-und- die-reiskugel.html)
Pertanto, la scelta della tecnologia di connessione per la connessione Internet dovrebbe basarsi su:
[https://community.swisscom.ch/t5/Mobile/Wifi-Calling-scheint-nicht-zu-funktionieren/m-p/662138#M8881](https://community.swisscom.ch/t5/Mobile/Wifi- La chiamata-non-sembra-funzionare/m-p/662138#M8881)
nell’ordine elencato => AON prima di PON!
Consiglio di utilizzare prodotti open source standardizzati e molto comuni come pfSense o OPNsense che sono stati sviluppati specificatamente per l’uso come firewall, router, firewall di nuova generazione, IDS/IPS, gateway VPN, ecc. Basta prestare attenzione rispettivamente alle istruzioni e ai manuali di Netgate (https://docs.netgate.com/pfsense/en/latest/). pfSense (https://docs.opnsense.org/). Le comunità OPNsense e pfSense non sono in alcun modo inferiori a qualsiasi soluzione di armeggiare con iptables. Se ogni utente configura un router sul proprio Linux preferito, questo non funzionerà bene. Troppi errori di configurazione possono portare a problemi di sicurezza. Il FreeBSD o Anche la base HardenedBSD di OPNsense e pfSense è stata appositamente rafforzata per l’uso come dispositivo firewall. Sono prodotti standardizzati, supportati commercialmente e molto comuni che posso consigliare ad ogni “utente avanzato”. L’interfaccia web in particolare rende la configurazione intuitiva e riduce possibili insidie ed errori.
OPNsense e pfSense possono anche essere virtualizzati. Da anni eseguo entrambe le soluzioni in un cluster Proxmox VE. Le misure di ottimizzazione suggerite nella documentazione ([https://docs.netgate.com/pfsense/en/latest/recipes/virtualize-proxmox-ve.html](https://docs.netgate.com/pfsense/en/ latest /recipes/virtualize-proxmox-ve.html)) dovrebbe essere annotato. Raggiungo anche prestazioni di routing virtualizzato di 10 Gbit/s tra le varie VLAN. La velocità dati del mio uplink WAN UPC Business Internet 1000 DOCSIS 3.1 è stata raggiunta di 1 Gbit/s.
Per gli amanti della CLI: se stai cercando un router software ad alte prestazioni su hardware “pronti all’uso”, Netgate offre anche TNSR ([https://www.tnsr.com/](https://www.tnsr.com /)) l’ho trovato. TNSR non dispone di una WebUI, ma può essere configurato solo tramite la CLI. Le barriere all’ingresso sono maggiori, ma le prestazioni con lo stesso hardware sono migliori rispetto a pfSense. TNSR è gratuito anche per gli utenti domestici.
Se stai cercando hardware dedicato, lo troverai su Netgate (https://www.netgate.com/appliances). Gli apparecchi possono essere ordinati tramite Contria GmbH (https://www.contria.ch/) a Langenthal. L’azienda dispone inoltre di un supporto molto competente e di una buona consulenza di vendita.
