lunes, 16 de julio de 2012

ipv6 y radvd

En la entrada anterior, dijimos que la direcicones IPv6 con prefijos /64 podrían ser públicas, a pesar de están dentro de la LAN, con un simple forward se vuelven públicas. Esto puede ser útil para unos y peligroso para otros. A gusto del consumidor.

Para lograr esta marvilla, necesitaremos la intervención de un una aplicación especial. Hablamos de "radvd" Esto podría verse como una especie de DHCP ya que genera direcciones IPv6 basados en las MAC y se las asigna a los clientes. En inglés se denomina como:


Esa es la piedra maestra para armar todo el aparateje y conseguir que las máquinas dentro de la red se vean desde afuera. Además; cumple un buen trabajo sustituyendo al DHCP. Para que funcione, primero ponemos el bit de forwarding en nuestro sistema.

aptitude install radvd
echo "net.ipv6.conf.default.forwarding=1" >> /etc/sysctl.conf 
sysctl -p

Con eso ya tenemos el forwarding funcionando. En teoría debe arrancar, pero; en debian6 da un que otro bateo cuando se arranca con init.d, yo recomiendo arrancarlo manualmente y/o ponerlo /etc/rc.local en caso de bateos. Tmabién si solo desea usarlo como DHCP y no hacer forward, le recomiendo que lo corra manualmente.

Poco a poco los links de las targetas iran haciendo su trabajo. Hablando de los links. Hagamos una pausa para explicar esto. Con ifconfig pueden ver direcciones como esta:

inet6 addr: fe80::250:4ff:fe8a:f283/64 Scope:Link

NO LO QUITE. Si la quita con ifconfig, no podra hacer muchas funciones básicas de IPv6. A eso es a lo que yo le digo "un link" y es simplemente una dirección IPv6 especial que NO conduce a niguna parte. Eso busca los advertisement daemon por la red y se encarga de decir "hola, tengo IPv6, estoy aquí" No le haga ping, porque no llega a ninguna parte. Note que siempre empieza por "fe" y dice "Scope:Link"

Pero volviendo con radvd. Si quiere y puede que todas las máquinas de su LAN esten de cara a internet con una IPv6 pública, puede decirle a radvd que reparta el rango asignado por Electric Hurricane. Quien cae en el
saco del forward y quien no, lo puede controlar con su firewall de ip6tables en la máquina routeador, es decir, en la que tiene el túnel. Eso lo explicaremos despues. Asumiré ahora que used NO quiere ese relajo.

La configuracion de radvd esta en /etc/radvd.conf y la mas simple es así:


interface eth0
{
   AdvSendAdvert on;
   prefix 2001:db8::/64
   {
   };
};


Si desea "exponer" la máquinas. Sustituya "2001:db8::/64" por el rango que le dio Hurricane Electric.

En mi caso yo uso 2001:db8::/64 como mi rango porque es una dirección para mi LAN, dejando así el rango de Hurricane Electric para aquellas máquinas que serán "expuestas" a internet. Simplemente, crear una LAN
ipv6 y sustituir al DHCP. La IPv6 públicas las asigno yo manualmente.

En caso de que quiera exponer varias máquinas (o toda lared), por ejemplo, una zona desmilitarizada fisicamente o un cybercafeé; puede configurar a radvd con el rango público como expliqué arriba.

También puede usar un "esquema hibrido"  Usando el rango de Hurricane Electric, como el de su LAN y controlar el forward con el firewall, esta variante me parece un poco arriesgada, paranóicamente arriesgada. Claro; eso le ahorraría tener múltiples redes y se quita de encima muchos lios de enrutamiento.

Ahora bien, recuerde que las IPv6 "expuesta" es pública y que el firewall del Router NO LA DEFIENDE.

Veamos la próxima entrada para ver como lidiar con esta situación.

No hay comentarios:

Publicar un comentario

Si vas a decir groserias, aclara el significado para los que no somos de tu mismo país.