スキップしてメイン コンテンツに移動

投稿

5月, 2016の投稿を表示しています

IPv6運用して出た問題点

IPv6環境で運用してみていくつかの不便な点が出てきたので忘備録としてメモ。
匿名(一時)アドレス絡み。
1.ファイヤウォールのログに記載されるアドレスが一時アドレス どの端末が問題なのか非常に分かりづらい。
時間で変わるのでログ以外に追いかけられる手がない場合もある。
一番確実なのはログのMACアドレスを見ることだろう。
けどIPv4では普通にプライベートアドレスで一発で見分けられたし、分かりやすかった。
MACアドレスをIPv6端末ごと覚えておくとか地獄。
2.P2P型通信の場合にポート開放が難しい ルーターからするとアドレス管理をしてないので勝手に変わってしまうアドレスに追従する術がない。
UPNP辺りを使えばいいのかもしれないけど、セキュリティ的に問題あるし、なによりソフト側がUPNP対応してないと意味が無い。
若しくはソフト側が一時アドレスではないアドレスを受け側専用として認識した実装をしてくれるか(かなり面倒くさそう)
3.iosで一時アドレスを解除する手立てがない windowsのようにコマンドで逃げられないのでどうやっても一時アドレスになる(もしあるならぜひ教えてほしい)。
アップルさんこれ何とかなりませんかね?

これらを踏まえると、ちゃんとやるならステートフルDHCPv6でやりましょうねって事だろうか。
ステートフル自体がメジャーでない上、新たなトラブルも起こりそうで大変です。
仮にステートフルDHCPv6で運用したとして、一時アドレスが使えないのならやっぱり匿名性は下がる。
(いくらリース時間を短くしても、切断しないかぎり新たなIPは来ないから)

これはIPv6側の設計に色々問題があると言わざるを得ない。

いくらアップルさんがIPv6推進させようとも現状より問題が出る状態というのではちょっと。
そのくせIPv4と比べメリットがないのだから困ったものだ。

(P2P型通信が直結でやり取り出来るのがメリットの一つだったと思うのだが)

上手い解決策が見つけられない。
IoTにより今後端末が増えていくと考えるとこの辺はトラブルの種じゃなかろうか。

VyOSでIPv6 透過型Firewallを設定する

経緯 NTTのひかり電話契約者で本格的にIPv6(IPoE)をしたいと思ったらルーターを入れたいところ。
(普通はIPv6対応ルーターを買ってきてぶら下げれば終了)
しかし自分の使い方では家庭用のルーターでは力不足。
速度が落ちないレベルの業務用を買うと10万クラスになります。
じゃあソフトルーターでどうよって事で以下の結果。
VyOS → DHCP-PD非対応で動作せずSEIL/x86 → OSの古さでVyOSの半分くらいまでスループットが低下Linuxで構築 → 管理が面倒すぎて途中で投げる という訳でIPv6ルーターは諦め。
標準のひかり電話ルーターの問題点 と言うことでひかり電話ルーターのみで運用してみた。
そしたらひかり電話ルーターのファイヤウォールが全然使えない。
アドレス範囲設定が出来るくせに通らないパターンがある(設定エラーは出ない)。

例えば特定のprefix(2001:db9::/64)だけ開放させたい場合。
アドレス範囲を 2001:db9:: ~ 2001:db9:ffff:ffff:ffff:ffff と設定しても何故かパケットが通らない。
調査してみたら 0~7fff:ffff(2147483647)を堺にフィルタルールが無効になる。

あ、なるほど。つまり符号付きintでアドレス範囲をプログラムされてるからダメなのか。せめてエラー出してくれよ

ということで苦情を陳情するも1年くらい音沙汰無し。もともとNGN専用でしか考えてなかったんだろう。そして直す気もなさそう。
逆に言えばこれを何とかすれば色々出来るのでは。
VyOSで透過ファイヤウォール という訳で透過FWを入れます。 ついでにひかり電話のDHCPv6も止めたりすると内側にDHCPv6サーバーを立てられたりして意外と便利。 普通はあんまりメリットないんでしょうけど、内部にAD DNSなどを使用する場合には有効です。
あとこのFWはIPv6ブリッジ(IPv6パススルー)とは微妙に違ったりします。
(VyOSがiptablesでFWの実装をしてるため、ARPとか止められない) ついでにDS-Liteも入れて半ルーター的に稼働させる FWさせつつもDS-Liteとしてのトンネリングもセットでやらせてみました。 これでIPv4も通るわけで、外から見たらルーターっぽく見えます。 実際にはルー…