IPv6

[Dan Lukes]

On 04/19/15 13:37, Zbyněk Burget:
> muj ISP mi dal na vedomu, ze prechazi na IPv6

> Soucasne ale jeste samozrejme funguje i puvodni IPv4.

Aha, takze neprechazi, ale zavadi. To je ale *podstatny* rozdil.

> Tak jsem se chtel zeptat, co vsechno mne ceka za problemy, kdyz na tu
> IPv6 budu chtit prejit.

Vypada to jako slovickareni, ale tim, ze pouzivas spatny slovo o tom 
nasledne taky spatne premejslis. Tvuj ISP na IPv6 neprechazi a ty 
samozrejme taky ne. Zavedenim IPv6 se na stavajici IPv4 konektivite nic 
nemeni.

Co se serveru tyce, zminujes jen SSHD. Ano, to systemove je defaultne 
nakonfigurovane tak, ze bude-li k dispozici IPv6, zacne poslouchat (i) 
na nem. Tim se v praxi nic nemeni dokud pro jmeno toho serveru 
nepublikujes v DNS AAAA zaznam. SSH klient, kterym se tam pripadne 
pokusis spojit, nema (bez toho AAAA zaznamu) tuseni, ze by tam snad 
nejaka IPv6 byt mohla, takze ji ani nezkusi. A IPv4 funguje jako driv.

Co se klientu tyce, pises, ze tam nic neni, coz znamena, ze tam bud' 
skutecne zadny neni, nebo jsi na DNS server zapomel.

I v druhem pripade se ale v podstate nic nedeje. Pripadny DNS server 
zacne smerem do sveta pokladat DNS dotazy (i) pres IPv6. To je ale taky 
vsechno - odpovedi, ktere tim bude dostavat se (obvykle) nemeni. DNS 
typicky nefunguje tak, ze poskytuje jiny obsah pokud dotaz pridje pres 
IPv4 a jiny pokud prijde pres IPv6.

> Bude to opravdu tak jednoduche, ze jen nastavim na vnejsim adapteru IPv6
> a zmenim default routu (+ drobnost s ListenAddress u sshd) nebo toho
> bude vic?

Neprechazis na IPv6. Nezmenis default routu. Zavadis IPv6, pridas IPv6 
default route.

> Hlavne vic veci, na ktere si budu muset davat pozor, pripadne nejaka
> dalsi bezpecnostni pravidla pro firewall + ? + ?

Zalezi jako ho mas napsanej dosud. Co se tyce blokovani konkretni TCP 
respektive UDP komunikace, tam obvykle zadne zasahy nutne nejsou. jestli 
firewall blokuje spojeni na TCP port 80, blokuje ho bez ohledu na to, 
ktere z IP se na prenosu toho TCP podilelo.

Takze jedine nad cim se je nutne pripade zamyslet jsou "provozni" a 
"pomocne" pakety. Napriklad ICMP6. Nebo kdybys snad chtel pri filtrovani 
komunikace pouzivat nejake IPv6 specificke informace - treba nejake IPv6 
Extension headers.


O neco komplikovanejsi to zacne byt az/pokud se rozhodnes IPv6 nejen 
prijmout na vstupnim interface, ale taky nabizet klientum do vnitrni 
site. Ale ani tam to neni nejak zasadne slozitejsi.

Navic, uz ted vsichni tvoji Windows uzivatele IPv6 konektivitu, ktera 
navic zcela obchazi tvoje firewally, maji, takze z hlediska jejich 
bezpecnosti muzes tim, ze jim zacnes IPv6 konektivitu poskytovat 
"nativne" tezko neco zasadne zhorsit.

Dan