标签: ipv6

是否可以设置 PFsense 来执行 IPv6 到 IPv4？

我正在设置一个 IPv6 LAN 以进行“测试”，同时也搞砸了，但我无法从我的 ISP 获得 IPv6 地址，因此我需要一种将 IPv6 更改为 IPv4 的方法。

更新

好的，我升级到支持 IPv6 的 PFsense 2.0 RC1。

在“高级设置”下有 IPv6 数据包的 IPv4 NAT 封装选项。

有一个复选框可以启用该选项，还有一个输入框显示“IP 地址”

我在那里输入什么？

因此，我们最近从 LIR 获得了 /48 前缀，并开始在实验室中进行小规模部署。

让我感到奇怪的是，像http://ipv6-test.com/这样的网站坚持要求您允许传入的 ICMP Echo 请求。我明白为什么你应该允许 ICMPv6 传出，但传入？即使它只是一个ping？

所以，我的问题是：除了可能使用 ICMP 的 DDoS 攻击之外，允许传入的 ICMP 回声请求是否有任何缺点？

我阅读了 RFC4890 ( https://www.ietf.org/rfc/rfc4890.txt )，但在那里找不到明确的答案。

A.5. ICMPv6 回声请求和回声响应

表明

人们认为对设计良好的 IPv6 网络（参见第 3.2 节）进行扫描攻击不会带来重大风险，因此默认情况下应允许连接检查。

鉴于 RFC 已经快 10 年了，这一点仍然有效吗？此外，RFC 不区分传出和传入方向。

我一直觉得 v4 的建议是在网关阻止 ICMP，但话说回来，v6 严重依赖 ICMP。

那么，有什么建议吗？

根据我在网上阅读的内容，通过获取网络接口的 MAC 地址，在其中插入一个 FF:FE 字，或者在一些附加位中进行 OR 运算，等等，就可以生成 IPv6 链路本地地址：例如 MAC 地址 00： 3E:E1:c6:20:c2 对应 IPv6 链路本地地址 fe80::23e:e1ff:fec6:20c2%en0，知道 MAC 地址的程序可以计算 IPv6 地址，反之亦然。

这在我的 Macintosh 上似乎运行良好，但在我同事的 Windows 机器上，我们看到了这一点（来自 ipconfig 的输出）：

Connection-specific DNS Suffix  . :
Link-local IPv6 Address . . . . . : fe80::eb:b41:3e4c:fd9e%11
IPv4 Address. . . . . . . . . . . : 192.168.0.3
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . …

我们的办公网络在内部是双栈的，但与 Internet 其余部分的连接仅支持 IPv4。我在 Linux 机器上设置了 BIND 9.9 来处理 DNS 解析。

有没有办法在不禁用 IPv6 的情况下将 BIND 配置为在联系其他 DNS 服务器时更喜欢使用 IPv4？我想启用 IPv6，以便在我们与外界建立 IPv6 连接后一切正常，但同时不会用error (network unreachable) resolving 'microsoft.com/DS/IN': 2001:7fd::1#53消息堵塞日志。

鉴于阻止单个 IPv6 地址似乎有些无意义，因为最终用户通常至少拥有 2**64 个地址，我们需要阻止一个范围，该范围标识“站点”。

在此上下文中，“站点”类似于家庭或小型办公室用户。RFC 6177 讨论了将地址块分配给小型站点：

... 给家庭站点一个单一的 /64 可能很诱人，因为与今天的 IPv4 实践相比，这已经是更多的地址空间。

然而，这排除了即使是主站点也会增长以支持未来多个子网的期望。因此，默认情况下，强烈希望即使是主站点也能获得多个子网的空间。因此，本文档仍然建议为主站点提供多于一个 /64 的位置，但也不建议为每个主站点提供一个 /48。

也就是说，我在网上讨论中看到 /64 和 /56 都是国内用户的常见分配。

如果我阻止一个 /64，而攻击者有一个 /56，那么他们还有 255 个子网可以攻击我。

相反，如果我阻止 /56，结果 ISP 分配了 /64 的块，我可能还会排除 255 个其他用户。现在，如果考虑随机分布，通过随机排除 255 个站点而实际影响流量的可能性非常低。然而，根据定义，它不是随机的。从这个意义上说，我可以阻止我的网站受欢迎的一个小地理区域是可行的。

我使用阻塞的例子，但实际上这是一个更普遍的问题，它扩展到速率限制、分析等。

简而言之，识别“站点”的最佳前缀大小是多少？是否有任何指导方针？

我可以打字

echo bbr > /proc/sys/net/ipv4/tcp_congestion_control

更改在 IPv4 上运行的 TCP 连接的拥塞控制算法，但是对于那些通过 IPv6 到达的连接，我该如何做呢？

上面的命令是否为两者都设置了它？

我在 Hetzner 设置了 KVM 虚拟化服务器。Hetzner 为我提供了一个主 IP (95.xxx.xxx.235) 和一个 /29 IPv4 子网 (95.xxx.xxx.184/29) 和一个 /64 IPv6 网络 (2a01:xxxx:xxxx:xxxx::/ 64)。

KVM 来宾 (Debian Stretch) 在网络服务重新启动时重新启动 20 分钟后恰好失去 IPv6 连接。即使连接丢失，我也可以 ping 默认网关 (fe80::1)。IPv4 连接始终保持正常运行，没有任何问题。

目前接口设置为桥接模式下的 macvlan，我也尝试过 VEPA 和私有模式，但都没有成功。此外，NIC 类型设置为 e1000，但我也尝试过 virtio，但没有成功。

连接丢失后，我从主机上的物理网卡获取了 TCP 转储，它显示有回显请求离开和回显回复到达接口，但是从来宾网卡获取的 tcpdump 我只能看到离开的请求网卡。

主机上的 /etc/network/interfaces：

auto lo
iface lo inet loopback
iface lo inet6 loopback

auto enp2s0
iface enp2s0 inet static
  address 95.xxx.xxx.235
  netmask 255.255.255.192
  gateway 95.xxx.xxx.193
  up route add -net 95.xxx.xxx.192 netmask 255.255.255.192 gw 95.xxx.xxx.193 dev enp2s0

iface …

全新且完全打补丁的 Ubuntu 18.04 实例（在 Linode VPS 上），带有从官方 Docker 存储库安装的 Docker 18.09.0（构建 4d60db4）。

IPv4 网络运行良好，无论是在容器之间还是内部到外部（一旦我设置了net.ipv4.ip_forward=1）。

然而，IPv6 甚至不会在容器之间进行通信，更不用说在外部进行通信了。

我尝试了很多东西，但发现本指南是最好的（除了它不起作用:-)）

因此我有...

更新/etc/docker/daemon.json了以下内容并重新启动：

{
“ipv6”: true,
“fixed-cidr-v6”: “2001:db8:1::/64”
}

检查了 MTU。

运行两个 docker 容器来测试这个：

sudo docker run -itd ajeetraina/ubuntu-iproute bash
sudo docker run -itd ajeetraina/centos-iproute bash

两者都在内部显示出完美的连接性：

$ sudo docker exec -it b1cbb63b4e88 ifconfig eth0

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.17.0.3  netmask 255.255.0.0  broadcast 172.17.255.255
        inet6 fe80::42:acff:fe11:3  prefixlen 64  scopeid 0x20<link>
        inet6 2001:db8:1::242:ac11:3  prefixlen 64  scopeid 0x0<global>
        ether …

我在网站上有一个部分可以阻止对所有 IP 的访问，但列入白名单的 IP 除外。对于 IPv4，这很简单，因为即使使用动态 IP，它们通常几个月甚至几年都不会改变。

但是，对于 IPv6，这些似乎每 24 小时左右交替一次。这意味着我不能简单地将初始 IPv6 IP 列入白名单并称其为良好，因为它会很快再次更改。因此，我需要将整个范围列入白名单。即使在过去几天阅读和测试 IPv6 之后，我仍然不确定我是否掌握了它。

这是我所拥有的：

order deny,allow
allow from 1234:123:4567:ab1::/64
deny from all

IP 地址的前 4 部分永远不会改变，但后 4 部分会不断变化。在这种情况下，这是将个人 IP 列入白名单的正确方法吗？

例如，是否有可能获得 IPv6 地址的 SSL 证书https://[1234:5678:9000:abcd:9876:5432:10ab:cdef]？如果是这样，是否有任何此类用法的示例？假设在这种情况下设置个人根 CA 并在设备上安装是一个合理的选择。

这个问题类似于：“公共 IP 地址的 SSL 证书？ ”，但并不完全相同，因为：

• 我在询问 IPv6 SSL 证书
• 我只是问是否可以制作这些证书，而不是如何实现它（尽管对如何进行解释将不胜感激）