Inlägg

Tummar billiga zigbee-prylar på säkerheten i själva prylen, eller är det i hubben och/eller molnlösningen det är större risk för säkerhetsbrister?

Jag har har inga zigbee-prylar från IKEA (än), däremot från Philips och Lidl. Har tidigare använd första versionen av Hue-hubben men nu kör jag Home Assistant och zigbee2mqtt med en zigbee-sticka. Men jag kör inte Home Assistant Cloud utan egen WireGuard VPN, så den delen tror jag har hög säkerhet.

Enligt information på help.ui.com så ska man konfigurera /64 länkprefixet på WAN-sidan.

D.v.s.

IPv6 Address: xxxx::2
Gateway IP: xxxx::1
Prefix Length: 64

Där IPv6 address borde ha meddelats av Bahnhof, men det verkar naturligt att de tänkt att man ska ta nästa lediga adress d.v.s. xxxx::2.

För LAN kanske man kan välja ut en /56 som nämnts, eller så måste man välja ut en /64 (dock inte den som används för WAN.)

https://help.ui.com/hc/en-us/articles/115005868927-UniFi-Gate...

Tack och lov så får man ju publik IPv4-adress med Telenor bredband, och kan använda Hurricane Electrics IPv6-tunnlar i Stockholm som fungerar väldigt bra. Den största nackdelen för mig är att vissa tjänster felaktigt tror att man är i USA, bl.a. HBO och SVT. Men det har jag löst med en proxyserver som är IPv4-only som jag använder just med HBO och SVT. Jag använder också Firefox Multi-Account Containers för att enkelt kunna välja proxyserver. (Jag har ett par till proxyservrar som jag använder för att gå runt geoblockeringar.)

Ja det låter inte bra om PayPal bara tillåter en passkey/nyckel. Google stödjer flera.

https://support.google.com/accounts/answer/13548313?hl=sv

Just multihoming och lastbalancering mellan två eller flera internetanslutningar är väl något som inte är helt löst för IPv6. I alla fall inte för små användare där PI-adresser inte är en lösning. Eller ska alla användare kunna skaffa PI-adresser, klarar routrarna på internet det?

Jaha, stänger du av IPv6 även i mobilen? I Sverige kanske det inte finns mobilnät som förser användarna med enbart IPv6-adress, men utomlands finns det. Ratar du IPv6 till den grad att du hellre är utan internet om operatören är IPv6-only (med NAT64 förstås).

Jag använder själv OpenWrt med IPv6 tunnel från Hurricane Electric. Har du native IPv6 (med DHCPv6) så borde defaultkonfigurationen fungera. Den ska vara säker. Öppna en tråd på forumet om du behöver mer hjälp, eller sök information på openwrt.org.

Ja det skulle vara roligt att ha ett eget prefix men jag räknar inte med att man kommer kunna ha det med privat internetabonnemang. (Om man inte tunnlar via VPS eller annan extern tjänst.)

Men IPv6 tillåter att du har flera prefix samtidigt i ditt nätverk, så du kan ha ett dynamiskt globalt prefix från ISPn samtidigt som du har ett ULA-prefix (som är ditt eget och motsvarar privata addresser). Då kan du använda ULA för intern kommunikation och vill du ha server så kan du använda dynamisk DNS.

För att det ska vara enkelt att använda IPv6 så måste operatören erbjuda det. Annars blir man hänvisad till att tunnla IPv6 över IPv4. Med CG-NAT blir det ett problem eftersom man inte kan använda den vanligaste typen av tunnel (6in4) som t.ex. Hurricane Electric erbjuder gratis. Det finns alternativa tjänster t.ex. IPv6 över VPN som WireGuard, men det finns nog inte gratis. Eller så kan man lösa det mesta med en egen server på nätet (VPS).

Det finns dock konkret vinst att göra med att införa IPv6 om operatören kör CG-NAT idag, då CG-NAT kräver mycket datorkraft i operatörens nät. Inför de IPv6 så kommer IPv4-trafiken att minska och alltså även resurserna som krävs för CG-NAT.

CG-NAT kan även ersättas helt genom att tunnla IPv4 över IPv6 med MAP eller Lightweight 4over6. Då flyttar man port och adressmappningen ut till routerarna som kunderna har, vilket ger ytterligare kostnadsbesparing av IPv4-trafik för operatören.

https://en.wikipedia.org/wiki/IPv6_transition_mechanism#MAP

T.ex. för att undvika adresskonflikter om man vill koppla upp med VPN. Med ULA som används i IPv6 så är du i princip garanterad unika adresser, medan privata adresser med IPv4 finns i begränsad mängd.

Protokollet som används av tunnelbroker.net (Hurricane Electric) är 6in4. Det protokollet kräver i princip att maskinen du ska ha tunneln på har en publik IP-adress. Det går inte att forwarda en port från din router för 6in4 då 6in4-protokollet inte använder portar. Möjligtvis kan det finnas hemmaroutrar som kan forwarda all 6in4-trafik till en viss privat IP-adress, men jag är vet inte hur vanligt det är. Sedan måste du som skrivits tillåta ping (ICMP echo request), eftersom tunnelbroker.net kräver det.

Ja, orsaken till att man normalt inte delar upp ett /64 i mindre prefix är att SLAAC (Stateless address auto-configuration) använder 64 bitar för interface identifierare. (I allafall på Ethernet, och annat som använder MAC-adresser.) SLAAC var ju den första metoden för automatisk konfigurering av IPv6-adresser. DHCPv6 kom senare och man kan inte räkna med att all utrustning stödjer det. Speciellt saknar Android stöd för det, vilket verkar vara ett ideologiskt beslut av Google. (Det rapporterades som ett problem för 10 år sedan, https://issuetracker.google.com/issues/36949085, vilket inte kommer fixas)

Det betyder att man inte kommer så långt med ett /64-prefix, det räcker inte ens till ett LAN och ett gäst-LAN. Och NPt har gör inte heller att man får fler /64-prefix eftersom NPT är en 1 till 1-mappning. Rekommendationen jag läst är att varje privatanvändare bör få minst ett /56-prefix, vilket tillåter upp till 256 nätverk. (Tidigare var rekommendationen ett /48-prefix, och det rekommenderas fortfarande per plats för företag. /48 är också det minsta IPv6-prefixet som kan annonseras på Internet, jämfört med /24 för IPv4.)

Jag har IPv6 hos 2 av mina 3 internetoperatörer. Det rör sig om Tele2Comviq och Wifog (virtuell operatör som använder Tres mobilnät). Däremot har jag inte IPv6 på mitt fasta bredband från Telenor. Enligt Telenors webbsida så erbjuder de inte IPv6, vilket är anmärkningsvärt för en så stor operatör. Personligen skulle jag aldrig skaffa en mobiloperatör som använder CG-NAT och inte erbjuder IPv6. Jag har inte lust att köra korta keepalive i VPN-klienten som förbrukar batteri i onödan för att jag tvingas använda CG-NAT.

Mina föräldrar har Telia öppen fiber och IPv6 fungerar i alla fall inte för dem. Det såg jag senast för någon vecka sedan eftersom jag kör WireGuard över IPv6 på min mobil och den fick jag stänga.

När man tittar på färg TV-utsändningar med en svartvit TV så utnyttjar man framåtkompatibiliteten. Är det inte motsvarande för IPv6 du efterfrågar?

Det stämmer att IPv6 inte har sådan framåtkompatibilitet. Dock kan man använda t.ex. tunnlar för att få IPv6-access även om man bara har IPv4-adress annars.

https://en.wikipedia.org/wiki/Forward_compatibility

Att CGNAT som ofta används med IPv4 medför problem har redan nämnts. T.ex. om man använder VPN eller VoIP och vill ha kunna ta emot inkommande trafik/samtal så krävs att man regelbundet skickar "keepalive" trafik för att hålla CGNAT-porten öppen. Detta kan förstås leda till sämre batteritid i mobiler. Med IPv6 i mobilen blir det inte nödvändigt med "keepalive" i VPN, VoIP-appar, etc. (Och förhoppningsvis går det att stänga av om det aktiveras automatiskt ändå.)

Det är inte omöjligt att internetleverantörer som inför IPv6 ser sin chans att samtidigt försämra IPv4. Idag får jag använda 5 publika IPv4-adresser med mitt Telenor-abonnemang. IPv4-adresser är ju en bristvara så det går nog att få in en del pengar på att sälja dem eller hyra ut dem och byta till någon typ av adressöversättning (t.ex. CGNAT). En anledning till att svenska operatörer är segdragna med IPv6 är nog just att de sitter på många IPv4-adresser.

Jag har tunnlar till Hurricane Electric idag som fungerar mycket bra, kanske för bra då det är risk att native IPv6 blir sämre. Idag kan jag ha flera /48-prefix från HE, men chansen att man får ett /48-prefix med ett privatabonnemang är väl inte så stor. (Idag kan jag ha upp till 5 st /48 prefix.)

Ja, varje LAN behöver en /64 så det går inte att subnetta. Du behöver någon IPv6-tunnel som ger ett större IPv6-prefix. T.ex. Hurricane Electric (6in4) erbjuder ett /48 utöver det /64 som är default. Tele2 (6rd) kan vara ett annat alternativ.

Om uppgifterna i första inlägget stämmer så får varje IPv4-adress ett /64-prefix med Telia. Detta /64-prefix består av 6rd-prefixet som är 32-bitar och av hela IPv4-adressen som är 32-bitar. (Antal bitar som används av IPv4-adressen är 32 minus masklängden som är 0.)

Telia
6rd Prefix = 2001:2002::
Border Relay Address = 217.209.228.166 (6rd-br1.telia.com)
6rd prefix length = 32
IPv4 mask length = 0