yönlendirici kaskadı beklendiği gibi çalışmıyor

1

İki yönlendiricim var, biri isp'im tarafından sağlandı ve entegre bir modeme sahip (bundan böyle: "modem"), diğeri ise bir netgear r7000 (bundan sonra: "yönlendirici") satın aldım.

Yönelticiyi modeme basamaklamak istedim, böylece yönlendiricinin İnternet portunu modeme bağladım ve aşağıdaki gibi yapılandırdım:

  • İnternet statik IP: 192.168.1.1
  • Ağ Geçidi: 192.168.1.254 (bu modem IP adresidir).
  • Lan IP: 192.168.2.1

Sonra modemi aşağıdaki gibi yapılandırmaya başladım:

  • 192.168.1.1’e işaret eden bir DMZ yapılandırdım (yönlendirici İnternet IP).
  • tüm DHCP'yi devre dışı bırak

Her şey beklendiği gibi çalışıyor (internette gezinebiliyorum) ancak ağımı çevrimiçi bir ipv6 port tarayıcı kullanarak test ederken , birkaç şey beni şaşırttı:

  • Modemdeki güvenlik duvarını devre dışı bırakmazsam, tarayıcı her şeyin olduğunu bildirir.

STLTH (Belirlenen süre zarfında makinenizden herhangi bir yanıt alınmadı. Bu, IPv6 adres / port kombinasyonunda hiç kimsenin makinelerinizin varlığını tespit edememesi nedeniyle bu ideal bir cevaptır.)

hangi Tamam [DÜZENLEME: Bu aslında Tamam DEĞİL yukarıda yapılandırılan DMZ, modem firewall bypass gerektiğinden, doğru mu?]

  • modemdeki güvenlik duvarını devre dışı bırakırsam, tüm trafiğin yönlendiricim tarafından filtreleneceğini düşündüğümden (NAT filtrelemenin açık olduğu) aynı sonuçları beklerdim, ancak durum böyle değildi! Tarayıcı raporları

RFSD (Bu bağlantı noktasını açmaya çalışırken reddedilen bir gösterge (TCP RST / ACK veya ICMPv6 tip 1 kod 4) alındı. Birisi, makinenizin bu IPv6 adres / bağlantı noktası kombinasyonuna yanıt verdiğinden emin olabilir, ancak bir TCP bağlantısı kuramaz.)

Tarayıcıların OPEN dediği makinemde açık olan 22 numaralı bağlantı noktası dışında. Bu iyi değil

  • Tarayıcı bile 22’imin açık olduğunu bildirse bile ağın dışından bağlantı kuran birini yapamıyorum. Bir arkadaşım onunla bağlantı kurmaya çalıştı

ssh -6 myipv6

ve denemesini istediğimde anasisteme erişilemez bir hata alıyorsunuz

nmap -6 -p22 -Pn - izleme myipv6

Makineme ulaşmayı gerçekten başardı ve Nmap 22 numaralı limanın "filtrelendi" olduğunu söyledi.

Sorularımı özetlemek için:

  • Yönlendiricideki güvenlik duvarı neden çalışmıyor?
  • Ağımı neden dışardan bağlayamıyorum?

@Gordon Davisson'ın bir yorumda işaret ettiği gibi, suçlu IPv6 olabilir, bu yüzden nasıl yapılandırıldığımı açıklamak için soruyu güncelleştiriyorum:

  • ISS sayfama gittim ve IPv6'yı etkinleştirdim
  • ISS’m modemimi bir şekilde yeniden başlattı ve IPv6’yı etkinleştirdi (değiştirilmiş bıraktığım modem panosunda yeni bir yapılandırma bölümü de var)
  • Yönelticime giriş yaptım ve IPv6 bölümünde IPv6'yı otomatik yapılandırma seçeneğini seçtim. Router PassThrough metodunu seçti (seçebileceği birçok farklı konfigürasyon seçeneği vardı, aslında hatırlamıyorum ve şu anda kontrol edemiyorum).
    Bu şüpheli. Belki PassThrough, Gordon'un yorumunda belirtildiği gibi güvenlik duvarını atlamak anlamına geliyor?
networking  router  firewall  ipv6 
Ağınıza dışardan bağlanmayı denediniz mi? Sadece arkadaşının yaptığını söyledin.
Michael Hampton,
@KamilMaciorowski bitti, düzenlemelerimi onaylar mısınız? Teşekkür ederim!
@MichaelHampton hayır, yapmadım. Soruda belgeledim, tam olarak anlamadığım sonuçları gösteren çevrimiçi ve çevrimiçi ipv6 port tarayıcı kullandım. Aslında ağı kendimden dışarıdan aklı başında bir şekilde test etmek için bir yolum yok (olduğu gibi: yönlendirici ve modem üzerinde de çalışabilmek).
Tanımladığınız kurulum (192.168 adresleri, DMZ ayarları, vb.) Yalnızca IPv4 için geçerlidir . Sahip olduğunuz herhangi bir IPv6 bağlantısı bundan büyük ölçüde bağımsız olacaktır. Yapmanız gereken ilk şey, 2 yönlendiricinin arkasındaki IPv6'yı nasıl alacağınızı belirlemektir. Tahminimce teredo kullanıyor olmalısınız , bu durumda güvenlik duvarında tünel açıyordur . Ama daha fazla bilgi olmadan bu sadece bir tahmin.
Gordon Davisson,
@ GordonDavisson oh iyi, bunu bilmiyordum! Teredo'yu hiç duymadım (yakında okuyacağım, bağlantı için teşekkürler). IPv6 yönlendirmesini nasıl yapılandırdığım konusunda bir açıklama içerecek şekilde cevabı güncelledim.

Yanıtlar:

0

Modem ve yönlendirici yapılandırmalarının özelliklerine bakmadan söylemek zor, ancak modem muhtemelen normal (genel) bir IPv6 alt ağını yönlendiriyor ve "yönlendirici" aslında IPv6 için bir köprü görevi görüyor gibi geliyor. , IPv6'yı hiç yönlendirmiyor, sadece modem tarafından sağlanan alt ağı doğrudan geçiyor. (Bu teredo hakkındaki tahminimin yanlış olduğu anlamına gelir.)

IPv6 hakkında anlaşılması gereken, tam olarak ne yapılandırdığına bakılmaksızın NAT kullanmamasıdır. NAT, IPv4'teki "normal" seçenektir, çünkü insanlar bunu internet yönlendirmenin nasıl çalıştığının bir parçası olarak görmeye meyillidir: ISS'niz yönlendiricinize (/ modem) tek bir genel adres verir ve yönlendiriciniz özel bir alt ağ sağlar (196.168.bir şey, 10.bir şey veya belki de 172.16-31.bir şey) bu tek genel adresin arkasına gizlenmiştir. Bilgisayarınızın genel adresleri olmadığından, yönlendiricinin genel adresinden bir tür yönlendirme ayarlamadıkça (yönlendirici içindeki DMZ, bağlantı noktası eşleme, vb. Ayarlar) genel İnternet'ten adreslenemezler. Bu, özel ağdaki her şeyin otomatik olarak temel bir güvenlik duvarına neyin eşlik ettiği anlamına gelir., özellikle bu güvenlik duvarına delik açmadığınız sürece (DMZ, bağlantı noktası eşleme vb. ayarlarla).

IPv6 hiç bu şekilde çalışmıyor. İnternette IPv6 kullanıyorsanız, bu, en az bir genel (2xxx: bir şey veya belki 3xxx: bir şey) adresiniz ve özel (fe80: bir şey) adresiniz olduğu anlamına gelir. IPv4'ten farklı olarak, genel adresinize IPv6 Internet'teki herhangi bir yerden varsayılan olarak erişilebilir.

Başka bir deyişle, IPv6 , IPv4 ile alıştığınız otomatik güvenlik duvarına sahip değildir . IPv4 ile, bir delik açmak için adımlar atmadığınız sürece güvenlik duvarınız vardır; IPv6 ile, bir tane ayarlamak için adımlar atmadığınız sürece güvenlik duvarı olmazsınız .

"Yönlendiriciniz" IPv6 geçidi çalıştırdığından, muhtemelen herhangi bir IPv6 güvenlik duvarı işlevi göremez. Modem bir çeşit IPv6 güvenlik duvarı özelliğine sahip olabilir . Ya da olmayabilir, ya da bazı umutsuzca zayıf seçeneklere sahip olabilir, ya da ... Ne yazık ki, IPv6 (en azından IMO) güvenlik konusundaki hareketlerimizi bir araya getiremediğimiz kadar yeni. Bu noktada, en iyi önerimin bilgisayarınızda bir tür yazılım güvenlik duvarı çalıştırmak olduğunu düşünüyorum.

(Ayrıca, yazılım güvenlik duvarı özelliğine sahip olmayan nesneler için, nesnelerin İnterneti aygıtlarınız gibi, bir sorun olabilir .)

Gordon Davisson
kaynak
haklısın, ipv4'e geri döndün ve hepsi yerine oturdu. Bazı nedenlerden dolayı ipv6 paketlerinin, modem alanına girdiklerinde (internet ipv6 <-> modem <-> ipv4 yönlendirici) ipv4 paketlerine "otomatik olarak eşlendiğini" düşündüm.
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.