[lacnog] Problemas con conexiones entrantes de IPv6 en CPEs

[Fernando Frediani]

Hola a todos.
Le escribo para preguntarle algo sobre el uso de IPv6 en los CPEs más 
comunes que se encuentran en el mercado.

Un problema común con la transición a IPv6 en el mercado de banda ancha 
y el uso de CGNAT en conexiones de doble pila es que algunos usuarios 
solicitan que se les devuelva a IPv4 público porque tienen un servicio o 
dispositivo XPTO particular dentro de su casa o negocio y necesitan 
acceder a ellos (DVR/NVR sin opción de cloud, SOHO Server, sistema de 
alarma, etc.). Sin embargo, esto no siempre es posible o el usuario no 
está dispuesto a pagar por el servicio y la única recomendación posible 
es verificar si el dispositivo que utilizan es compatible con IPv6. Algo 
que lo hace un poco más fácil es que la red móvil se está volviendo más 
compatible con IPv6 para que se pueda acceder desde dispositivos móviles
Sin embargo, noté algunos problemas comunes que creo que los fabricantes 
de CPE y de dispositivos aún necesitan ajustar y me gustaría preguntar 
si otras personas han observado este compartimento en sus escenarios.

1) El dispositivo XPTO tiene soporte para IPv6 pero no tiene soporte 
para DNS Dinámico en IPv6 para actualizar la dirección recibida del ISP 
. Este también es un problema cultural que se volverá muy común porque 
los usuarios siempre se hayan acostumbrado a configurar DNS Dinámico 
solo en CPE y hacer que IPv4 NAT Port Forward e en IPv6 vayan 
directamente al dispositivo al que se accede.

2) Noté que muchos CPEs comunes en el mercado tienen bueno soporte de 
navegación IPv6 (conexiones salientes) pero no tienen un área de 
configuración de Firewall IPv6 para permitir conexiones de paso a 
dispositivos de red para que puedan recibir estas conexiones entrantes 
directamente.
Aunque tienen esta posibilidad de configuración, hay otra cuestión que 
deberia funcionar bien: ¿cómo vincular IPv6 da LAN en lo dispositivo que 
puede cambiar con el tiempo o con lo reboot del CPE con reglas de 
firewall estáticas cuando el ISP no entrega un IPV6-PD fijo?
Una forma es que podría vincularse a una entrada DHCPv6 para el hostname 
del dispositivo, pero en este caso, ¿cómo asegurarse de que el 
dispositivo que utiliza DNS dinámico envíe el IPv6 recibido de DHCPv6 y 
no de RA? También es posible liberar un puerto específico para toda la 
LAN, pero en este caso tendríamos problemas de seguridad.

3) Para hacer este problema mucho más fácil, los dispositivos y 
aplicaciones que necesitan conexiones entrantes pueden enviar señales a 
CPE que lo necesitan a través del Port Control Protocol (PCP) si se 
admiten que tanto CPE como las aplicaciones tienen este soporte.
¿Alguien sabe si el soporte actual para UPnP contenido en las CPEs ya 
incluye este tipo de funcionalidad PCP para IPv6?

Realicé pruebas usando OpenWrt como firmware en CPE y liberando los 
puertos para lo IPv6 del dispositivo y funciona como se esperaba, pero 
como sabemos, la mayoría de los usuarios no tienen CPE de OpenWrt. Me 
gustaría conocer su experiencia en estos 3 escenarios.

Saludos cordiales
Fernando Frediani