[lacnog] Problemas con conexiones entrantes de IPv6 en CPEs

JORDI PALET MARTINEZ jordi.palet en consulintel.es
Mie Jul 31 18:55:40 -03 2019


Hola Fernando,

No entiendo muy bien que es XPTO, pero lo voy a contestar de forma genérica.

Con IPv6 no tiene sentido que los prefijos sean no-persistentes. En IPv4 se hizo por una única razón: direcciones dinámicas porque no había suficientes y se podían compartir (al principio los módems no estaban permanentemente conectados).

Si un ISP no cambia su forma de pensar, mejor que no despliegue IPv6, porque NO le aporta valor, y que los clientes elijan un ISP que lo haga correctamente. Que tampoco despliegue CGN, le sale mucho mas barato comprar direcciones y seguir con el sistema de NAT tradicional.

Es lo que siempre insisto del cambio de "chip" y creo que los clientes son cada vez mas "expertos" como para saber lo que les conviene.

Recomiendo la lectura del RIPE690.

Si el ISP despliega correctamente IPv6, con prefijos persistentes, se abre la puerta a si mismo y a terceros (que pueden cooperar con el ISP) para desarrollar y ofrecer servicios de forma sencilla, sin complejidades de NAT, IP y DNS dinámico.

Todas las soluciones que queramos inventar, son técnicamente complejas e innecesarias, y solo harían que encarecer el precio de todos los servicios. Si eso es lo que queremos, mejor nos quedamos con IPv4. Espero que no desaprovechemos la oportunidad!

Generalmente los CPEs tienen lo que los ISPs "piden". Los CPEs con IPv4, originalmente no tenían firewall (configurable), y poco a poco se fueron incorporando. No es algo complejo, especialmente porque la mayoría de los fabricantes de CPEs usan OpenWRT como base (dado que los fabricantes de SoC, los semiconductores de los CPEs también desarrollan sus versiones basadas en OpenWRT, es algo publico y conocido).

Así que, si un fabricante de CPE quiere incorporar el GUI al firewall, es algo que *YA* esta hecho, no hace falta desarrollarlo, como tu mismo has confirmado con OpenWRT.

Es el mismo problema que hemos tenido con el soporte de IPv6-only e IPv4aaS, que finalmente hemos resuelto con el RFC8585, donde también hablamos de uPnP, PCP, firewall y todo lo que tu estas pidiendo.

Ahora bien, si los ISPs, no lo piden, no servirá de nada.

Yo diría incluso que los reguladores, como Anatel en tu caso, deberían exigir que se vendan CPEs con soporte de determinados RFCs (concretamente el RFC8585, que además obliga al soporte del RFC7084), porque es su obligación *proteger* a los consumidores y evitar que se les suministren (por parte de los ISPs) o vendan (por parte de la cadena de distribución) equipos que, básicamente, no sirven, y mas aún cuando no hay un incremento en el precio.

Saludos,
Jordi
@jordipalet
 
 

El 31/7/19 19:28, "LACNOG en nombre de Fernando Frediani" <lacnog-bounces en lacnic.net en nombre de fhfrediani en gmail.com> escribió:

    Hola a todos.
    Le escribo para preguntarle algo sobre el uso de IPv6 en los CPEs más 
    comunes que se encuentran en el mercado.
    
    Un problema común con la transición a IPv6 en el mercado de banda ancha 
    y el uso de CGNAT en conexiones de doble pila es que algunos usuarios 
    solicitan que se les devuelva a IPv4 público porque tienen un servicio o 
    dispositivo XPTO particular dentro de su casa o negocio y necesitan 
    acceder a ellos (DVR/NVR sin opción de cloud, SOHO Server, sistema de 
    alarma, etc.). Sin embargo, esto no siempre es posible o el usuario no 
    está dispuesto a pagar por el servicio y la única recomendación posible 
    es verificar si el dispositivo que utilizan es compatible con IPv6. Algo 
    que lo hace un poco más fácil es que la red móvil se está volviendo más 
    compatible con IPv6 para que se pueda acceder desde dispositivos móviles
    Sin embargo, noté algunos problemas comunes que creo que los fabricantes 
    de CPE y de dispositivos aún necesitan ajustar y me gustaría preguntar 
    si otras personas han observado este compartimento en sus escenarios.
    
    1) El dispositivo XPTO tiene soporte para IPv6 pero no tiene soporte 
    para DNS Dinámico en IPv6 para actualizar la dirección recibida del ISP 
    . Este también es un problema cultural que se volverá muy común porque 
    los usuarios siempre se hayan acostumbrado a configurar DNS Dinámico 
    solo en CPE y hacer que IPv4 NAT Port Forward e en IPv6 vayan 
    directamente al dispositivo al que se accede.
    
    2) Noté que muchos CPEs comunes en el mercado tienen bueno soporte de 
    navegación IPv6 (conexiones salientes) pero no tienen un área de 
    configuración de Firewall IPv6 para permitir conexiones de paso a 
    dispositivos de red para que puedan recibir estas conexiones entrantes 
    directamente.
    Aunque tienen esta posibilidad de configuración, hay otra cuestión que 
    deberia funcionar bien: ¿cómo vincular IPv6 da LAN en lo dispositivo que 
    puede cambiar con el tiempo o con lo reboot del CPE con reglas de 
    firewall estáticas cuando el ISP no entrega un IPV6-PD fijo?
    Una forma es que podría vincularse a una entrada DHCPv6 para el hostname 
    del dispositivo, pero en este caso, ¿cómo asegurarse de que el 
    dispositivo que utiliza DNS dinámico envíe el IPv6 recibido de DHCPv6 y 
    no de RA? También es posible liberar un puerto específico para toda la 
    LAN, pero en este caso tendríamos problemas de seguridad.
    
    3) Para hacer este problema mucho más fácil, los dispositivos y 
    aplicaciones que necesitan conexiones entrantes pueden enviar señales a 
    CPE que lo necesitan a través del Port Control Protocol (PCP) si se 
    admiten que tanto CPE como las aplicaciones tienen este soporte.
    ¿Alguien sabe si el soporte actual para UPnP contenido en las CPEs ya 
    incluye este tipo de funcionalidad PCP para IPv6?
    
    Realicé pruebas usando OpenWrt como firmware en CPE y liberando los 
    puertos para lo IPv6 del dispositivo y funciona como se esperaba, pero 
    como sabemos, la mayoría de los usuarios no tienen CPE de OpenWrt. Me 
    gustaría conocer su experiencia en estos 3 escenarios.
    
    Saludos cordiales
    Fernando Frediani
    
    _______________________________________________
    LACNOG mailing list
    LACNOG en lacnic.net
    https://mail.lacnic.net/mailman/listinfo/lacnog
    Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
    



**********************************************
IPv4 is over
Are you ready for the new Internet ?
http://www.theipv6company.com
The IPv6 Company

This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.





Más información sobre la lista de distribución LACNOG