[lacnog] A Disaster for IPv6 - Brought by Fortinet

Lun Jun 8 03:23:30 -03 2026

Hello, Douglas,

On 07/06/2026 10:13, Douglas Fischer wrote:
> 
>     I will argue the other way around: I have implemented IPv6 in some
>     scenarios where I explicitly decided to do NAT for IPv6. -- because
>     doing so in the orthodox manner would have been a no go.
> 
>     IPv6+NAT, in those scenarios, has boild down to "same thing as IPv4,
>     just this longer and awkward addresses", and move one.  There's usually
>     larger fish to fry.
> 
> Cabe dizer aqui que os "nat-helpers"(ou ALGs) não estão ativos em IPv6 
> em praticamente nenhum firewall do mercado(open source ou não).

Tampoco el soporte IPv6 para UPnP.  -- Por lo tanto, inclusive si 
asignas direcciones globales a tus hosts, pero el CPE tiene un firewall 
stateful, probablemente tengas mejor conectividad con IPv4 que con IPv6. 
  (Con IPv4 podras abrir agujeros en el firewall, mientras que con IPv6 no).

Ver: 
https://www.ietf.org/archive/id/draft-gont-v6ops-ipv6-addressing-considerations-02.html#name-address-reachability

> Então apesar de o NAT66 "funcionar", ele quebra qualquer outra aplicação 
> que trabalhe com conexões auxiliares sinalizadas a partir de uma 
> primeira conexão.

Lo que en todo caso "quiebra" algo es la politica del firewall, y/o la 
imposibilidad de no crear agujeros en el mismo -- no el NAT66 en si.

(Nota: En muchos casos, los problemas para lidiar con NATs hablan mas de 
los problemas de diseño de aplicaciones/protocolos, que de los NATs en si)

> Ou seja, praticamente qualquer aplicação que não queria ser server- 
> centric vai quebrar com NAT66.

El NAT66 no es peor que el NAT multicapa de IPv4. Y dado que todas las 
aplicaciones  que utilizamos hoy en dia, apra bien o para mal, estan 
acostumbradas a lidiar con IPv4, todo esto es terreno ya conocido.

> Fomentar NAT66 é um deserviço!

Desconozco quien "fomenta" NAT66.

-- En realidad, es bastante curiosa la idea de "fomentar" cosas con los 
recursos de otros. :-)  -- sea el uso de NAT, el despliegue de IPv6, o 
lo que fuera.

Las organizaciones toman sus propias decisiones, con su propio criterio, 
considerando sus propias realidades, problemas, y prioridades. -- y esta 
bien que asi sea.

-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: F242 FF0E A804 AF81 EB10 2F07 7CA1 321D 663B B494