Se suponía que antes de fin de año estaría implementado IPv6 en la fibra de Movistar. Tanto alardear de ser el primer operador con IPv6 en España cuando hasta una operadora local que tuve hace 3 años tenía IPv6, y ya ni hablar de Digi.
También está previsto llegar también a toda la banda ancha fija antes de final de año.
Y pa que quieres IPv6? no te va bien la seguridad de una red bien nateada?
Más que nada por empezar a aprender y trastear con las nuevas tecnologías
para aprender te descargas una OVA de mikrotik.com/download y la metes en virtual box y te pones a cacharrear con IPv6, para mi eso de que la lavadora pueda acceder a internet no lo acabo de ver… yo prefiero VPN y a otra cosa
*Toda la razón en ese aspecto, lo de que los dispositivos puedan hacer lo que quieran me preocupa. Tengo ya un OPNsense configurado y todo el tema y por ese lado bien. “Conseguí” ayer usar el 5G de O2 (que sí que tiene IPv6) haciendo tethering al OPNsense. Con SLAAC en la interfaz del 5G y Track en LAN me daba IPs para cada dispositivo pero sin conexión IPv6 a internet, no se que falla.
*Edit: No es así, el trafico sigue pasando por el firewall.
Usar IPv6 no implica que tus dispositivos estén expuestos. No hay NAT pero existen las reglas de firewall y al menos en Digi, están todas las conexiones entrantes bloqueadas (seguro Movistar lo hará igual).
Si quieres dar acceso externo vía IPv6 a algún dispositivo creas la regla de firewall permitiendo el acceso solo al puerto que quieras (exactamente igual que con NAT). No hace falta exponer el dispositivo completo.
Sin acritud, tus comentarios parecen "miedo a lo desconocido".
NAT != Seguridad.
La seguridad nunca fue una de las finalidades para las que fue creado NAT. Esa supuesta seguridad es un efecto colateral.
En IPv6, entiendo que el router sigue filtrando con su firewall igual que en IPv4, usando para ello el prefijo, ¿me equivoco?
Hasta donde yo he probado, o bien especifico la IPv6 del cliente que quiero exponer o puedo utilizar notación CIDR.
Venía a esto…
Ni NAT es seguridad.
Ni IPv6 con direccionamiento público en tu subred significa ser alcanzables. Los CPE tienen un DENY por defecto de tráfico entrante que se intente iniciar por el remoto.
Yo de momento, dentro de las pruebas desde el inicio, y encantado, alguna vez he notado que están tocado algo (tarda en responder o cambian las rutas), pero perfecto (Router Ubiquiti ER4 y ONT Ufiber Nano G).
Ya no puedo vivir sin IPv6 (tanto en fibra, como en móvil). Bien configurado, me he olvidado de lo que es eso de abrir puertos.
La última vez que miré los foros de la beta hay silencio, han preguntado lo mismo que tú y nada de nada…
En ese mismo hilo yo ya dije que era mentira.
Te ha faltado en el titular añadir "en la red móvil", ¡qué…
Se me crucificó pero estoy seguro de que los que lo hicieron se disculparán.
No van a activar IPv6 a todos mientras haya problemas con el firmware de algunos equipos proporcionados por Movistar. Tampoco van a pagar a los fabricantes que les hagan cambios más rápido. Así que lo que tarden.
Una operadora local tiene tres equipos distintos y le es muy fácil conseguir que estos funcionen bien con IPv6.
Por lo que se sabe, hay unos modelos de HGU que dan problemas con IPv6 y están esperando un firmware que lo solucione. Por lo demás, la implementación que han hecho funciona correctamente en el día a día.
Según un forero de aquí (no voy a decir el nombre por si acaso no quiere), hasta febrero o así del año que viene nada.
En mi experiencia, la beta ha sido un desastre. Puede que ellos la hayan llevado muy bien desde el punto de vista técnico y que les haya dado muy poco problema, pero en tema de comunicación con clientes de la beta, cero pelotero. Post sin atender por semanas o meses, falta de transparencia, respuestas simplonas y sin fundamento y una atención por mail muy mejorable. Sinceramente, me esperaba mucho más de la beta, ha sido una oportunidad perdida, en mi humilde opinión.
Lo bueno: IPv6 funciona, y lo hace muy bien. Se nota que se han puesto las pilas y que en la red móvil ya lo tienen desplegado y funcionando. Salvo error puntual de routing, y algún problema de latencia más alta (cosa rara, sospecho que por algún tema de peering que aún está pendiente y acabas teniendo ASPATH más largos por IPv6 que por IPv4), todo ha ido bien. Tener un /56 para casa, si bien no es el /48 estándar, da para jugar y mucho con delegación de prefijos.
Dos cosillas, que se han comentado en post previos y que se repiten más que el gazpacho cuando se habla de este protocolo, siendo errores comunes: IPv6 e IPv4 son idénticos en cuanto a seguridad: dependes de un firewall, independientemente de que tengas o no NAT de por medio (si lo hechas de menos, monta un NAT66, aberrante, pero ahí está). Como bien ha dicho @Bramante NAT != seguridad. NAT = opacidad, es un mecanismo de traducción de direcciones, nada más. Que un frigorífico tenga una IP pública no significa ni que esté accesible desde internet, ni expuesto, ni que sea de por sí nada malo. Todo depende de tu firewall (tu router), el cual de por sí, normalmente, impide toda comunicación entrante. Y el ping (mejor dicho, el ICMP) en IPv6 lo es TODO, así que no se os ocurra bloquearlo.
Y dos: los equipos móviles que reciben IPv6 son capaces de propagar dicho /64 del PDP Context al dispositivo al que hacen tethering. Es decir, NO hay NAT66 en un móvil que hace tethering, sino que su propio pool de direcciones se usa y delega a los equipos con los que comparte conexión. Lo podéis probar si sois clientes de Movistar/O2 en móvil y compartís la conexión con un PC, veréis que no llegáis a una web de comprobación de IP pública con la misma dirección, sino cada uno con una IP pública distinta, del mismo /64.
Saludos!
NO hay NAT66 en un móvil que hace tethering, sino que su propio pool de direcciones se usa y delega a los equipos con los que comparte conexión
Sí, es esto:
Tener un /56 para casa, si bien no es el /48 estándar, da para jugar y mucho con delegación de prefijos.
En la práctica, de nada sirve un /56 si el prefijo delegado te cambia cada vez que se va a luz o reinicias el router, como pasa en esta beta. Acabas dependiendo de Dyndns otra vez, o peor, tienes que usar un ULA para los dispositivos de tu red local , lo cual es ir para atras.
