[GTER] Problemas com conexões entrantes IPv6 em CPEs

[Fernando Frediani]

Olá a todos.

Estou escrevendo para questionar sobre o uso de IPv6 em CPEs e ONUs mais 
utilizadas no mercado Brasileiro e como a área técnicas dos ISPs tem 
lidado com esta questão.

Um problema comum com a necessidade de transição para o IPv6 no mercado 
de banda larga é o uso de CGNAT que é inevitável e em muitos casos 
usuários, por diversas razões, pedem que se restitua o IPv4 Público que 
possuíam antes porque possuem algum serviço específico na sua casa ou 
empresa que necessita de conexão entrante como um DVR sem a função de 
Cloud, um pequeno Servidor ou Sistema de Alarme, etc. No entanto nem 
sempre é possível para o ISP devolver o IPv4 Público para o usuário ou 
ele não está disposto a pagar de maneira diferenciada por aquilo.

Dessa forma a única solução é o ISP orientar o usuário a utilizar o IPv6 
que é sempre público para realizar suas conexões entrantes. Um fato que 
ajuda muito nesse questão é que algumas operadores móveis grandes já 
possuem suporte completo à IPv6 o que permite realizar o acesso sobre 
IPv6 normalmente inclusive desde dispositivos móveis.

No entanto tenho podido notar alguns problemas com CPEs e gostaria de 
perguntar a experiência dos colegas à respeito deste ponto. Relato 
abaixo 3 cenários que podem ou não ser um problema a depender do 
equipamento utilizado como CPE e das funções do firmware relacionadas à 
IPv6.

1) Dispositivos que precisam ser acessados (DVR, NAS, Sistema de Alarme, 
etc) até possuem suporte à IPv6 porém não possuem suporte à DNS Dinâmico 
em IPv6 para atualizar o IPv6 recebido do provedor pelo IPv6-PD. Este 
inclusive creio que seja um problema cultural para muitos usuários que 
sempre se acostumaram a fazer essa configuração sempre na CPE 
(atualização do DNS Dinâmico + NAT Port Forward) e que no caso do IPv6 
deve ser feita diretamente no equipamento já que cada equipamento 
possuirá sempre um IPv6 único e público, então para cada equipamento uma 
entrada de DNS Dinâmico diferente.

2) Notei também que muitos CPEs mais comuns usados apesar de possuírem 
bom suporte à navegação IPv6 (conexões saintes, receber IPv6-PD e alocar 
na LAN, etc) não possuem uma área de configuração de Firewall IPv6 para 
permitir que conexões entrantes passem pela CPE em direção ao dispositivo.
Ainda que possuam esta funcionalidade existe outra questão que deveria 
funcionar bem: Como vincular o IPv6 da LAN que está atribuído ao 
dispositivo e que pode mudar a qualquer momento pois a maioria dos ISPs 
trabalham com IPv6-PD Dinâmicos e dessa forma atualizar o Firewall para 
permitir a passagem daquela conexão entrante em direção o dispositivo 
com o novo IPv6 recebido do provedor ?
Uma maneira seria vincular uma entrada DHCPv6 para o hostname do 
dispositivo, porém neste caso como assegurar que o dispositivo que envia 
a atualização do endereço IPv6 utilizado pra o serviço de DNS Dinâmico 
irá enviar o endereço recebido pelo DHCPv6 e não pelo RA (desabilitar RA 
nem pode ser uma opção por causa principalmente dos Androids).
Também seria possível liberar uma porta específica para toda a LAN de 
maneira genérica, porém neste caso poderíamos começar a ter problemas de 
segurança a depender do cenário.

3) Para tratar deste problema de maneira muito mais fácil, os 
dispositivos e aplicações que necessitam de conexões entrantes podem 
enviar requisições para a CPE através do Port Control Protocol (PCP) se 
considermos que tanto as aplicações como a CPE possui suporte à PCP.
Alguém saberia dizer se a funcionalidade de UPnP contida nessas CPEs com 
'suporte' à IPv6 suporta também PCP ?

Os testes que realizei utilizei OpenWrt e funcionam como esperado, porém 
sempre liberando a conexão entrante com destino ao endereço IPv6 da LAN 
atribuído ao dispositivo, mas sabemos que a maioria das CPEs não possuem 
as mesmas funcionalidades do OpenWrt e por isso gostaria de deixar esta 
questão para saber se alguém já teve que lidar com alguma dessas 
situações e poderia comentar algo à respeito.

Obrigado
Fernando Frediani