[GTER] Problemas com conexões entrantes IPv6 em CPEs
Fernando Frediani
fhfrediani at gmail.com
Fri Aug 9 11:17:58 -03 2019
Olá a todos.
Estou escrevendo para questionar sobre o uso de IPv6 em CPEs e ONUs mais
utilizadas no mercado Brasileiro e como a área técnicas dos ISPs tem
lidado com esta questão.
Um problema comum com a necessidade de transição para o IPv6 no mercado
de banda larga é o uso de CGNAT que é inevitável e em muitos casos
usuários, por diversas razões, pedem que se restitua o IPv4 Público que
possuíam antes porque possuem algum serviço específico na sua casa ou
empresa que necessita de conexão entrante como um DVR sem a função de
Cloud, um pequeno Servidor ou Sistema de Alarme, etc. No entanto nem
sempre é possível para o ISP devolver o IPv4 Público para o usuário ou
ele não está disposto a pagar de maneira diferenciada por aquilo.
Dessa forma a única solução é o ISP orientar o usuário a utilizar o IPv6
que é sempre público para realizar suas conexões entrantes. Um fato que
ajuda muito nesse questão é que algumas operadores móveis grandes já
possuem suporte completo à IPv6 o que permite realizar o acesso sobre
IPv6 normalmente inclusive desde dispositivos móveis.
No entanto tenho podido notar alguns problemas com CPEs e gostaria de
perguntar a experiência dos colegas à respeito deste ponto. Relato
abaixo 3 cenários que podem ou não ser um problema a depender do
equipamento utilizado como CPE e das funções do firmware relacionadas à
IPv6.
1) Dispositivos que precisam ser acessados (DVR, NAS, Sistema de Alarme,
etc) até possuem suporte à IPv6 porém não possuem suporte à DNS Dinâmico
em IPv6 para atualizar o IPv6 recebido do provedor pelo IPv6-PD. Este
inclusive creio que seja um problema cultural para muitos usuários que
sempre se acostumaram a fazer essa configuração sempre na CPE
(atualização do DNS Dinâmico + NAT Port Forward) e que no caso do IPv6
deve ser feita diretamente no equipamento já que cada equipamento
possuirá sempre um IPv6 único e público, então para cada equipamento uma
entrada de DNS Dinâmico diferente.
2) Notei também que muitos CPEs mais comuns usados apesar de possuírem
bom suporte à navegação IPv6 (conexões saintes, receber IPv6-PD e alocar
na LAN, etc) não possuem uma área de configuração de Firewall IPv6 para
permitir que conexões entrantes passem pela CPE em direção ao dispositivo.
Ainda que possuam esta funcionalidade existe outra questão que deveria
funcionar bem: Como vincular o IPv6 da LAN que está atribuído ao
dispositivo e que pode mudar a qualquer momento pois a maioria dos ISPs
trabalham com IPv6-PD Dinâmicos e dessa forma atualizar o Firewall para
permitir a passagem daquela conexão entrante em direção o dispositivo
com o novo IPv6 recebido do provedor ?
Uma maneira seria vincular uma entrada DHCPv6 para o hostname do
dispositivo, porém neste caso como assegurar que o dispositivo que envia
a atualização do endereço IPv6 utilizado pra o serviço de DNS Dinâmico
irá enviar o endereço recebido pelo DHCPv6 e não pelo RA (desabilitar RA
nem pode ser uma opção por causa principalmente dos Androids).
Também seria possível liberar uma porta específica para toda a LAN de
maneira genérica, porém neste caso poderíamos começar a ter problemas de
segurança a depender do cenário.
3) Para tratar deste problema de maneira muito mais fácil, os
dispositivos e aplicações que necessitam de conexões entrantes podem
enviar requisições para a CPE através do Port Control Protocol (PCP) se
considermos que tanto as aplicações como a CPE possui suporte à PCP.
Alguém saberia dizer se a funcionalidade de UPnP contida nessas CPEs com
'suporte' à IPv6 suporta também PCP ?
Os testes que realizei utilizei OpenWrt e funcionam como esperado, porém
sempre liberando a conexão entrante com destino ao endereço IPv6 da LAN
atribuído ao dispositivo, mas sabemos que a maioria das CPEs não possuem
as mesmas funcionalidades do OpenWrt e por isso gostaria de deixar esta
questão para saber se alguém já teve que lidar com alguma dessas
situações e poderia comentar algo à respeito.
Obrigado
Fernando Frediani
More information about the gter
mailing list