[GTER] Problemas com conexões entrantes IPv6 em CPEs

[Gondim]

Buenas Frediani,

Gostaria de complementar seu e-mail com uma dica que fazemos aqui para
economizarmos IPv4 público para continuarmos crescendo enquanto o uso do
IPv6 ainda não é o padrão:

1º esse é o principal levantar o IPv6 na sua rede. Sessões BGP, OSPF,
CPEs, etc. Implantar IPv6 em tudo.

2º montar um servidor de CGNAT. Tenho um artigo pra ajudar aqui [1].

3º separe uma caixa B-RAS onde nela só vai ter IPv4 público e IPv6, sem
CGNAT. Essa caixa você vai usar para todos os assinantes que tem
problema com CGNAT, tipo como quem tem DVR por exemplo. Nós percebemos
aqui, que o universo de clientes com problemas com CGNAT é muito menor
em relação à toda a rede.

4º todas as outras caixas funcionando com IP de CGNAT 100.64.0.0/10 e
com IPv6. Com isso você vai economizar bastante seus IPs v4 públicos.
Nessas caixas fazer um roteamento baseado em PBR onde tráfego de CGNAT
vai para a caixa CGNAT e o tráfego IPv6 vai direto pra Internet.

Observar sempre a caixa CGNAT sobre o consumo nela (bps/pps), para em
caso de crescimento adicionar uma nova caixa. Quanto mais IPv6 os
assinantes usarem, menor vai ser o consumo nessa caixa de CGNAT.
Logicamente que para usarem IPv6 serão necessários que o assinante
esteja usando IPv6 e o destino do acesso também tenha suporte à IPv6.
Por exemplo não adianta o assinante ter IPv6 e acessar o site: globo.com
porque este ainda está em IPv4.   :)

Essa estratégia que estamos usando está funcionando e acredito que possa
ajudar outros. Mas o objetivo não é o CGNAT e sim ajudar na transição
para o IPv6.

[1] https://wiki.brasilpeeringforum.org/w/CGNAT_na_pratica

Em 09/08/2019 11:17, Fernando Frediani escreveu:
> Olá a todos.
>
> Estou escrevendo para questionar sobre o uso de IPv6 em CPEs e ONUs
> mais utilizadas no mercado Brasileiro e como a área técnicas dos ISPs
> tem lidado com esta questão.
>
> Um problema comum com a necessidade de transição para o IPv6 no
> mercado de banda larga é o uso de CGNAT que é inevitável e em muitos
> casos usuários, por diversas razões, pedem que se restitua o IPv4
> Público que possuíam antes porque possuem algum serviço específico na
> sua casa ou empresa que necessita de conexão entrante como um DVR sem
> a função de Cloud, um pequeno Servidor ou Sistema de Alarme, etc. No
> entanto nem sempre é possível para o ISP devolver o IPv4 Público para
> o usuário ou ele não está disposto a pagar de maneira diferenciada por
> aquilo.
>
> Dessa forma a única solução é o ISP orientar o usuário a utilizar o
> IPv6 que é sempre público para realizar suas conexões entrantes. Um
> fato que ajuda muito nesse questão é que algumas operadores móveis
> grandes já possuem suporte completo à IPv6 o que permite realizar o
> acesso sobre IPv6 normalmente inclusive desde dispositivos móveis.
>
> No entanto tenho podido notar alguns problemas com CPEs e gostaria de
> perguntar a experiência dos colegas à respeito deste ponto. Relato
> abaixo 3 cenários que podem ou não ser um problema a depender do
> equipamento utilizado como CPE e das funções do firmware relacionadas
> à IPv6.
>
> 1) Dispositivos que precisam ser acessados (DVR, NAS, Sistema de
> Alarme, etc) até possuem suporte à IPv6 porém não possuem suporte à
> DNS Dinâmico em IPv6 para atualizar o IPv6 recebido do provedor pelo
> IPv6-PD. Este inclusive creio que seja um problema cultural para
> muitos usuários que sempre se acostumaram a fazer essa configuração
> sempre na CPE (atualização do DNS Dinâmico + NAT Port Forward) e que
> no caso do IPv6 deve ser feita diretamente no equipamento já que cada
> equipamento possuirá sempre um IPv6 único e público, então para cada
> equipamento uma entrada de DNS Dinâmico diferente.
>
> 2) Notei também que muitos CPEs mais comuns usados apesar de possuírem
> bom suporte à navegação IPv6 (conexões saintes, receber IPv6-PD e
> alocar na LAN, etc) não possuem uma área de configuração de Firewall
> IPv6 para permitir que conexões entrantes passem pela CPE em direção
> ao dispositivo.
> Ainda que possuam esta funcionalidade existe outra questão que deveria
> funcionar bem: Como vincular o IPv6 da LAN que está atribuído ao
> dispositivo e que pode mudar a qualquer momento pois a maioria dos
> ISPs trabalham com IPv6-PD Dinâmicos e dessa forma atualizar o
> Firewall para permitir a passagem daquela conexão entrante em direção
> o dispositivo com o novo IPv6 recebido do provedor ?
> Uma maneira seria vincular uma entrada DHCPv6 para o hostname do
> dispositivo, porém neste caso como assegurar que o dispositivo que
> envia a atualização do endereço IPv6 utilizado pra o serviço de DNS
> Dinâmico irá enviar o endereço recebido pelo DHCPv6 e não pelo RA
> (desabilitar RA nem pode ser uma opção por causa principalmente dos
> Androids).
> Também seria possível liberar uma porta específica para toda a LAN de
> maneira genérica, porém neste caso poderíamos começar a ter problemas
> de segurança a depender do cenário.
>
> 3) Para tratar deste problema de maneira muito mais fácil, os
> dispositivos e aplicações que necessitam de conexões entrantes podem
> enviar requisições para a CPE através do Port Control Protocol (PCP)
> se considermos que tanto as aplicações como a CPE possui suporte à PCP.
> Alguém saberia dizer se a funcionalidade de UPnP contida nessas CPEs
> com 'suporte' à IPv6 suporta também PCP ?
>
> Os testes que realizei utilizei OpenWrt e funcionam como esperado,
> porém sempre liberando a conexão entrante com destino ao endereço IPv6
> da LAN atribuído ao dispositivo, mas sabemos que a maioria das CPEs
> não possuem as mesmas funcionalidades do OpenWrt e por isso gostaria
> de deixar esta questão para saber se alguém já teve que lidar com
> alguma dessas situações e poderia comentar algo à respeito.
>
> Obrigado
> Fernando Frediani
>
> -- 
> gter list    https://eng.registro.br/mailman/listinfo/gter

-- 
  ⢀⣴⠾⠻⢶⣦⠀  Marcelo Gondim 
  ⣾⠁⢠⠒⠀⣿⡁  Sysadmin - https://www.linuxinfo.com.br
  ⢿⡄⠘⠷⠚⠋   DA04 922E 78B3 44A5 3C8D 23D0 8DB5 571E E151 4E19
  ⠈⠳⣄⠀⠀⠀⠀  Logic will get you from A to B. Imagination will take you everywhere. (Albert Einstein)