[GTER] Problemas com conexões entrantes IPv6 em CPEs

NOC - FalcãoNET noc at falcao.net.br
Mon Aug 19 10:19:44 -03 2019 

Segue um vídeo nosso, com o relato de problemas encontrados no Intelbras 
RF 301k.

https://www.youtube.com/watch?v=coPSX3lCp-4&feature=youtu.be

Creio que seja relevante aos colegas tomarem conhecimento.

Já enviei o video à intelbras, aguardo resposta deles.

Att,

	

/Emanuel Falcão
Diretor / Director
Chief Technology Officer/

  * Este e-mail e seus anexos são para uso exclusivo de seu destinatário 
e pode conter informações confidenciais. Se você recebeu esta mensagem 
por engano, apague esta mensagem imediatamente e por favor informe ao 
remetente.
  * This e-mail and its attachments are for the exclusive use of your 
recipient and may contain sensitive information. If you have received 
this message in error, delete this message immediately and please inform 
the sender.
  * Este e-mail y sus anexos son para uso exclusivo de su destinatario y 
puede contener información confidencial. Si ha recibido este mensaje por 
error, borre este mensaje inmediatamente y por favor informe al remitente..

Em 18/08/2019 03:22, Fernando Frediani escreveu:
> Envio um update à respeito deste assunto após ter realizado alguns 
> testes em algumas CPEs que tive acesso ou de colegas e referente à 2 
> dos pontos citados abaixo.
>
> - Além do OpenWrt que já havia realizado o teste anteriormente 
> liberando as conexões entrantes com destino ao  IP na configuração do 
> firewall de forma manual, tentei simular o processo de abertura dessas 
> portas em IPv6 de maneira 'automatizada' utilizando o miniupnpc 
> (cliente UPnp - http://miniupnp.free.fr/) para fazer a solicitação e 
> funcionou da maneira esperada, porem apenas para OpenWrt 18.06 e acima.
> - Para algumas CPEs TP-Link testadas apesar de terem suporte à 
> navegação em IPv6 não funcionou de maneira automatizada para o 
> UPnP/PCP e nem sequer havia opção no menu para adicionar regras de 
> entrada para IPv6 na LAN.
> - Em um RouterOS com UPnP ativado também não funcionou. Questionada a 
> Mikrotik confirmou que não funciona mesmo e não deu a mínima para o 
> problema. Jogou como uma possibilidade para a versão 7 (riam!)
> - Foram testadas também 2 ONUs Vivo Fibra, sendo uma MitraStar 
> GPT-2731GN2A4P e outra Mirastar GPT-2541GNAC-N1 com UPnP ativado e 
> também não funcionaram. Neste caso no entanto funcionou a parte de 
> Firewall para se adicionar regras específicas permitindo corretamente 
> o tráfego com destino à algum endereço IPv6 na LAN. Dependendo do 
> daemon UPnP que eles utilizam no firmware é apenas uma questão de 
> atualizar a versão ou compilar com suporte à PCP e/ou IGD2.
>
> Portanto parece que em alguns casos existe suporte mesmo que parcial e 
> a falta do suporte à PCP pode ser um problema maior conforme as 
> aplicações passarem a ter mais suporte à IPv6. Mesmo sendo possível 
> liberar de maneira manual em alguns casos, isso dificulta onde o 
> Prefixo Delegado é dinâmico cenário onde o PCP resolveria.
>
> Fernando
>
> On 09/08/2019 11:17, Fernando Frediani wrote:
>> Olá a todos.
>>
>> Estou escrevendo para questionar sobre o uso de IPv6 em CPEs e ONUs 
>> mais utilizadas no mercado Brasileiro e como a área técnicas dos ISPs 
>> tem lidado com esta questão.
>>
>> Um problema comum com a necessidade de transição para o IPv6 no 
>> mercado de banda larga é o uso de CGNAT que é inevitável e em muitos 
>> casos usuários, por diversas razões, pedem que se restitua o IPv4 
>> Público que possuíam antes porque possuem algum serviço específico na 
>> sua casa ou empresa que necessita de conexão entrante como um DVR sem 
>> a função de Cloud, um pequeno Servidor ou Sistema de Alarme, etc. No 
>> entanto nem sempre é possível para o ISP devolver o IPv4 Público para 
>> o usuário ou ele não está disposto a pagar de maneira diferenciada 
>> por aquilo.
>>
>> Dessa forma a única solução é o ISP orientar o usuário a utilizar o 
>> IPv6 que é sempre público para realizar suas conexões entrantes. Um 
>> fato que ajuda muito nesse questão é que algumas operadores móveis 
>> grandes já possuem suporte completo à IPv6 o que permite realizar o 
>> acesso sobre IPv6 normalmente inclusive desde dispositivos móveis.
>>
>> No entanto tenho podido notar alguns problemas com CPEs e gostaria de 
>> perguntar a experiência dos colegas à respeito deste ponto. Relato 
>> abaixo 3 cenários que podem ou não ser um problema a depender do 
>> equipamento utilizado como CPE e das funções do firmware relacionadas 
>> à IPv6.
>>
>> 1) Dispositivos que precisam ser acessados (DVR, NAS, Sistema de 
>> Alarme, etc) até possuem suporte à IPv6 porém não possuem suporte à 
>> DNS Dinâmico em IPv6 para atualizar o IPv6 recebido do provedor pelo 
>> IPv6-PD. Este inclusive creio que seja um problema cultural para 
>> muitos usuários que sempre se acostumaram a fazer essa configuração 
>> sempre na CPE (atualização do DNS Dinâmico + NAT Port Forward) e que 
>> no caso do IPv6 deve ser feita diretamente no equipamento já que cada 
>> equipamento possuirá sempre um IPv6 único e público, então para cada 
>> equipamento uma entrada de DNS Dinâmico diferente.
>>
>> 2) Notei também que muitos CPEs mais comuns usados apesar de 
>> possuírem bom suporte à navegação IPv6 (conexões saintes, receber 
>> IPv6-PD e alocar na LAN, etc) não possuem uma área de configuração de 
>> Firewall IPv6 para permitir que conexões entrantes passem pela CPE em 
>> direção ao dispositivo.
>> Ainda que possuam esta funcionalidade existe outra questão que 
>> deveria funcionar bem: Como vincular o IPv6 da LAN que está atribuído 
>> ao dispositivo e que pode mudar a qualquer momento pois a maioria dos 
>> ISPs trabalham com IPv6-PD Dinâmicos e dessa forma atualizar o 
>> Firewall para permitir a passagem daquela conexão entrante em direção 
>> o dispositivo com o novo IPv6 recebido do provedor ?
>> Uma maneira seria vincular uma entrada DHCPv6 para o hostname do 
>> dispositivo, porém neste caso como assegurar que o dispositivo que 
>> envia a atualização do endereço IPv6 utilizado pra o serviço de DNS 
>> Dinâmico irá enviar o endereço recebido pelo DHCPv6 e não pelo RA 
>> (desabilitar RA nem pode ser uma opção por causa principalmente dos 
>> Androids).
>> Também seria possível liberar uma porta específica para toda a LAN de 
>> maneira genérica, porém neste caso poderíamos começar a ter problemas 
>> de segurança a depender do cenário.
>>
>> 3) Para tratar deste problema de maneira muito mais fácil, os 
>> dispositivos e aplicações que necessitam de conexões entrantes podem 
>> enviar requisições para a CPE através do Port Control Protocol (PCP) 
>> se considermos que tanto as aplicações como a CPE possui suporte à PCP.
>> Alguém saberia dizer se a funcionalidade de UPnP contida nessas CPEs 
>> com 'suporte' à IPv6 suporta também PCP ?
>>
>> Os testes que realizei utilizei OpenWrt e funcionam como esperado, 
>> porém sempre liberando a conexão entrante com destino ao endereço 
>> IPv6 da LAN atribuído ao dispositivo, mas sabemos que a maioria das 
>> CPEs não possuem as mesmas funcionalidades do OpenWrt e por isso 
>> gostaria de deixar esta questão para saber se alguém já teve que 
>> lidar com alguma dessas situações e poderia comentar algo à respeito.
>>
>> Obrigado
>> Fernando Frediani
>>
> -- 
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list