Я взял на себя настройку сети ipv6 в корпоративной сети. Существует одна VLAN для всех хостов в LAN. Я использую программу pfsense 2.3.4.
Теперь мне нужно выяснить распределение адресов в локальной сети. Адреса не должны позволять идентифицировать какие-либо хосты из глобальной сети, поэтому есть 2 варианта. NATv6 с локальными адресами или глобальными адресами с ротацией адресов, но я читал, что NATv6 - плохой выбор. Я мог бы просто настроить ротацию адресов с глобальными адресами, но это помешало бы мне создавать правила брандмауэра на основе IP-адресов, поскольку адреса будут постоянно меняться.
Есть ли способ назначить диапазон адресов IPv6 каждому из хостов для ротации их адресов в этом диапазоне, чтобы я мог писать правила брандмауэра для каждого из этих диапазонов (вместо статических адресов) и скрывать (в некоторой степени) публичные адреса хостов от глобальных зрителей? И возможно ли это в pfsense?
Я также мог бы просто создать VLAN для каждой роли в офисе и чередовать глобальные адреса для каждой роли и создавать правила брандмауэра для каждой роли, но это не вариант.
Я немного поработал и поправил, и за последние пару дней у меня получилось неплохо.
Итак, я напишу краткое изложение того, что мне нужно для работы.
Чтобы обновить тему: я хотел создать сеть за одним (LAN) интерфейсом моего модуля pfsense. Требования к сети заключались в предоставлении рабочих станций в сети с рабочими адресами ipv6. Сеть не должна позволять глобальной сети идентифицировать устройства в этой сети, но должна предоставлять возможность писать правила брандмауэра на основе адресов в этой сети. Я хочу, чтобы все хосты в этой сети могли «анонимно» просматривать веб-страницы и оставаться неопознанными, и я хочу, чтобы все хосты в этой сети имели ограничения доступа для других сетей, которые напрямую подключены к моему ящику pfsense. Поэтому мне нужно идентифицировать каждый из хостов и написать правила брандмауэра для каждого хоста (или каждой роли сотрудника), которые ограничивают некоторый доступ к внутренним ресурсам.
Насколько мне известно, этого можно было добиться тремя способами.
1) Используйте ULA (уникальные локальные адреса) для внутренней связи и ограничьте доступ к статическим ULA, но используйте NAT66 для глобальной связи, защищая идентичность хостов. Это считается плохим.
2) Иметь несколько виртуальных локальных сетей для каждой роли сотрудника (уровня доступа) в сети. Таким образом, правила брандмауэра могут быть написаны на основе виртуальных локальных сетей, игнорирующих адреса, и каждый хост может иметь GUA (глобальные уникальные адреса) как для глобальной, так и для локальной связи. Могут быть временные адреса конфиденциальности, чтобы помочь защитить личность от глобальной сети. Это был не вариант, поскольку я хочу сделать это с одной VLAN.
3) Сохраняйте единую VLAN с GUA, но назначьте для каждого хоста определенный диапазон адресов, в котором он может чередовать свои адреса. Таким образом, я могу писать правила брандмауэра на основе этих диапазонов и защищать личности с помощью чередующихся адресов. Это то, чего я хотел добиться, но в pfsense найти невозможно (в отличие от некоторых коммерческих решений).
Теперь я нашел четвертый способ добиться этого.
4) Каждый хост в локальной сети имеет 2 разных сетевых адреса: один ULA и один GUA. На самом деле GUA может быть несколько, поскольку GUA создаются автоматически. Я мог бы сделать так, чтобы реклама маршрутизаторов позаботилась о GUA, объявив глобальный префикс хостам в сети. Эти GUA затем будут использоваться для доступа к глобальной сети, а хосты могут использовать конфиденциальные (ротационные) адреса, чтобы их нельзя было идентифицировать в глобальной сети. Что касается ULA: сервер DHCPv6 позаботится об этих адресах, предоставив статистику для каждого DUID LUA для каждого хоста. Эти адреса могут использоваться для упомянутых внутренних коммуникаций, и на их основе написаны правила межсетевого экрана. Чтобы это работало, мне нужно, чтобы у каждого хоста был только один адрес в этой локальной сети, поэтому мне нужно отключить RA (объявления маршрутизатора) для этого префикса. По умолчанию pfsense генерирует файл конфигурации /var/etc/radvd.conf со всеми префиксами, перечисленными в RA, и всегда добавляет префикс DHCPv6 к RA. Таким образом, все хосты получат несколько адресов, что приведет к тому, что они будут использовать адреса конфиденциальности в качестве источника, и мои правила брандмауэра будут бесполезны, поэтому я закомментировал часть, которая генерирует предложение префикса DHCPv6 для файла radvd.conf из / etc / inc. / services / inc, и сеть DHCP больше не объявляется с помощью объявлений маршрутизатора. Таким образом, каждый хост имеет только один адрес в пределах этого локального префикса. В дополнение к этому я должен убедиться, что хосты всегда будут использовать ULA для доступа к внутренним ресурсам и GUA для глобальных ресурсов, что происходит благодаря второму правилу в протоколе выбора адреса источника согласно RFC6724 (https://tools.ietf.org/html/rfc6724), в котором говорится, что адрес источника с той же областью действия (глобальная, локальная, локальная ссылка), что и адрес назначения, будет предпочтительным. Благодаря этому, а также внутренним ресурсам, имеющим локальные адреса, у меня все работает так, как я хочу. Единственный прием - изменить файл /etc/inc/services.inc, чтобы закомментировать эту часть. Кроме того, я также должен настроить виртуальный IP-адрес типа псевдонима IP для интерфейса LAN с адресом из второго префикса сети. Таким образом, один адрес устанавливается на интерфейс (в моем случае локальный), а другой (глобальный адрес) устанавливается на виртуальный IP.
Таким образом, этот четвертый способ работает, как ожидалось, и не требует дополнительных сетей VLAN, NAT66 или функции, которую не предлагает pfsense.