Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
vLAN – IPv6 local-link, wifiman
 
#1
19.01.2025 15:47:00
Привет! У меня есть две VLAN – 40 и 50, вся моя IoT на 50, а домашняя сеть на 40. Проблема в том, что я могу получить доступ к IPv6-устройствам из моей домашней сети только при использовании глобального IPv6-адреса. Если же я использую FE80::, то это не работает, если только я не подключу устройство-хост к этой VLAN (например, мой ноутбук). Я подозреваю, что это особенность IPv6 link-local адресации, но какое решение? Меня беспокоит, что если я буду зависеть от глобальных адресов, и мой провайдер изменит мой IP, я потеряю доступ. Я слышал что-то про ULA (Unique Local Addresses) – это решение, и как мне это реализовать на UDM Pro? Пожалуйста, помогите.
 
 
 
#2
19.01.2025 20:11:00
/64 всё ещё очень большой размер (это как размер всего IPv4 интернета, в квадрате). Вы бы выбрали часть из fd00::/8 для ULA. Можно выделить из /8 сеть размером /60, как что-то похожее на то, что предлагал @marcg1 выше. Это даст вам 16 разных /64 для использования в последовательных блоках, либо можно случайным образом выбирать разные /64 из этого /8. В любом случае, каждая LAN должна быть /64. Также, как отмечено выше, если вы используете что-то отличное от /64, это сломает SLAAC (автоконфигурацию) для большинства устройств, поэтому просто используйте /64 для интерфейса. Если вы выбираете ULA через статическую конфигурацию, эти сети будут иметь только ULA-адреса (не глобальные и не используя ваш делегированный префикс). Вам нужно будет сделать это для обоих ваших VLAN (40 и 50), так как большинство реализаций IPv6 будут следовать RFC и использовать область, соответствующую назначению: например, они будут использовать только ULA-адрес источника для связи с ULA-назначением, и только глобальный адрес для связи с глобальным назначением. Это значит, что если у вас нет ULA на обеих VLAN, вы можете не добиться связи между ними. Если вы настраиваете ULA через статическую конфигурацию с UniFi, у вас не будет глобального адреса, и ваша интернет-связь будет только IPv4. UniFi поддерживала IPv6 относительно недавно, и в настоящее время ее поддержка отстает от большинства других производителей. Работа над ней продолжается, но поддержка ULA (с обычной делегацией префиксов DHCPv6) для подключения к интернету одновременно является одной из тех функций, которых не хватает.
 
 
 
#3
19.01.2025 19:35:00
Эти примеры для ваших локальных сетей. Настройки > Сети > [сеть]. Чтобы использовать ULA на интерфейсе WAN, ваш маршрутизатор upstream должен быть способен отображать их во что-то маршрутизируемое. Вот где вступают в игру вещи вроде NPTv6.

Вот два примера того, как это может быть настроено (ни один из них не поддерживается UI без хакерства/дополнительных устройств/потери гарантии).

*   Все хосты в локальной сети имеют ULA и GUA.
*   Локальный DNS содержит записи ULA для хостов.
*   Локальные хосты обращаются друг к другу по ULA.
*   Хосты, которым необходимо подключиться к Интернету, используют свои GUA.

*   Все хосты в локальной сети имеют только ULA.
*   Локальный DNS содержит записи ULA для хостов.
*   Локальные хосты обращаются друг к другу по ULA.
*   Шлюз по умолчанию для хостов, которым необходимо подключиться к Интернету, — это маршрутизатор.
*   Маршрутизатор выполняет NPTv6 для отображения префиксов ULA на публичные маршрутизируемые префиксы.

Обратите внимание, что NPT отличается от NAT. Это без сохранения состояния и просто отображает локальные префиксы на удаленные префиксы, сохраняя ту же часть адреса хоста.

EDIT: Посмотрите на ту тему, на которую я ссылался ранее; там, вероятно, есть другие предложения. Я некоторое время назад перешел на маршрутизатор стороннего производителя, в основном чтобы решить эти и другие недостатки IPv6. Все еще 100% UI для всего остального, включая UDMB, который предоставляет AP, контроллер и маршрутизацию для сети по умолчанию, где живут все коммутаторы и AP. Остальные сети настроены как Third Party Gateway, работающие в режиме IPv4/v6 dual-stack с GUAs и ULAs.
 
 
 
#4
19.01.2025 19:29:00
Я не могу выбрать префикс 8, минимально допустимое значение — 64?
 
 
 
#5
19.01.2025 19:19:00
Да, это можно сделать (но без дополнительных действий вы не сможете маршрутизировать эти адреса вовне – ни один из способов не будет простым через UI: туннель v6 в v4 или "апстрим" бокс, выполняющий NPTv6 для отображения ваших внутренних префиксов на внешние, среди прочих вариантов). fd00::/8 – хороший диапазон префиксов ULA. Избегайте префиксов длиннее /64, потому что это, как правило, сломает генерацию адресов SLAAC клиентами. Удобно кодировать ID VLAN в префиксе. И хорошая практика – иметь уникальные префиксы ULA. Если вы включите Matter в своей сети, например, он сгенерирует свои собственные ULA. Или, если вы хотите подключиться к другой сети, используя ULA, вам понадобятся ваши собственные, отличные от других. Если у вас установлен OpenSSL, вы можете сгенерировать 10 случайных шестнадцатеричных символов так:
root@cerberus:/# openssl rand 1000 | md5sum | cut -b 1-10
47f4ad5544
Затем настройте следующие два префикса:
VLAN 40, fd47:f4ad:5544:40::/64
VLAN 50, fd47:f4ad:5544:50::/64
 
 
 
#6
19.01.2025 17:21:00
Спасибо за ответы. Как обычный пользователь, я все равно поражаюсь, как Unifi не хватает базовой функциональности, которая людям нужна. Им нужно больше времени уделять основам, а не выпускать новое оборудование каждую неделю. Где-то прочитал, что можно настроить статические ipv6-настройки LAN и добавить fd00: подсеть, чтобы создать ULAs?
 
 
 
#7
19.01.2025 16:52:00
Действительно, IPv6 link-local адреса являются link-local, то есть они не маршрутизируемые и не должны передаваться между сегментами второго уровня (VLAN). ULA не поддерживается UniFi, так что это не вариант для вас в любом случае. Вы не упомянули, хотите ли вы доступ только из вашей локальной сети (несколько VLAN) или извне. Если да, то ULA не подойдет, так как она не маршрутизируема за пределами вашей сети. Если вам нужен доступ извне сети (например, из интернета), вам стоит посмотреть динамический DNS сервис для IPv6. Обычно вы настраиваете желаемый сервер (а не шлюз) для регистрации своего глобального адреса. Это нужно делать на каждом сервере, который вы хотите сделать доступным извне. Честно говоря, моя обычная рекомендация в этих случаях — оставаться на IPv4. IPv6 на самом деле не предлагает ничего для внутренних сетей, и если вы не хотите перейти на IPv6 только, нет причин не использовать IPv4 в локальной сети. Для вашего личного пользования IPv6 динамический DNS сервис может быть достаточным для внешнего доступа. Я не могу говорить о ваших устройствах, но многие IoT-устройства все еще не поддерживают IPv6 должным образом, если вообще поддерживают. Если вы настроили свои IoT-устройства на гостевой Wi-Fi UniFi, вам может оказаться, что маршрутизируемый IPv6 с ними не работает, так как IPv6 там явно заблокирован. Возможно, это изменится (я не проверял это с контроллером 9.x), но на самом деле попытки использовать IPv6 для IoT, по крайней мере, пока, могут потребовать больших усилий без особого успеха, и, вероятно, не стоят того (просто мой $0.01).
 
 
 
#8
19.01.2025 16:41:00
Добавим к вышесказанному… вот длинный и информативный тред о поддержке IPv6 в UI. Параллельные ULA и GUA пока что не поддерживаются. Также не поддерживаются правила брандмауэра, которые автоматически адаптируются к изменениям в динамических префиксах GUA. Возможно, это изменилось с появлением брандмауэров на основе зон в Network App 9.x, хотя по этому поводу ведутся споры.

Вот несколько вариантов. Скорее всего, в связанном треде есть и другие.

*   Настроить отдельную машину с многохостным radvd, который будет рекламировать префиксы ULA и маршруты (последние указывают на UDM... на UDM можно будет определить правила брандмауэра для этих v6 подсетей, даже если UDM не управляет ими).
*   В зависимости от политики делегирования префиксов вашего провайдера, оставайтесь на GUA-only. Некоторые провайдеры (например, ATT Fiber в США) сообщают о стабильных префиксах на протяжении нескольких лет. Другие, в том числе некоторые немецкие провайдеры, обновляют их ежедневно.
*   Перейти на сторонний роутер, который поддерживает параллельные GUAs, ULAs и правила брандмауэра, отслеживающие обновления префиксов.
 
 
 
#9
19.01.2025 16:10:00
Всё, что вы испытываете, сделано намеренно. Link local адреса – именно это… link local. Их можно использовать только для устройств в одной подсети. UniFi не поддерживает ULA, и пока нет информации, планирует ли UI это реализовать. Как человек, у которого меняли IPv6 префикс, я понимаю вашу боль. Это боль – каждый раз собирать адреса и обновлять внутренние записи DNS. Если ваш провайдер правильно настраивает IPv6, ваш префикс, в сущности, не должен меняться. К сожалению, немногие провайдеры делают это правильно. Сейчас единственный способ избежать проблем – просто отключить IPv6 и использовать только IPv4.
 
 
 
Страницы: 1
Читают тему (гостей: 1)