cascata do roteador não está funcionando como esperado

1

Eu tenho dois roteadores, um é fornecido pelo meu isp e tem um modem integrado (a partir de agora: "modem"), o outro é um netgear r7000 (a partir de agora: "roteador") eu comprei.

Eu queria colocar o roteador em cascata no modem, então conectei a porta de Internet do roteador ao modem e configurei-o da seguinte forma:

  • IP estático da Internet: 192.168.1.1
  • Gateway: 192.168.1.254 (este é o IP do modem).
  • Lan IP: 192.168.2.1

Então eu continuei a configurar o modem da seguinte forma:

  • Eu configurei um DMZ apontando para 192.168.1.1 (IP de internet do roteador)
  • desativado todo o DHCP

Tudo funciona como esperado (como em: eu posso navegar na internet), mas, como eu estava testando minha rede usando um scanner de porta ipv6 online , algumas coisas me surpreenderam:

  • Se eu não desabilitar o firewall no modem, o scanner informa que tudo está

STLTH (Nenhuma resposta foi recebida da sua máquina na alocação   período de tempo. Esta é a resposta ideal, pois ninguém pode verificar   a presença de suas máquinas nessa combinação de endereço / porta IPv6.)

qual é Está bem [EDIT: isso é realmente NÃO ESTÁ TUDO BEM já que a DMZ, como configurada acima, deve ignorar o firewall do modem, certo?]

  • se eu desabilitar o firewall no modem, eu teria esperado os mesmos resultados, pois achei que todo o tráfego seria filtrado pelo meu roteador (que tem o filtro NAT ativado), mas esse não era o caso! Os relatórios do scanner

RFSD (Uma indicação recusada (TCP RST / ACK ou ICMPv6 tipo 1 código 4) foi   recebido ao tentar abrir essa porta. Alguém pode verificar que   sua máquina está respondendo nessa combinação de endereço / porta IPv6, mas   não pode estabelecer uma conexão TCP.)

com exceção da porta 22, que na verdade está aberta na minha máquina, onde os scanners dizem OPEN. Isto é NÃO ESTÁ TUDO BEM

  • Mesmo que o scanner relate que meu 22 está aberto, não consigo fazer com que ninguém se conecte a ele do lado de fora da rede. Um amigo meu tentou se conectar a ele com

ssh -6 myipv6

e ele recebe um erro inacessível host, mas quando eu pedi a ele para tentar

nmap -6 -p22 -Pn --traceroute myipv6

ele realmente conseguiu acessar minha máquina e o nmap disse que a porta 22 estava "filtrada".

Recapitulando minhas perguntas são:

  • Por que o firewall no roteador não está funcionando?
  • Por que não consigo me conectar à minha rede pelo lado de fora?

Como @Gordon Davisson aponta em um comentário O culpado pode ser IPv6, então estou atualizando a questão para explicar como eu a configurei:

  • Eu fui para a minha página do ISP e habilitei o IPv6
  • meu ISP reiniciou um pouco meu modem e habilitou o IPv6 para ele (há também uma nova seção de configuração no painel do modem, que deixei inalterada)
  • Eu entrei no meu roteador e, na seção IPv6, selecionei a opção para configurar automaticamente o IPv6. O roteador escolheu o método PassThrough (havia muitas outras opções de configuração diferentes das quais ele poderia ter escolhido, eu não me lembro de fato e não posso verificá-lo agora).
    Isso é suspeito. Talvez passar significa ignorar o firewall, como Gordon parece sugerir no comentário?
networking router firewall ipv6
fonte
Você já tentou se conectar à sua rede de fora? Você só disse que seu amigo fez.
Michael Hampton
@KamilMaciorowski pronto, você se importaria de validar minhas edições? Obrigado!
@ MichaelHampton não, eu não tenho. Eu usei e scanner de porta ipv6 online que mostram resultados que não entendo completamente, como documentei na pergunta. Na verdade, não tenho como testar a rede do lado de fora de uma maneira sã (como: poder operar também no roteador e no modem).
A configuração que você descreveu (192.168 endereços, configuração DMZ, etc) todos se aplicam para o IPv4. Qualquer conectividade IPv6 que você tenha será em grande parte independente disso. A primeira coisa a fazer é determinar como você está obtendo o IPv6 por trás de dois roteadores. Meu palpite seria que você está usando teredo , nesse caso, está abrindo caminho através do firewall. Mas sem mais informações é apenas um palpite.
Gordon Davisson
@GordonDavisson oh bem, eu não sabia disso! Eu nunca ouvi falar de teredo (vou ler sobre isso em breve, obrigado pelo link). Atualizei a resposta para incluir uma explicação sobre como configurei o roteamento ipv6.

Respostas:

0

É difícil dizer sem olhar para as especificidades das configurações do modem e do roteador, mas parece que o modem provavelmente está roteando uma sub-rede IPv6 normal (pública), e o "roteador" está agindo como uma ponte para o IPv6 - , não está roteando o IPv6, apenas transmitindo a sub-rede fornecida pelo modem. (Isso significa que meu palpite sobre o teredo está errado).

A coisa sobre o IPv6, não importa qual seja a configuração exata, é que ele não usa NAT. O NAT tem sido a opção "normal" no IPv4 por tanto tempo que as pessoas tendem a pensar apenas como parte do funcionamento do roteamento da Internet: o seu provedor fornece ao seu roteador (/ modem) um único endereço público e seu roteador fornece uma sub-rede privada. (196.168.algo, 10.alguma coisa ou talvez 172.16-31.algo) que está oculto por trás daquele único endereço público. Como seus computadores não têm endereços públicos, eles não podem ser endereçados da Internet pública, a menos que você configure algum tipo de encaminhamento a partir do endereço público do roteador (via DMZ, mapeamento de portas, etc., no roteador). Isso significa que tudo na rede privada está por trás do que é um firewall básico, automaticamente , a menos que você faça furos naquele firewall (com DMZ, mapeamento de porta, etc.).

O IPv6 não funciona dessa maneira. Se você estiver usando IPv6 na Internet, isso significa que você tem pelo menos um endereço público (2xxx: alguma coisa ou talvez 3xxx: alguma coisa) e um endereço privado (fe80: alguma coisa). Ao contrário do IPv4, seus endereços públicos são acessíveis por padrão de qualquer lugar na Internet IPv6.

Em outras palavras, o IPv6 não tem o firewall automático que você está acostumado com o IPv4. Com o IPv4, você está protegido por firewall, a menos que você tome medidas para fazer um furo nele; com IPv6 você está não Firewall, a menos que você tome medidas para configurar uma.

Como o seu "roteador" está executando a passagem IPv6, provavelmente não é capaz de agir como qualquer tipo de firewall IPv6. O modem poderia tem algum tipo de capacidade de firewall IPv6. Ou pode não ser, ou pode ter algumas opções irremediavelmente fracas, ou ... Infelizmente, o IPv6 é novo o suficiente para que (pelo menos a IMO) nós não tenhamos realmente nos envolvido em segurança. Neste ponto, acho que minha melhor recomendação seria executar algum tipo de firewall de software no seu computador.

(E para coisas que não têm capacidade de firewall de software, como seus dispositivos de Internet-of-things, você pode ter um problema .)

Gordon Davisson
fonte
você está certo, voltou para o ipv4 e tudo se encaixou. Por alguma razão eu pensei que os pacotes ipv6 eram "mapeados automaticamente" para os pacotes ipv4 quando eles entravam na região do modem (internet ipv6 & lt; - & gt; modem & lt; - & gt; roteador ipv4).