¿IPv6 elimina la necesidad de una VPN?


8

Sé que una VPN se puede usar de muchas maneras diferentes para muchas cosas diferentes, por lo que no estoy sugiriendo que IPv6 elimine la necesidad de una VPN por completo. Estoy interesado en un caso de uso particular:

Tengo un enrutador celular (GSM) y, tradicionalmente, una SIM estándar de mi operador de red local me dará una dirección IPv4 dinámica. Para poder llegar a mi enrutador desde Internet, hoy uso una VPN. Esto hace 2 cosas:

  • Le da a mi enrutador una dirección IPv4 estática. Esto no cambiará si cambia la dirección IPv4 dinámica asignada por el operador, o si cambio de operadores.
  • Me permite atravesar el firewall NAT del operador. Si mi enrutador está actuando como servidor, puedo iniciar una conexión a él.

Todavía estoy aprendiendo sobre IPv6, pero me parece que si un operador de red es compatible con IPv6 (por ejemplo, Verizon Wireless en los EE. UU.), Ya no necesito una VPN:

  • Los operadores celulares de 3GPP usan SLAAC y obtengo una dirección de unidifusión global. Esto, por definición, es globalmente enrutable. No hay NAT.
  • Sé qué prefijo / 64 asigna el operador y sé qué ID de interfaz se utilizará (EUI-64 o RFC 7217), por lo que tengo una dirección IPv6 estática.

¿Es esto correcto? ¿O me estoy perdiendo algo?

Por supuesto, soy consciente de que una VPN proporciona seguridad adicional, ya que agrega autenticación y cifrado. Pero supongamos a los efectos de esta discusión que utilizaré un firewall IPv6, o IPsec, o TLS en la capa de aplicación, por seguridad.

Sé que podría seguir usando una VPN con IPv6, y esto me permitiría usar direcciones IPv6 locales únicas al igual que mis antiguas direcciones IPv4 privadas. ¿Pero por qué necesitaría hacerlo?

Respuestas:


4

Creo que su idea de que los ISP móviles y del consumidor entregarán IPv6 estático es optimista, por decir lo menos. Algunos pueden hacerlo, pero muchos probablemente no lo harán.

Las VPN proporcionan dos características principales.

  1. Proporcionan protección para el tráfico contra espionaje, suplantación de identidad, ataques de repetición, etc.
  2. Desacoplan su direccionamiento y enrutamiento de los operadores de sus redes subyacentes.

La función 2 es útil por muchas razones.

  • Puede evitar los firewalls / NAT "solo conexiones salientes". Si bien Nat está fuertemente desaconsejado para las conexiones salientes v6 ", es probable que los firewalls sigan siendo comunes.
  • Puede mantener una dirección IP constante en las máquinas incluso cuando su proveedor vuelve a direccionar sus redes.
  • Puede mantener una dirección IP coherente en las máquinas incluso cuando mueven la ubicación o el proveedor.
  • Debido a los dos puntos anteriores, puede usar más fácilmente el control de acceso basado en IP, ya sea dentro de sus propias redes o para acceder a servicios de terceros.
  • Si tiene enlaces de alta calidad entre sus campus de todo el mundo y buenas conexiones desde cada campus a los proveedores locales de banda ancha / móvil, puede enrutar el tráfico desde su dispositivo móvil y trabajar en los usuarios domésticos a través de esos enlaces en lugar de bajar cualquier mierda que transite su "banda ancha" proveedor comprado.

Algunos de estos pueden ser un problema menor en un mundo v6, pero espero que las VPN sigan siendo útiles en general y probablemente sigan siendo una buena solución para administrar dispositivos remotos.


3
"su idea de que los ISP móviles y del consumidor entregarán IPv6 estático es optimista por decir lo menos". ¿Por qué? El uso de la autoconfiguración de direcciones sin estado IPv6 (SLAAC) es estándar en todas las redes GSM, de acuerdo con 3GPP TS 29.061.
Banjaxed

2
Su punto sobre "conexiones salientes solo cortafuegos" es interesante. ¿Hay alguna evidencia anecdótica de esto en una red celular IPv6?
banjaxed

En cuanto a los firewalls. No sé acerca de las redes celulares, pero sí sé que muchos "enrutadores domésticos" contienen tales firewalls. Con respecto a SLACC, SLACC no implica estático, los prefijos de SLACC pueden tener un límite de tiempo al igual que los arrendamientos DHCP.
Peter Green

1
Re la pregunta de dirección IPv6 "estática": creo que tienes razón. En mis pruebas preliminares, Verizon Wireless siempre me daba un prefijo 2600: 1008: b045: 2275. Ingenuamente pensé que esto sería estático. Pero resulta que tienen un grupo de cientos de prefijos diferentes: tcpiputils.com/browse/as/22394
banjaxed

1
¿Cómo implica eso que el prefijo no será estático?
user1686

5

El punto principal de IPv6 es que restaura la idea original de que cada dispositivo tiene una dirección IP única, lo que restaura el concepto de IP de extremo a extremo. NAT es un truco para extender la vida de IPv4 hasta que IPv6 pueda volverse ubicuo.

El objetivo de una VPN ( Red Privada Virtual ) es brindarle privacidad al tráfico mientras está en tránsito, aunque puede solucionar algunos de los problemas inherentes a IPv4 NAT, pero solucionar esos problemas no es el verdadero propósito de una VPN. Puede usar una VPN con IPv6 por la verdadera razón de una VPN: la privacidad.

IPv6 tiene, incorporado, una forma de cifrar el tráfico en el cable. Desafortunadamente, no es compatible con la forma en que fue diseñado, aunque OSPFv3 lo usa. La intención era no necesitar un envoltorio VPN alrededor de los paquetes IPv6, sino moverlo dentro de los paquetes IPv6. Con el entorno actual de IPv4 e IPv6, es mucho más simple tener una forma de cifrar su tráfico.


Gracias Ron Para ser claros, cuando dices "IPv6 tiene ... una forma de encriptar el tráfico", ¿te refieres a IPsec? Y cuando dices "es mucho más simple tener una forma de encriptar tu tráfico", ¿te refieres a una VPN?
banjaxed

IPv6 se diseñó con IPsec, que se puede implementar utilizando el encabezado de autenticación AH y el encabezado de extensión ESP dentro de los paquetes IPv6. IPv4 no tiene esto, por lo que los paquetes están encapsulados dentro de otros paquetes (túnel), y pueden encriptarse para una VPN. Eso también puede suceder para IPv6.
Ron Maupin

Entonces ... ¿sí y sí?
banjaxed

Solo para señalar que no todas las VPN están diseñadas para ser privadas en el sentido de "otros no pueden leer", sino privadas en el sentido de "bajo su control". Algunas VPN no tienen cifrado y usan VPN solo para simplificar la conexión en red. Ciertamente, la mayoría de las VPN usan encriptación, solo recordando que algunas no.
jonathanjo

Bueno, creo que eso depende del contexto. Creo que estás señalando lo que la mayoría de la gente considera un túnel. La mayoría de las personas consideran una VPN (donde la "P" significa "Privado") como un túnel encriptado.
Ron Maupin

1

Suponiendo que el ISP IPv6 asigna una "Dirección de unidifusión global. Esto, por definición, es enrutable globalmente. No hay NAT". ... Incluso si le proporciona una asignación completamente estática, tal vez basada en el IMEI o similar del dispositivo de llamada, no hay razón para suponer que realmente lo enrutará en las condiciones que más le convengan.

Una de las funciones de la VPN es darle control sobre su numeración y enrutamiento, lo que puede ser muy útil para dar, entre otras cosas, independencia del ISP. La forma preeminente de aislar contra los cambios de dirección es, por supuesto, el DNS, pero las VPN son otras que se adaptan a algunos requisitos de red.


0

Solo en el caso de la privacidad, solo tal vez ... pero aún tiene otros usos, como eludir las restricciones geográficas y desbloquear sitios web y todo ... así que supongo que un VPN tiene un propósito mayor que solo ofrecer privacidad.

Además de la discusión técnica, creo que esta página resume bastante bien lo que puede hacer un VPN.

https://www.ivacy.com/what-is-vpn/


Si lo piensa, " eludir las restricciones geográficas y desbloquear sitios web " tiene que ver con la privacidad. Que puede tener esos es un efecto secundario de la privacidad que ofrecen las VPN.
Ron Maupin

Sé lo que puede hacer una VPN, las uso todo el tiempo. Como dije, quería limitar la discusión a un caso de uso particular: llegar a mi dispositivo cuando está en una red celular IPv6. ¿Necesito una VPN en ese caso?
banjaxed

@banjaxed "_ quería limitar la discusión a un caso de uso particular: llegar a mi dispositivo cuando está en una red celular IPv6._" Esa pregunta en realidad está fuera de tema aquí porque involucra una red sobre la cual no tienes control directo, y también la configuración del host, que están fuera de tema en Ingeniería de redes .
Ron Maupin
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.