:strip_exif()/u/8402/Untitled-2.gif?f=community)
Ik wil het graag hebben over hoe men in de enterprise koppelingen maakt (of straks zal gaan maken) tussen bedrijven (of vestigingen) met ipv6 op een veilige manier.
IPv6
Ik werk al jaren met ipv6, en in verschillende datacentra (waar we wat racks huren) hebben we ipv6 uitgerold. Als contentprovider zijn de meeste van de webapplicaties die we maken en hosten native beschikbaar over ipv6, al dan niet achter ipv6-enabled proxies. Dat werkt allemaal prima, ik heb de afgelopen jaren veel geleerd en ervaring opgedaan met ipv6, en dat zal hopelijk de komende tijd doorgaan. (Beter nu op mijn gemak dan straks hals over kop moeten.) Onze klanten en leveranciers hebben meestal nog nooit ipv6 aangeraakt, maar dat zal in de toekomst vast veranderen
Site-to-site koppelingen met IPv4
De defacto standaard voor het koppelen van netwerken is de ipsec site-to-site vpn (of meer recentlijk de SSL vpn). Hierbij spreken 2 bedrijven met elkaar af welke subnets ze met elkaar willen delen (al dan niet genat e.d.), ze spreken parameters met elkaar af zoals welke encryptie te gebruiken, de endpoints, en een gedeeld geheim zoals een preshared key of certificates. Ik heb een stuk of 30 site-to-site vpn's draaien met klanten en leveranciers, waar allerlei interne rfc1918 netwerken gerouteerd worden. Dit draait (aan onze kant) allemaal op Cisco ASA5505's en ASA5510's, onze klanten en leveranciers draaien alles wat je maar kunt bedenken (cisco, juniper, 3com, etc).
Site-to-site koppelingen met IPv6?
De bovenstaande 2 concepten zijn me helder. Als ik echter in de toekomst koppelingen tot stand wil brengen, zal dat wellicht op een andere manier gaan gebeuren. Als ik nu een koppeling met een klant tot stand wil brengen, gaan we om tafel zitten en overleggen we welke netwerken we aan elkaar willen knopen (bij ons bijvoorbeeld 10.2.3.0/24 en aan zijn kant bijvoorbeeld 172.16.45.64/26), en maken we een site-to-site vpn. Maar als we in de toekomst aan beide kanten publicly routeable ipv6 adressen hebben (en misschien niet eens ipv4 meer), hoe doen we dat dan?
Voorbeeldje: Stel dat ik mijn 2001:xxx:123::/64 zou willen koppelen aan 2001:xxx:456::/64 bij de klant.
Je zou exact dezelfde ipsec site-to-site vpn kunnen opzetten, en dan die bovenstaande subnetten eroverheen routeren. Op mijn Cisco ASA kan ik in de ASDM niet eens ipv6 traffic toevoegen aan crypto maps. Zo te zien is dit wel een feature van de ASA 8.3.x software (waarvoor je ook geheugen in je ASA's moet upgraden), maar dit werkt alleen tussen ASA's, niet met andere partijen. Geen oplossing voor ons dus.
Je zou ook kunnen kiezen om slechts een rule in de firewalls te maken, aangezien end-to-end communicatie op routing-niveau al mogelijk is. Maar dan heb je nog geen encryptie. Dat kan dan weer met ipsec, maar hoe configureer je dat? Ik lees hier over virtual tunnel interfaces in IOS, maar wij gebruiken weer enkel ASA's..
Ik vraag me vooral af wat industry best practices zijn (ik kan ze niet vinden), en hoe jullie hiermee omgaan.
IPv6
Ik werk al jaren met ipv6, en in verschillende datacentra (waar we wat racks huren) hebben we ipv6 uitgerold. Als contentprovider zijn de meeste van de webapplicaties die we maken en hosten native beschikbaar over ipv6, al dan niet achter ipv6-enabled proxies. Dat werkt allemaal prima, ik heb de afgelopen jaren veel geleerd en ervaring opgedaan met ipv6, en dat zal hopelijk de komende tijd doorgaan. (Beter nu op mijn gemak dan straks hals over kop moeten.) Onze klanten en leveranciers hebben meestal nog nooit ipv6 aangeraakt, maar dat zal in de toekomst vast veranderen
Site-to-site koppelingen met IPv4
De defacto standaard voor het koppelen van netwerken is de ipsec site-to-site vpn (of meer recentlijk de SSL vpn). Hierbij spreken 2 bedrijven met elkaar af welke subnets ze met elkaar willen delen (al dan niet genat e.d.), ze spreken parameters met elkaar af zoals welke encryptie te gebruiken, de endpoints, en een gedeeld geheim zoals een preshared key of certificates. Ik heb een stuk of 30 site-to-site vpn's draaien met klanten en leveranciers, waar allerlei interne rfc1918 netwerken gerouteerd worden. Dit draait (aan onze kant) allemaal op Cisco ASA5505's en ASA5510's, onze klanten en leveranciers draaien alles wat je maar kunt bedenken (cisco, juniper, 3com, etc).
Site-to-site koppelingen met IPv6?
De bovenstaande 2 concepten zijn me helder. Als ik echter in de toekomst koppelingen tot stand wil brengen, zal dat wellicht op een andere manier gaan gebeuren. Als ik nu een koppeling met een klant tot stand wil brengen, gaan we om tafel zitten en overleggen we welke netwerken we aan elkaar willen knopen (bij ons bijvoorbeeld 10.2.3.0/24 en aan zijn kant bijvoorbeeld 172.16.45.64/26), en maken we een site-to-site vpn. Maar als we in de toekomst aan beide kanten publicly routeable ipv6 adressen hebben (en misschien niet eens ipv4 meer), hoe doen we dat dan?
Voorbeeldje: Stel dat ik mijn 2001:xxx:123::/64 zou willen koppelen aan 2001:xxx:456::/64 bij de klant.
Je zou exact dezelfde ipsec site-to-site vpn kunnen opzetten, en dan die bovenstaande subnetten eroverheen routeren. Op mijn Cisco ASA kan ik in de ASDM niet eens ipv6 traffic toevoegen aan crypto maps. Zo te zien is dit wel een feature van de ASA 8.3.x software (waarvoor je ook geheugen in je ASA's moet upgraden), maar dit werkt alleen tussen ASA's, niet met andere partijen. Geen oplossing voor ons dus.
Je zou ook kunnen kiezen om slechts een rule in de firewalls te maken, aangezien end-to-end communicatie op routing-niveau al mogelijk is. Maar dan heb je nog geen encryptie. Dat kan dan weer met ipsec, maar hoe configureer je dat? Ik lees hier over virtual tunnel interfaces in IOS, maar wij gebruiken weer enkel ASA's..
Ik vraag me vooral af wat industry best practices zijn (ik kan ze niet vinden), en hoe jullie hiermee omgaan.
Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!
:strip_icc():strip_exif()/u/6607/klootviool2.jpg?f=community)
/u/34216/avatar-60x60.png?f=community){kind=avatar}