一个哥们挺惨的,从前阵子就在问iN问题,到了昨天才是刚刚在回复里面看到。
说的其实是BRAS的问题。BRAS叫做宽带远程接入服务器。是我们上网的时候负责PPPOE接入的部分,同时也给我们分配IPV4和IPV6地址,在我们家里的路由器获得IP地址后还会充当上一级的路由器作为出门后的第一个跃点存在。
刚开始哥们给我整了个VBARS,直接给iN整懵了。
好了,具体术语拼写咱们就不整过多了,知道是这个玩意就行。目前在国内的情况是大部分BRAS都是中兴的设备。和iN之前和大家提到的自己家里的宽带也是接到中兴的BRAS上的一样的,iN自己家里也不是什么特别奇怪的设备。
至于VBRAS是什么呢?这是中兴的一个虚拟化技术,通过利用软件虚拟硬件的BRAS来给用户接入扩容。
一般的运营商采用的就是ZXR10 V6000系列虚拟Router/BRAS,所以VBRAS,是承载vBearer业务之下的一套虚拟化解决方案。属于SDN的范畴之内。
不过昨天iN查了一下V6000的手册,V6000在软件层面定义了网络基础设施,是完全可以支持标准的IPV4和IPV6协议的。其中很多人提到的Code 6660的问题实际上是在定义IPV6的DHCP的过程中将DUID给设置成了一个不符合标准的值,当然了默认值是符合标准的。
这就导致了在VBRAS中分配的IPV6地址池子“不那么安全”。粗浅的解释一下:DUID 识别在某些情况下可以帮助防止未授权的 DHCPv6 服务器响应请求。如果忽略对 DUID 的验证,路由器可能接受来自非预期或恶意服务器的响应,增加了网络被攻击的风险。例如,一个伪装成合法服务器的恶意设备可能会通过错误配置的 DUID 进行中间人攻击。
话只能说到这里,咱们不做任何的无关揣测。至于中间人攻击是什么,在这篇文章中咱们也不做任何过多的解释。
所以,在mikrotik论坛上很多国内用户这样的言论其实是挺丢人的
人家mikrotik就是按照标准办事而已,并没有做出任何逾越标准的事情。所以说人家proud不合适。
当然了,这种限制还是有手动修改的方法,流传出来的方法是改写服务器生成的Backup文件中的相关数值,并把这个backup文件再恢复回去。绕过Router OS的验证机制。不过这种方法相对比较麻烦,同时也不太适合我们拨号上网的这种模式也就没有什么讨论价值。
至于粉丝提到的“回家”问题,iN还是说说吧:
首先,iN不是一个合格的IPV6用户,这方面得和大家道个歉。毕竟在iN的认知中IPV6既麻烦又不安全。向外暴露出自己所有的主机你要考虑的就不仅仅是一个路由器的安全了,本着多一事不如少一事的态度,iN就一直没有在家庭网络中启用IPV6。
那么怎么回家呢?
iN是使用Cloudflare 零信任网络的Tunnels功能实现的。
这也不是什么黑科技,就是将Tunnels的处理程序安装在自己内网里面,然后设置:
这样你就可以精准的将自己家里的一台主机的一个端口以一个外部网络可以访问的域名进行定义并进行访问。
在这里有一个网络安全的道理——你所开放的端口一定得是你自己明确定义的端口,否则就会有各种安全问题在等着你。幻想着想IPV6方便回家的人其实也要承担着一旦家里某台主机被攻破导致家里所有的数据曝光的可能性。这种事不得不防,你说对吗?
热门跟贴