6 brandväggar för ipv6

Artikelkommentarer

Vi håller just nu på att uppgradera vära kommentarsystem. Mer info om hur du kommenterar och kommer åt dina gamla kommentarer hittar du på vår FAQ: idg.se/faq

Kommentatorn ansvarar själv för sina inlägg. Inlägg som innehåller diskriminerande uttalanden, personliga påhopp eller språk som kan uppfattas som stötande, kommer att tas bort av tjänstgörande redaktör. Även poänglösa datorkrigsinlägg tas bort.

OBS! Läs dessa regler som gäller vid postning av inlägg.

Regler för inlägg i artikelforumet

IDG förbehåller sig dessutom rätten att i varje enskilt fall bedöma huruvida ett inlägg ska tas bort, även om det inte faller under någon av reglerna ovan.

Upprepat postande av olämpliga inlägg kan medföra avstängning från artikelforumen.

Frågor? Mejla till redaktören, carl.grape@idg.se.

Läs mer om vår policy i diskussionsforum

Kommentarer till:

6 brandväggar för ipv6

TEST Om du vill använda ipv6 för internet behöver du förr eller senare en brandvägg som klarar biffen. Vi testade sex produkter i olika prisklasser med siktet inställt just på ipv6-stödet. Långt ifrån alla skulle skydda sitt nät.

Äntligen

2012-02-13 17:25

Köpte en USG-300 från Zywall och insåg idag att ipv6 saknades. Då känns var det en lättnad att se att ni fick en firmware med detta. Vi får se när den övergår i RTM så jag kan börja pilla med det med.

Stoffelito

Äntligen

2012-02-22 17:55

1 mars släpps ZLD 3.0.

-- Ingen idé att dölja sig bakom nicks längre. FRA hittar oss ändå --

Urval

2012-02-13 18:00

Hur gjordes urvalet för vad som testades?
Efterfrågades brandvägg eller router eller kombo?
Sattes inget prisintervall?

Reflektion: Det är dumt att ha corenätsutrustning stående ute på kontoret

aluser

Urval

2012-02-14 10:23

I vanlig ordning satte vi ett scenario och ett prisintervall.

Men, det blir inte alltid riktigt som man tänkt sig när man får in produkter från leverantörer.

Den här gången visade sig bland annat ZTE:s bidrag vara betydligt dyrare än vad vi först fått besked om.

Syftet med det här testet var att generellt ge er läsare en bild av hur pass bra implementationen av ipv6 är inom ett visst spann. Hoppas vi lyckades med det och till på köpet satte lite press på leverantörerna att sätta fart nu.

Magnus, chefredaktör TechWorld

Urval

2012-02-15 01:11

Jag kan lägga till att vi hade tänkt oss att göra testet enbart med produkter i "mellanprisklassen", men fick sträcka oss till både billigare och dyrare routrar. Men det var intressant att se skillnaderna, eller i vissa fall bristen på skillnader, mellan billiga och dyra brandväggar.

När jag kontaktade leverantörer så bad jag om att få låna en router med brandväggsfunktion och stöd för ipv6, som är lämplig för ett mindre företag. Valet av en specifik produkt gjordes av respektive leverantör.

Jan Hedström

Några funderingar mm.

2012-02-13 18:42

Varför har man en test med produkter där en del måste sättas upp via CLI och en del inte ens har stöd för IPv6, näe den här testen var lite väl tunn.

Och i DHCPv6 är det DUID - DHCP Unique Identifier - som tillsammans med IAID - Identity-association interface identifier - är den unika identifieraren och inte mac-adressen som i DHCP.
DHCPv6 är en mardröm i förhållande till den normala DHCP. Vad som hänt flera gånger nu i skarpa lägen vid kloning/ghostning är att DUID inte är unikt och vi får adresskrocker vid användning av DHCPv6.

Och om brandväggen stödjer DHCPv6 som klient, kör den DHCPv6 PD då? Hur numrerar om den om t.ex insidans interface vid byte av prefix osv??
Och hanterar någon 6RD, och då statiskt och med DHCP option 212?

Puckot som kan v6

Några funderingar mm.

2012-02-13 18:49

CLI är överlägset. Peka och klicka överlåter jag till småbarnen.

Daniel123

Några funderingar mm.

2012-02-13 20:13

Kanske dags att pensionera sig... Du kan aldrig få samma överblick i CLI.

whatevér.....

Några funderingar mm.

2012-02-14 06:50

Cli fungerar i små miljöer men i stora måste du ha ett GUI som håller ordning på sakerna.

Puckot som kan v6

Några funderingar mm.

2012-02-14 09:59

Jo men inte i switchen det gui:t har du i ett centralt system som håller koll på hela din miljö.

aluser

Några funderingar mm.

2012-02-13 19:22

Innehåller inte DUID linklocal adressen som i sin tur innehåller MAC-adressen?

M M

Några funderingar mm. DUID

2012-02-14 06:58

DUID kan byggas på tre sätt
1: linklayer, dvs mac adress + tiden när den skapas
2: Tillverkarunikt id
3: mac adress

Och 1 är default i alla OS/saker jag tittat i och som det står i RFC 3315 "Clients and servers MUST NOT in any other way interpret DUIDs." så de kan inte maska ur mac-adressen för att skapa statiska lease. Det är först när en host startat vi det vilket DUID den har för att vi sedan ska kunna sätta en fast adress i den.

Puckot som kan v6

Några funderingar mm.

2012-02-13 19:48

Har inte sett någon produkt som har ett mer komplett IPv6-stöd av det som efterfrågas i artikeln, än Mikrotik's RouterOS.
ROS är visserligen ett operativsystem, men går att få på Routerboards.

Det klarar t.ex. av att propagera mottagna DHCPv6 PD-utdelningar vidare. Du kan t.ex ta emot ett /56 via PD från din leverantör, och sedan mata in detta till en IPv6-adresspool, varifrån du kan mata din DHCPv6-server (i samma maskin), med en något längre bitmask.
Rätt häftigt.
Sätter du lånetider korrekt går det nog (har ej testat själv) att komma till jobbet en morgon och ha en helt annan range IPv6-adresser, överallt (om man nu är okunnig/dumsnål, whatever, och har PD till sitt företagsnät.); och med dns-uppdateringar som man kan integrera i samma operativsystem, så pekar namnen fortfarande rätt.
IT som det borde varit för 10 år sen.

Tack för en gyllene artikel, förresten, IDG/Jan, mer sånt här behövs.

Shannon

Några funderingar mm.

2012-02-14 07:10

DHCPv6 PD och 6RD gör alla D-Link's hemmaroutrar på http://www.dlink.com/ipv6 default så ROS är inget unikt med det.
Bland "riktiga" brandväggar med IPS/IPD/UTM/AVI som används på Internetabbonemang med DHCP-tilldelade IPv4 adresser har jag inte hittat någon som klarar DHCPv6 PD eller 6RD.

Med DHCPv6 PD/6RD tilldelade prefix på insidan som sedan delas ut med med DHCPv6 finns det saker att se upp med då ett AD bygger på DNS och ser man inte upp så kommer LLMNR till slut att användas för att slå upp resurser i AD't vilket medför fördröjningar.

Synd förresten att D-Link hänvisar till IPv6 Ready certifieringen som inte säger något alls. Det finns exempel på brandväggstillverkare som stoltserar med den loggan men deras brandväggar är certifierade som host eller router, inte brandvägg.

Puckot som kan v6

Några funderingar mm.

2012-02-14 11:43

Hej Puckot, jag tror inte du läste vad jag skrev ordentligt. :)

ROS kan äta PD från leverantör, massera det litegrann och sedan leverera egen, ny, PD med 1..n längre bitmask vidare internt.

ROS kvarstår unikt i detta avseende så vitt jag vet.

Du kan möjligen stoppa de D-Links du hänvisar till som PD-ätande "klient"-routrar under en ROS, men inte tvärt om!
I vart fall inte om man ska lita på random IPv6-kapabel produkt som sidan du länkade hänvisar till. Jag kikade DIR-601:s manual.

ROS är i det här avseendet riktade mot agila budget-SP:s av olika slag (mycket fokus på WiFi), och kanske inte så mycket enterprise, men det beror främst på att folk inte känner till hur mycket "bang for the buck" man får av ROS.

ROS har för övrigt ett rätt ordentligt webinterface så det är lite synd att IDG missade att ta med en sån i jämförelsen. Samt en SRX. Med lite tur kan de utöka testet, för sista ordet är ju knappast sagt ännu i detta området. :)

Shannon

Juniper?

2012-02-13 19:46

Varför utelämna Juniper, det är väl en rätt stor spelare på marknaden och deras SRX-modeller har ett hyggligt v6-stöd såvitt jag förstår?

gronfelt

Juniper?

2012-02-14 00:09

priset kanske :)

5511

Juniper?

2012-02-14 10:25

De mindre SRX'erna är ju inte alls speciellt dyra.

Odin

Juniper?

2012-02-15 00:54

Hej!
Någon av Junipers routrar hade varit intressant att testa och jag kontaktade dem även för att få låna en produkt. Men det visade sig vara svårt att få något besked från dem, så det blev tyvärr inte av.

Jan Hedström

Open Source

2012-02-13 19:53

Jag har kört in en M0n0wall instans som vi kör all vår IPv6 Trafik igenom.

Man hoppas att alla inom kort fixar till IPv6 funktionalitet fullt ut även med vettiga regel/gui verktyg. Ex ha en regel med både IPv4 och IPv6 Adresser i och inte helt separerade regel system.

//WebFooL Untangle Evangelist

WebFooL

Open Source

2012-02-13 22:58

Skulle vara kul om de jämförde med DD-WRT.
Synd att Open Source projekten inte kan vara med och tävla.

miss.Handle

Var på Halons HCP kurs förra veckan

2012-02-13 21:19

och är väldigt imponerad. Jag fick känsla att mer var på plats än den tidiga version som testades här. Kompetent brandvägg som verkar inte bry sig om v4/v6, allt fungerar bara. Genomtänkt v6 stöd, bra router(BGP,osv) och IPSEC (äntligen lager 2 ipsec) gjorde inte saken sämre. Snart ska jag få en demo licens (ingick i kursen).

/Bengt

BSundgren

Det finns billigare IPv6 Routrar

2012-02-14 10:07

Alla routrar från MikroTik Har IPv6 och IPv6Dhcp server klient men de behöver mer kunskap från användarna. Priser från ett par hundralappar.
På sidan www.routerboard.se finns den ena Svenska distributören.

leo de geer

För hemnätverk?

2012-02-28 11:28

Duger brandväggen i min D-Link DIR-855 för att skydda hemnätverket eller är det bättre att komplettera med en brandvägg från testet. Jag vill framförallt skydda nätverket men även spärra vissa sidor (och nej, IE9's funktion räcker ej) tacksam för svar.

Todfeind

Comments powered by Disqus

Mer läsning från TechWorld

2013-06-19 07:15 - TechWorld:

802.11ac-routrar för alla smaker

Fyra 802.11ac-routrar på ett bräde - det är D-Links senaste drag på nätverksmarknaden.

2013-06-14 16:32 - TechWorld:

Tallinn-manualen
- en handbok för cyberkrig

REPORTAGE En grupp internationella jurister har kommit samman under Nato-enheten CCD COE:s beskydd i Tallinn och funderat på hur cyberbrott ska bekämpas och vilka regler som gäller. Vilka åtgärder kan egentligen rättfärdigas?

2013-06-13 16:30 - TechWorld:

Bästa verktygen för tvåstegsautentisering

BILDSPEL Det duger inte att förlita sig på ett simpelt användarnamn och ett lösenord för inloggning. Därför behövs tvåstegsautentisering.

exklusiv för Techworlds Superusers

2013-06-12 10:11 - TechWorld:

3d-skrivaren som skriver ut i titan

REPORTAGE 3d-printandet tar jättekliv framåt. På företaget Arcam i Mölndal framställer man helt solida metalldelar. Smältning med elektronstråle gör att man kan arbeta med ett mycket motspänstigt material: titan.

Redaktionen rekommenderar

2013-05-28 16:32 - TechWorld:

Lösenordens död del 1
- Allt är för enkelt att knäcka!

ANALYS Dagligen kommer rapporter om att angripare har kommit över lösenord från e-handlare eller molntjänster. Det finns mycket små möjligheter till ett bra tekniskt skydd - inte ens världens säkraste kryptoalgoritm hjälper.

2013-05-20 16:30 - TechWorld:

Vill du ha kvar jobbet?
- Du måste uppgradera dig

Förändringens vindar blåser hårdare än någonsin genom landets it-avdelningar. Den it-tekniker som vill ha kvar jobbet gör bäst i att anpassa sig till de nya tiderna och uppgradera sin kompetens rejält.

2013-05-07 11:23 - TechWorld:

Gör storverk med lilla Raspberry Pi

ANALYS 45 gram tung och stor som ett kontokort, kan det verkligen vara en dator som duger till något? TechWorlds expert berättar historien bakom succén Raspberry Pi, förklarar hur den är byggd och vad du kan använda den till.

2013-04-24 16:26 - TechWorld:

Snart kan du och jag bo på månen

REPORTAGE Visst har du sett den, bebyggelsen i "Månbas Alpha"och " 2001 - Ett rymdäventyr"? Verkar den ouppnåelig med dagens teknologi? Ett antal nationer funderar på permanenta månkolonier. Vi ska titta på hur de kan komma att bli verklighet.

2013-04-22 10:09 - TechWorld:

Premiär för TechWorld Threat Report

Nu lanserar TechWorld nu en helt ny säkerhetsrapport som hjälper dig att få full koll på läget. Som Superuser kan du ladda hem och läsa den idag!

2013-03-26 13:10 - TechWorld:

Så mår öppen källkod 2013

ANALYS Öppen källkod vann på internet och de stängda programmen tog segern på skrivborden. I serverhallarna blev det oavgjort. Så nu är allt frid och fröjd? Knappast. Moln- och mobilteknik öppnar upp för en ny match.