De Experiabox V10 biedt bij IPv6 de mogelijkheid om een of meer poorten te openen naar een IPv6 adres of naar een MAC adres. Een applicatie mag maar een keer gebruikt worden, maar een zelfde poort in verschillende applicaties is geen probleem. Een aantal webservers kan dus via poorten 80 en 443 wereldwijd beschikbaar gemaakt worden.
Een poort openen naar een MAC adres betekent dat alle IPv6 adressen op die interface gebruikt kunnen worden. Ik heb het getest met 100 Apache virtuele webservers en dat werkt met een enkele firewall regel.
Er is echter wat vreemds aan de hand: firewalls werken met IP adressen en poorten, maar een MAC adres zit op het hardware niveau. Een binnenkomend pakket weet helemaal niets van het MAC adres waar het naar toe moet. Eerst moet “Neighbor Discovery” uitgevoerd worden om het MAC adres te achterhalen, dan kun je kijken of dat past bij een firewall regel.
Echter: Als je een HTTP verzoek van buiten laat komen naar een niet bestaand adres, gebeurt er aan de LAN kant helemaal niets. Voeg je dat adres toe aan het syteem, dan werkt het direct…. Hoe weet de Experia box dat???? Dat was zoekwerk, maar zodra je in Linux een IPv6 adres toevoegt aan een interface, gaat er een Neighbor Sollicitation uit om te kijken of dat adres toevallig al gebruikt wordt, DAD detectie. Dit pakket bevat het MAC adres en het gewenste adres. Blijkbaar gebruikt de Experia V10 dit om de firewall regels te maken. Je kunt die DAD detectie in Linux uit zetten, dan werkt de forwarding naar MAC helemaal niet meer.
Dus: Effectief wordt het al dan niet werken van IPv6 forwarding naar MAC in de V10 bepaald aan de LAN kant, als de gebruikte NAS of router die DAD detectie niet of niet correct implementeert gaat het niet werken.
Bij niet werken van de forwarding is het dus verstandig om van het systeem dat bereikt moet worden de netwerk interface te herstarten of te rebooten.
Ik heb geen idee of de Experia box 12 dezelfde procedure gebruikt, ik heb er geen om te testen.