IPv6 avancerad nätverkskonfiguration: En komplett praktisk guide

Informatec Digital » Resurser » IPv6 avancerad nätverkskonfiguration: En komplett praktisk guide

Dar el salto a IPv6 en una red avanzada ya no es algo “para más adelante”: teletrabajo, más dispositivos, servicios en la nube y la escasez de IPv4 hacen que sea un cambio que tarde o temprano tendrás que abordar. Lo bueno es que, con una buena planificación, puedes desplegar IPv6 en tu red corporativa u hogar avanzado sin volverte loco y aprovechando sus ventajas reales de rendimiento, seguridad y escalabilidad.

En este artículo vamos a hilar muy fino: qué es IPv6, cómo encaja con IPv4 (dual stack, transición), cómo se configura en routers típicos (ASUS, Omada, UniFi, FRITZ!Box, etc.), cómo dividir un /48 corporativo en VLAN, qué opciones elegir en los menús de IPv6, cómo controlar accesos con ACL en lugar de NAT, y qué ajustes especiales conviene conocer en sistemas como Windows para que todo funcione como esperas.

Qué es IPv6 y por qué deberías activarlo ya

IPv6 es la versión moderna del protocolo IP, diseñada para sustituir progresivamente a IPv4 y, sobre todo, para resolver el agotamiento de direcciones públicas. Mientras que IPv4 usa direcciones de 32 bits (unos 4.294 millones de direcciones teóricas), IPv6 emplea 128 bits, lo que se traduce en una cantidad astronómica de direcciones, del orden de 340 sextillones.

I praktiken betyder det det puedes dar una dirección pública única a prácticamente cada dispositivo, máquina virtual, contenedor o servicio, evitando muchos malabarismos con NAT, puertos y traducciones complejas. Además, IPv6 incorpora mejoras nativas en autoconfiguración, segmentación de redes y soporte para servicios avanzados.

Cuando te conectas a un sitio web, el nombre de dominio se resuelve en una dirección IP (v4 o v6) que sirve para identificar el destino en la red. En IPv4 estás acostumbrado a ver direcciones como 192.168.1.1 o 10.0.0.1. En IPv6 el formato es hexadecimal y se representa con bloques separados por dos puntos, por ejemplo 2001:db8:abcd:1::1.

Hoy en día, la mayoría de operadores están desplegando IPv6 en modo dual stack, es decir, proporcionan al cliente direcciones IPv4 e IPv6 simultáneamente. El sistema y las aplicaciones eligen qué protocolo usar según las políticas de preferencia, normalmente priorizando IPv6 cuando está disponible y es funcional.

Tipos de conexión IPv6 y mecanismos de transición

Antes de tocar nada en el router, debes saber qué tipo de conexión IPv6 te ofrece tu proveedor de Internet (ISP). Es muy habitual que tengas que elegir este tipo en la sección WAN o Internet del equipo: si no lo conoces, pregunta al ISP, porque de ello depende la configuración correcta de IPv6 en tu red.

Entre los tipos más habituales en routers domésticos y corporativos Du hittar alternativ som:

• Nativo (a veces llamado “Native” o simplemente “IPv6”): el operador enruta directamente un prefijo IPv6 hasta tu router, sin túneles especiales. Es el caso ideal y el más sencillo de gestionar.
• IPv6 estática: el ISP te asigna un bloque fijo (por ejemplo un /48 o /56) y tú configuras manualmente la dirección y el prefijo en la interfaz WAN del router.
• Passera genom: el router actúa como “puente” y deja que el dispositivo de detrás obtenga directamente la configuración IPv6 (típico en algunos escenarios con IP automática en WAN).
• Túneles 6to4, 6in4 y 6rd: mecanismos de transición que encapsulan paquetes IPv6 dentro de IPv4 cuando el proveedor o la infraestructura intermedia aún no soporta IPv6 nativo. 6rd, por ejemplo, es una variante “rápida” de despliegue sin estado parecida a 6to4.
• Servicios específicos como FLET’s IPv6: muy usados en Japón, donde algunos proveedores implementan soluciones propias que requieren plantillas de configuración específicas en el router.

En cualquier caso, el punto clave es que configures primero la conexión IPv4 WAN (IP automática, PPPoE, IP estática, etc.) y, a partir de ahí, selecciones el tipo IPv6 correspondiente. Muchos routers incluso rellenan automáticamente parte de los parámetros IPv6 cuando detectan correctamente el tipo de conexión.

Configurar IPv6 en un router típico (ejemplo ASUS)

Tomemos como referencia un router ASUS, porque sus menús son bastante representativos de lo que verás en muchas otras marcas. El flujo general suele ser muy parecido: acceso a la interfaz web, ajuste de la WAN y luego sección específica de IPv6 dentro de Configuración avanzada.

Pasos habituales para activar IPv6 en un router de este tipo serían:

1. Conectar un ordenador al router vía cable o WiFi y acceder a la interfaz web, ya sea mediante la IP LAN (por ejemplo 192.168.1.1) o una URL específica como http://www.asusrouter.com.
2. Logga in på administratörskonsolen con el usuario y la contraseña del equipo. Si los has olvidado, no queda otra que restaurar el router a valores de fábrica y volver a configurarlo.
3. Verificar primero el tipo de conexión WAN IPv4 en el apartado WAN > Conexión a Internet. Ahí verás si estás usando PPPoE, IP automática (DHCP), IP estática, etc.
4. Entrar en el menú de IPv6 dentro de la configuración avanzada y seleccionar el Tipo de conexión IPv6 acorde con lo anterior.

Por ejemplo, una combinación típica vanligtvis:

• Si la WAN IPv4 está en PPPoE, seleccionar tipo IPv6 Nativo. El router aprovechará la sesión PPPoE para obtener la información de IPv6 del operador.
• Si la WAN IPv4 es Statisk IP, att välja IPv6 estática en la sección de IPv6 y rellenar manualmente dirección, prefijo, puerta de enlace y DNS que te haya dado el ISP.
• Si la WAN IPv4 está en IP automática (DHCP), muchas guías recomiendan usar Passera genom para que la configuración IPv6 pase directamente al dispositivo que lo requiera o se gestione automáticamente.

Después de aplicar los cambios, el router suele reiniciar parcialmente el servicio de red. Una forma rápida de verificar que estás recibiendo parámetros IPv6 es volver a iniciar sesión y revisar la sección de configuración LAN IPv6: si ves direcciones y prefijos asignados, la parte de WAN IPv6 está funcionando.

Para confirmar la conectividad real, una prueba recomendada es visitar una página de test como test-ipv6.com, que analiza si tu navegador y tu proveedor soportan correctamente el protocolo y te indica si estás operando en dual stack, si hay errores de DNS o si solo tienes IPv4.

Despliegue de IPv6 en redes avanzadas con VLAN y prefijos /48

En entornos algo más serios, como oficinas con varias VLAN y equipamiento tipo UniFi u Omada, lo habitual es que el ISP entregue un prefijo estático grande, por ejemplo un /48. A partir de ahí, tu trabajo consiste en trocear ese bloque en subredes /64 (u otras, si la plataforma lo soporta) que asignarás a cada VLAN o segmento lógico.

Supongamos que tu proveedor te da un /48 del estilo 2001:b33f:f33d::/48 y en la interfaz WAN de tu router usas 2001:b33f:f33d::2, teniendo como router del ISP 2001:b33f:f33d::1. Esa configuración en la WAN es simplemente el enlace hacia fuera. Lo importante es cómo repartes ese /48 en la parte LAN.

En IPv6 es muy común trabajar con /64 en cada enlace de capa 2, porque es el tamaño recomendado para permitir autoconfiguración (SLAAC) y otras funciones. A partir de un /48 tienes 2^(64-48) = 65.536 subredes /64 disponibles; vamos, que vas sobrado para asignar bloques cómodamente a cada VLAN, red WiFi de invitados, DMZ, etc.

En la configuración de la interfaz LAN de tu router (por ejemplo en UniFi o en una puerta de enlace Omada) verás un campo de “dirección IPv6” o “prefijo IPv6” y un desplegable con longitudes de máscara entre /64 y /127. Lo habitual y recomendable es dejar /64, salvo que tengas un caso muy particular.

La idea es algo así:

• VLAN 10 (red corporativa): 2001:b33f:f33d:10::/64
• VLAN 20 (invitados): 2001:b33f:f33d:20::/64
• VLAN 30 (servidores): 2001:b33f:f33d:30::/64
• VLAN 40 (laboratorio/IoT): 2001:b33f:f33d:40::/64

En cada VLAN el router tendrá una dirección válida dentro de ese /64, que hará de puerta de enlace para los clientes, por ejemplo 2001:b33f:f33d:10::1 para la VLAN 10, 2001:b33f:f33d:20::1 para la 20, y así sucesivamente. El campo que muchos equipos etiquetan como “IP de puerta de enlace/Subred” se refiere justamente a esa dirección del router junto con la longitud del prefijo (/64).

En cuanto a los clientes, normalmente obtendrán una única dirección IPv6 global dentro de la subred /64 asignada, ya sea mediante SLAAC, DHCPv6 o una combinación de ambos (SLAAC para la IP y DHCPv6 para parámetros adicionales como DNS). No se les suele delegar subredes completas a cada dispositivo salvo en contextos muy concretos (por ejemplo, routers internos que a su vez distribuyen prefijos mediante DHCPv6-PD).

Al repartir el espacio de direcciones entre varias VLAN, más que preocuparte por el consumo (tienes prefijos de sobra), te interesa que el esquema sea ordenado y fácil de entender: usar números de VLAN en los últimos 16 bits del prefijo, reservar rangos consecutivos para servicios internos, separar invitados, IoT y producción con bloques bien diferenciados, etc.

Autoconfiguración, DAD y parámetros avanzados de IPv6 en interfaces

Cuando habilitas IPv6 en una interfaz (LAN, VLAN, túnel, etc.), muchos sistemas permiten ajustar parámetros avanzados que por defecto vienen razonablemente bien afinados. Lo normal es no tocarlos salvo que tengas un requisito muy concreto en tu red.

Uno de esos parámetros es el “Límite de salto” (hop limit), que es el equivalente al TTL en IPv4: el número máximo de saltos de router que puede dar un paquete antes de ser descartado. El valor por defecto más extendido es 64, que suele ser más que suficiente incluso en redes grandes.

Otro ajuste habitual es el número de transmisiones de DAD (Duplicate Address Detection). IPv6 ejecuta un proceso para comprobar que una dirección no está duplicada en la red antes de usarla. Un valor típico es 1, que reduce el tiempo de configuración manteniendo una comprobación mínima. Si se pone a 0, se desactiva la detección de direcciones duplicadas, algo que normalmente no se recomienda salvo en escenarios muy controlados.

En la mayoría de controladores y routers verás estos parámetros dentro de una pestaña específica de IPv6 al editar la interfaz. La propia documentación suele indicar que se dejen los valores por defecto salvo que sepas exactamente lo que estás cambiando y por qué.

Control de acceso y seguridad en IPv6: ACL en lugar de NAT

Una diferencia muy importante frente a IPv4 es que en IPv6 no se usa NAT de la misma manera. Cada dispositivo puede tener direcciones globales enrutable directamente desde Internet, así que la primera barrera de seguridad pasa a ser el firewall/ACL de la puerta de enlace en lugar del propio efecto secundario del NAT.

En gateways tipo Omada, la funcionalidad de listas de control de acceso (ACL) para IPv6 es clave. Permite al administrador definir reglas que filtran tráfico en base a dirección de origen, dirección de destino, puertos o protocolos, y decidir si se permite o se deniega cada tipo de tráfico.

Por defecto, muchas puertas de enlace Omada ya bloquean accesos desde redes externas a redes internas cuando se trata de tráfico IPv6, justo porque no hay NAT que “oculte” las direcciones internas. Es decir, se corta de raíz la entrada desde Internet a tu LAN salvo que abras agujeros explícitos.

Para escenarios típicos de control de acceso IPv6, tienes varios patrones de configuración:

• Impedir el acceso desde Internet hacia la red interna: suele estar bloqueado de serie, pero puedes revisar o endurecer aún más la política con ACL adicionales en IPv6.
• Permitir el acceso hacia un servidor interno (por ejemplo, un servidor web en una VLAN de servidores): se define un grupo de direcciones IPv6 internas (my_server) y un grupo con clientes o rangos externos (my_client) y se crea una regla ACL del tipo WAN-IN que permita ese tráfico.
• Restringir el acceso a Internet de ciertos equipos (por ejemplo, ordenadores de los niños o dispositivos IoT): se crea un grupo IPv6 con esos clientes (children_pc) y otro que represente Internet, y se añade una regla ACL LAN->WAN en modo Denegar para ese grupo.

El flujo de trabajo en Omada se resume en: configurar correctamente la conexión WAN IPv6, habilitar y establecer el modo de IPv6 en las LAN/VLAN, definir grupos IPv6 con las direcciones o rangos que te interesan y finalmente crear reglas ACL de puerta de enlace donde eliges dirección de tráfico (IN, OUT, LAN->WAN), política (Permitir/Denegar), protocolos y pares origen/destino basados en esos grupos.

Es importante asegurarse de que el firmware de la puerta de enlace está actualizado, porque las funciones más modernas de control de acceso IPv6 pueden requerir versiones recientes del software de sistema.

Activación de IPv6 en entornos domésticos y pequeñas oficinas

En un escenario doméstico o de pequeña oficina, el proceso de activación de IPv6 suele ser menos intimidante de lo que parece. Lo fundamental es que el ISP ya esté ofreciendo soporte IPv6 en tu línea y que el router lo entienda correctamente.

Los pasos generales serían:

1. Confirmar con tu proveedor que tu conexión soporta IPv6 y en qué modo (dual stack, solamente IPv6 con NAT64, etc.). Pregunta también si necesitas cambiar equipo o firmware.
2. Verificar que el router soporta IPv6, algo habitual en equipos modernos como FRITZ!Box, routers ASUS, TP-Link Archer (C, AX, etc.), Omada, UniFi, etc.
3. Entrar en la interfaz web del router (192.168.1.1, 192.168.0.1 u otra, según fabricante) y buscar el apartado de IPv6 en las opciones avanzadas o en el menú de red.
4. Activar IPv6 y elegir el tipo de conexión indicado por el ISP: DHCPv6, PPPoE con IPv6 nativo, IP estática, túnel 6rd, etc.
5. Aplicar los cambios y reiniciar si es necesario. Después, comprobar con una web como test-ipv6.com si tu salida a Internet ya está usando IPv6.

En la mayoría de sistemas operativos modernos (Windows 10/11, macOS, Linux, Android, iOS), IPv6 viene activado de fábrica. En Windows, por ejemplo, basta con entrar en las propiedades de la tarjeta de red y asegurarse de que la casilla “Protocolo de Internet versión 6 (TCP/IPv6)” está marcada.

En cuanto el router anuncia correctamente el prefijo y los clientes tienen IPv6 habilitado, cada dispositivo obtendrá su dirección global y local de enlace de forma automática, sin necesidad de tocar nada en el propio equipo.

La visión de Windows: preferencia IPv4/IPv6 y desactivación parcial

En entornos gestionados con Windows, conviene saber que el sistema implementa la lógica de selección de direcciones descrita en RFC 3484, manteniendo una tabla de prefijos que decide qué dirección usar cuando una misma máquina dispone de varias IP (IPv4 e IPv6) asociadas a un nombre DNS.

Por defecto, Windows tiende a usar IPv6 siempre que haya una dirección de unidifusión global disponible y la conectividad sea correcta, aunque sigue siendo capaz de trabajar perfectamente con IPv4 en paralelo.

Algunos administradores optan por deshabilitar o limitar IPv6 para diagnosticar problemas de red, sobre todo cuando se sospecha de incidencias relacionadas con resolución de nombres o configuraciones IPv6 incompletas. Microsoft expone un mecanismo centralizado para controlar el grado de uso de IPv6 a través del registro del sistema.

La clave de registro relevante är:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\DisabledComponents

Se trata de un valor REG_DWORD que puede oscilar de 0x00 (comportamiento predeterminado, IPv6 totalmente habilitado) a 0xFF (deshabilitar en la práctica IPv6 en la mayoría de interfaces, aunque el sistema lo sigue empleando internamente para tareas propias).

Algunas configuraciones útiles son:

• Preferir IPv4 sobre IPv6: valor 0x20 (32 en decimal). Mantiene IPv6 activo pero modifica las políticas de prefijo para que se elija IPv4 cuando haya opción. Se considera más recomendable que apagar IPv6 por completo.
• Deshabilitar IPv6 en interfaces no de túnel: valor 0x10 (16 decimal), que afecta a interfaces nativas.
• Deshabilitar IPv6 en interfaces de túnel: valor 0x01 (1 decimal), útil si no se desean tecnologías de transición como 6to4, ISATAP o Teredo.
• Apagar en casi todas partes: 0xFF (255 decimal), que deshabilita IPv6 tanto en túneles como en interfaces nativas, con la salvedad de que el sistema sigue conservando ::1 para loopback y usos internos.

Para cambiar este valor desde una consola administrativa se puede usar un comando del estilo:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters" /v DisabledComponents /t REG_DWORD /d <valor> /f

Windows utiliza una máscara de bits sobre este campo para decidir qué componentes se desactivan: túneles, 6to4, ISATAP, Teredo, interfaces nativas, preferencia de IPv4, etc. Cada bit se interpreta como verdadero (1) o falso (0) para las distintas funciones, y combinaciones concretas como 0x20, 0x10, 0x01 o 0x11 corresponden a escenarios comunes documentados por Microsoft.

Es importante entender que esta clave no cambia el estado de la casilla de “Protocolo de Internet versión 6 (TCP/IPv6)” en las propiedades de la interfaz; es decir, puedes ver la casilla marcada aunque a nivel de registro hayas limitado o deshabilitado IPv6. Esto es el comportamiento esperado.

Si lo que quieres es desasociar IPv6 de una interfaz concreta, puedes:

• Quitar la marca de la casilla de IPv6 en las propiedades de red del adaptador.
• Usar PowerShell con un comando como:
  Disable-NetAdapterBinding -Name "NombreDeMiAdaptador" -ComponentID ms_tcpip6

Adicionalmente, en Windows se activan de serie tecnologías como 6to4 cuando el equipo tiene direcciones IPv4 públicas. Si no deseas que se creen estas interfaces de túnel ni que registren direcciones IPv6 automáticamente en DNS, puedes desactivarlas estableciendo DisabledComponents a 0x01 o mediante directivas de grupo que deshabiliten 6to4, ISATAP y Teredo.

Modelos de router y soporte de IPv6

El soporte de IPv6 se ha ido extendiendo a lo largo del tiempo a prácticamente toda la gama media y alta de routers domésticos y de pequeña empresa. Marcas como ASUS, AVM FRITZ!Box, TP-Link (series Archer, Omada), y otras soluciones de SD-WAN suelen incluir soporte IPv6 completo en sus últimos firmwares.

En el ecosistema TP-Link Archer, por ejemplo, hay multitud de modelos orientados a distintos escenarios (AX57, C1200, C5400, AX55, C4, C5200, AX53, C5, AX10, C2, AX51, AX96, A2200, TL-WR1043N V5, C80, AXE95, C8, AX10000, C3150, C9, AX50, C6, C7, AX90, AX6000, C5400X, C25, C24, A20, A64, C60, C2600, A1200, C21, C20, C64, AX1800, AX206, C59, C58, AX4200, C3200, C900, A2, AX75, AX4400, C3000, AX73, C50, A10, A54, AX4800, C1900, C55, C54, A2300, TL-WR841N V14.20, AXE75, A6, A7, AX72, AXE5400V, AXE200 Omni, A5, GX90, A8, A9, AX68, C2300, AX5300, C1210, AX23, AX20, C4000, AX21, AX3000V, A3000, C2700, AXE300, AX1500, AX60, AX11000, AX3200, AX3000…).

En muchos de estos modelos el soporte o las características concretas de IPv6 (por ejemplo, DHCPv6-PD, túneles, control parental sobre IPv6, ACL avanzadas, etc.) han ido mejorando con actualizaciones de firmware. Es buena idea revisar el centro de descargas del fabricante, comprobar la versión de hardware de tu dispositivo y leer la hoja de datos o notas de versión para ver qué se ha añadido recientemente.

Ten también en cuenta que la disponibilidad de ciertos productos y funciones varía según región, por lo que puede que un modelo concreto con determinadas capacidades IPv6 no esté a la venta en tu país o no tenga exactamente las mismas prestaciones que en otra zona.

Soporte, firmware y pruebas de funcionamiento

Cuando trabajes con IPv6 es especialmente importante tener el firmware de tus equipos actualizado: bugs en la implementación de DHCPv6, fallos en RA (Router Advertisements), problemas con túneles 6rd/6to4 o incompatibilidades con ACL pueden complicarte bastante la vida.

Los fabricantes suelen centralizar las descargas de drivers, firmware, utilidades y manuales en sus centros de soporte (por ejemplo, el Centro de Descargas de ASUS o el portal de soporte de FRITZ!Box). Revisar periódicamente las notas de versión te dará pistas sobre mejoras relacionadas con IPv6, seguridad y rendimiento.

Tras cualquier cambio importante de configuración (activar IPv6, modificar prefijos, tocar ACL, cambiar la preferencia IPv4/IPv6 en clientes Windows, etc.) conviene hacer una batería mínima de pruebas:

• Navegar a sitios que sólo resuelvan a IPv6 o que prioricen IPv6.
• Usar herramientas como test-ipv6.com para chequear conectividad, DNS, fugas, transición.
• Probar pings y traceroutes a direcciones IPv6 tanto internas como externas.
• Verificar que las reglas de firewall/ACL actúan como esperas sobre el tráfico IPv6.

Om något inte fungerar, un plan de diagnóstico típico incluye comprobar el tipo de conexión configurado, revisar que los prefijos LAN son correctos, verificar si los clientes están recibiendo direcciones válidas, actualizar firmware y, en última instancia, restablecer el router a valores de fábrica para descartar configuraciones heredadas que interfieran.

Con todo este panorama, IPv6 deja de ser ese “bicho raro” y pasa a ser una herramienta más de tu caja de recursos de red: bien configurado, te da un esquema de direccionamiento mucho más limpio, simplifica algunos escenarios de publicación de servicios y, bien protegido con ACL y firewalls, no tiene por qué suponer un riesgo adicional frente a IPv4, sino más bien lo contrario gracias a su diseño más moderno.