Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Pjotr 22. 01. 2017, 15:02:46
-
Existuje mechanismus, kterym LAN router docili, ze neforwardne paket od hosta, ktery nema v IPv6 adrese svou MAC adresu? IP source guard na switchi nemohu nasadit vsude, kde bych si pral.
Jak je to s duplicitnimi MAC adresami? Jaka je pravdepodobnost, ze se mi v siti vyskytnou dve zarizeni s totoznimi MAC adresami? Uz sem to zazil ve WLAN u nejakych cinskych sracek.
-
Třeba iptables na to má modul eui64. Ale nedělejte to, nebude to fungovat. Výjimkou mohou být možná datacentra, ale tam je asi praktičtější používat krátké ručně konfigurované adresy.
V podstatě všechna zařízení dnes adresu odvozenou z MAC adresy nepoužívají a (v rozporu s RFC4941) na nich nejde ani vypnout automatické měnění náhodných adres. Zařízení se nemají jak dozvědět, kterou adresu z přiděleného prefixu smí použít, takže filtrování určitých adres povede k nepříjemnému efektu rozbité konektivity, kdy zařízení se domnívá, že konektivitu má, ale data jdou přitom do černé díry.
-
Existuje mechanismus, kterym LAN router docili, ze neforwardne paket od hosta, ktery nema v IPv6 adrese svou MAC adresu?
V dnešní době, kdy MAC adresu už v automaticky konfigurované adrese prakticky nikdo nepoužívá, je nejjednodušší zaříznout všechno a jestli se tam náhodou vyskytne nějaký stroj, který MAC používá, tak ho prostě whitelistovat.
-
Nikdo nepouziva? Vzdyt to je defaultni chovani Linuxu.
-
Dnes je výchozí použití privacy extension (PE), mnoho zařízení je dokonce neumí vypnout. Třeba v Androidu není možné dosáhnout toho, aby zařízení používalo adresu odvozenou z MAC. Zařízení s iOS jsou na tom zrovna tak. Stejně tak jsem musel ohnout NetworkManager, aby se nesnažil stále dokola PE vynucovat, abych používal pevnou adresu z DHCPv6 a ne náhodnou podle PE.
Takže vynucené použití IPv6 adresy s MAC skutečně věci rozbije a uživatelé nebudou mít často ani možnost to u sebe opravit.
-
Nehlede na to, ze trebas widle MAC nepouzivaji vubec, a adresu generujou z UUID, takze pokud na stejnym stroji je dualboot, ma jinou IP ve widlich a jinou v tuxovi.
-
Nehlede na to, ze trebas widle MAC nepouzivaji vubec, a adresu generujou z UUID, takze pokud na stejnym stroji je dualboot, ma jinou IP ve widlich a jinou v tuxovi.
Nepleteš si to s DUID pro DHCP?
-
Dnes je výchozí použití privacy extension (PE), mnoho zařízení je dokonce neumí vypnout. Třeba v Androidu není možné dosáhnout toho, aby zařízení používalo adresu odvozenou z MAC. Zařízení s iOS jsou na tom zrovna tak. Stejně tak jsem musel ohnout NetworkManager, aby se nesnažil stále dokola PE vynucovat, abych používal pevnou adresu z DHCPv6 a ne náhodnou podle PE.
Ak je dostupný A bit v RA daného prefixu, tak je to správne správanie..
Ak ale A bit nie je prítomný, tak SLAAC sa nesmie používať a jedniná cesta ako si nastaviť IPv6 adresu je DHCPv6 (alebo ešte statická konfigurácia).
Naozaj NetworkManager nastavuje SLAAC adresu aj keď RA neobsahuje A bit? To by ma zaujímalo, aby som sa prípadne tomu NM vyhol.
Inak podľa mňa ak je prítopný A bit, tak DHCPv6 v statefull móde nemá žiaden zmysel používať.
-
Mám ověřeno na počítačích s OS Windows, že po nastavení bitů M, O a A na hodnotu 1 počítač používá jen jednu IP, co dostane z DHCP. Windows jsou ve výchozím nastavení - získání IP adresy automaticky.
Na DHCP serveru by se pak musel nastavit nějaký krátký rozsah přidělovaných IP adres tak, aby se tento rozsah povolil na routeru. Ostatní IP z této site by se zakázaly. Pak by router pustil jen ty počítače, co dostaly IP z DHCP serveru.
Pořád si ale může někdo nastavit IP adresu staticky. Implementace DHCPv6 je nepovinná a třeba Android to údajně nepodporuje.
-
Nikdo nepouziva? Vzdyt to je defaultni chovani Linuxu.
Asi máš namysli výchozí chování kernelové autokonfigurace, u které by bylo
nejlepší, kdyby v kernelu vůbec nebyla a jejíž podle mě nejlepší funkce je, že
jde vypnout a většinu řízeňí přesunout do userspace, jako to dělají všechny
nástroje, které vykazují alespoň elementární funkčnost a spolehlivost, že.
-
Dnes je výchozí použití privacy extension (PE), mnoho zařízení je dokonce neumí vypnout. Třeba v Androidu není možné dosáhnout toho, aby zařízení používalo adresu odvozenou z MAC.
Mělo by to jít přes RADIUS, ale je s tím hodně os…travování.
Zařízení s iOS jsou na tom zrovna tak.
U iOS jde použít stateful DHCPv6.
Stejně tak jsem musel ohnout NetworkManager, aby se nesnažil stále dokola PE vynucovat, abych používal pevnou adresu z DHCPv6 a ne náhodnou podle PE.
NetworkManager.conf:
[connection]
ipv6.ip6-privacy=0
Stejně tak se nebude používat, pokud je nastaveno stateful DHCPv6.
-
Naozaj NetworkManager nastavuje SLAAC adresu aj keď RA neobsahuje A bit?
Ne, to jsem to jen já popletl. Používal jsem to před DHCPv6, kdy jsem chtěl mít stabilní adresu odvozenou z MAC. Tehdy tam byla navíc nějaká chyba, která znemožňovala konfigurační volbou PE vypnout. Musel jsem tam přidávat skript, který po každém navázání spojení zase pěkně PE vypnul, protože Network Manager ho pokaždé houževnatě zapínal.
-
Mám ověřeno na počítačích s OS Windows, že po nastavení bitů M, O a A na hodnotu 1 počítač používá jen jednu IP, co dostane z DHCP. Windows jsou ve výchozím nastavení - získání IP adresy automaticky.
Na DHCP serveru by se pak musel nastavit nějaký krátký rozsah přidělovaných IP adres tak, aby se tento rozsah povolil na routeru. Ostatní IP z této site by se zakázaly. Pak by router pustil jen ty počítače, co dostaly IP z DHCP serveru.
V takovém případě ale nedává žádný smysl mít nastavený flag A. Když ho vypnete, budou mít počítače jen jednu IPv6 adresu a to tu z DHCP serveru, stanice bez DHCP klienta nebudou mít žádnou.
Jinak to chování Windows se tedy zřejmě změnilo, já pamatuju, že dříve když bylo k dispozici DHCPv6 i SLAAC, byla preferována náhodná proměnlivá SLAAC adresa.
-
Stejně tak se nebude používat, pokud je nastaveno stateful DHCPv6.
S chováním network manageru nemám úplně dobré zkušenosti - Mám síť, kde je funguje DHCPv6 i SLAAC, ovšem na konkrétní stanici chci používat výlučně adresu z DHCPv6, protože je hezká a krátká. Když zvolím v klikátku Network Manager volbu „Pouze DHCP“ na nějakém aktuálním Linux Mint, stane se to, že se adresa korektně z DHCP získá, ale zároveň se vypne v jádru volba accept_ra, takže počítač nemá žádnou bránu.
Nakonec musela ustopit síť a vypnuli jsme SLAAC na straně routeru. Připadá mi, že ta volba „Pouze DHCP“ nemůže nikdy nikomu fungovat.
Na své stanici používám dhcpcd, kde stačilo k dosažení kýženého efektu přidat volbu ipv6ra_noautoconf
-
Jinak to chování Windows se tedy zřejmě změnilo, já pamatuju, že dříve když bylo k dispozici DHCPv6 i SLAAC, byla preferována náhodná proměnlivá SLAAC adresa.
Nezměnilo, stav je stále stejný jak popsáno výše (s tím rozdílem, že u W10 ve "výroční aktualizaci" rozjebali DHCPv6 úplně).
-
Jj, také jsem zaregistroval, že DHCPv6 je v win10 nějak nakopnuté, a to i bezestavové občas stávkuje. Což na IPv6 only síti není úplně ideální (IPv4 only okolní svět se řeší přes DNS64/NAT64).
-
Jj, také jsem zaregistroval, že DHCPv6 je v win10 nějak nakopnuté, a to i bezestavové občas stávkuje. Což na IPv6 only síti není úplně ideální (IPv4 only okolní svět se řeší přes DNS64/NAT64).
Protoze soudruzi v Redmontu nemaji plnou podporu IPv6, nektere sluzby se volaji pres IPv4.
https://www.youtube.com/watch?v=gWf89h9uIXs
-
Oni soudruzi v redmontu nezvladaj ani http pres ipv6 ... staci kdyz se podivam do toho jejich polonefunkcniho bastlu (wsus) ... a mam tam 1/3 stroju pres ipv4 ... proc, to vi leda velkej Bill. Jsou to jak HW tak SW stroje zcela totozny ... ale to je asi tak stejny, jako se divit, ze jeden chce aktualizaci 5 a jinej 7 ... pripadne takova drobnost ze vsechny srv 12+ a widle 10+ chtej neustale asi tako 180 aktualizaci ... jazykovych balicku, ktery nemaj vubec instalovany.