Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: daemon 27. 10. 2017, 09:19:49

Název: UPC IPv6 DS-Lite
Přispěvatel: daemon 27. 10. 2017, 09:19:49
Před časem zde byl článek o poněkud nešťatné implementaci IPv6 v síti UPC.
Zde je aktuální poznatek z praxe:

> Dobrý deň, mám od Vás internet a nefunguje mi VPN pripojenie do
> firmy. Ani L2TP ani PPTP. Keď použijem inú internetovú prípojku(mobilné
> pripojenie od Orange-u) pripojenie na VPN-ku funguje. Navrhnite prosím
> riešenie ako by som mohol docieliť toho, aby som sa cez Vašu prípojku
> mohol pripojiť do firemnej VPN-ky. Ďakujem.


Dobrý deň,

Ako prvý provider na Slovensku postupne prechádzame na ip6 adresu. Pri ipv6 adrese sa nezadávajú vpn-ky. Postup ako využivať vzdialený prístup s ip6 nájdete na internete.
--
S pozdravom,

UPC BROADBAND SLOVAKIA, s.r.o.
Název: Re:UPC IPv6 DS-Lite
Přispěvatel: Radek Zajíc 27. 10. 2017, 10:25:05
Odpoved silne mimo misu, trval bych na kontaktu s L2/L3 technikem.

Jinak UPC porad umoznuje prehodit pripojku do IPv4-only rezimu, pak pisateli VPNka zase zacne fungovat.
Název: Re:UPC IPv6 DS-Lite
Přispěvatel: Filip Jirsák 27. 10. 2017, 10:53:58
Řekl bych, že úroveň odpovědi odpovídá úrovni dotazu…

Pochybuju, že UPC je váš poskytovatel VPN služeb – pouze vám poskytuje internetovou konektivitu. Pokud vám nefunguje firemní VPNka, musíte to řešit s firemními správci. Že by byl problém na straně poskytovatele konektivity je dost nepravděpodobné.
Název: Re:UPC IPv6 DS-Lite
Přispěvatel: M. 27. 10. 2017, 17:24:59
Problém s VPN způsobený na straně "ISP" je realita zcela běžná (naposledy jsem třeba řešil lahůdku v podobě bordelu MTU v síti propojení dvou ISP, která způsobovala nefunkčnost IPsec IKEv2 VPN).
Např, jestli mají aktivní na té DS-Lite přípojce i NAT64/DNS64 a v klientu je VPN server zadán jménem, tak VPN klient ve woknech ze své strany může VPN spojení začít navazovt jako IPv6 spojení, na straně operátora to NAT64 přehodí na IPv4 spojení, do firmy to doteče jako IPv4 spojení. Toto VPN klient ve Woknech neustojí (určitě ne pro IPsec IKEv2, L2TP/IPsec, PPTP, holé L2TP jsem netestoval).
Název: Re:UPC IPv6 DS-Lite
Přispěvatel: Klacek 27. 10. 2017, 19:53:30
Nevím, co vůbec řešíš. Přepni zpět ipv4 totiž jen troll si nechá zapnout ipv6 a je jedno jestli u UPC nebo někoho jiného.
Název: Re:UPC IPv6 DS-Lite
Přispěvatel: daemon 28. 10. 2017, 00:15:55
Odpoved silne mimo misu

No... Taky mně to tak připadlo. Ostatně, proto jsem to sem napsal. Když jsem si to přečetl, musel jsem si dát panáka rumu na uklidnění...
Název: Re:UPC IPv6 DS-Lite
Přispěvatel: M. 29. 10. 2017, 12:30:24
Ber to tak, že to je fabrická odpvoěd nějaké nic moc v dané věci chytré osoby, co vybrala z připaveného katalogu. Takže to chce klid a zasmát se (panák kvalitního rumu nikdy neuškodí). Ale dokud nezjistíš, co se zhruba děje, tak nepostoupíš nikam dál. Takže Rada Jirsáka, že to máš nadhodit svému ITíkovi ve firmě, který má na starosti VPN server, je dobrý začátek, pokud by jsi chtěl trávit život na DS-Lite přípojce a neprchnout rovonu zpět na IPv4 only.
V podstatě pokus, zda když zkusíš u sebe pustit to VPN, zda vbec něco začne do formy lézti, případně jak poprzněno, to je, co by bylo základem a měl se po tom tvůj ITík podívat (pokud odhlédneme od faktu, že PPTP a holé L2TP nelze v dnešní době považovat za VPN).
Název: Re:UPC IPv6 DS-Lite
Přispěvatel: Klacek 29. 10. 2017, 14:38:22
Ber to tak, že to je fabrická odpvoěd nějaké nic moc v dané věci chytré osoby, co vybrala z připaveného katalogu. Takže to chce klid a zasmát se (panák kvalitního rumu nikdy neuškodí). Ale dokud nezjistíš, co se zhruba děje, tak nepostoupíš nikam dál. Takže Rada Jirsáka, že to máš nadhodit svému ITíkovi ve firmě, který má na starosti VPN server, je dobrý začátek, pokud by jsi chtěl trávit život na DS-Lite přípojce a neprchnout rovonu zpět na IPv4 only.
V podstatě pokus, zda když zkusíš u sebe pustit to VPN, zda vbec něco začne do formy lézti, případně jak poprzněno, to je, co by bylo základem a měl se po tom tvůj ITík podívat (pokud odhlédneme od faktu, že PPTP a holé L2TP nelze v dnešní době považovat za VPN).
Důvod nepřepnout na IPV 4 only ?? Raději se otravovat z ipv6.
Název: Re:UPC IPv6 DS-Lite
Přispěvatel: Radek Zajíc 29. 10. 2017, 18:52:33
DNS64/NAT64 UPC nastesti nedela. Je ale jen otazka casu, kdy ho zacnou pouzivat cesti mobilni operatori - rada jit za firemnim IT je rozhodne dobra, pokud se nejedna o nejaky predpotopni VPN koncentrator, nemusela by konfigurace IPv6 transportu nemozna. (Uvnitr VPN pak klidne muze bezet v4.)

Je pravdepodobne, ze IPv4 CGNAT UPC nejak mrvi pakety pro vybrany VPN provoz (IPSec) a proto ta firemni VPN nefunguje. Nutno ale rict, ze samotna IPv6 je v tom nevine.
Název: Re:UPC IPv6 DS-Lite
Přispěvatel: daemon 29. 10. 2017, 21:58:20
Ber to tak, že to je fabrická odpvoěd nějaké nic moc v dané věci chytré osoby, co vybrala z připaveného katalogu. Takže to chce klid a zasmát se (panák kvalitního rumu nikdy neuškodí).

Já to tak beru. Jen jsem chtěl, abyste z toho taky něco měli.  Bylo to tak intenzivní, že jsem to prostě musel někomu říct. ;)

Takže Rada Jirsáka, že to máš nadhodit svému ITíkovi ve firmě, který má na starosti VPN server, je dobrý začátek

JÁ mám, sakra, na starosti firemní VPN server...  >:(

V podstatě pokus, zda když zkusíš u sebe pustit to VPN, zda vbec něco začne do formy lézti, případně jak poprzněno, to je, co by bylo základem a měl se po tom tvůj ITík podívat (pokud odhlédneme od faktu, že PPTP a holé L2TP nelze v dnešní době považovat za VPN).

Tcpdump, Wireshark atd... Zatím jsem se do toho nepustil, protože nejsme výzkumný ústav. Mohu analýzou toho problému strávit dlouhé hodiny, než zjistím, že nejrychlejší bude říct tomu člověkovi, ať se nechá přepnout na IPv4. To jsme mu ostatně už poradili, ať si zjistí, jestli to bude možné.

A není to holé L2TP, ale L2TP/IPsec.

Název: Re:UPC IPv6 DS-Lite
Přispěvatel: BobTheBuilder 29. 10. 2017, 22:10:24
Tak nevím, L2TP/IPsec mi funguje.
PPTP bude mít problém jaksi z principu, protože GRE spojení je určeno IP adresami (žádné porty), takže za jedním NATem na jeden server se připojí jen jeden klient. Navíc je to děravé a ještě k tomu Apple PPTP odstranil ze systému - takže přechod na L2TP/IPsec je takřka nutností.
Název: Re:UPC IPv6 DS-Lite
Přispěvatel: Filip Jirsák 30. 10. 2017, 00:34:43
JÁ mám, sakra, na starosti firemní VPN server...  >:(
Tak si, sakra, nejdřív zjistěte, v čem je problém. A pak s tím konkrétním problémem v konektivitě můžete jít za UPC. Pokud to tedy bude chyba UPC – pořád ještě to také může být chyba vaší konfigurace (já bych to dokonce považoval za pravděpodobnější). UPC může řešit problémy s konektivitou, ale nebude vám řešit vaše problémy s vaší VPN.
Název: Re:UPC IPv6 DS-Lite
Přispěvatel: Jan Š. 30. 10. 2017, 06:39:52
Mám úplně stejný problém. VPN (PPTP) z nové přípojky UPC do firmy nevytočím. Ani v případě, že za modem hodím Mikrotika, který se snaží připojení vytočit. Na UPC mi poradili, že mám modem přepnout do režimu bridge. Když mi to nešlo, tak jsem je zažádal o zaslání návodu. Ani podle návodu to bohužel přepnout nejde. Na tom modemu ta volba přepínání režimů vůbec není. Takže se do firmy připojuju přes mobilního operátora.
Název: Re:UPC IPv6 DS-Lite
Přispěvatel: M. 30. 10. 2017, 07:18:37
Uff, PPTP snad nelze již nyní považovat za VPN technologii.
Dále, PPTP nefunguje skrz NAT, jedině tak, že ten NAT obsauje speciální helper pro PPTP, který patřičně opravuje data v řídícím spojení, aby GRE tunel se správně sestavil, pokud tento helper není součástí toho UPC řešení (nebo není aktivován), tak přes něj PPTP fungovat nebude.
Apropo, například i Cisco u svých ASR beden už PPTP NAT helper nepodporuje (repsektive funguje jen pro NAT1:1 linky, ne pro dynamický NAT, dle některých chyba, dle jiných vlastnost).
U L2TP/IPsec může být podobných problémů několik, tam je nejlepší, pokud do toho NAT vůbec nehrabe, pak to přes něj funguje OK. Tam jsme nejčastěji potkávl bordl ohledně procházení MTU. Takový L2TP/IPsec, kde je na IPSec použit PSK, tak funguje, ale při použití certifikátů najednou ne,protože se musí provádět fragmentace/skládání dlouhých UDP paketů a pokud má někdo někde bordel, tak najendou nic.
Název: Re:UPC IPv6 DS-Lite
Přispěvatel: Drak 30. 10. 2017, 07:46:04
Mám úplně stejný problém. VPN (PPTP) z nové přípojky UPC do firmy nevytočím. Ani v případě, že za modem hodím Mikrotika, který se snaží připojení vytočit. Na UPC mi poradili, že mám modem přepnout do režimu bridge. Když mi to nešlo, tak jsem je zažádal o zaslání návodu. Ani podle návodu to bohužel přepnout nejde. Na tom modemu ta volba přepínání režimů vůbec není. Takže se do firmy připojuju přes mobilního operátora.
Jasně dude, žetam není volba bridge, snad napřed musíš požádat UPC technickou podporu aby tě dala na ipv4 only. Jak tě převedou asi za 30 min musíš dát modem do továrního nastavení. A potom se ti tam ta položka objeví. Ipv6 je pouze moře problémů.
Název: Re:UPC IPv6 DS-Lite
Přispěvatel: Radek Zajíc 30. 10. 2017, 08:37:04
Mobilni operatori podporu PPTP helperu na svych CGNATech maji nastesti zapnutou, takze jim to zatim funguje. Az nekdo zacne masove prevadet mobily na IPv6+464XLAT, tak to taky fungovat prestane. Je na case vymenit PPTP za jiny VPN protokol.

Ad “s IPv6 je jen more problemu” - zase chyba. Problem je v pripojovani do firemni site skrz IPv4 konektivitu, ktera - a to si priznejme - je a bude cim dal vic zkriplena, protoze adresy dosly a cely Internet s ni preziva jen diky hackum typu CGNAT a PPTP helper...
Název: Re:UPC IPv6 DS-Lite
Přispěvatel: M. 30. 10. 2017, 10:00:23
Tak nějak, buď budu muset uhnout k VPN technologii, co je na nejrůznější NAT vylomeniny imunní, což v nativním MS světe je SSTP (případně OpenVPN) nebo se přizpůsobím a budu mít aspoň pro to VPN dual stack a VPN přístup po IPv6 bude v klidu z takovýchot sítí, kterých bude jen a jen přibývat.
V MS světě na IPv6 od dob Vist/7 funguje L2TP/IPsec, SSTP, IPsec IKEv2. A pokud mám server i klient Windows svět od dob W7/W2K8, tak je snad klasické VPN "mrtvé" a jdu po Direct access metodě.
Je třeba si uvědomit, že to přepnutí na IPv4 je dočasné řešení, až to operátor přihodí na měsíční vyúčtování formou individual service settings za stovku-dvě/měsíc, tak uživatelé budou prskat a uvidí se, kdo podlehne...
Název: Re:UPC IPv6 DS-Lite
Přispěvatel: Jan Š. 30. 10. 2017, 18:08:20
To je dost dobře možné, že to oni musí nějak povolit. Já do jejich řešení nevidím. Mám informace jen z jejich tech. podpory, se kterou je to 2x řešil a nevyřešil ...

Mám úplně stejný problém. VPN (PPTP) z nové přípojky UPC do firmy nevytočím. Ani v případě, že za modem hodím Mikrotika, který se snaží připojení vytočit. Na UPC mi poradili, že mám modem přepnout do režimu bridge. Když mi to nešlo, tak jsem je zažádal o zaslání návodu. Ani podle návodu to bohužel přepnout nejde. Na tom modemu ta volba přepínání režimů vůbec není. Takže se do firmy připojuju přes mobilního operátora.
Jasně dude, žetam není volba bridge, snad napřed musíš požádat UPC technickou podporu aby tě dala na ipv4 only. Jak tě převedou asi za 30 min musíš dát modem do továrního nastavení. A potom se ti tam ta položka objeví. Ipv6 je pouze moře problémů.
Název: Re:UPC IPv6 DS-Lite
Přispěvatel: Jouda u Lopaty 30. 10. 2017, 20:04:11
Ad “s IPv6 je jen more problemu” - zase chyba. Problem je v pripojovani do firemni site skrz IPv4 konektivitu, ktera - a to si priznejme - je a bude cim dal vic zkriplena, protoze adresy dosly a cely Internet s ni preziva jen diky hackum typu CGNAT a PPTP helper...

Ono je to bohužel těžký...
Podle mě na tom mají obrovský podíl operátoři, protože většina nenabízí IPv6 (např. Centrio). UPC to nedávno zavedlo, ale nejsem takovej hazardér jak ty, abych přišel o veřejnou IPv4 a mnoho lidí také nechce o ní přijít podle výsledku z ankety a komentářů ve článku UPC zde na Rootu.

Oni nemají tu správnou motivaci a když jim napíše nějakej pepa z depa, tak mu napíšou, že to bohužel nepodporují a dál to neřeší. I když se ten člověk může připomínat, tak je mu to prd platný.
Název: Re:UPC IPv6 DS-Lite
Přispěvatel: M. 30. 10. 2017, 20:58:05
Ono je to bohužel těžký....
Zrovna u PPTP Microsoft už od roku 2000 říká - nepoužívejte to. Tak se člověk ani moc nemusí divit, že na na PPTP v NAT řešeních někteří už kašlou a asi předpokladají, že by už mohlo být v roce 2017 mrtvé. :-)
Jinak podobná katastrofa proběhla i v Neměcku a dalších zemích, kde došlo k masivnějšímu nasazení DS-Lite přípojek na SOHO segment (nejen v sítích padajících pod Liberty Global, alias UPC u nás). Provozovatelé serverů rychle zjistili, že ty CGNATy jsou dost problém v řadě míst a rychle vyzkoumali, že pokud svoje protředky zpřistupní i po IPv6, že problémy koncákům přestanou. Asi na čase se pomalu inspirovat...
Název: Re:UPC IPv6 DS-Lite
Přispěvatel: Radek Zajíc 30. 10. 2017, 23:41:35
Ja jsem si sice IPv6 u UPC vybral dobrovolne, ale novi klienti od cervna uz ji maji automaticky.

V zahranici to bylo tak, ze nez aby poskytovatele obsahu museli dlouze a slozite diskutovat s operatory CGNATu, kde je chyba (a nejde jen o PPTP helper, ale i o tragicky vykon CGNATu pouzivanych Liberty Global), tak sluzby skutecne zpristupnili po IPv6.

Ze na to u nas vsichni kaslali? No, meli jsme stesti, ze CGNATy wifinaru a mobilkaru jsou kolikrat dost vytunene, takze se moc problemu v IPv4 svete neobjevovalo. To se holt ted zmeni...
Název: Re:UPC IPv6 DS-Lite
Přispěvatel: Drak 31. 10. 2017, 07:56:50
Ono je to bohužel těžký....
Zrovna u PPTP Microsoft už od roku 2000 říká - nepoužívejte to. Tak se člověk ani moc nemusí divit, že na na PPTP v NAT řešeních někteří už kašlou a asi předpokladají, že by už mohlo být v roce 2017 mrtvé. :-)
Jinak podobná katastrofa proběhla i v Neměcku a dalších zemích, kde došlo k masivnějšímu nasazení DS-Lite přípojek na SOHO segment (nejen v sítích padajících pod Liberty Global, alias UPC u nás). Provozovatelé serverů rychle zjistili, že ty CGNATy jsou dost problém v řadě míst a rychle vyzkoumali, že pokud svoje protředky zpřistupní i po IPv6, že problémy koncákům přestanou. Asi na čase se pomalu inspirovat...

Ono by bylo lepší dát každému veřejnou ip 4 a pokud někomu násilně cpu ip6 i když ho nechce tak dát full dual stack.
Název: Re:UPC IPv6 DS-Lite
Přispěvatel: M. 31. 10. 2017, 11:05:51
On asi bude problém v tom, že těch IPv4 adres nějak nepřibývá, ale uživatalů ano, takže nezbývá pomalu i těm, co mají historicky nasysleno, tak se chystat na dobu "až mi dojdou". Je třeba se připravit, že to doje k bodu, kdy linka s IPv6 za 300, s veřejnou IPv4 stejná za 500 a s veřejnou IPv4+IPv6 třeba za 550 kč/měsíc, protože je na tom třeba vytřískat, co jde (variantu sdílená CGNAT IPv4 plus IPv6 asi můžeme pomalu do budoucna kvůli snahám EU odpískat).
OPové tíhnou k tomu DS-lite, aby měli jen jednu přenosovou infrastrukturu s jedním IPv6 protokolem, místo plné dual stack celé sítě.