Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: Ferda 12. 02. 2018, 22:47:20

Název: IPv6 skrz WAN a LAN
Přispěvatel: Ferda 12. 02. 2018, 22:47:20
Na WANu mám veřejnou IPv4 a používám NAT do LAN. ISP má funkční i IPv6 protokol a když nechám na WANu DHCP (pro IPv6), tak na něm získám adresu složenou s přiděleného prefixu /64 a MAC adresy interfacu. Nyní řeším IPv6 protokol za LAN přes OpenVPN, což mi dostačuje, ale trochu mě štve, že TAP adaptér ve Windows je pouze 100 Mb/s.
Co dělat, kdybych chtěl za LAN získávat automaticky IPv6 adresy od ISP? Víc adres neptřebuji, abych dostal např. přidělený prefix /56 a ten nějak routoval do LAN.
Napadlo mě dát WAN + LAN do bridge, ale jestli to jde pouze pro IPv6 protokol?
Název: Re:IPv6 skrz WAN a LAN
Přispěvatel: Ondřej Caletka 12. 02. 2018, 23:29:03
Úplně tomu dotazu nerozumím, ale odpověď zní ano, lze, buď pomocí bridge, který bude brideovat jen rámce s IPv6 (což rozhodne třeba pomocí ebtables), nebo pomocí pseudobridge s Proxy NDP, kde bude pro router ISP emulováno, že má přímo dosažitelné kromě WAN rozhraní také všechna zařízení na LAN straně.

Oba přístupy jsou zhruba stejně špatné, ten správný a zároveň nejjednodušší spočívá v delegování prefixu routerem ISP na router zákazníka, ze kterého je tento prefix následně nabízen zařízením na LAN portu. Při použití DHCPv6 PD to ani nevyžaduje žádnou manuální konfiguraci na straně routeru zákazníka.

Víc adres neptřebuji, abych dostal např. přidělený prefix /56 a ten nějak routoval do LAN.
Právě, že potřebuješ. Jak jsi přišel na to, že nepotřebuješ?

Nyní řeším IPv6 protokol za LAN přes OpenVPN
Odkud kam vede ten OpenVPN tunel? Pokud končí na tvém routeru o kterém je řeč, pak není žádný důvod, aby stejně nemohlo fungovat i nativní IPv6. Pokud končí někde úplně jinde v tramtárii, pak to je ten mnohem zásadnější problém, než jestli TAP adaptér ve Windows zvládne 100 Mb/s.
Název: Re:IPv6 skrz WAN a LAN
Přispěvatel: Ferda 13. 02. 2018, 17:40:02
S IPv6 si netykám a tápu ve tvých otázkách, ale díky za ochotu.
Tak nějak mi bylo od ISP naznačeno, že prefix /56 by byl problém, proto jsem chtěl využít přidělený prefix /64, který jsem chtěl přes dvě rozhraní (WAN-LAN) dostat dovnitř sítě, s tím že bych využil DHCPv6 od ISP (u IPv4 bych stále NAToval).
U OpenVPN jsem si udělal podsíť s prefixem /112 podle tohoto (https://techblog.synagila.com/2016/02/24/build-a-openvpn-server-on-ubuntu-to-provide-a-ipv6-tunnel-over-ipv4/) návodu. U tohodle (http://ipv6-test.com/) IPv6 testu mám 19 bodů z 20 (akorát bez hostname). To mi teoreticky stačí, akorát nevyužiji plnou rychlost sítě díky tomu prehistorickému TAP adaptéru.
Název: Re:IPv6 skrz WAN a LAN
Přispěvatel: Miroslav Šilhavý 13. 02. 2018, 19:58:35
TAP adaptér ve Windows je pouze 100 Mb/s.

To ho ale neomzeuje na 100 Mbps, to je jen signalizace rychlosti linku. Teoreticky tudy klidně projde i víc (obdobně se chovají i adaptéry pod virtualizací), ale ona stejně OpenVPN reálně tolik neprotlačí.

Napadlo mě dát WAN + LAN do bridge, ale jestli to jde pouze pro IPv6 protokol?

Nejde. Bridge je o layer níž (L2 vs. IP=L3).
Název: Re:IPv6 skrz WAN a LAN
Přispěvatel: Ferda 13. 02. 2018, 20:36:45
Opravdu projde jen max. 130 MB/s a bez VPN tunelu plná rychlost 300 Mb/s (ve stejnou dobu na jeden server). Vím že v linuxu třeba TUN adaptér signalizuje 10 Mb/s a projde cokoliv, ale ve Windows ne. Rychlost je u šifrování 128 nebo 256 stejná, takže by na to nemělo mít vliv (je to slušný strojek: i3-6100 + 16GB RAM).
S tím bridgem to chápu, tím pádem to je zbytečné se tím zabývat.
Název: Re:IPv6 skrz WAN a LAN
Přispěvatel: Miroslav Šilhavý 13. 02. 2018, 20:39:41
Vím že v linuxu třeba TUN adaptér signalizuje 10 Mb/s a projde cokoliv, ale ve Windows ne.

Pak je problém někde jinde, ani ve widnows není propustnost určena či nějak omezena signalizovanou rychlostí linku. Je možné, že ten ovladač je zároveň nějaký neefektivní, ale spojil jste dohromady nesouvisející příčinu a důsledek.
Název: Re:IPv6 skrz WAN a LAN
Přispěvatel: Kolemjdoucí 13. 02. 2018, 22:52:45
správný a zároveň nejjednodušší spočívá v delegování prefixu routerem ISP na router zákazníka, ze kterého je tento prefix následně nabízen zařízením na LAN portu. Při použití DHCPv6 PD to ani nevyžaduje žádnou manuální konfiguraci na straně routeru zákazníka.

Tohle je hodně nekompletní prohlášení neboť jste zapomněl uvést předpoklady za kterých platí, dovolte mi je doplnit:

1) router zákazníka je schopen poslat DHCPv6 PD požadavek
2) router zákazníka je schopen zpracovat DHCPv6 PD odpověď a to i v případě že není úplně podle jeho představ (např. má jiný než očekávaný rozsah, viděl jsem už bohužel routery které jiný rozsah než přesně /64 nezvládaly, a teoretickou záležitost s delegováním širšího rozsahu dalším routerům opět přes DHCPv6 PD jsem ještě neviděl fungovat nikdy)
3) zařízení za routerem zákazníka dokáží od routeru získat IPv6 adresy a to protokolem který ten router podporuje (včetně IP adres DNS serverů)

IPv6 není bohužel jednoduchý protokol který by bylo možno zprovoznit na základě informací z internetových diskusí. :-(
Název: Re:IPv6 skrz WAN a LAN
Přispěvatel: Ondřej Caletka 13. 02. 2018, 22:54:00
S IPv6 si netykám a tápu ve tvých otázkách, ale díky za ochotu.
Tak nějak mi bylo od ISP naznačeno, že prefix /56 by byl problém, proto jsem chtěl využít přidělený prefix /64, který jsem chtěl přes dvě rozhraní (WAN-LAN) dostat dovnitř sítě, s tím že bych využil DHCPv6 od ISP (u IPv4 bych stále NAToval).
Doporučuji na tom požadavku na delegovaný prefix /56 trvat. I ISP se to musí někde naučit jak se s IPv6 pracuje. A čím míň lidí je bude tlačit do správného a standardního řešení, tím víc se budou objevovat různé fušeřiny.

U OpenVPN jsem si udělal podsíť s prefixem /112 podle tohoto (https://techblog.synagila.com/2016/02/24/build-a-openvpn-server-on-ubuntu-to-provide-a-ipv6-tunnel-over-ipv4/) návodu. U tohodle (http://ipv6-test.com/) IPv6 testu mám 19 bodů z 20 (akorát bez hostname). To mi teoreticky stačí, akorát nevyužiji plnou rychlost sítě díky tomu prehistorickému TAP adaptéru.
To je pěkný návod, díky za něj. Používá techniku Proxy NDP, o které jsem psal. Ta dokáže fungovat i s nativním IPv6 na ethernetu. Jediný rozdíl je, že u ProxyNDP v kernelu je nutné vyjmenovat všechny IPv6 adresy, které mají být viditelné na wan rozhraní. Uvedený návod to řeší post-up hookem, který pro každou novou VPNku založí patřičné mapování. To by měl zvládnout taky démon ndppd (https://github.com/DanielAdolfsson/ndppd) - sledujte také obrázky u projektu ndprbrd (https://github.com/google/ndprbrd), který ukazují názorně konfigurace. Kromě tohoto pak asi bude potřeba ještě zprovoznit radvd (http://www.litech.org/radvd/), které bude ohlašovat stejný prefix z WAN strany na LAN straně.
Název: Re:IPv6 skrz WAN a LAN
Přispěvatel: Ondřej Caletka 13. 02. 2018, 23:03:38
Tohle je hodně nekompletní prohlášení neboť jste zapomněl uvést předpoklady za kterých platí, dovolte mi je doplnit:

1) router zákazníka je schopen poslat DHCPv6 PD požadavek
Ještě si dovolím tento výčet doplnit o nutný požadavek, že router musí být řádně napájen elektrickým proudem :P

2) router zákazníka je schopen zpracovat DHCPv6 PD odpověď a to i v případě že není úplně podle jeho představ (např. má jiný než očekávaný rozsah, viděl jsem už bohužel routery které jiný rozsah než přesně /64 nezvládaly, a teoretickou záležitost s delegováním širšího rozsahu dalším routerům opět přes DHCPv6 PD jsem ještě neviděl fungovat nikdy)
Doporučuji vyzkoušet OpenWRT Barrier Breaker, nebo jakýkoli novější, včetně TurrisOS, tam popsané funguje naprosto rutinně. Stejně tak na jakémkoli Mikrotiku, tam je ale potřeba to nakonfigurovat.

3) zařízení za routerem zákazníka dokáží od routeru získat IPv6 adresy a to protokolem který ten router podporuje (včetně IP adres DNS serverů)
Znáte router, který na LAN straně nepodporuje SLAAC? Proč je tak důležité mít IPv6 adresy DNS serverů, když na LAN rozhraní je i IPv4?

Ano, nepochybně existují zařízení v různém stádiu rozbitosti, ale to je obecně platné na cokoli.
Název: Re:IPv6 skrz WAN a LAN
Přispěvatel: Ferda 19. 02. 2018, 07:54:33
Tohle mi bylo odpovězeno na delegování prefixu /56:
Citace
vás problém jsem předal na systémové oddělení.

Odpověd ze systémového odělení:

bohuzel v tomto pripade delegovani prefixu mozne neni, jen to NDP proxy

Např. u T-Mobilu (https://www.t-mobile.cz/podpora/caste-dotazy/-/refId/faq-1403876157528-session-3FA4951FD77D7C90812B75C45B9783A0inst21) bych takový problém neměl viz. 
Citace
Prefix o velikosti /64 je vhodný pro jednu malou domácí počítačovou síť, což neodpovídá požadavkům našich zákazníků. A protože nechceme naše zákazníky omezovat, rozhodli jsme se poskytovat prefix o velikosti /56, který vystačí až na 256 sítí za DSL modemem.
Název: Re:IPv6 skrz WAN a LAN
Přispěvatel: Ondřej Caletka 19. 02. 2018, 08:52:00
To je O2 xDSL? Tak v tom případě je asi nejlepší přepnout modem do režimu bridge a navazovat PPPoE spojení přímo z routeru. Pokud je tam ovšem víc LAN sítí, nepomůže ani tohle.

Naopak pomůže hlasování peněženkou. Stejnou službu je možné koupit buď od T-Mobile, nebo nově i od Metronet, kde by měla IPv6 rozumně fungovat.
Název: Re:IPv6 skrz WAN a LAN
Přispěvatel: Ferda 19. 02. 2018, 15:55:10
Nene, zatím je nechci specifikovat, uvidíme, jak to dopadne. Optiku mám až do bytu, jinak bych nepsal o protažení 300 Mb/s přes TAP adaptér.
Název: Re:IPv6 skrz WAN a LAN
Přispěvatel: Ferda 12. 06. 2018, 13:17:16
Větší rozsah než /64 nedostanu, tak se v tom už šťourat nebudu.

Napadlo mě, jestli bych ve vnitřní síti nepoužil privátní rozsah (https://awebanalysis.com/en/ipv6-reserved-ranges/586/) a nevyužil NAT66. Ale k tomuto jsem nic pořádně nenašel, kromě toho, že něco takového existuje. Bude něco takového možné?
Název: Re:IPv6 skrz WAN a LAN
Přispěvatel: ES 12. 06. 2018, 13:41:13
Urcite to pujde ULA adresy k tomuhle ucelu pouivam casto
Název: Re:IPv6 skrz WAN a LAN
Přispěvatel: Midar 12. 06. 2018, 20:32:30
Takze mas od pody verejnou IPv4, Huawei GPON a za nim svuj router?

O jaky router se jedna?

Chapu spravne ze stanice v LANce vytacis OpenVPN na svuj router abys mel IPv6 konektivitu?
Název: Re:IPv6 skrz WAN a LAN
Přispěvatel: xy 13. 06. 2018, 07:55:39
pokud ti nechce dat vic nez /64 tak je to poskytovatel naprd. Tak snim vyres to, ze akceptujes pouze /64, ale at ti to naroutuje za tvuj router. Muze routovat na linklocal adresach.
Pokud nema mikrotik a ty taky ne (mikrotik to neumi, resp neumel), tak si linklocal adresu muzete udelat klidne vlastni, takze i kdyz se vymeni router tak nebude muset prenastavit routovani na novy adresy.
Pokud pouziva PPPoE, tak ani adresy nemusi resit ale pouzije pouze interface k routingu.
Název: Re:IPv6 skrz WAN a LAN
Přispěvatel: SB 13. 06. 2018, 12:56:18
Napadlo mě dát WAN + LAN do bridge, ale jestli to jde pouze pro IPv6 protokol?

Nejde. Bridge je o layer níž (L2 vs. IP=L3).

Např. bridge v Mikrotiku má filtrovací pravidla i pro typ protokolu, ale zda by to šlo pro daný účel využít, netuším, možná už nepůjde dát extra adresní rozsahy IPv4 portům, které jsou kvůli IPv6 v bridge. Ale to spekuluju.
Název: Re:IPv6 skrz WAN a LAN
Přispěvatel: Ferda 13. 06. 2018, 13:16:19
Ten NAT66 funguje dobře. Potřebuji to doma na dvou PC (zvenku OpenVPN + NDP proxy) kvůli kamerovému systému.
Stačí mi to nakonfigurované ručně, ani nepotřebuji DHCPv6 + RADVD (časem to nasadit můžu, isc-dhcp-server mi už běží). Router je mini-ITX deska + linux.
Název: Re:IPv6 skrz WAN a LAN
Přispěvatel: Midar 13. 06. 2018, 14:43:25
Mas ten NAT66 tedy funkcni? Muzes nasdilet podrobnosti?

Pocitace v LAN tedy IPv6 kontektivitu maji via NAT66 a nyni je obtiz v remote klientech via OpenVPN aby vyjma NATovane IPv4 meli i IPv6 kontektivitu?
Název: Re:IPv6 skrz WAN a LAN
Přispěvatel: Ferda 14. 06. 2018, 11:32:00
Ano NAT66 mám funkční, já totiž žil v přesvědčení, že NAT na IPv6 není možný a ani jsem netušil, že existují ULA adresy (kromě link-local).
Takže normálně přes ip6tables vytvoříš maškarádu z WAN rozhraní na určitý privátní ipv6 rozsah (např. fdaa:aaaa:aaaa:aaaa::/64) a vše vystupuje pod ipv6 adresou na WANu.
Nyní budu OpenVPN tunel používat pouze mimo domov, protože u mě O2 na LTE ipv6 nasazené nemá.
Název: Re:IPv6 skrz WAN a LAN
Přispěvatel: Ondřej Caletka 14. 06. 2018, 12:55:08
(např. fdaa:aaaa:aaaa:aaaa::/64)
Úžasný příklad náhodně generovaného 40bitového identifikátoru.  :-\
Název: Re:IPv6 skrz WAN a LAN
Přispěvatel: xy 14. 06. 2018, 14:22:01
To z toho zas vznikne paskvil jak nekdo zacne pouzivat NAT... se trochu proberte...
Název: Re:IPv6 skrz WAN a LAN
Přispěvatel: xxxxx 14. 06. 2018, 15:39:43
(např. fdaa:aaaa:aaaa:aaaa::/64)
Úžasný příklad náhodně generovaného 40bitového identifikátoru.  :-\
Nějak mi uniká, co je na tom špatně? A proč by měl být náhodně generován? Vždyť unique local address si snad může zvolit jaké chce, ne? Dokud nebudou kolidovat s ostatními v lokálním rámci.
Název: Re:IPv6 skrz WAN a LAN
Přispěvatel: Ferda 14. 06. 2018, 18:43:59
Přesně, vždyť je to úplně šumák, jaké adresy použiji, navíc jsem u toho napsal například.
Mám raději, když mám vnitřním síť za NATem, nemusím vystavovat do NETu všechno a je mi úplně jedno, jestli to někdo převrátí, jak je to špatné. 
Název: Re:IPv6 skrz WAN a LAN
Přispěvatel: Dzavy 14. 06. 2018, 19:09:51
Tak lepsi nez NAT je poridit si tunel od Hurricane Electric, udelal jsem to tak u UPC a funguje to hezky.
Název: Re:IPv6 skrz WAN a LAN
Přispěvatel: Ondřej Caletka 14. 06. 2018, 21:05:05
(např. fdaa:aaaa:aaaa:aaaa::/64)
Úžasný příklad náhodně generovaného 40bitového identifikátoru.  :-\
Nějak mi uniká, co je na tom špatně? A proč by měl být náhodně generován? Vždyť unique local address si snad může zvolit jaké chce, ne? Dokud nebudou kolidovat s ostatními v lokálním rámci.
Jasně, používejte si co chcete. Co na tom, že někdo někam napsal nějaké MUST (https://tools.ietf.org/html/rfc4193.html#section-3.2.1), vždyť to funguje, tak o nic nejde.
Název: Re:IPv6 skrz WAN a LAN
Přispěvatel: y, 14. 06. 2018, 21:27:27
(např. fdaa:aaaa:aaaa:aaaa::/64)
Úžasný příklad náhodně generovaného 40bitového identifikátoru.  :-\
Nějak mi uniká, co je na tom špatně? A proč by měl být náhodně generován? Vždyť unique local address si snad může zvolit jaké chce, ne? Dokud nebudou kolidovat s ostatními v lokálním rámci.
Jasně, používejte si co chcete. Co na tom, že někdo někam napsal nějaké MUST (https://tools.ietf.org/html/rfc4193.html#section-3.2.1), vždyť to funguje, tak o nic nejde.
a dokazte mu, ze to nebylo vygenerovane nahodne... je fdaa:aaaa:aaaa:aaab::/64 nahodnejsi nez fdaa:aaaa:aaaa:aaaa::/64? :)
Viz http://dilbert.com/strip/2001-10-25
Název: Re:IPv6 skrz WAN a LAN
Přispěvatel: xxxxx 15. 06. 2018, 00:38:23
@Ondřej Caletka
Aha, díky za informaci. Jsem zase chytřejší.

Zdá se, co jsem hledal, že neexistuje žádný snadno zapamatovatelný prefix, který bych _legálně_ (míněno dle RFC) mohl použít výhradně pro celou moji lokální síť unikátně identifikovaných (sic!) počítačů (a kdy úmyslně kašlu na VPN a spol - třeba i přímo tak, že by bylo VPN vyloučené). Local-link FE80::/10 (obdoba 169.254.0.0/16) se mi moc nezdá, tam do toho mohou hrabat i klienti a přiřazovat si "své" IP dle libovůle, z daného rozsahu (ale možná je tam nějaká skulina).

Chápu důvody té náhody, ale prostě je to takové strojové, bez praktického (t.j. i /také i/ lidského) faktoru.

Omluva, už jsem zase offtopic.
Název: Re:IPv6 skrz WAN a LAN
Přispěvatel: Ferda 15. 06. 2018, 07:25:24
Měl jsem čas, tak jsem nasadil i 'isc-dhcp-server6 + radvd'. Nyní to je k plné spokojenosti, protože u WiFi by byla (případná) statická IPv6 opruz.
Asi někdy předělám i NDP Proxy u OpenVPN na NAT66.
Název: Re:IPv6 skrz WAN a LAN
Přispěvatel: xy 15. 06. 2018, 14:53:41
Přesně, vždyť je to úplně šumák, jaké adresy použiji, navíc jsem u toho napsal například.
Mám raději, když mám vnitřním síť za NATem, nemusím vystavovat do NETu všechno a je mi úplně jedno, jestli to někdo převrátí, jak je to špatné.
A to vyresi NAT jako jak? Od toho je snad firewall. Uplne stejne jak u IPv4, mam na PC verejnou a nikdo se tam nedostane. Kdybych mel jen NAT, tak se tam muze nekdo zvenku dostat.
Název: Re:IPv6 skrz WAN a LAN
Přispěvatel: Ferda 15. 06. 2018, 15:10:34
O svůj PC se postarám taky, ale doma je tolik věcí (několik PC, NB, telefonů, TV, tabletů, tiskáren, HTPC, AV receiver, NET rádio), že tohle všechno nejde jednoduše obsloužit. Centrálně všeobecné věci nenastavuji a zkoumat, jaký port každé heblo potřebuje .....
Název: Re:IPv6 skrz WAN a LAN
Přispěvatel: y, 15. 06. 2018, 18:55:17
O svůj PC se postarám taky, ale doma je tolik věcí (několik PC, NB, telefonů, TV, tabletů, tiskáren, HTPC, AV receiver, NET rádio), že tohle všechno nejde jednoduše obsloužit. Centrálně všeobecné věci nenastavuji a zkoumat, jaký port každé heblo potřebuje .....
Sorry, ale tohle mi neprijde jako smysluplny argument. Defaultni pravidla na FW nastavis tak, ze nedovolis (defaultni) ingress traffic (only RELATED,ESTABLISHED) a porty otevres jen pro veci co te zajimaji nebo potrebujes dostupne z venku. Jak se tohle lisi od NAT, krome te adresy?
Název: Re:IPv6 skrz WAN a LAN
Přispěvatel: Ferda 15. 06. 2018, 20:39:51
Celé vlákno je o tom, že mám pouze prefix /64, takže za mě konečná.
Název: Re:IPv6 skrz WAN a LAN
Přispěvatel: xy 16. 06. 2018, 09:48:48
Sak se s ISP domluv at ti teda necha jne /64, ale naroutuje to za tvuj router. Pokud to neumi nebo nechce udelat, tak proste nema IPv6 ale paskvil. To od neho rovnou pryc.
Název: Re:IPv6 skrz WAN a LAN
Přispěvatel: Ferda 16. 06. 2018, 10:09:45
Ty máš kolem sebe 3-4 ISP s optikou, že si tak vyskakuješ? Další /64 mi nepomůže, mám 3 VLANy + WiFi AP. Síťařinou se neživím (ani v IT) a když něco potřebuji, tak obšlehnu nějaký návod a naroubuji to na svůj strojek, kde mi běží vše potřebné (lamp, ftps, samba/nas, ssh, qbittorrent, ovpn, win-server/vbox, nextcloud atd.).
Já jsem se s tím smířil, tyhle podmínky mi nikdo nenabídne (+ bonusy) a k WiFinářům se vracet nebudu. Znova podotknu, že mi to takhle stačí, komu ne, tak ať si migruje třeba do aleluja.