Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - Radek Zajíc

Stran: 1 ... 24 25 [26] 27 28 ... 31
376
Sítě / Re:Android v IPv6 only siti
« kdy: 10. 09. 2019, 22:12:26 »
> RDNSS 2001:470:xxxx:: {};

Zkusil bych DNS serveru dat i nejakou jinou adresu ze site nez je adresa vsech routeru a tu pak oznamit v RA.

377
Sítě / Re:Jak naroutovat
« kdy: 17. 08. 2019, 15:20:24 »
Hypoteticky by to slo se dvema L3 VPN:
- z vnitrni site by se provoz posilal ven skrze VPN pres mobilni sit
- z vnejsi site by se provoz na VPN koncentratoru smeroval skrze VPN pres DSL

(pozor na to, ze mobilni operatori pocitaji do FUP i uploadovana data)
Zaroven by tento set-up vyzadoval mit pod kontrolou i VPN koncentrator.

Pak staci:
- na vnitrnim routeru: default route via <vpn-pres-mobilni-sit>
- na vpn koncentratoru: route na vnitrni sit via <vpn-pres-dsl>

Idealne nemaskaradovat na vnitrnim routeru, ale az na vpn koncentratoru nebo pred nim. A samozrejme je potreba dat pozor, aby provoz nesezralo RPF.

378
Sítě / Re:Cetin GPON - vhodný router k Huawei ONT
« kdy: 31. 07. 2019, 16:13:47 »
Pokryti domu bych resil vice samostatnymi AP (napr. Ubiquiti UniFi, Mikrotik CapsMan, nebo enterprise reseni z druhe ruky). Je to jedine opravdu funkcni reseni.

Ale i kdyby nic, tak jakykoli Mikrotik alespon ukaze linkovou rychlost a dokaze ji i vynutit (napr. natvrdo vynuceny gigabit).

379
Sítě / Re:Cetin GPON - vhodný router k Huawei ONT
« kdy: 31. 07. 2019, 10:48:30 »
Mikrotik hAP ac2
https://www.i4wifi.cz/cs/211097-routerboard-mikrotik-hap-ac2
  • Na WANu má gigabit
  • Uroutuje gigabit
  • Umí 802.11ac
  • Umí IPv6 (i delegovat dál)
  • Umí vytáčet PPPoE nad VLAN, což pro CETIN GPON IMHO potřebujete
  • Umí fungovat jako Wi-Fi AP v pásmech 2.4 i 5 GHz současně

380
Sítě / Re:Jde vám www.seznam.cz po IPv6?
« kdy: 14. 07. 2019, 23:20:59 »
To vypada jako kdyby se nekde na ceste objevilo MTU mensi nez 1500 a zaroven nekdo zahodil ICMPv6 Packet Too Big.
Mate nativni nebo tunelovanou konektivitu? Jaky je to ISP, jaky je ISP prefix Vasi site? (Klidne anonymizovany na uroven /40.)

381
Sítě / Re:Jak se přiděluje IP adresa na DSL?
« kdy: 27. 06. 2019, 14:39:01 »
Ano, tohle je běžná praxe v některých zemích (typicky Německo). To by přece nešlo, aby měl rezidentní zákazník stabilní připojení a adresu - tak ho jednou za 24 hodin odpojíme (a při připojení dostane jinou adresu). Pokud chce tomuto předejít, může si připlatit za business linku.

U nás naštěstí snad nikdo toto neprovozuje. (Dynamické IPv4 adresy dávalo svého času O2, dnes už ale veřejné IPv4 v základu nedávají.)

382
Sítě / Re:Linuxový router a IPv6 forwarding
« kdy: 27. 06. 2019, 08:47:17 »
Ovsem ja jsem nepsal o tom, ze operator vyhradi napr. /56 a z nej vybere jeden prefix a ten pak pouzije na WAN. :-) Tenhle rezim sice je standardizovan (https://tools.ietf.org/html/rfc6603), ale na beznych domacich routerech neni obvykle podporovan. Mel by se jednoho dne vyuzivat v sitich zalozenych na standardech 3GPP, kde se s touhle variantou pocita.

Na beznych pripojkach typu xDSL, GPON, Wi-Fi/FWA mate na WAN skutecne adresu z jineho prefixu nez z toho, ktery dostanete na LAN. Operator pak vyhradi napr. /64 + /64 (O2) nebo /64 + /56 (T-Mobile, Metronet).
Alternativne na WAN zadny prefix byt nemusi a routuje se na link-local adresu protistrany nebo "do tunelu" (u PPPoE).
Na kabelovkach je zase bezne, ze WAN strana dostane _jednu_ adresu z DHCPv6 plus delegovany prefix (/56, /60, atp.). Takhle to standardizoval DOCSIS.

Pak je jeste pristup, kdy zadny delegovany prefix nemate, a mate tedy jen /64 na WAN. Abyste dostal IPv6 i do LAN, musite provadet bud NDP proxy nebo prefix sharing (https://tools.ietf.org/html/rfc7278 - smazu prefix/adresu z WAN a nakonfiguruji na LAN; funguje to jen diky tomu, ze mam cely prefix pro sebe a protistrana routuje "do tunelu"; tohle je bezny pristup v mobilnich sitich na mobilech u funkce "osobni hotspot").

383
Sítě / Re:Jak se přiděluje IP adresa na DSL?
« kdy: 27. 06. 2019, 08:35:21 »
Lepsi material od CETINu je primo technicka specifikace na https://www.cetin.cz/documents/10182/116411/MMO+-+Př%C3%ADloha+12+-+Technická+specifikace.pdf/2817b7d0-3ed2-4882-9f48-c111d2226135

Jde z toho poznat, ze na DSL funguji oba pristupy - IP rezim, kdy se prideluje z DHCP (DSLAM bude provadet DHCP relay a obohacovani DHCP pozadavku o ID portu - option 82) i PPPoE rezim (DSLAM obohacuje PPPoE pozadavky o ID portu - funkce PPPoE intermediate agent).
V PPPoE rezimu se adresy prideluji a routuji na PPPoE koncentratoru (BRAS) a dal jsou v siti operatora routovane standardnimi mechanismy dynamickeho routingu (OSPF, BGP, ISIS, ...).

384
Sítě / Re:Linuxový router a IPv6 forwarding
« kdy: 24. 06. 2019, 18:05:35 »
Můj router na rozhraní WAN (alespoň ve výchozím stavu) nemá veřejnou 6, přesto vše v LAN jede. Kde udělali soudruzi z T-Mobile chybu?
To neni podminka. Pokud se bavime o DSL (jinde TM IPv6 nema), tam BRAS routuje delegovany prefix do PPPoE tunelu, tj. ani nepotrebuje znat globalni/link-local adresu.

385
Sítě / Re:Linuxový router a IPv6 forwarding
« kdy: 22. 06. 2019, 07:32:49 »
ISP dnes uz nepripojuji jednotlive pocitace, prakticky vzdy jen routery zakazniku. Proto musi:
1. jak pridelit adresu routeru (jsou jen dve varianty: router advertisement, DHCPv6)
2. jak rict routeru, ktere adresy ma pouzivat na sve "LAN" strane (pokud ISP nema kontrolu nad zakaznickym routerem, zbyvaji mu jen moznosti DHCPv6 Prefix Delegation nebo staticka komfigurace v soucinnosti se zakaznikem)
3. jak naroutovat adresy, ktere ma router pouzivat v LAN

Pokud ISP v kroku 1) zacal oznamovat k routeru prefix /56 pomoci router advertisementu, ma to spatne. Router si z tohoto prefixu nemuze snadno vzit nejakou /64 a tu oznamovat do LAN. Aby neco takoveho bylo mozne, musel by fungovat jako Neighbor Discovery Protocol (NDP) Proxy. To je ale spis nouzove reseni a rozhodne neni spravne.

386
Sítě / Re:Mikrotik, IPv6 a ISP Metronet
« kdy: 17. 05. 2019, 15:50:33 »
A ted zase nechapu jak to funguje. Podle ceho dhcpv6 identifikuje, kdo to zada o prefix aby to pridelilo ten spravny staticky ?
Je to jednoduchy. Pri vytaceni PPPoE spojeni jde provoz skrze CETIN DSLAM resp. GPON ONT. Ten na zaklade identifikace konkretniho DSL portu resp. GPON OLT (zakaznicky jednotky) obohacuje PPPoE pakety o tzv. cislo okruhu (circuit-ID). Kod, ktery tohle dela, se nazyva PPPoE Intermediate Agent.
CETIN BRAS (=druhy konec toho PPPoE tunelu; prvni konec je ten RouterOS u tebe doma), CETIN RADIUS a ISP (Metronet) RADIUS na zaklade tohohle circuit-ID identifikuje konkretniho zakaznika. A na zaklade znalosti zakaznika muze Metronet RADIUS pri pripojeni vzdycky poslat CETIN BRASu stejny prefix. A tohle plati i pro IPv4.
(Na ceste muze dochazet k ruznym obohacovanim a prekladum circuit-ID, na strane ISP je to obvykle prosty cislo - driv telefonni, dneska obecny cislo, prideleny CETINem, ktery si ISP musi na svy strane zanest do uzivatelsky databaze.)

Nevim jak funguje accept_ra=2 v linuxu. Ale kdyz si pustim nejakou beznou linuxovou distribuci tak se mi tam ipv6 nastavi a kdyz si vypisu nastaveni site tak tam patricne polozky vidim.

Linux (A tedy i RouterOS, protoze to je vlastne Linux kernel obaleny o spoustu proprietarnich ptakovin) funguje tak, ze je-li aktivni IPv6 forwarding a `accept_ra==1`, pak kernel neakceptuje RA a nenastavi si adresu podle SLAAC. Je-li aktivni IPv6 forwarding a `accept_ra==2`, pak kernel akceptuje RA a nastavi si adresu podle SLAAC. Je-li forwarding neaktivni, pak se `accept_ra` 1 i 2 chovaji stejne a vzdycky nastavi adresu podle SLAAC.
Na standardni stanici je IPv6 forwarding neaktivni a `accept_ra==1`. Na standardnim RouterOS boxu s aktivnim IPv6 balickem je IPv6 forwarding aktivni a `accept_ra` zustava `1`, proto si nevytvari adresu podle SLAAC, pokud mu prijde RA paket. Zapina se to prave tim extra prepinacem, kterej jim asi nefunguje.

387
Sítě / Re:Mikrotik, IPv6 a ISP Metronet
« kdy: 16. 05. 2019, 20:25:12 »
Mimochodem, jakou máš verzi RouterOS? Nastavení
Kód: [Vybrat]
accept-router-advertisements=yes by mělo fungovat jako v Linuxu
Kód: [Vybrat]
accept_ra=2ale vypadá to, že to kluci v Mikrotiku měli/mají rozbitý.
https://forum.mikrotik.com/viewtopic.php?t=115735
Citace
Version 6.38rc52 has been released.
Changes since previous version:
...
*) ipv6 - fixed "accept-router-advertisements" behaviour;

388
Sítě / Re:Mikrotik, IPv6 a ISP Metronet
« kdy: 16. 05. 2019, 20:18:42 »
Ah. No a není to tím, že IPv6 v základu nedávají? (To tedy ani veřejnou IPv4 - jen na požádání.)
Nulová odpověď od DHCPv6 při pokusu o DHCPv6 PD totiž naznačuje, že na svojí straně Metronet nenastavil správně uživatelskou databázi/RADIUS a tedy CETIN nedostal vůbec informaci, že má IPv6 aktivovat. Třeba ji prostě zapomněli nastavit. :-)

Pokud už proběhne DHCPv6 výměna (tj. RouterOS dostane prefix), je třeba nakonfigurovat jen adresu na LAN ve tvaru "additivní adresy", tj. adresy, která se přičte k adrese IPv6 poolu, a informaci o poolu. Tj. pokud mám např. LAN a GuestNet:
Kód: [Vybrat]
/ipv6 address
add address=::0:0:0:0:1/64 from-pool=<DHCPv6Pool> interface=LAN
(...)
/ipv6 address
add address=::ff:0:0:0:1/64 from-pool=<DHCPv6Pool> interface=GuestNet
Pro pool prefix 2001:db8:baba:de00::/56 se pak pro LAN nastaví 2001:db8:baba:de00::1/64 a pro GuestNet 2001:db8:baba:deff::1/64.

Tenhle návod je sice na první pohled pro DSL, ale prakticky by měl fungovat i na FTTB/FTTH (je tam jen potřeba nastavit VLAN 848 a teprve nad ní vytáčet PPPoE): https://www.zemj.com/2018/10/19/mikrotik-o2-ipv6-klidne-multiiptv-nastaveni/
Téměř se shoduje s tím, cos napsal - s rozdílem, že vůbec nekonfiguruje adresu na WAN (PPPoE).

389
Sítě / Re:Mikrotik, IPv6 a ISP Metronet
« kdy: 16. 05. 2019, 13:14:15 »
Ahoj PPK,

situace je ve skutečnosti možná jednodušší než se může zdát. Metronet využívá referenční nabídku CETINu, takže z pohledu uživatele na PPPoE přípojkách:
- na WAN rozhraní (PPPoE) přichází IPv6 router advertisementy a router se podle nich může nakonfigurovat (někteří ISP vůbec nemají pro WAN rozhraní IPv6 prefix, ale nevadí to - na WAN je vždycky link-local adresa, kterou přiděluje protistrana, a ta pro DHCPv6 stačí, viz níže)
- pro LAN rozhraní je potřeba nakonfigurovat DHCPv6 klienta, aby zasílal požadavek na prefix delegation (PD)
- DHCPv6 dotazy chodí z klientského routeru z link-local adresy na multicast adresu ff02::1:2 a DHCPv6 server odpovídá z link-local adresy (viz např. https://www.cloudshark.org/captures/eeedef4dd779)

Referenční přípojka CETINu (na DSL i FTTB/H) vypadá takhle:
IP konektivita: Klientská-LAN <-> Klientský router <-- PPPoE --> CETIN BRAS <--> ISP router <--> Internet
IP alokace: CETIN BRAS <--> CETIN RADIUS <--> ISP RADIUS

BRASy mají ~stejnou konfiguraci pro DSL i FTTB/H.

Typicky navázání spojení pak vypadá takhle:
1. Klientův router (KR) vytočí PPPoE s aktivním IPv6CP
2. CETIN BRAS si od CETIN RADIUS a ten od ISP RADIUS zjistí, zda je uživatel aktivní, a vyžádá si informace o prefixech (WAN, Delegated)
3. CETIN BRAS odpoví na PPPoE a PPPoE spojení se sestaví s IPv6CP (zažil jsem špatně nakonfigurovaný BRAS, který IPv6CP odmítal - šlo o BRAS profil Avonetu, v tomtéž regionu IPv6 na DSL T-Mobilu fungovalo)
4. CETIN BRAS nainstaluje do své routovací tabulky WAN prefix a nasměruje ho do PPPoE rozhraní k uživateli
5. KR si nastaví na WAN link-local adresu z IPv6CP
6. CETIN BRAS vyšle unsolicited router-advertisementy (je-li přidělen WAN prefix)
7. KR aktivizuje DHCPv6 klienta a ten zašle požadavek na delegaci prefixu (PD)
8. CETIN BRAS v roli DHCPv6 serveru odpoví klientovi - informuje ho o přiděleném prefixu a jeho časové platnosti; zároveň na dobu platnosti nainstaluje do své routovací tabulky delegovaný prefix a nasměruje ho do PPPoE rozhraní k uživateli
9. KR si z přiděleného prefixu vybere jednu /64 a tu nainstaluje na LAN rozhraní. Zároveň začne do LAN oznamovat dostupnost prefixu pomocí router-advertisementů
10. Klient má funkční IPv6 konektivitu na LAN

CETINí BRASy provádějí reverse path filtering, tedy nepropustí ven provoz, pro který neexistuje mapování v routovací tabulce, a ani ke klientovi nepošlou provoz zvenku, který by byl nasměrován na prefix, který není nainstalován v routovací tabulce (to dává smysl). Zároveň se delegovaný prefix nikdy neinstaluje dřív než dojde k úspěšnému vyžádání prefixu DHCPv6 klientem.

RouterOS by default nepřijímá router advertisementy, pokud je zároveň routerem - musí se to explicitně povolit (https://wiki.mikrotik.com/wiki/Manual:IPv6/Settings). Pokud povolíš tohle nastavení, můžeš zrušit tu ruční adresu na PPPoE rozhraní.
Zároveň bohužel platí, že RouterOS má v defaultu balíček IPv6 zakázaný a musí se povolit. Pokud je povolen, pak skáčou link-local adresy na ethernetových rozhraních a objeví se link-local adresa na PPPoE rozhraní (je-li aktivní IPv6CP).

Pokud něco nefungovalo jak mělo (a není to tím, že by v Metronetu zapomněli nastavit svůj RADIUS, aby vracel CETINímu RADIUSu informaci o přiřazených prefixech - i to už jsem jinde viděl), mohlo by to být problémem ve firewallu (nepřijímání RA - zahozené ICMPv6, neúspěch DHCPv6 - zahozené odchozí/příchozí UDP na portech 546/547).

Rozhodně nedoporučuju nastavovat cokoli staticky - není to podporovaná konfigurace. Detaily má CETIN veřejně v technické specifikaci v sekci 5.8.4 (mají tam chybu; tvrdí, že delegovaný prefix je automaticky směrován, ale ve skutečností platí moje slova o nutnosti provedení DHCPv6 dotazu).

(Text jsem musel napsat podruhé, poprvé mi ho Root kvůli odhlášení z fóra sežral. :-/)

390
Sítě / Re:Nejlepší ADSL/VDSL poskytovatel?
« kdy: 02. 05. 2019, 06:32:37 »
Ping na seznam.cz je 15 ms, ping na hetzner.de je 25 ms.
Bylo by mozne nam sem dat IPv4 a IPv6 traceroute na seznam.cz, hetzner.de, ulozto.cz, apod.? Jak kvalitni je tranzitni konektivita, resp. pres jakeho upstream ISP? Diky.

Stran: 1 ... 24 25 [26] 27 28 ... 31