IPv6 router na Debianu

JBB

Re:IPv6 router na Debianu
« Odpověď #15 kdy: 30. 07. 2024, 10:16:57 »
Ale pokud ten router dělá ještě něco jiného, tak se ta veřejná adresa může hodit. Zvlášť pokud by ten router měl zahajovat nějaké spojení (stačí ping) ven.
A takových věcí bude dost, třeba upgrade...


Re:IPv6 router na Debianu
« Odpověď #16 kdy: 30. 07. 2024, 12:34:41 »
Router nemusí mít globální adresy na WAN, pro odchozí provoz použije adresu, kterou si nakonfiguruje z delegovaného prefixu.

Mimochodem, pokud nějaký ISP přiděluje /64 pro WAN z delegovaného (většího) bloku, např. /56, tak je to velmi kreativní. Pokud by přiděloval první /64, tak tím asi může dost routerů rozbít (pokud by domácí router pro LAN chtěl použít stejný - první - /64 prefix jako je na WAN, jak se to asi bude chovat?).

Existuje sice RFC 6603, které něco podobného umožňuje, ale nevím o tom, že by ho běžně používaná CPE podporovala.

JBB

Re:IPv6 router na Debianu
« Odpověď #17 kdy: 30. 07. 2024, 13:03:51 »
Router nemusí mít globální adresy na WAN, pro odchozí provoz použije adresu, kterou si nakonfiguruje z delegovaného prefixu.
Já už se v tom ztrácím. Takže ji ale nakonec má. Globální. Si nakonfiguruje jakože samo linux jádro?
Mimochodem, pokud nějaký ISP přiděluje /64 pro WAN z delegovaného (většího) bloku, např. /56, tak je to velmi kreativní. Pokud by přiděloval první /64, tak tím asi může dost routerů rozbít (pokud by domácí router pro LAN chtěl použít stejný - první - /64 prefix jako je na WAN, jak se to asi bude chovat?).
Takže vlastně ISP to má správně, když dává jen PD a s tím si můžu dělat co chci, např. 1. na LAN, 3. na WAN?

JBB

Re:IPv6 router na Debianu
« Odpověď #18 kdy: 30. 07. 2024, 13:27:06 »
Takže ji ale nakonec má. Globální. Si nakonfiguruje jakože samo linux jádro?
Namá a přesto to jede. Otestováno ping6. Použije asi první globální, co se mu namane. V mém případě tu z LAN. *:4041::1

jjrsk

  • *****
  • 554
    • Zobrazit profil
Re:IPv6 router na Debianu
« Odpověď #19 kdy: 30. 07. 2024, 17:57:45 »
Já už se v tom ztrácím. ...
To je zjevny ...

Hele, libovolny zarizeni muze mit libovolny pocet rozhrani a na nich libovolny pocet adres. Z pohledu toho zarizeny vsechny ty adresy pari jemu, takze je jedno, na kterym iface tu adresu mas.

Typicky zarizeni pouzije pro odchozi provoz tu adresu, ktera je na iface pres ktery odchozi provoz odchazi. Kdyz je tam tech adres vic ... tak bud reknes aplikaci kterou ma pouzivat nebo se pouzije ta nejmensi (nebo muzes mit milion jinych pravidel).

IPv6 ma fungovat tak, ze ti ISP pres PD prideli prefix (nejmin /56) a tvuj router si z toho vyzobe rozsahy pro jednotlive site, idealne opet sam. V ramci toho muze a nemusi (v zavislosti na konfiguraci) na iface smerujici do tech siti pridelit adresu. Ano, pro 4kare zcela nepochopitelny. Takze typicky spis prideli.

A kdyz tam tu adresu (na ten LAN) mas, tak to staci, staci ti i jen jedna, a muzes s tim i zvenku komunikovat, protoze kdyz prijde provoz na to IPcko, tak ten router vi, ze to je jeho adresa. Stejne tak vi, ze kdyz chces pingat ven, mimo tu linku, tak pouzije v src prave tu jednu ipv6 kterou ve tvym pripade nejspis ma.

To co je ve tvym pripade ponekud zvlastni (alespon z toho jak to popisujes) je to, ze provider tvrdi, ze dhcp prideluje adresu jen tobe ne, a pak ji dostanes z RAcka s nejakym zpozdenim.

Mimochodem, krome (neomezovani) ICMP, protoze se pouziva namisto ARP (napr) jeste potrebujes aby ti fungoval multicast, protoze ten se pouziva taky. Takze co takhle firewall uplne vypnout a uvidis jak to bude chodit?

Zatim 100% "divnych" veci na IPv6 bylo vzdy konfiguraci firewallu na tema "v ipv4 to prece nanic nepotrebuju".




JBB

Re:IPv6 router na Debianu
« Odpověď #20 kdy: 25. 09. 2024, 08:33:55 »
Tak po dlouhé době nějaký malilinkatý porkrok:
2 měsíce to jelo na komplet static konfiguraci. Včera ráno to přestalo fungovat, dopídil jsem se, že data odcházejí ale nevracejí se: ICMP6, time exceeded in-transit. Oba jsme nevěděli co s tím a tak jsem znovu spustil dhcp, konkrétně wide-dhcp. A ejhle, dostal jsem PD i RA a data začala chodit obousměrně. Bez změny FW na mé straně, ISP mezitím měnil switch...
Jenže jsem potřeboval přerozdělit sítě, takže restart dhcp a dostal jsem jiný prefix. No po dlohém bádání jsme dospěli k poznání, že mikrotik na straně ISP očekává DUID typ 3 (pouze MAC) a wide-dhcp posílá pouze typ 1 (čas + MAC). Vite někdo co s tím? Prolezl jsem i zdrojáky a tam je v komentu "podpora pouze typ 1". No tak jsem mu podstrčil DUID s tím "správným" starým časem, ale mikrotik tvrdošíjně přiděluje jiný prefix.
A jako další drobná "chybka" je, že dostanu RA až za nějakou chvílku (200-500s má nastaveno ISP), což chápu tak, že kvůli static konfiguraci se nijak nedozví, že jsem se připojil a bylo by záhodno poslat RA hned.