reklama

IPv6 skrz WAN a LAN

Ferda

IPv6 skrz WAN a LAN
« kdy: 12. 02. 2018, 22:47:20 »
Na WANu mám veřejnou IPv4 a používám NAT do LAN. ISP má funkční i IPv6 protokol a když nechám na WANu DHCP (pro IPv6), tak na něm získám adresu složenou s přiděleného prefixu /64 a MAC adresy interfacu. Nyní řeším IPv6 protokol za LAN přes OpenVPN, což mi dostačuje, ale trochu mě štve, že TAP adaptér ve Windows je pouze 100 Mb/s.
Co dělat, kdybych chtěl za LAN získávat automaticky IPv6 adresy od ISP? Víc adres neptřebuji, abych dostal např. přidělený prefix /56 a ten nějak routoval do LAN.
Napadlo mě dát WAN + LAN do bridge, ale jestli to jde pouze pro IPv6 protokol?

reklama


Re:IPv6 skrz WAN a LAN
« Odpověď #1 kdy: 12. 02. 2018, 23:29:03 »
Úplně tomu dotazu nerozumím, ale odpověď zní ano, lze, buď pomocí bridge, který bude brideovat jen rámce s IPv6 (což rozhodne třeba pomocí ebtables), nebo pomocí pseudobridge s Proxy NDP, kde bude pro router ISP emulováno, že má přímo dosažitelné kromě WAN rozhraní také všechna zařízení na LAN straně.

Oba přístupy jsou zhruba stejně špatné, ten správný a zároveň nejjednodušší spočívá v delegování prefixu routerem ISP na router zákazníka, ze kterého je tento prefix následně nabízen zařízením na LAN portu. Při použití DHCPv6 PD to ani nevyžaduje žádnou manuální konfiguraci na straně routeru zákazníka.

Víc adres neptřebuji, abych dostal např. přidělený prefix /56 a ten nějak routoval do LAN.
Právě, že potřebuješ. Jak jsi přišel na to, že nepotřebuješ?

Nyní řeším IPv6 protokol za LAN přes OpenVPN
Odkud kam vede ten OpenVPN tunel? Pokud končí na tvém routeru o kterém je řeč, pak není žádný důvod, aby stejně nemohlo fungovat i nativní IPv6. Pokud končí někde úplně jinde v tramtárii, pak to je ten mnohem zásadnější problém, než jestli TAP adaptér ve Windows zvládne 100 Mb/s.

Ferda

Re:IPv6 skrz WAN a LAN
« Odpověď #2 kdy: 13. 02. 2018, 17:40:02 »
S IPv6 si netykám a tápu ve tvých otázkách, ale díky za ochotu.
Tak nějak mi bylo od ISP naznačeno, že prefix /56 by byl problém, proto jsem chtěl využít přidělený prefix /64, který jsem chtěl přes dvě rozhraní (WAN-LAN) dostat dovnitř sítě, s tím že bych využil DHCPv6 od ISP (u IPv4 bych stále NAToval).
U OpenVPN jsem si udělal podsíť s prefixem /112 podle tohoto návodu. U tohodle IPv6 testu mám 19 bodů z 20 (akorát bez hostname). To mi teoreticky stačí, akorát nevyužiji plnou rychlost sítě díky tomu prehistorickému TAP adaptéru.

Re:IPv6 skrz WAN a LAN
« Odpověď #3 kdy: 13. 02. 2018, 19:58:35 »
TAP adaptér ve Windows je pouze 100 Mb/s.

To ho ale neomzeuje na 100 Mbps, to je jen signalizace rychlosti linku. Teoreticky tudy klidně projde i víc (obdobně se chovají i adaptéry pod virtualizací), ale ona stejně OpenVPN reálně tolik neprotlačí.

Napadlo mě dát WAN + LAN do bridge, ale jestli to jde pouze pro IPv6 protokol?

Nejde. Bridge je o layer níž (L2 vs. IP=L3).

Ferda

Re:IPv6 skrz WAN a LAN
« Odpověď #4 kdy: 13. 02. 2018, 20:36:45 »
Opravdu projde jen max. 130 MB/s a bez VPN tunelu plná rychlost 300 Mb/s (ve stejnou dobu na jeden server). Vím že v linuxu třeba TUN adaptér signalizuje 10 Mb/s a projde cokoliv, ale ve Windows ne. Rychlost je u šifrování 128 nebo 256 stejná, takže by na to nemělo mít vliv (je to slušný strojek: i3-6100 + 16GB RAM).
S tím bridgem to chápu, tím pádem to je zbytečné se tím zabývat.


Re:IPv6 skrz WAN a LAN
« Odpověď #5 kdy: 13. 02. 2018, 20:39:41 »
Vím že v linuxu třeba TUN adaptér signalizuje 10 Mb/s a projde cokoliv, ale ve Windows ne.

Pak je problém někde jinde, ani ve widnows není propustnost určena či nějak omezena signalizovanou rychlostí linku. Je možné, že ten ovladač je zároveň nějaký neefektivní, ale spojil jste dohromady nesouvisející příčinu a důsledek.

Kolemjdoucí

Re:IPv6 skrz WAN a LAN
« Odpověď #6 kdy: 13. 02. 2018, 22:52:45 »
správný a zároveň nejjednodušší spočívá v delegování prefixu routerem ISP na router zákazníka, ze kterého je tento prefix následně nabízen zařízením na LAN portu. Při použití DHCPv6 PD to ani nevyžaduje žádnou manuální konfiguraci na straně routeru zákazníka.

Tohle je hodně nekompletní prohlášení neboť jste zapomněl uvést předpoklady za kterých platí, dovolte mi je doplnit:

1) router zákazníka je schopen poslat DHCPv6 PD požadavek
2) router zákazníka je schopen zpracovat DHCPv6 PD odpověď a to i v případě že není úplně podle jeho představ (např. má jiný než očekávaný rozsah, viděl jsem už bohužel routery které jiný rozsah než přesně /64 nezvládaly, a teoretickou záležitost s delegováním širšího rozsahu dalším routerům opět přes DHCPv6 PD jsem ještě neviděl fungovat nikdy)
3) zařízení za routerem zákazníka dokáží od routeru získat IPv6 adresy a to protokolem který ten router podporuje (včetně IP adres DNS serverů)

IPv6 není bohužel jednoduchý protokol který by bylo možno zprovoznit na základě informací z internetových diskusí. :-(

Re:IPv6 skrz WAN a LAN
« Odpověď #7 kdy: 13. 02. 2018, 22:54:00 »
S IPv6 si netykám a tápu ve tvých otázkách, ale díky za ochotu.
Tak nějak mi bylo od ISP naznačeno, že prefix /56 by byl problém, proto jsem chtěl využít přidělený prefix /64, který jsem chtěl přes dvě rozhraní (WAN-LAN) dostat dovnitř sítě, s tím že bych využil DHCPv6 od ISP (u IPv4 bych stále NAToval).
Doporučuji na tom požadavku na delegovaný prefix /56 trvat. I ISP se to musí někde naučit jak se s IPv6 pracuje. A čím míň lidí je bude tlačit do správného a standardního řešení, tím víc se budou objevovat různé fušeřiny.

U OpenVPN jsem si udělal podsíť s prefixem /112 podle tohoto návodu. U tohodle IPv6 testu mám 19 bodů z 20 (akorát bez hostname). To mi teoreticky stačí, akorát nevyužiji plnou rychlost sítě díky tomu prehistorickému TAP adaptéru.
To je pěkný návod, díky za něj. Používá techniku Proxy NDP, o které jsem psal. Ta dokáže fungovat i s nativním IPv6 na ethernetu. Jediný rozdíl je, že u ProxyNDP v kernelu je nutné vyjmenovat všechny IPv6 adresy, které mají být viditelné na wan rozhraní. Uvedený návod to řeší post-up hookem, který pro každou novou VPNku založí patřičné mapování. To by měl zvládnout taky démon ndppd - sledujte také obrázky u projektu ndprbrd, který ukazují názorně konfigurace. Kromě tohoto pak asi bude potřeba ještě zprovoznit radvd, které bude ohlašovat stejný prefix z WAN strany na LAN straně.

Re:IPv6 skrz WAN a LAN
« Odpověď #8 kdy: 13. 02. 2018, 23:03:38 »
Tohle je hodně nekompletní prohlášení neboť jste zapomněl uvést předpoklady za kterých platí, dovolte mi je doplnit:

1) router zákazníka je schopen poslat DHCPv6 PD požadavek
Ještě si dovolím tento výčet doplnit o nutný požadavek, že router musí být řádně napájen elektrickým proudem :P

2) router zákazníka je schopen zpracovat DHCPv6 PD odpověď a to i v případě že není úplně podle jeho představ (např. má jiný než očekávaný rozsah, viděl jsem už bohužel routery které jiný rozsah než přesně /64 nezvládaly, a teoretickou záležitost s delegováním širšího rozsahu dalším routerům opět přes DHCPv6 PD jsem ještě neviděl fungovat nikdy)
Doporučuji vyzkoušet OpenWRT Barrier Breaker, nebo jakýkoli novější, včetně TurrisOS, tam popsané funguje naprosto rutinně. Stejně tak na jakémkoli Mikrotiku, tam je ale potřeba to nakonfigurovat.

3) zařízení za routerem zákazníka dokáží od routeru získat IPv6 adresy a to protokolem který ten router podporuje (včetně IP adres DNS serverů)
Znáte router, který na LAN straně nepodporuje SLAAC? Proč je tak důležité mít IPv6 adresy DNS serverů, když na LAN rozhraní je i IPv4?

Ano, nepochybně existují zařízení v různém stádiu rozbitosti, ale to je obecně platné na cokoli.

Ferda

Re:IPv6 skrz WAN a LAN
« Odpověď #9 kdy: 19. 02. 2018, 07:54:33 »
Tohle mi bylo odpovězeno na delegování prefixu /56:
Citace
vás problém jsem předal na systémové oddělení.

Odpověd ze systémového odělení:

bohuzel v tomto pripade delegovani prefixu mozne neni, jen to NDP proxy

Např. u T-Mobilu bych takový problém neměl viz. 
Citace
Prefix o velikosti /64 je vhodný pro jednu malou domácí počítačovou síť, což neodpovídá požadavkům našich zákazníků. A protože nechceme naše zákazníky omezovat, rozhodli jsme se poskytovat prefix o velikosti /56, který vystačí až na 256 sítí za DSL modemem.

Re:IPv6 skrz WAN a LAN
« Odpověď #10 kdy: 19. 02. 2018, 08:52:00 »
To je O2 xDSL? Tak v tom případě je asi nejlepší přepnout modem do režimu bridge a navazovat PPPoE spojení přímo z routeru. Pokud je tam ovšem víc LAN sítí, nepomůže ani tohle.

Naopak pomůže hlasování peněženkou. Stejnou službu je možné koupit buď od T-Mobile, nebo nově i od Metronet, kde by měla IPv6 rozumně fungovat.

Ferda

Re:IPv6 skrz WAN a LAN
« Odpověď #11 kdy: 19. 02. 2018, 15:55:10 »
Nene, zatím je nechci specifikovat, uvidíme, jak to dopadne. Optiku mám až do bytu, jinak bych nepsal o protažení 300 Mb/s přes TAP adaptér.

 

reklama