reklama

IPv6 Poda

IPv6 Poda
« kdy: 23. 08. 2019, 11:18:28 »
Ahoj,
omlouvám se za další téma na téma IPv6 ...
Bohužel jsem zatím nepronikl do tajů IPv6. Internet mám od společnosti Poda a router od Mikrotiku. Přípojka GPON s Huawei modemem v bridge módu.
Nastavení Mikrotiku:
/ipv6 dhcp-client
add interface=ether1-gateway pool-name=poda request=address,prefix

/ipv6 address
add address=::1 from-pool=poda interface=bridge-local

/ipv6 nd
add advertise-dns=yes interface=bridge-local managed-address-configuration=yes reachable-time=1m retransmit-interval=10s

/ipv6 route
add distance=1 gateway=fe80::f61d:6bff:fed4:31eb%ether1-gateway

/ipv6 settings
set accept-router-advertisements=yes

Dostanu prefix 2a00.../64 a na ether1-gateway dostanu adresu ::5
Na bridge-local mám adresu ::1 z poolu poda (tedy stejný pool jako ether1-gateway)
Zařízení v síti jsou Windows 10 a Android 8,9
firewal pravidla mám, ale i když všechny vypnu, situaci to nemění.

Co funguje:
Zařízení v síti mají adresu 2a00../64 a fe80..
Zařízení se pingnou navzájem na adresách fe80..
Z routeru si ping ipv6 v internetu (interface ether1-gateway nebo nezvolen)

Co nefunguje
Zařízení si Nepingnou na 2a00..
Ze zařízení si Nepingnu veřejné ipv6
Z mikrotik si Nepingnu veřejné ipv6 z  brigge-local
Zarížení -> mikrotik:
    Adresa ::1 (brigge-local) -> Request timed out (Wireshark - no response found)
    Adresa ::5 (ether1-gateway) -> Destination host unreachable (Wireshark - no response found)
    Adresa 2001:67c:68::76 (root.cz) -> Destination host unreachable (Wireshark - no response found)
Při pokusu na https://www.test-ipv6.cz/ vidím ve wiresharku jen syn packety bez odpovědi.

Na FW mám logování v chain forward, kde vidím při ping Stanice-> Internet jen packet syn (nicméně odezvu asi vidět nemusím)
Pokud zkusím ping Mikrotik -> stanice, tak ve wiresharku na stanici nevidím žádný pokus o komunikaci.


Prosím o názor, čím by to mohlo být.
Děkuji
Marek

reklama


Re:IPv6 Poda
« Odpověď #1 kdy: 23. 08. 2019, 21:39:45 »
Pošli pokud možno nefiltrovaný výpis těchto příkazů:
Kód: [Vybrat]
/ipv6 dhcp-client print detail
/ipv6 pool used print detail
/ipv6 route print detail

Bohužel zkracování v podobě „2a00../64“ činí jakoukoli analýzu nemožnou. Chceš-li adresu znečitelnit, vyhvězdičkuj druhý a třetí blok, zbytek je důležitý pro pochopení situace.

DgBd

  • ****
  • 268
    • Zobrazit profil
    • E-mail
Re:IPv6 Poda
« Odpověď #2 kdy: 23. 08. 2019, 21:40:41 »
::1 je loopbacková adresa, z toho ping nepůjde. ::5 bude patrně podobný případ.

v adresách imho chybí /64

/ipv6 address
add address=::1/64 from-pool=my-ipv6 interface=to-clients advertise=yes

ND (neighbor discovery):
managed-address-configuration=yes znamená, že přidělujete IPv6 adresy nějakým způsobem z DHCPv6 serveru, ale DHCPv6 server vám patrně neběží (nebo jste ho nezveřejnil). Normálně se používá automatická konfigurace IPv6 adresy pomocí SLAAC, tj. do sítě se přes neighbor discovery oznamuje pouze prefix a klient si IPv6 adresu vytvoří sám ze své MAC adresy.

pro začátek bych zkusil úplně nejtriviálnější konfiguraci jako CE1 z https://wiki.mikrotik.com/wiki/Manual:IPv6/DHCP_Client

Re:IPv6 Poda
« Odpověď #3 kdy: 24. 08. 2019, 23:52:15 »
Ahoj Ondro,
díky za ochotu.
Níže jsou výpisy

ipv6 dhcp-client print detail
Flags: D - dynamic, X - disabled, I - invalid
 0    interface=ether1-gateway status=bound duid="0x00030001d4ca6ded1f87" dhcp-server-v6=fe80::f61d:6bff:fed4:31eb request=address,prefix
      add-default-route=no use-peer-dns=yes pool-name="poda" pool-prefix-length=64 prefix-hint=::/0 dhcp-options=""
      prefix=2a00:xxxx:xxxx:a8b4::/64, never address=2a00:xxxx:xxxx:a8b4::5, never

/ipv6 pool used print detail
 pool=poda prefix=2a00:xxxx:xxxx:a8b4::/64 owner="Address" info="bridge-local"

/ipv6 route print detail
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, o - ospf, b - bgp, U - unreachable
 0 A S  dst-address=::/0 gateway=fe80::f61d:6bff:fed4:31eb%ether1-gateway gateway-status=fe80::f61d:6bff:fed4:31eb%ether1-gateway reachable
        distance=1 scope=30 target-scope=10

 1 A S  ;;; Defaultn  routa do Internetu jen pro ve ejn  bloky IPv6
        dst-address=2000::/3 gateway=fe80::f61d:6bff:fed4:31eb%ether1-gateway gateway-status=fe80::f61d:6bff:fed4:31eb%ether1-gateway reachable
        check-gateway=ping distance=1 scope=30 target-scope=10

 2 X S  ;;; Defaultn  routa do Internetu jen pro ve ejn  bloky IPv6
        dst-address=2000::/3 gateway=2a00:xxxx:xxxx:a8b4::1 gateway-status=2a00:xxxx:xxxx:a8b4::1 inactive distance=1 scope=30 target-scope=10

 3 ADC  dst-address=2a00:xxxx:xxxx:a8b4::/64 gateway=ether1-gateway,bridge-local,ether1-gateway
        gateway-status=ether1-gateway reachable,bridge-local reachable,ether1-gateway reachable distance=0 scope=10

 4 ADC  dst-address=fd00:1::/64 gateway=bridge-local gateway-status=bridge-local reachable distance=0 scope=10
 
Ad routy. V tuto chvíli mám u DHCPv6 klienta vypnutou možnost Add def. route, protože jsem něco testoval. Defaultní routa 0:: ale přesně odpovídá té, kterou vygeneruje DHCP klient.


DgBd
díky za odpověď. Zaponměl jsem napsat, že adresa ::1 a ::5 je z poolu přiděleného prefixu. Takto se to zadává a MK z toho vygeneruje celou adresu.
SLAAC mám nastaveno pomocí ND.
Nicméně ve světě IPv6 jsem nováček ... tak se omlouvám, jestli něco píši prostichůdně nebo nesmyslně.

Re:IPv6 Poda
« Odpověď #4 kdy: 26. 08. 2019, 09:44:42 »
Kód: [Vybrat]
ipv6 dhcp-client print detail
Flags: D - dynamic, X - disabled, I - invalid
 0    interface=ether1-gateway status=bound duid="0x00030001d4ca6ded1f87" dhcp-server-v6=fe80::f61d:6bff:fed4:31eb request=address,prefix
      add-default-route=no use-peer-dns=yes pool-name="poda" pool-prefix-length=64 prefix-hint=::/0 dhcp-options=""
      prefix=2a00:xxxx:xxxx:a8b4::/64, never address=2a00:xxxx:xxxx:a8b4::5, never
Tohle je velmi zajímavé. Znamená to, že ISP ti přiděluje prefix /64 (aargh!) a zároveň adresu z toho stejného prefixu. To mi nepřipadá jako úplně ideální nastavení. V každém případě protože máš jen jeden prefix /64, nemáš jak oadresovat WAN linku, takže ta musí zůstat bez veřejných adres.

Čili nastavení DHCP klienta změň, aby žádal pouze o prefix, ne o adresu:
Kód: [Vybrat]
/ipv6 dhcp-client set 0 request=prefix add-default-route=yes
Ruční záznamy ze směrovací tabulky smaž, nech tam jen default route, kterou tam vloží DHCP klient.

No a konečně na rozhraní bridge-local nech přiřadit adresu z poolu (všechny ostatní adresy předtím smaž):
Kód: [Vybrat]
/ipv6 address add from-pool=poda interface=bridge-local address=::1
Nastavení ND nech výchozí:
Kód: [Vybrat]
/ipv6 nd
set [ find default=yes ] advertise-dns=yes advertise-mac-address=yes disabled=no hop-limit=unspecified interface=\
    all managed-address-configuration=no mtu=unspecified other-configuration=no ra-delay=3s ra-interval=3m20s-10m \
    ra-lifetime=30m reachable-time=unspecified retransmit-interval=unspecified
/ipv6 nd prefix default
set autonomous=yes preferred-lifetime=1w valid-lifetime=4w2d

Takhle by to mělo fungovat. Na WAN straně bys neměl vidět žádné veřejné adresy, na LAN straně bude na routeru tvůj prefix končící ::1. Ostatní zařízení si vylosují adresy ze stejného prefixu.


reklama


Re:IPv6 Poda
« Odpověď #5 kdy: 28. 08. 2019, 09:40:34 »
K pridelovani /64 od PODY bych chtel podotkout - pokud mas router od nich - tj. nejsi v bridge modu, tak to nejak i funguje.

Pokud si v bridge (predpokladam, ze mas verejnou IPv4) tak mi technik tvrdil, ze to nejak zatim neumi na delegovat.
Ale pokud to podle zde popisu rozchodis - dej vedet. Ja to na ubiquiti edgerouteru zatim taky nerozchodil.

Re:IPv6 Poda
« Odpověď #6 kdy: 11. 09. 2019, 19:57:38 »
Ahoj,
tak výsledek je zatím nulový.
Ano, mám jejich router v bridge módu. Dodávají ho tak automaticky s pevnou IPv4.
Pro tuto chvíli je jediné řešení NDP proxy nebo ebtables. Bohužel ani jedno mikrotik neumí (ebtables zrušil již dávno). Ubiquiti taky na tom není slavně, co jsem četl. Někteří technici reagovali na IPv6 a hlavně na požadavek na prefix /56 poněkud podrážděně, jako bych jim nadával. Nicméně /56 nikdo nedostane, protože s tím nepočítá jejich infrastruktura. Ale zase mi navrhli všechny dostupné možnosti napsané na začátku.
Avšak jsem dostal náznak, nikoliv však příslib, že by delegaci chtěli mít zprovozněnou v 1. kvartále 2020.
Budeme jim držet palce.
Ještě zkusím meta router, ale nedávám si moc šancí.
« Poslední změna: 11. 09. 2019, 19:59:32 od lordrak »

Re:IPv6 Poda
« Odpověď #7 kdy: 11. 09. 2019, 22:05:38 »
mam taky podu, moc do hloubky jsem tuhle diskuzi nesledoval.
ale pokud budete souhlasit, tak klidne jako dalsi klient zazadam o IPv6 adresu, taky jsem na gpon optice.

muzu v dotazu na podu pouzit link na tuhle diskuzi, at se chlapci trosku zapoti?

Re:IPv6 Poda
« Odpověď #8 kdy: 11. 09. 2019, 22:50:19 »
Ahoj, klidně použij, ale pokud nemáš na GPON placenou statickou IPv4 a tedy router v bridge modu, pak ti IPv6 bude (by měla) fungovat rovnou, protože nastavení routeru s tím podle techniků z PODY počítá.

Re:IPv6 Poda
« Odpověď #9 kdy: 11. 09. 2019, 22:58:53 »
Pokud mas GPON od PODY tak jiz mas aktivovanou IPv6 (/64 na zakaznika).

V pripade ze si priplacis za verejnou IPv4 pak za Huawei zarizenim mas svuj router. A jelikoz jim nefunguje prefix delagation tak v6 adresu ma Huawei GPON a pak WAN tveho routeru. Klienti uz maji smulu a je nutne to resit NDP nebo ebtables. Over si na svem PC nebo routeru, ze mas v6 adresu.

A obratem napis na PODU ze chces pridelit /56 nebo lepe /48 a link na tento thread jim priloz :)

Vzkaz pro CTO PODY Trcku --- "Udelejte uz v6 deployment konecne spravne. Tohle je ostuda!"

Re:IPv6 Poda
« Odpověď #10 kdy: 11. 09. 2019, 23:04:56 »
Také mám PODU a Huawej v bridge. U VPN používám NDP proxy, ale pro vnitřní síť NAT66 (radvd+isc-dhcp-server6).

Re:IPv6 Poda
« Odpověď #11 kdy: 12. 09. 2019, 08:23:45 »
Jan Betik @ Cesnet letos na IPv6 seminari tvrdil ze /56 od PODY ma.

https://www.youtube.com/watch?v=gfJWtCYYpxc

 

reklama