Přístup zvenku na IPv6 u O2

[artaud]

Ahoj, volám o pomoc. Mám VDSL od o2, pořídil jsem si k tomu domácí server a začalo to.
Ač felák, tak v sítích jsem se nikdy moc nevyžíval, takže teď zažívám probuzení do krušné reality na domácím trhu.

Moje představa byla taková, že si prostě zařídím DDNS (že nemám statickou ipv4 mi bylo jasné) a přes ni si budu přistupovat na domácí server. První sprcha byla, když jsem se dozvěděl, že o2 už nějaký pátek vůbec nedává bez výpalného veřejnou ipv4. No dobře, chápu, tak to zkusíme přes ipv6. Můj wifirouter (TP-LINK TD-w9980b) nicméně byl asi nějak pochroumaný, protože se mi za nic nepodařilo rozchodit na něm ipv6 ani ven. Anebo jen tak sporadicky, někdy jo, někdy ne, hrál jsem si tam se vším, ale spolehlivě jsem to nenastavil nikdy.

Co jsem tak viděl na fórech, na rootu i jinde, vypadalo to že úspěšnější budu se starším modemem Comtrend VR-3026e. Ten jsem mohl snadno vyměnit za svůj tp-link s rodičema, takže se tak stalo a teď mám doma funkční ipv6 směrem VEN (Na https://ipv6-test.com/ mám skóre 18/20, vypadá to, že na tomhle zařízení nemůžu povolit nějaké ICMP zprávy, které jsou potřeba).

Jenže...dovnitř si nepingnu. Ačkoliv všechny zařízení na mojí síti se tváří, jako že mají globální adresy se správným prefixem, tak komunikace dovnitř prostě není. Na Comtrendu jsem vypnul firewally, povolil incoming traffic na všechno co mě napadlo (ICMP na echo, tcp 22 na ssh...), ale nic. Zkouším pingat jak na zařízení na ethernetu, tak na wifi. Pingám z VPSky, která má správně nakonfigurovaný ipv6.

Takže, moje otázka zní - rozchodil jste někdo příchozí ipv6 na DSL u o2? Jak? Mám si na to pořídit nějaký samostatný router a dát si Comtrend do bridge, nebo to jde i jen s modemem?

[Reklama]

[Radek Zajíc]

Na comtrendu vr3031 to funguje bez problemu, ale 3026 je vazne stary model. Urcite by davalo smysl prepnout ho do bridge a za nej dat schopnejsi router.

[František Ryšánek]

Hlavně by se hodilo, mít na pozici "hraničního L3 hopu" nějaký box, na kterém lze spustit tcpdump. Za mně OpenWRT, už si nepamatuju jestli taky Mikrotik tohle umí. Nebo pasivní odposlech na L2 (resp. aspoň mirror port na switchi).

BTW na nesíťaře jste ten dotaz zformuloval moc pěkně :-)

[M_D]

Příchozí IPv6 u DSL i GPON sítě O2 funguje, snad blokují jen příchozí UDP/53.
Jen upozorňuji, že některé hodně historické Comtredy měly "vlastnost", že neuměly propustit korektně IPv6 ani v bridge režimu, zkrátka IPv6 natvrdo dropovaly, ale typ si už nepamatuji, to byly počátky IPv6 u O2 (a všude to spolehlivě řešila náhrada v podobně jednoportových Zyxell). :-)
FR: Mikrotik něco jako tcpdump umí (pokud nestačí Netwatch na L3) - Tools / Packet Sniffer.

[artaud]

Moc děkuji za odpovědi. (Zvláště poznámka od Františka mě zahřála u srdíčka )
Jestli je riziko, že bych neuspěl s mým historickým Comtrendem ani v bridge režimu, tak budu postupovat tak, že nejprve vyměním modem za doporučený novější Comtrend (koukám že cena pod tisíc). A pokud by to přes něj nešlo nebo by se ukázalo, že od toho potřebuju něco víc tak to doplním Mikrotikem nebo něčím co umí OpenWRT. Musím říct že po zkouknutí dema RouterOS se mi docela zatočila hlava, asi by mi byl milejší spíš OpenWRT, protože v konfiguračních souborech jsem víc doma než v ultradlouhých formulářích. Ale cenově jsou ty Mikrotiky koukám nepřekonatelný.

Ještě jednou moc díky všem!

[Reklama]

[SB]

Kdybyste diskuse na Rootu OPRAVDU četl, pak byste věděl, že:

1. Od O2 se VDSL nikdy neobjednává -  pak se nemůžete divit, že nemáte adresy.
2. Modemy VDSL vždy přepínají do bridge, protože s routerem je to na ně moc a se*e se to.
3. Comtrend 3026 funguje v bridge zcela bez problémů (akorát vám můžou chybět profily pro vyšší rychlosti, ale to asi nebude váš případ).
4. Za modem je dobré připojit něco, s čím se dá NĚCO dělat včetně ověřování funkčnosti sítě. Běžně se používá Mikrotik (stačí ten nejlevnější za 500) a jeho nástroj Torch, který vám okamžitě zjistí, zda vám vůbec něco do sítě leze. Případně musí fungovat i obyčejný počítač (nastavení PPPoE v Network manageru) a zmiňovaný tcpdump, jnettop atd.

[artaud]

Dobrý den,

nejprve odpovím na odpověď od SB.
Jsem rád, že jste mi odpověděl, a chápu Vaši teritorialitu (sám provozuji fórum), ale já nikde netvrdím, že OPRAVDU čtu diskuze na rootu. Použil jsem vyhledávání, pročítal jsem se diskuzemi na rootu a jiných fórech několik dní, ale jak jsem psal, nejsem síťař a tohle je pro mě nová půda. Vydestilovat z diskuzí nějakou nejlepší praxi je řekl bych spíš záležitost na delší dobu. Takže Vám děkuji za shrnutí.

Nicméně, i když se od shrnutí ve všech bodech nyní odchyluji, mám to zprovozněné díky předchozím radám. Pořídil jsem Comtrend 3031 za pět stovek, nastavil allow na příchozí SSH a komunikace dovnitř i ven přes ipv6 chodí.
Vidím teď, že by teoreticky správnější bylo postupovat podle bodu 4, tedy nastavit si starý Comtrend 3026 do bridge a za to jen počítač v PPPoE režimu abych přišel na to, jestli mi opravdu Comtrend 3026 dropuje příchozí ipv6 traffic nebo ne. Pak teprve přemýšlet jestli Mikrotik nebo vyměnit modem. Nakonec ale to, k čemu jsem došel, bylo rychlejší a ušetřilo mi to starost o další zařízení.

Jako vždycky je to nějaký tradeoff, nicméně vypadá to, že VDSL od O2 je pro moje účely ok. Jestli se to bude srát bez modemu v bridgi, to zatím nedokážu posoudit - když se to projeví, půjdu do Mikrotiku.

Díky všem!
Jiří

[Hobbit]

dotaz trochu mimo - jak velky prefixy ted rozdava O2?
dik

[M_D]

O2 dává v tákladu přes DHCPv6-PD jeden /64 blok pro vnitřek sítě, takže žádná sláva. :-)