Divný způsob routingu IPv6

Divný způsob routingu IPv6
« kdy: 26. 01. 2022, 18:00:04 »
Pohybuju se valně v IPv4, takže následující je pro mě magicky projevující se chování.

Zaprvé jsem zvyklý že když dám tcpdump na interface, (defaultně promisc.) tak to zachytí i pakety které třeba mají i všelijakou IP (ostatně když stroj routuje, tak taky musí zpracovat kdeco, když routuje mezi sítěmi)

Pak jsem zvyklý že počítač buď dostupný je nebo  není - nic mezi tím, nebo s nějakou prodlevou. Jediné kritérium je, že má přidělenou adresu - ip address add ... dev eth0

Jenže na IPV6 mám uplně jinou zkušenost..

Můžu si přidat na rozhraní vícero IP adres (což novinka není) z rosahu minimálně /96 - Z toho usuzuji že počítači je přidělen větší subnet - otázka ale jak - automaticky?

Jenže když na takovou IP dám Ping (třeba -i 1 -c 10), prvních několik (asi abych byl konkrétní  jeden) NEPROJDE. (jak tcpdump, tak icmp sonda) Zkoušel jsem i zpoždění 30 sekund od ip addr add ENTER. To nemá vliv.

A naopak když IP adresu zruším (ip addr del), tak ještě nějakou [b]přijímá  PINGy[/b]

Nedokážu přesně říct timeouty nebo počty. Prostě je to nějaká divná hysterze...

tcpdump s filtrem "ip6" zachytil při přiřazení adresy asi 3 různé pakety
(fe80-ccc je LL adresa)
Kód: [Vybrat]
root@:~# IP6 fe80::2xxf:ccc > ff02::16: HBH ICMP6, multicast listener report v2, 8 group record(s), length 168
IP6 :: > ff02::1:ff1a:3a: ICMP6, neighbor solicitation, who has 2a02:19...1a:3a, length 32
IP6 fe80::f:ccc > ff02::16: HBH ICMP6, multicast listener report v2, 8 group record(s), length
Při pokusu přidat adresu stejnou (kterou už má) se mi logicky vrátí odpověď RTNELINK FIle exists ale paket ICMP6 HBH odejde .Při odebrání odejdou dva pakety , neodejde ten solicitation.



A další věc je TCPDUMP.
-dokud počítači nepřidám IP adresu (celou dobu ipv6), tak tcpdump je hluchý  na příchozí pingy na ještě nepřiřazené adresy a samozřejmě ping nástroj hlásí 100%loss
- po přidání je začne logovat (kromě nějaké první)
-Po odebrání je adresa ještě nějakou dobu (a nebo počet) dostupná- pingy chodí sem (zpět logicky ne)


Za mě to vypadá, jako když někdu u providera je nějaký  trigger, který "spíná" IP adresy. S nějakou hysterzí prvního/posledního paketu/ timeoutem (nejšpíš kombinací)

Mé otázky:
1. Je toto standardní chování IPv6?
2. Jde o nějakou speciální funkci IPv6?
3. Jde o nějakou formu "dynamického" routingu /přiřazení/alokace?
4. Může jít o nějakou formu "Firewallu"/DDos ochrany (icmp není ani tcp  8) ani stavový pokud vím)
5. Hraje roli, že jde o počítač u VPS hostéra?
6. Suma sumárum, co je původem tohoto chování? Protokol, síť, konfigurace, a kdo(můj vps nebo nějaký router v infrastruktuře)?

7. Proč tcpdump nevidí veškerý příchozí provoz na libovolnou IP z rozsahu?
8. Proč dostupnost IP adresy "má zpoždění" (vznik i zánik) ?

9. Kde se pakety po cestě ztrácí? (když se posílá paket na adresu která ještě není přidaná a pak když se posílá paket na čerstvě přidanou adresu ale první neprojde)
« Poslední změna: 27. 01. 2022, 10:29:54 od Petr Krčmář »


alfi

  • ****
  • 335
    • Zobrazit profil
    • E-mail
Re:Divný způsob routingu IPv6
« Odpověď #1 kdy: 28. 01. 2022, 11:07:56 »
Dotaz je trochu zvláštní a nevím, jestli to může být příčina. Já jsem s více IPv6 (pro kontejnery) narazil na problém s neighbor solicitation, což je IPv6 alternativa pro ARP z v4. Kromě přidělení v6 adresy rozhraní, je třeba ji taky propagovat do světa, tj. příchozí router se napřed ptá "who has 2a02:19...." a je třeba mu odpovědět (i když je na stroj směrovaná třeba celá /64 síť) a pak teprve pustí packety dál. Plus to má nějakou cache (tuším 30-300s?) a po jejím vypršení se NDP dotaz opakuje. Doporučuju u pokusů kontrolovat stav té cache
Kód: [Vybrat]
ip -6 neigh list
a řešením je NDP proxy, která jde pro jednu adresu nastavit přímo v systému = vnějšímu routeru tím říká "umím routovat pro IP xxx"
Kód: [Vybrat]
ip -6 neigh proxy list
Pokud je těch adres víc nebo celý subnet, je lepší použít ndppd, viz třeba https://quantum2.xyz/2019/03/08/ndp-proxy-route-ipv6-vpn-addresses/

Re:Divný způsob routingu IPv6
« Odpověď #2 kdy: 28. 01. 2022, 12:51:46 »
Zkuste nasledujici test:
1. spustte tcpdump s filtrem icmp6 (aby logoval jen icmp6 provoz), napr. (eth0 nahradte vlastnim rozhranim):
Kód: [Vybrat]
tcpdump -i eth0 -vv -nn icmp6
2. zacnete zvenku ping6at adresu, ktera stroji neni prirazena
3. priradte adresu na rozhrani
4. odchytte vsechen icmpv6 provoz (neuspesne i uspesne pingy, router advertisementy, neighbor solicitation)
5. prestante ping6at a poslete nam sem ten tcpdump

Bez snimku paketu, bez znalosti konfigurace routingu a bez znalosti konkretniho nasazeni v siti konkretniho hostera muzeme jen spekulovat.
- Co je to za hostera?
- Jak vypada routovaci tabulka (ip -6 route)?
- Jak vypada IPv6 firewall?
- Nejsou nektere IPv6 adresy ve vypisu ip -6 a s dev eth0 ve stavu deprecated nebo tentative?

Re:Divný způsob routingu IPv6
« Odpověď #3 kdy: 28. 01. 2022, 13:47:08 »
Ještě pokus odpovědět, i když bez předchozího těžko říct:
Citace
1. Je toto standardní chování IPv6?
Ne
Citace
2. Jde o nějakou speciální funkci IPv6?
Ne
Citace
3. Jde o nějakou formu "dynamického" routingu /přiřazení/alokace?
Nemělo by
Citace
4. Může jít o nějakou formu "Firewallu"/DDos ochrany (icmp není ani tcp ani stavový pokud vím)
Můžete ve firewallu blokovat ICMPv6 a tak se router nedozví, že adresu máte (ICMPv6 k vám dorazí, ale firewall vám je zahodí)
Citace
5. Hraje roli, že jde o počítač u VPS hostéra?
Může, neznáme podobu jeho sítě
Citace
6. Suma sumárum, co je původem tohoto chování? Protokol, síť, konfigurace, a kdo(můj vps nebo nějaký router v infrastruktuře)?
Nemáme dostatek dat k zodpovězení
Citace
7. Proč tcpdump nevidí veškerý příchozí provoz na libovolnou IP z rozsahu?
Protože vám router provoz, který vám nepatří, neposílá?
Adresy mohou být "on-link" a pak router nejprve hledá, kdo adresu na lokálním segmentu má. Pokud takový stroj najde, pošle mu paket. Pokud nenajde, paket zahodí.
Adresy ale mohou být i routované, kdy router posílá na konkrétní počítač (resp. IPv6 adresu, např. některou link local adresu) všechen provoz z celého přiděleného prefixu. Tohle ale není obvyklý režim nasazení IPv6 u menších hosterů.
Citace
8. Proč dostupnost IP adresy "má zpoždění" (vznik i zánik) ?
Po přiřazení adresy na rozhraní má nejprve proběhnout DAD (Duplicate Address Detection), kdy se nejprve počítač pokusí ověřit, že přiřazovanou adresu na síti nikdo jiný nemá. Pokud nemá, adresu začne používat. Pokud má, adresu označí jako dadfailed a nepoužívá ji. DAD lze v Linuxu vypnout, pokud máte nad segmentem dobrou kontrolu - https://blog.tankywoo.com/2013/09/27/ipv6-dadfailed-problem.html
Citace
9. Kde se pakety po cestě ztrácí? (když se posílá paket na adresu která ještě není přidaná a pak když se posílá paket na čerstvě přidanou adresu ale první neprojde)
Nemáme dostatek dat k zodpovězení

Přidávám i okomentovaný příklad, jak vypadá komunikace na síti:
# router hledá, kde je IP adresa ::3
Kód: [Vybrat]
13:27:00.855986 IP6 fe80::268a:7ff:fe5d:d730 > ff02::1:ff00:3: ICMP6, neighbor solicitation, who has 2001:db8:dead:beef::3, length 32
13:27:01.121937 IP6 :: > ff02::1:ff00:3: ICMP6, neighbor solicitation, who has 2001:db8:dead:beef::3, length 32
13:27:01.900611 IP6 fe80::268a:7ff:fe5d:d730 > ff02::1:ff00:3: ICMP6, neighbor solicitation, who has 2001:db8:dead:beef::3, length 32
# přidání adresy ::3 na rozhraní, router se dozvídá, kdo na segmentu má adresu ::3
Kód: [Vybrat]
13:27:02.864376 IP6 fe80::268a:7ff:fe5d:d730 > ff02::1:ff00:3: ICMP6, neighbor solicitation, who has 2001:db8:dead:beef::3, length 32
13:27:02.864445 IP6 2001:db8:dead:beef::3 > fe80::268a:7ff:fe5d:d730: ICMP6, neighbor advertisement, tgt is 2001:db8:dead:beef::3, length 32
# router už ví, na jakou hardwarovou adresu posílat pakety, začíná je tedy  na stroj posílat:
Kód: [Vybrat]
13:27:02.864674 IP6 2001:db8:bad:f00::28f5:d749:e59d:722e > 2001:db8:dead:beef::3: ICMP6, echo request, seq 6, length 16
13:27:02.864740 IP6 2001:db8:dead:beef::3 > 2001:db8:bad:f00::28f5:d749:e59d:722e: ICMP6, echo reply, seq 6, length 16
13:27:03.868775 IP6 2001:db8:bad:f00::28f5:d749:e59d:722e > 2001:db8:dead:beef::3: ICMP6, echo request, seq 7, length 16
13:27:03.868839 IP6 2001:db8:dead:beef::3 > 2001:db8:bad:f00::28f5:d749:e59d:722e: ICMP6, echo reply, seq 7, length 16
13:27:04.873429 IP6 2001:db8:bad:f00::28f5:d749:e59d:722e > 2001:db8:dead:beef::3: ICMP6, echo request, seq 8, length 16
13:27:04.873497 IP6 2001:db8:dead:beef::3 > 2001:db8:bad:f00::28f5:d749:e59d:722e: ICMP6, echo reply, seq 8, length 16
13:27:05.877497 IP6 2001:db8:bad:f00::28f5:d749:e59d:722e > 2001:db8:dead:beef::3: ICMP6, echo request, seq 9, length 16
13:27:05.877560 IP6 2001:db8:dead:beef::3 > 2001:db8:bad:f00::28f5:d749:e59d:722e: ICMP6, echo reply, seq 9, length 16
13:27:06.882740 IP6 2001:db8:bad:f00::28f5:d749:e59d:722e > 2001:db8:dead:beef::3: ICMP6, echo request, seq 10, length 16
13:27:06.882805 IP6 2001:db8:dead:beef::3 > 2001:db8:bad:f00::28f5:d749:e59d:722e: ICMP6, echo reply, seq 10, length 16
13:27:07.887585 IP6 2001:db8:bad:f00::28f5:d749:e59d:722e > 2001:db8:dead:beef::3: ICMP6, echo request, seq 11, length 16
13:27:07.887654 IP6 2001:db8:dead:beef::3 > 2001:db8:bad:f00::28f5:d749:e59d:722e: ICMP6, echo reply, seq 11, length 16
# router ověřuje, jestli je adresa ::3 na stejném stroji
Kód: [Vybrat]
13:27:08.428737 IP6 fe80::268a:7ff:fe5d:d730 > 2001:db8:dead:beef::3: ICMP6, neighbor solicitation, who has 2001:db8:dead:beef::3, length 32
13:27:08.428794 IP6 2001:db8:dead:beef::3 > fe80::268a:7ff:fe5d:d730: ICMP6, neighbor advertisement, tgt is 2001:db8:dead:beef::3, length 24
# pingy dál chodí
Kód: [Vybrat]
13:27:08.891327 IP6 2001:db8:bad:f00::28f5:d749:e59d:722e > 2001:db8:dead:beef::3: ICMP6, echo request, seq 12, length 16
13:27:08.891386 IP6 2001:db8:dead:beef::3 > 2001:db8:bad:f00::28f5:d749:e59d:722e: ICMP6, echo reply, seq 12, length 16
13:27:09.895367 IP6 2001:db8:bad:f00::28f5:d749:e59d:722e > 2001:db8:dead:beef::3: ICMP6, echo request, seq 13, length 16
13:27:09.895431 IP6 2001:db8:dead:beef::3 > 2001:db8:bad:f00::28f5:d749:e59d:722e: ICMP6, echo reply, seq 13, length 16
13:27:10.899728 IP6 2001:db8:bad:f00::28f5:d749:e59d:722e > 2001:db8:dead:beef::3: ICMP6, echo request, seq 14, length 16
13:27:10.899793 IP6 2001:db8:dead:beef::3 > 2001:db8:bad:f00::28f5:d749:e59d:722e: ICMP6, echo reply, seq 14, length 16
# adresa je odebrána z rozhraní; na stroj, kde adresa byla, přichází paket, který stroji nepatří
# stroj hledá na lokálním segmentu jiný počítač s IPv6 adresou ::3, aby mohl případně provést ICMPv6 Redirect
# žádný jiný stroj s adresou ::3 ale na segmentu není
Kód: [Vybrat]
13:27:11.903432 IP6 2001:db8:bad:f00::28f5:d749:e59d:722e > 2001:db8:dead:beef::3: ICMP6, echo request, seq 15, length 16
13:27:11.903508 IP6 fe80::da58:d7ff:fe00:5089 > ff02::1:ff00:3: ICMP6, neighbor solicitation, who has 2001:db8:dead:beef::3, length 32
# přichází jedny z posledních echo requestů, ale už je nemá kdo obsloužit
Kód: [Vybrat]
13:27:12.907495 IP6 2001:db8:bad:f00::28f5:d749:e59d:722e > 2001:db8:dead:beef::3: ICMP6, echo request, seq 16, length 16
13:27:13.912212 IP6 2001:db8:bad:f00::28f5:d749:e59d:722e > 2001:db8:dead:beef::3: ICMP6, echo request, seq 17, length 16
13:27:13.961937 IP6 fe80::da58:d7ff:fe00:5089 > ff02::1:ff00:3: ICMP6, neighbor solicitation, who has 2001:db8:dead:beef::3, length 32
# už i router hledá, kdo má adresu ::3, ale už nám neposílá ICMP pakety
Kód: [Vybrat]
13:27:14.060597 IP6 fe80::268a:7ff:fe5d:d730 > 2001:db8:dead:beef::3: ICMP6, neighbor solicitation, who has 2001:db8:dead:beef::3, length 32
13:27:14.080582 IP6 fe80::268a:7ff:fe5d:d730 > 2001:db8:dead:beef::3: ICMP6, neighbor solicitation, who has 2001:db8:dead:beef::3, length 32
13:27:14.100700 IP6 fe80::268a:7ff:fe5d:d730 > 2001:db8:dead:beef::3: ICMP6, neighbor solicitation, who has 2001:db8:dead:beef::3, length 32

Re:Divný způsob routingu IPv6
« Odpověď #4 kdy: 09. 02. 2022, 00:23:24 »
No odpovědi mě trochu pohltily. Jeden poznatek - moje ipv6 adresa je ve tvaru x...xx:I_P_:V_4_:yyyy , kde I_P:V_4 odpovídá ipv4 adrese. IPV4 adresu mám přiřazenu jednu v subnetu /24.
V krátkosti, čekal jsem, že příkaz ip neigh add proxy  2a02:xxxx:F00/124 dev en1 Udělá to co potřebuji . Že oznámí routeru, obsah ...:F00-...:F0F mi chodil na linku.

Zároveň doplňuji poznatek kolem ipv4 a pingování neexistujících adres. rozdílnost v arp. Pokud dám ping na adresu z /24 (např..3.123), tak vidím v tcpdumpu ARP dotaz "who has ...123, tell ...", ale v ipv6 nic takového. Pokud si přidám ip addr add ...3.125, tak mám druhou ipv4, arp na dotaz odpoví a jsem dostupný i na druhé . Na ipV6 žádný ekvivalent arp neprobíhá.

Zároveň si mohu přes ip addr add dát nejen libovolnou adresu /112 (128 - poslední dvojtečka), ale i  /64. Nevím jestli to není pro providera bezpečnostní riziko nebo to má blbě nastavené a jestli o tom ví a i jestli to není neoprávněné použití (když evidentně  tedy část /80-/112 je I_P_:V_4_ tak na mě zbyde těch /112.  A pro ipv4 totéž.


Tady jsem našel:
Kód: [Vybrat]
ip -6 neigh add proxy 2001:0DB8:A::2 dev eth0
Also make sure that you have fowarding and ND proxying enabled for IPv6:
sysctl -w net.ipv6.conf.all.forwarding=1
sysctl -w net.ipv6.conf.all.proxy_ndp=1
Poté chodí příchozí echo requesty  na adresu uvedenou.

PS: funguje neig i neighbour, ale do googlu je třeba hledat obě varianty


Takže je to že mi  prostě poskytovatel neroutuje všechen provoz (což podle mého gusta by bylo /112), ale jen ten o který si řeknu (klidně i /64)


Tady je výsledek experimentu:

tabulka :
<můj-/64 rozsah> dev en1 kernel metric 256 pref medium
default via 2a02:blabla::1 dev en1 metric 1024 onlink pref medium
neigh:
fe80 dev en1 lladdr router STALE
fe80 dev en1 lladdr router FAILED
2A02:blabla::1 dev en1 lladdr router STALE
spousta fe80:270 ... STALE
-žádné depr/tent

TCPDUMP (s i odstranenim, pouzil jsem jen -v)
Kód: [Vybrat]
#PING-NIC:
#PRIDAM
ip addr add 2a02:f:c:k:0:I_P:V_4_:960/124 dev en1
IP6 (hlim 1, next-header opts (0) ) :: > ff02::16: HBH (rtalert: 0x0000) (padn) ICMP6, MCAST LIST.RPRT, 4 gr.rcrds [gaddr ff02::1:fccd:960 to_ex, 0 srcs] [gaddr ff02::1:fccd:b00 to_ex, 0 srcs] [gaddr ff02::1:fccd:a03 to_ex, 0 srcs] [gaddr ff02::1:fccd:1 to_ex, 0 srcs]
IP6 (hlim 255, next-header ICMPv6 (58) ) :: > ff02::1:fccd:960: ICMP6, neig solit.  who has 2a02:f:c:k:0:I_P:V_4_:960
          unknown opt (14), :
          0x0000:  c8b3 90a2 b4ea
IP6 (hlim 1, next-header opts (0) ) :: > ff02::16: HBH (rtalert: 0x0000) (padn) ICMP6, MCAST LIST.RPRT, 4 gr.rcrds [gaddr ff02::1:fccd:960 to_ex, 0 srcs] [gaddr ff02::1:fccd:b00 to_ex, 0 srcs] [gaddr ff02::1:fccd:a03 to_ex, 0 srcs] [gaddr ff02::1:fccd:1 to_ex, 0 srcs]

#PINGNU
IP6 (ICMPv6 (58) ) fe80::207:LL:ADDR:ROUT:R > ff02::1:fccd:960: ICMP6, neig solit.  who has 2a02:f:c:k:0:I_P:V_4_:960
          srcs linkaddr opt , : 00:07:ro:ut:er
IP6 (hlim 255, next-header ICMPv6 (58) ) 2a02:f:c:k:0:I_P:V_4_:960 > fe80::207:LL:ADDR:ROUT:R: ICMP6, neig adver.,  tgt is 2a02:f:c:k:0:I_P:V_4_:960, Flags [solicited, override]
          dst linkaddr opt (2), : 00:50:ma:c_:mo:je
IP6 (ICMPv6 (58) ) 2604:PING:SRC::89:2001 > 2a02:f:c:k:0:I_P:V_4_:960: ICMP6, echo request, seq 1
IP6 (ICMPv6 (58) ) 2604:PING:SRC::89:2001 > 2a02:f:c:k:0:I_P:V_4_:960: ICMP6, echo request, seq 2
IP6 (hlim 255, next-header ICMPv6 (58) ) 2a02:f:c:k:0:I_P:V_4_:960 > ff02::1:ff00:1: ICMP6, neig solit.  who has 2a02:f:c:k:1::1
          srcs linkaddr opt , : 00:50:ma:c_:mo:je
IP6 (ICMPv6 (58) ) 2a02:f:c:k:1::1 > 2a02:f:c:k:0:I_P:V_4_:960: ICMP6, neig adver.,  tgt is 2a02:f:c:k:1::1, Flags [router, solicited, override]
          dst linkaddr opt (2), : 00:05:73:a0:02:70
IP6 (ICMPv6 (58) ) 2a02:f:c:k:0:I_P:V_4_:960 > 2604:PING:SRC::89:2001: ICMP6, echo reply, seq 2
IP6 (ICMPv6 (58) ) 2604:PING:SRC::89:2001 > 2a02:f:c:k:0:I_P:V_4_:960: ICMP6, echo request, seq 3
IP6 (ICMPv6 (58) ) 2a02:f:c:k:0:I_P:V_4_:960 > 2604:PING:SRC::89:2001: ICMP6, echo reply, seq 3

# VYSLEDEK NA DRUHE STRANE: 2 of 3 received
#ODEBERU  a pingnu

ip addr delIP6 (ICMPv6 (58) ) 2604:PING:SRC::89:2001 > 2a02:f:c:k:0:I_P:V_4_:960: ICMP6, echo request, seq 1
IP6 (ICMPv6 (58) ) 2a02:f:c:k:0:I_P:V_4_:960 > 2604:PING:SRC::89:2001: ICMP6, echo reply, seq 1

IP6 (hlim 1, next-header opts (0) ) :: > ff02::16: HBH (rtalert: 0x0000) (padn) ICMP6, MCAST LIST.RPRT, 1 gr.rcrds [gaddr ff02::1:fccd:960 to_in, 0 srcs]
IP6 (hlim 1, next-header opts (0) ) :: > ff02::16: HBH (rtalert: 0x0000) (padn) ICMP6, MCAST LIST.RPRT, 1 gr.rcrds [gaddr ff02::1:fccd:960 to_in, 0 srcs]
IP6 (ICMPv6 (58) ) 2604:PING:SRC::89:2001 > 2a02:f:c:k:0:I_P:V_4_:960: ICMP6, echo request, seq 2
IP6 (ICMPv6 (58) ) 2604:PING:SRC::89:2001 > 2a02:f:c:k:0:I_P:V_4_:960: ICMP6, echo request, seq 3

IP6 (ICMPv6 (58) ) fe80::207:LL:ADDR:ROUT:R > 2a02:f:c:k:0:I_P:V_4_:960: ICMP6, neig solit.  who has 2a02:f:c:k:0:I_P:V_4_:960
          srcs linkaddr opt , : 00:07:ro:ut:er
IP6 (ICMPv6 (58) ) fe80::207:LL:ADDR:ROUT:R > 2a02:f:c:k:0:I_P:V_4_:960: ICMP6, neig solit.  who has 2a02:f:c:k:0:I_P:V_4_:960
          srcs linkaddr opt , : 00:07:ro:ut:er

:~#
IP6 (ICMPv6 (58) ) fe80::207:LL:ADDR:ROUT:R > 2a02:f:c:k:0:I_P:V_4_:960: ICMP6, neig solit.  who has 2a02:f:c:k:0:I_P:V_4_:960
          srcs linkaddr opt , : 00:07:ro:ut:er
#dorazil 1 z 3
# JESTE pingnu jednou
#TED UZ NIC nechodi
:~#
Snad to k něčemu bude


Re:Divný způsob routingu IPv6, jak naroutovat jedním vrzem blok
« Odpověď #5 kdy: 17. 02. 2022, 13:10:39 »
Když to shrnu, co mě zajímá: tak jako když si přidám ip addr add (klidně i IPv6/64, to nemá vliv), proběhne procedůra DAD a to HBH report, což(to druhé) řekne routeru ,aby mi routoval traffic pro danou IPv6.  Odteď mi začne chodit traffic /128
Je možné udělat i ip addr add , tak aby mi chodil traffic na celý blok /96 ? Aniž bych volal 4294967293 krát  ip addr add ?

Jose D

  • *****
  • 889
    • Zobrazit profil
Re:Divný způsob routingu IPv6, jak naroutovat jedním vrzem blok
« Odpověď #6 kdy: 17. 02. 2022, 14:28:13 »
traffic na celý blok /96
neptáš se náhodou na prefix delegation?

Re: prefix delegation
« Odpověď #7 kdy: 17. 02. 2022, 15:21:20 »
Asi jo   ;) Podle názvu to vypadá že by mohlo jít o ťafku do černého  8)   
Znamená to že čistě příkazem ip to neudělám?

Chci, aby co přijde do routru na eth1, aby se protunelovalo přes tun0 a naopak co odejde z tunelu odešlo komínem ven
Momentálně to mám prasácky  dvojicí 
Kód: [Vybrat]
ip6tables -I< PRE/POST>ROUTING <S/D>NAT <--to-dest/--d>  fe80::123 <--s/--to-source> 2a02:4521 a taky na druhém konci tunelu tam nemám tu originální adresu... A nemusím říkat že tohle škáluje dvojicí iptables pravidel na jednu adresu
« Poslední změna: 17. 02. 2022, 15:23:26 od lathe »

Re:Divný způsob routingu IPv6
« Odpověď #8 kdy: 17. 02. 2022, 18:03:30 »
Pokud mate pristup k routeru i k serveru, tak napr.:
- router ma adresu 2001:db8:dead::1/64
- server ma adresu 2001:db8:dead::beef/64
- router nasmeruje /96 (jiny blok!) na server:
- 2001:db8:cafe:c001::/96 via 2001:db8:dead::beef

Nasledne na server budou chodit vsechny pozadavky na adresy 2001:db8:cafe:c001:: az 2001:db8:cafe:c001::ffff:ffff.

Re:Divný způsob routingu IPv6
« Odpověď #9 kdy: 07. 03. 2022, 00:45:27 »
Právěže jenom k serveru, ne k routetu. :-[