ipv6 in t-2

[celloak]

Mene zanima pa ena dost specificna zadeva, mogoce mi bo znal JanZorz pomagati.

Ali obstaja moznost, da bi preko DHCPv6 doloceni masini dodelil ne samo enega, ampak recimo kar celo /120 klaso, pa da bi se masina odzivala na vseh IP-jih znotraj tega subneta?

To bi znalo biti zelo uporabno.

[SoLoR]

Tisti l7 filter sem nazadnje gledal ko je bil še kot kernel module, ker sem hotel pač bratu omejevati promet pa mi ga nikoli ni uspelo da bi delal... mogoče zdaj ko ni več kot module dela kaj bolje, vendar še vedno zgleda da ne podpira IPv6 (•Support for TCP, UDP and ICMP over IPv4)... sicer pa je vprašanje če je to sploh še v razvoju glede da je zadnja verzija iz leta 2009....

@AndraZ
Če na routerju ne misliš forwardirati vsega, potem si spet na istem kot z natom in ipv4 z enim malo večjim problemom, nimaš (vsaj jaz ne vem zanjga) nekega upnpja kot ga imaš na natu pa ti je forwardiral porte ko je bilo to potrebno... vse boš moral ročno delati... jaz imam drug pristop forwardiram vse pa lavfam windows firewall, če bo pa kaj potrebno bom pa kasneje zapiral sej nimam državnih skrivnosti na računalniku in če mi kak worm sesuje windowse za par ur kolikor traja formatiranje mi ga pa ga naj....

[JanZorz]

Mene zanima pa ena dost specificna zadeva, mogoce mi bo znal JanZorz pomagati.

Ali obstaja moznost, da bi preko DHCPv6 doloceni masini dodelil ne samo enega, ampak recimo kar celo /120 klaso, pa da bi se masina odzivala na vseh IP-jih znotraj tega subneta?

To bi znalo biti zelo uporabno.

Zanimivo vprasanje, morda bi lahko nahekal zadevo preko DHCPv6_PD opcije, samo potem moras clienta predelati, da bi ti postavil sekvencno IP naslove iz segmenta.

Morda bi pa lahko tudi v dhcp config vpisal vec IP naslovov za isti DUID...

/jan

[JanZorz]

OmegaBlue je napisal: "kjerkoli si imaš isti IP (tudi že v praksi lepo deluje)." Glede na to, da se ISPjem dodeljuje /32 subnete, da ti praviš da je stvar pod NDA mi nikakor ni jasno kako bi svoje IPv6 naslove kamorkoli prenašal. Razen če imam svoj AS

MIPv6, DSMIP6-TLS, pa ne samo to, sedaj prihaja ven (in jaz bom sodeloval pri razvoju) Distributed Mobility

http://www.ietf.org/id/draft-patil-mext ... hes-00.txt

DSMIP6-TLS je pa ze narejen in dela, jaz imam Home Agent-a postavljenega in nekaj mobility node-ov, od N900 telefona do raznih laptopov, ki znajo mobility

https://datatracker.ietf.org/doc/draft- ... p6-altsec/

/jan

[JanZorz]

Gulikoza, tvoj tekst je sel na go6.si

http://wp.me/ptA56-14c

[JanZorz]

Kakšno security opremo (požarni zidovi) uporabljate na teh ipv6 omrežjih?

PaloAlto Networks firewall. L7 DPI naprava, very cool na IPv4, do sedaj je znala delati IPv6 prepoznavo prometa v nacinu virtual-wire, v novi verziji PANos-a pa bo delal tudi L3 IPv6 (routed ports, etc...)

Ql appliance. Veliko delam z njim in niso od muh

/jan

[gulikoza]

V čem je razlika ta kao prenosljiv IP in čisto klasičen VPN?

"Mobile hosts are anchored at a gateway via a tunnel and the address/prefix provided to the host via the gateway remains unchanged across mobility events."

Če prav razumem se naredi tunel med mobilno napravo in gatewayem za moj prefix. Še enkrat, v čem je razlika če se sedaj VPNjam na svoj gateway in to prenosljivostjo?

[JanZorz]

Vec razlik je. Pri mobilnosti lahko menjas omrezja, na katera si priklopljen, a tunel ostane avtomatsko povezan. Tu imas potem flow-mobility in podobno, predvsem je pa pomemben route-optimisation, ko MN poslje CN binding-update, v njemu sporoci CoA in ce je mozno zacne CN posiljati pakete direkt MN, ne vec preko HA, torej se izogne trianglu cez tunel.

MN - mobile node
CN - Correspondant node
CoA - Care of address
HA - Home agent

/jan

[xerces8]

Če na routerju ne misliš forwardirati vsega, potem si spet na istem kot z natom in ipv4 z enim malo večjim problemom, nimaš (vsaj jaz ne vem zanjga) nekega upnpja kot ga imaš na natu pa ti je forwardiral porte ko je bilo to potrebno... vse boš moral ročno delati... jaz imam drug pristop forwardiram vse pa lavfam windows firewall, če bo pa kaj potrebno bom pa kasneje zapiral sej nimam državnih skrivnosti na računalniku in če mi kak worm sesuje windowse za par ur kolikor traja formatiranje mi ga pa ga naj....

Ja, saj, če klientu dovoliš, da na IPv4 z UPnP ali PMP odpira porte, potem mu na IPv6 dovoliš poln dostop do interneta. Saj mu zaupaš, a ne?
(če mu ne, pa mu pač ne dovoliš niti UPnP, ker je to na koncu isto)

[xerces8]

Malo razmišljam in se mi zadeve zdijo vedno manj rožnate:
malo skrajšano
1. RDP

Veliko delam iz terena doma, preko RDP. Doma mi lepo lavfajo aplikacije, mail, imam vse certifikate, vpn povezave, ... kjerkoli sem, se s z laptopom ali kar kakšnim random računalnikom povežem domov in delam. Da nimam od povsod odprt RDP port, se SSHjam na server (kjer so ustrezne fail2ban skripte za preprečevanje brute force napadov) in preko tunela sforwardam RDP na domačo kišto. Na IPv6 bom imel povsod zunanji IP, samo vpišem svoj IP in...eh? Mi bodo hekerji dan in noč hekali RDP? Na SSH imam relativno

2. Torrenti in podobno

Nastavim v fw odprt port za "ta-statičen" IP in pozabim, da lahko kdorkoli naredi točno listo česarkoli sem kdajkoli posnel na torrentu, tudi če sem bil v drugem omrežju in bo imel točen računalnik z MAC adreso in vsem? Ali dam v firewall drugi, temporary IP, ki se menja vsakih 12(?) ur? Podoben problem z vsemi ostalimi aplikacijami, ki si dinamično po svoje odpirajo porte. NATa ni več, skini še firewall in orgija se lahko začne . FW na vsaki napravi posebej?

3. Ko naenkrat 18.446.744.073.709.551.616 (/64) IPjev postane premalo

Osnovni subnet v IPv6 je /64. Drobljenje na manjše subnete je načeloma možno, vendar potem ne deluje več stateless autoconfig. Pri IPv4 si zaradi NATa lokalno omrežje lahko postavil kakor si hotel. Pri IPv6 si omejen na tisto kar ti ponudi ISP. Če dobiš en /64 subnet, je to to. Nič več ločenega wirelessa v svojem subnetu, nič več DMZ za serverje...vse skupaj je en velik /64 subnet.

4. Redundanca v povezljivosti


(malo sem se razpisal...če se moderatorjem zdi primerno, se lahko odpre tudi nova tema - IPv6 Best Practices )

1.) Enako kot z IPv4 se boš SSH-jal na ruter in odprl port za RDP. In na koncu dela ga boš zaprl.
Edina razlika bo, da si prej naredil preusmeritev tak kot si, zdaj pa boš dodal pravilo "dovoli dostop z naslova KAFE na MOJPC na port 3389".
Fertik.

2.) Ena možnost je FW na PC-ju, ki laufa torrent. Druga pa komunikacija z ruterjem ob spremembi "privatnega" naslova, da on dovoli promet. Podobno UPnP. Bo Žorž povedal, če so to že standardizirali.

3.) Subnet-i so /48, tako da lahko brez problema razdeliš svojo mrežo na 65536 pod omrežij. Če ti to slučajno ni dovolj, pa lahko še /64 drobiš, boš pač DHCP uporabil, enako kot že zdaj na IPv4.

4.) Glej točko 3. Lahko imaš toliko pod mrež, kot ti srce zaželi. Glede priklopa laptopa direktno v modem, pa bi pričakoval, da "it just works(tm)". Bo T-2 povedal (ali pa tudi ne, preden ne začnejo uradno ponujat).

PS: Aja, še glede VPN. Če drugače ne, ga narediš enako kot na IPv4, recimo OpenVPN.

[peterdoo]

A je zdaj cel IPV6 pri T-2 en subnet, ali se samo ne vidi vec routerjev? Pri Teliji se jih se vidi, pri T-2 pa kar naravnost z Dunaja na smtp server:

1 2 ms <1 ms <1 ms 2a01:488:66:4002
2 <1 ms * 1 ms kol-b2-link.telia.net [20013080:d1::1]
3 28 ms 28 ms 28 ms win-b4-v6.telia.net [20013018:26::1]
4 37 ms 37 ms 37 ms smtp-good-in-1.t-2.net [2a01:260:1:4::23]

[|DSI|]

Najbrž je SMTP server nekje "bolj blizu" T-2 Core omrežja. Probaj recimo trace-at ta forum (t-2.rula.net) pa bo najbrž kakšen router še vmes...

[peterdoo]

Po IPV4 gre pa malo drugače. Mogoče to ni isti server:

1 <1 ms 1 ms <1 ms 46.163.64.2
2 3 ms 3 ms 3 ms koln-b2-link.telia.net [213.248.92.193]
3 3 ms 3 ms 3 ms ffm-bb1-link.telia.net [80.91.247.246]
4 21 ms 21 ms 76 ms prag-bb1-link.telia.net [80.91.246.15]
5 22 ms 27 ms 125 ms win-b4-link.telia.net [80.91.246.201]
6 88 ms 69 ms 40 ms t2-ic-131844-win-b2.c.telia.net [213.248.79.230]

7 39 ms 39 ms 74 ms 84-255-250-25.core.t-2.net [84.255.250.25]
8 38 ms 38 ms 39 ms 84-255-209-2.core.t-2.net [84.255.209.2]
9 38 ms 38 ms 39 ms smtp-good-in-1.t-2.net [84.255.208.35]

Na ta forum gre pa res čez dva routerja:
1 <1 ms <1 ms <1 ms 2a01:488:66:4002
2 1 ms * 1 ms kol-b2-link.telia.net [20013080:d1::1]
3 28 ms 28 ms 28 ms win-b4-v6.telia.net [20013018:26::1]
4 36 ms 36 ms 36 ms 2a01-260-1-1--1.core.t-2.net [2a01:260:1:1::1]
5 39 ms 38 ms 39 ms 2a01-260-1-1--3.core.t-2.net [2a01:260:1:1::3]
6 46 ms 45 ms 45 ms noname.rula.net [2a01:260:4000:200::]

[StefanB]

Navodila za IPv6 z DD-WRT (na routerju Linksys WRT54G)
(brez garancije za morebiti uničen router )

1) Firmware s podporo IPv6
Na routerju mora biti verzija dd-wrt-ja, ki podpira IPv6 (npr nokaid ali standard (STD), ali STD Nokaid, ... glej preglednico http://www.dd-wrt.com/wiki/index.php/Wh ... d_Features)
Sam sem izbral STD Nokaid.

Trenutna priporočena verzija je 14929 (spremljaj na http://www.dd-wrt.com/phpBB2/viewtopic.php?t=52043)

Za precej podprtih modelov routerjev je to verzijo možno prenesti z naslova ftp://dd-wrt.com/others/eko/BrainSlayer ... 10-r14929/.

Pred flashanjem se pozanimaj glede navodil za svoj router (npr za flashanje Linksys WRT54G iz originalnega firmware-a je najprej potrebno flashati na DD-WRT micro, in šele nato se da flashati tudi na večji firmware image (standard, nokaid...).

Uporabil sem firmare za Linksys WRT54G: ftp://dd-wrt.com/others/eko/BrainSlayer ... eneric.bin, ki je verzija:
DD-WRT v24-sp2 (08/12/10) std-nokaid
(SVN revision 14929)

V priporočeni verziji 14929 obstaja bug glede IPv6:
http://svn.dd-wrt.com:8000/ticket/1794
rešen je v verziji 16265, ki pa še ni priporočena.
V konfiguraciji spodaj je tudi workaround za ta bug.

2) Nastavitev IPv4
Dinamičen oz statičen IPv4 nastavi kot pred uvedbo IPv6 tako da bo IPv4 deloval normalno.

V primeru DHCP je to trivialno, v primeru statičnega IPja pa je potrebno vpisati parametre ki vam jih je javil T-2 (in ste jih uporabljali do sedaj, zato si jih prepiši preden flashaš router, če nimaš obvestila od T-2 pri roki).

Po tem koraku mora IPv4 delovati normalno.

3) Nastavitev IPv6
Ta korak je dopolnitev osnovnih navodil:
http://www.v4tov6.com/2009/07/dd-wrt-co ... -ipv6.html
Ko ti T-2 javi IPv6 številke jih uporabi spodaj namesto XXXX, YYYY, ZZZZ in RRRR

3.1) Skrbniški vmesnik routerja: Administration->Management tab, pod IPv6 izberi "Enable", razdelek se razširi z nastavitvami za Radvd. Izberi "Enable" pod Radvd in nato naslednjo nastavitveno datoteko v vnosno polje (prilagodi XXXX in YYYY po potrebi):

Koda: Izberi vse

interface br0 {
AdvSendAdvert on;
prefix 2a01:260:XXXX:YYYY::/64 {
AdvOnLink on;
AdvAutonomous on;
AdvRouterAddr on;
};
};

Klikni "Save Settings" na dnu strani.

3.2) Skrbniški vmesnik routerja: Administration->Commands. Vpiši naslednje ukaze (tebi prilagojene IPje in imena vmesnikov - pri drugih modelih routerjev so lahko drugačna imena interface-ov. V tem primeru je na WRT54G "vlan1" ime WAN vmesnika in "br0" pa ime LAN vmesnika):

Koda: Izberi vse

sleep 5
ip -6 addr add 2a01:260:XXXX::ZZZZ/126 dev vlan1
ip -6 route add 2000::/3 via 2a01:260:XXXX::RRRR
ip -6 addr add 2a01:260:XXXX:YYYY::/64 dev br0
#kill -HUP $(cat /var/run/radvd.pid)
radvd -C /tmp/radvd.conf

zadnja vrstica je workaround za zgoraj omenjeni bug. Če buga v vašem firmware-u ni več, zadnjo vrstico odstranite in odkomentirajte predzadnjo, da bo:

Koda: Izberi vse

kill -HUP $(cat /var/run/radvd.pid)

Nato klikni na gumb "Save Startup".

3.3) Skrbniški vmesnik routerja: Administration->Management: klikni gumb "Reboot Router" in počakaj da se ponovno lahko povežeš nanj.

Voila, to je vse.
Delovanje preveri na http://test-ipv6.com/

[Enter4]

StefanB hvale vredno ampak ni, da ni, da se nebi nekje spotaknil

Ko ti T-2 javi IPv6 številke jih uporabi spodaj namesto XXXX, YYYY, ZZZZ in RRRR

Je že mogoče znano, kdaj bo T-2 začel dodeljevati IPv6 naslove?