Neuradni T-2 forum

Lokalni SLAAC mi že deluje, problem je v prejemanju paketov od zunaj. Računalniki v LANu naslove in route dobijo. Moj celoten SLAAC config izgleda takole: enp5s4 je WAN, enp2s0 je LAN:
http://splet.4a.si/dir/radvd.conf

Ne glede na to ali imam radvd na WAN interfacu ali ne pa ne dobivam paketov iz interneta - niti do GPON modema ne pridejo. Ampak računalniki v LANu pa pakete lahko pošiljajo in se bodo dostavili v internet.

Tudi če ven dam WAN interface iz radvd ali pa če radvd sploh izklopim, ne dobivam paketov. Kako pa dela neighbor discovery na IPv6? Na IPv4 je ARP, kaj pa je tukaj? Bi moral nastaviti kakšen povezovalni segment?

Ah potem mas lan nastavljen pol pa res mozno da majo oni kaj, ce paketi ven iz ostalih racunalnikov ven delajo notr pa ne.

A bi moral imet nastavljen povezovalni segment? Trenutno ga nimam ... A imajo vsi naročniki isti povezovani segment - v navodilih piše , ampak to je verjetno le demonstracijski primer?

Zgleda veljaven ip. Tako da pomoje ni primer.... jaz bi rocno nastavil povezovalni segment ker ne vem kako avtomatika deluje. Na wanu bi moral imeti ip od tvojega endpointa povezovalnega segmenta pa default ipv6 routa mora biti nastavljena na njihov endpoint povezovalnega. Racunalniki v lanu bi pa morali dobivati ip iz subneta od radvd. Me pa ni vec doma tako da specificno ukazov ne vem iz glave.

Sem še ugotovil, da sploh ni rečeno, da sem pravilno nastavil, če pakete lahko samo pošiljam. Pozabil sem, da na T-2 itak ni blokade spoofanja source IP naslovov, torej lahko iz katerega koli naslova pošiljam pakete.

Tako lahko pošiljam tudi recimo iz 2a00:0:0:1 in bo še vedno prišel paket v internet (posnetek prejetega paketa iz spoofanega naslova na server v Grčiji)

18:11:52.498887 eth0 In ifindex 2 cc:47:52:4e:45:54 ethertype IPv6 (0x86dd), length 124: (class 0xa4, flowlabel 0xcab4a, hlim 55, next-header ICMPv6 (58) payload length: 64) 2a00:0:0:1:: > 2001:648:2ffc:1227:a800:ff:fe1d:d30b: [icmp6 sum ok] ICMP6, echo request, id 61965, seq 10

Izkaže se, da me ni bilo v routing tabeli.

SLAAC ni treba nastaviti. Ko zahtevaš DHCPv6 PD, se avtomatično vpiše prefix v routing tabelo T-2 usmerjevalnika. V mojem primeru pa se ni. Po pismu na mejl ipv6@t-2.com so zadevo hitro uredili.

LP

Na svojem openwrt routerju sem vzpostavil WireguardVPN server (T-2 je ISP za server) z oddaljene lokacije imam dostop do interneta (ipv4) preko Wireguard tunela. Takoj ko poskušam dodati tudi ipv6 konfiguracijo (z upoštevanjem navodil in dokumentacije, ki je dostopna preko interneta), internet preneha delovati. Ali ima kdo kakšno priporočilo/navodila, kako vzpostaviti Wireguard ipv6 povezavo, kjer ima Wireguard server povezavo preko T-2? Ipv6 drugače deluje v domačem omrežju.

Jaz imam IPv6+IPv4 wireguard tunel na Debian 11 routerju narejen takole:

/etc/wireguard/wg0.conf:
[Interface]
PrivateKey = ...
Address = 10.69.87.87/24
ListenPort = 51820

[Peer]
PublicKey = S3DX45J51vXmfZmZIUKwM5+7cXCo8e6YmLhNv3oJGg8=
# telefon
AllowedIPs = 10.69.87.83/32, 2a01:261:e77:5587:83::/80
PersistentKeepalive = 25

Za IPv4 internetni dostop iz tunela imam tale skript, ki naredi NAT:
#!/bin/bash
set -xe
function nat () {
internet=$1
notranje=$2
iptables -t nat -A POSTROUTING -o $internet -j MASQUERADE
iptables -A FORWARD -i $internet -o $notranje -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i $notranje -o $internet -j ACCEPT
}
nat enp5s4 wg0

Za IPv6 internetni dostop pa route nastavim takole:

ip route add 2a01:261:e77:5587::/64 dev wg0

Na usmerjevalnik pridejo vsi paketi za 2a01:261:e77:5500::/56.

A nastavljaš wireguard na android telefon? S tem so dodatne težave, meni je z nekaj hacki uspelo.

Sem delno upošteval tvoje predloge + vklopil NAT66 na routerju in zadeva dela.

Uh, z NAT66 se pa nisem nikoli ubadal. Zakaj pa uporabljaš to namesto globalno routable prefixa? Če prav razumem, to pomeni, da imaš privatne IPv6 naslove na napravah v VPN, ne?

Drugače mi ni uspelo vzpostaviti povezave z internetom, nikoli nisem najbolje razumel delovanja ipv6 in razlik z ipv4...VPN naprave imajo fiksne ipv6 naslove.

Glavna razlika za ta primer je, da na IPv6 lahko od T-2 preko DHCP dobiš celoten segment (/56) IPv6 naslovov, zato imajo naprave v omrežju lahko javne IP naslove. Malo višje tule je napisano, kako se to naredi.