Перейти до

Внедрение ipv6 в маленькую сеть!


Рекомендованные сообщения

 ppp228 | ma*******           | 10.35.117.49   | 2001:67c:21f0:4067:7d43:dde:162e:9460/64  | 2001:67c:21f0:4489::/64 | 1048576/20480 | 01:08:11    | 7c:8b:ca:86:98:c7 | 00000000000e5c8d | 9.2 KiB    | 13.5 KiB   | 148       | 158        
 ppp254 | ba*********       | 10.35.9.137    |                                           |                         | 10240/3072    | 01:02:29    | 64:66:b3:2d:90:7d | 00000000000e5c8f | 476.1 MiB  | 265.0 MiB  | 564822    | 490465     
 ppp177 | kolo*******ko     | 91.*********** |                                           |                         | 25600/5120    | 00:55:38    | ec:08:6b:8b:79:61 | 00000000000e5c91 | 5.7 MiB    | 263.6 MiB  | 98062     | 208155     
 ppp104 | Sp******33        | 10.35.5.248    |                                           |                         | 40960/20480   | 00:44:07    | bc:ee:7b:65:90:69 | 00000000000e5c94 | 4.3 MiB    | 133.9 MiB  | 53784     | 103352     
 ppp332 | non******s        | 10.35.8.158    | 2001:67c:21f0:4002:f5fd:8919:4e35:33c6/64 |                         | 71680/32768   | 00:37:39    | b0:6e:bf:2f:86:5f | 00000000000e5c96 | 4.1 MiB    | 122.6 MiB  | 62733     | 96483      
 ppp261 | b*****1           | 10.35.6.125    |                                           |                         | 10240/5120    | 00:32:40    | 10:fe:ed:99:4b:15 | 00000000000e5c97 | 5.1 KiB    | 6.3 KiB    | 83        | 83         
     

 

Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 240
  • Створено
  • Остання відповідь

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

А как по мне - ipv6 бесполезная и изначально хреново продуманная концепция, созданная профессорами-теоретиками, а не сетевиками. Можно ж было сделать не "что б круто было", а с сохранением совмес

а каким феншуем поднимается IPoE на рогатых? я от рогатых, как от брасов, ушел в 15 году.....поставил пингвинов и после 6-ти вечера телефон техподдержки замолчал

Ну и что с того что один и тот же мак появляется в разных портах которые заведомо присвоены под одного клиента ? Да хоть два одновременно одинаковых мака в разных портах, выдаем ip согласно порту/влан

Posted Images

9 часов назад, Baneff сказал:

задержки в этом "бл@#ь мире" совсем не обязательно лучше,

в точку

могуть быть как лучше так и хуже

9 часов назад, Baneff сказал:

от нас не зависит с нашей стороны почти не управляется

выбор аплинков и их связности должен быть более осмысленный

9 часов назад, Baneff сказал:

Провайдерский DHCP выдаёт юзерскому роутеру сразу целую подсеть в соответствии с ipv6 dhcp prefix delegation, не единственный ipv6 IP адрес, правильно?

выдается 1 айпи для WAN и в пакете dhcp так же указано для роутера что "вот братан твой префикс, повесь его себе на LAN и раздай дальше"

соответственно брас должен построить маршрут для сети выданной роутеру через ипишку которую дали ему для WAN

9 часов назад, Baneff сказал:

Далее в юзерском роутере, который поддерживает ipv6 происходит nat one-to-one?

не, про one-to-one имел в виду 1 ип = 1 кастомер, а не 1 ип = 1 устройство, не шибко точно с моей стороны

9 часов назад, Baneff сказал:

? То есть роутер как и раньше раздаёт на юзерские устройства ipv4 серые IP

я вообще говорил в контексте нат 6to6 а не 4to6

но это IPv6 курильщика, потому что простого роутинга достаточно

8 часов назад, pashaumka сказал:

в ipv6 вообще все очень просто...

там вопросы куда банальнее, это как раз для вопрошающих сложно

пулы какие-то которые сами собой куда-то расползаются... "хуйня какая-то" ;) 

Відредаговано l1ght
Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, l1ght сказал:
выдается 1 айпи для WAN и в пакете dhcp так же указано для роутера что "вот братан твой префикс, повесь его себе на LAN и раздай дальше"

соответственно брас должен построить маршрут для сети выданной роутеру через ипишку которую дали ему для WAN

 

О, теперь понятно, спасибо. То есть, если там у юзера не роутер, а комп простой, то он себе принимает этот "1 айпи для WAN", а выданный префикс просто игнорирует, я так понимаю.

 

2 часа назад, l1ght сказал:
но это IPv6 курильщика, потому что простого роутинга достаточно

там вопросы куда банальнее, это как раз для вопрошающих сложно

пулы какие-то которые сами собой куда-то расползаются... "хуйня какая-то" ;)

Нет, почему сложно? Простой статический роутинг, как в старые добрые времена, как раз всё понятно. Ну если знаешь как оно там. Осталось только надеяться, что китайские программисты, которые софт для юзерских роутеров пишут,  весь этот бамбук вкурят правильно и всё будет работать как надо. Ведь там ещё параллельно и ipv4 с NAT-ом должен работать, одновременно два стека уже могут не влезть в их сознание.

 

Спасибо за ликбез, будем думать. Может и правда уже есть смысл попробовать.

 

Ещё два дурацких вопроса.

Есть ли какая-то возможность получить пул ipv6 адресов в пользование бесплатно для экспериментов? Или только как с ipv4 - годовая оплата лиру?

Нужна ли для ipv6 отдельная автономная система или можно обойтись той, что уже есть? Опять же ежегодно платить лиру за ещё одну AS не очень хочется.

Відредаговано Baneff
Ссылка на сообщение
Поделиться на других сайтах

Это кусок конфига на бордюре

ipv6 route 2001:67c:21f0:2000::/53 2001:67c:21f0::****
ipv6 route 2001:67c:21f0:2800::/53 2001:67c:21f0::****
ipv6 route 2001:67c:21f0:3000::/53 2001:67c:21f0::****

это весь конфиг на брасес аккелем

ipv6_nd
ipv6_dhcp
ipv6pool

[ppp]
ipv6=allow
ipv6-intf-id=random
ipv6-peer-intf-id=random
ipv6-accept-peer-intf-id=0



[ipv6-pool]
2001:67c:21f0:3000::/54,64
delegate=2001:67c:21f0:3400::/54,64

[ipv6-dns]
2001:67c:21f0::***
2001:67c:21f0::**
2001:67c:21f0::****   
dnssl=localka.net

[ipv6-dhcp]
verbose=1
pref-lifetime=604800
valid-lifetime=2592000
route-via-gw=1

ну + настройка ифейсов и ДНС + sysctl - И ВСЕ!!!

Відредаговано pashaumka
Ссылка на сообщение
Поделиться на других сайтах

Есть ли какая-то возможность получить пул ipv6 адресов в пользование бесплатно для экспериментов? Или только как с ipv4 - годовая оплата лиру?
Нужна ли для ipv6 отдельная автономная система или можно обойтись той, что уже есть? Опять же ежегодно платить лиру за ещё одну AS не очень хочется.

Зараз хурікани дають /48 безкоштовно. Для тестів має вистачити.

Зазвичай пул можна включити до існуючої АС. Хоча, може є нюанси.

Отправлено с моего ASUS_X00TD через Tapatalk

Ссылка на сообщение
Поделиться на других сайтах
39 минут назад, ua.feldsher сказал:

Есть ли какая-то возможность получить пул ipv6 адресов в пользование бесплатно для экспериментов

вроде нетасист давали для тестов свой блок.

Ссылка на сообщение
Поделиться на других сайтах

По поводу роутеров: вTP-LINK все хорошо жужжит ( которые идут в бирюзовых коробках )

WAN

Тип подключения:
PPPoEv6

Состояние подключения:
Подключено

IPv6-адрес:
2001:67c:21f0:****:87c7:****:184c:56c9 /64

IPv6-адрес основного шлюза:
fe80::41b6:6c00:852f:73e7

Предпочитаемый IPv6-адрес DNS-сервера:
2001:67c:21f0::***

Альтернативный IPv6-адрес DNS-сервера:
2001:67c:21f0:***

IPv6 LAN

Тип назначения IPv6-адресов:
RADVD

Длина префикса:
64

IPv6-адрес:
2001:67c:21f0:****:7e8b:****:fe90:****

 

Ссылка на сообщение
Поделиться на других сайтах
12 минут назад, pashaumka сказал:

По поводу роутеров: вTP-LINK все хорошо жужжит ( которые идут в бирюзовых коробках )


WAN

Тип подключения:
PPPoEv6

Состояние подключения:
Подключено

IPv6-адрес:
2001:67c:21f0:****:87c7:****:184c:56c9 /64

IPv6-адрес основного шлюза:
fe80::41b6:6c00:852f:73e7

Предпочитаемый IPv6-адрес DNS-сервера:
2001:67c:21f0::***

Альтернативный IPv6-адрес DNS-сервера:
2001:67c:21f0:***

IPv6 LAN

Тип назначения IPv6-адресов:
RADVD

Длина префикса:
64

IPv6-адрес:
2001:67c:21f0:****:7e8b:****:fe90:****

 

а дуал стек где?

Ссылка на сообщение
Поделиться на других сайтах

Предвижу интересную проблемку. Раз юзерским девайсам за его же роутером выдаются белые ipv6 адреса, то все эти девайсы становятся доступны для атак из инета. По версии ipv4+nat там хоть была естественная защита от входящих соединений, а теперь нет - всё открыто, заходи кто хочешь. Ой что будет...

Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, Baneff сказал:

Предвижу интересную проблемку. Раз юзерским девайсам за его же роутером выдаются белые ipv6 адреса, то все эти девайсы становятся доступны для атак из инета. По версии ipv4+nat там хоть была естественная защита от входящих соединений, а теперь нет - всё открыто, заходи кто хочешь. Ой что будет...

что мешает иметь такой же стейтфул фаервол только без ната?

ну и нат никак не мешает всякой малвари пролезать через вирусные сайты и прочую херню которую юзер сам скачивает

Відредаговано l1ght
Ссылка на сообщение
Поделиться на других сайтах
11 минут назад, l1ght сказал:

что мешает иметь такой же стейтфул фаервол только без ната?

ну и нат никак не мешает всякой малвари пролезать через вирусные сайты и прочую херню которую юзер сам скачивает

Мешает неквалифицированность юзеров. Они ничего настраивать в своём роутере не будут, многие даже пароль на вайфай не в состоянии прописать.

То, что лезет через сайты и почту - это понятно, разницы нет, но вот то, что там куча непатченых виндовозов без всяких фаерволов - факт, так что общая обстановка таки будет иметь тенденцию к ухудшению. Да, это не причина отказываться от ipv6, просто надо учитывать.

Ссылка на сообщение
Поделиться на других сайтах

Из всего перечисленного раздражает только гугль, который изредка, скатиняка такая, просит капчу. Что ему не хватает??? :)

 

Добавлять ipv6 начал много лет назад. Выдача любого количества IP клиенту с классификацией для шейпера была сделано задолго до этого, поэтому добавление в потенциальный список еще и ipv6 ничего не изменило. Хотел когда-то классифицировать трафик по MAC, но руки так и не дошли. Софт, билинг был давно сделан по принципу формализации, поэтому добавление ipv6 вообще не потребовало никаких телодвижений. Никаких проблем с раздачей хоть по dhcp, хоть по ppp(any)  нет. Костыли нужны только там, где софт или схема сделаны криво.

 

В целом, как по мне, работать с ipv6 существенно проще, нежели с ipv4. Кто будет впервые сталкиваться с этим, то надо привыкнуть.

 

Ах, да. Клиентские роутеры, которые не поддерживают дуал-стек... Ну им можно не выдавать v6. Пока у них роутер не сдохнет. :) Нет же задачи обязательно и срочно всех перевести на ipv6. Фишка в том, что внедрение ipv6 происходит "мягко".  Т.е. для многих клиентов даже не заметно, что у них появляется второй ip :)

Відредаговано vop
Ссылка на сообщение
Поделиться на других сайтах
11 минут назад, vop сказал:

Ах, да. Клиентские роутеры, которые не поддерживают дуал-стек... Ну им можно не выдавать v6. Пока у них роутер не сдохнет. :) Нет же задачи обязательно и срочно всех перевести на ipv6. Фишка в том, что внедрение ipv6 происходит "мягко".  Т.е. для многих клиентов даже не заметно, что у них появляется второй ip :)

они не понимают этого....разве что гики..Мы всем клиентам включаем при настройке роутера.

Ссылка на сообщение
Поделиться на других сайтах
9 minutes ago, pashaumka said:

они не понимают этого....разве что гики..Мы всем клиентам включаем при настройке роутера.

 

Им, по большому счету, вообще понимать ничего не положено. :) Поэтому система предоставления услуги должна быть гетерогенной, и быть готовой предоставить услугу в любой форме. Т.е. у кого есть роутер, поддерживающий ipv6 по умолчанию - тому второй стек подключается автоматически, У кого роутер не способен поддержать - тот работает по 4-й версии, и даже не  "догадывается" о существовании 6-плюшек :)

 

В любом случае весь аттракцион с "разнообразием видов в природе" надо переносить на сторону провайдера. Это не сложно, и помеха этому - только лень. А клиент - это такое существо, которое ест чипсы теми же самыми руками, и регулярно приносит деньги. :)

Ссылка на сообщение
Поделиться на других сайтах
19 часов назад, pashaumka сказал:

По поводу лени - 1000%.. только блаблабла и разжевывание соплей...

Э-м-м, ну, в принципе, да... вот если бы ещё платили за отсутствие лени...

 

Но, таки да, нет...

 

P. S. Что-то я расфантазировался...

Ссылка на сообщение
Поделиться на других сайтах
4 hours ago, ISK said:

Э-м-м, ну, в принципе, да... вот если бы ещё платили за отсутствие лени...

 

Но, таки да, нет...

 

Ну тут такое дело. Либо сейчас, не торопясь, сильно не напрягаясь, и бесплатно... Что бы было готово, "если что". Либо потом авралом выкидывая уйму денег на спецов... Хотя, кто знает. :)

Відредаговано vop
Ссылка на сообщение
Поделиться на других сайтах
  • 1 month later...

Пробовал Ставить в корпоративным сегменте IPV6 в догонку к V4 трафика 50-60% уже валит через v6 проблем особо нету если клиент напрямую общается с роутером Windows + Unix  напрямую работает достаточно адекватно ... а вот если воткнуть какой нибуть TP-LINK аля 840/940 (иногда приходится корпоративы бывают разные)  то тут начинается садомия как пробросить через него /64 префикс для сети под ним ... (начиная от того что даже в разных аппаратных версиях реализация разная гдето есть SLAAC гдето только DHCP)

 

Общая структура такая несколько vlan v6 /60 на vlan

 

Так же встерачал странную вещь если интернет подается через PPoe то не открываются сайты https  при это http работает пинги идут ... как это подружить так и не понял отрубил нафиг ... 

 

Во всех вариантах подымал без DHCPv6 Сервера ... и во всех вариантах был Mikrotik (не будет здесь обсуждать почему и как) сеть от Netasist бралась /48 через тунель.

 

Может что-то не так но четкой описания процесса настройки /48 на приход /60 на влан  (или может другой) и по итогу чтобы за роутером можено было получить подсеть /64 из клиентов подключеным к роутеру ... 

Ссылка на сообщение
Поделиться на других сайтах
10 minutes ago, Ripper said:

....
как пробросить через него /64 префикс для сети под ним ...

....
Во всех вариантах подымал без DHCPv6 Сервера ...

....

 

А как через SLAAC вы пытались раздать сегменты /64 клиентским роутерам?

 

PS И да, в ipv6 нет броадкастов. Там не надо настраивать /60 на vlan. Если я неправильно понял.

 

Відредаговано vop
Ссылка на сообщение
Поделиться на других сайтах

Именно не как ... эти роутеры вообще нечего не получают ... видел в некоторых аппаратных модификация есть ipv6 bridge но еще не пробовал  ...

Я говорю про то что пока клиенты общаются напрямую с роутером проблем нет с внедрением а как только появляется посредник в виде недорого но крайне распостраненого роутера начинаются проблемы даже если на его коробке написанно ipv6 ready ... 

Ссылка на сообщение
Поделиться на других сайтах
4 hours ago, Ripper said:

Именно не как ... эти роутеры вообще нечего не получают ... видел в некоторых аппаратных модификация есть ipv6 bridge но еще не пробовал  ...

Я говорю про то что пока клиенты общаются напрямую с роутером проблем нет с внедрением а как только появляется посредник в виде недорого но крайне распостраненого роутера начинаются проблемы даже если на его коробке написанно ipv6 ready ... 

 

 

Все зависит от клиентского устройства.

1. Современный путь - устройство поддерживает prefix delegation. Тогда ставится dhcpv6, и раздаются префиксы /64 /60 /56.

2. Полу-современный. Префиксы раздаются вручную, настраиваются в ручную, можно раздавать любые. Например /80. При этом сам роутер вообще может работать на ll-addr.

3. Совсем костыль - роутер умеет экзотический ipv6 bridge. Значить включается он, и устройства за роутером получают от браса адреса, так же, как и сами роутеры.

 

Вроде ничего не пропустил. А в красивом случае, можно отставить только ipv6, поставив для хождения в 4-ю сеть dns64 и nat64.

 

Відредаговано vop
Ссылка на сообщение
Поделиться на других сайтах
6 минут назад, vop сказал:

3. Совсем костыль - роутер умеет экзотический ipv6 bridge

Я бы добавил ещё один пункт, и он в принципе имеет право на жизнь как основной. Разве что с дуал-стеком непонятно как будет.

4. Включаем роутер точкой доступа, отключаем dhcp роутера, кабель от провайдера в LAN порт, все получают IP от БРАСа прозрачно.

Ссылка на сообщение
Поделиться на других сайтах
11 minutes ago, KaYot said:

Я бы добавил ещё один пункт, и он в принципе имеет право на жизнь как основной. Разве что с дуал-стеком непонятно как будет.

4. Включаем роутер точкой доступа, отключаем dhcp роутера, кабель от провайдера в LAN порт, все получают IP от БРАСа прозрачно.

 

Вы прямо как у меня дома побывали. :) Именно так и сделано, причем, "глухой" роутер - старый DSL-2640 наследство от укртелекомовских времен, заодно еще и wi-fi раздает.:) В принципе, нормальный подход. :) Такой себе switch+ap IPv6 раздает нормально. Когда я такое сделал, то у меня был цивилизационный шок от другого момента. Выяснилось, что Android не понимает ipv6-only и не умеет dhcpv6 от слова совсем.

Відредаговано vop
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.


×
×
  • Створити нове...