Jump to content
Local
nindzja

Внедрение ipv6 в маленькую сеть!

Recommended Posts

 ppp228 | ma*******           | 10.35.117.49   | 2001:67c:21f0:4067:7d43:dde:162e:9460/64  | 2001:67c:21f0:4489::/64 | 1048576/20480 | 01:08:11    | 7c:8b:ca:86:98:c7 | 00000000000e5c8d | 9.2 KiB    | 13.5 KiB   | 148       | 158        
 ppp254 | ba*********       | 10.35.9.137    |                                           |                         | 10240/3072    | 01:02:29    | 64:66:b3:2d:90:7d | 00000000000e5c8f | 476.1 MiB  | 265.0 MiB  | 564822    | 490465     
 ppp177 | kolo*******ko     | 91.*********** |                                           |                         | 25600/5120    | 00:55:38    | ec:08:6b:8b:79:61 | 00000000000e5c91 | 5.7 MiB    | 263.6 MiB  | 98062     | 208155     
 ppp104 | Sp******33        | 10.35.5.248    |                                           |                         | 40960/20480   | 00:44:07    | bc:ee:7b:65:90:69 | 00000000000e5c94 | 4.3 MiB    | 133.9 MiB  | 53784     | 103352     
 ppp332 | non******s        | 10.35.8.158    | 2001:67c:21f0:4002:f5fd:8919:4e35:33c6/64 |                         | 71680/32768   | 00:37:39    | b0:6e:bf:2f:86:5f | 00000000000e5c96 | 4.1 MiB    | 122.6 MiB  | 62733     | 96483      
 ppp261 | b*****1           | 10.35.6.125    |                                           |                         | 10240/5120    | 00:32:40    | 10:fe:ed:99:4b:15 | 00000000000e5c97 | 5.1 KiB    | 6.3 KiB    | 83        | 83         
     

 

Share this post


Link to post
Share on other sites
9 часов назад, Baneff сказал:

задержки в этом "бл@#ь мире" совсем не обязательно лучше,

в точку

могуть быть как лучше так и хуже

9 часов назад, Baneff сказал:

от нас не зависит с нашей стороны почти не управляется

выбор аплинков и их связности должен быть более осмысленный

9 часов назад, Baneff сказал:

Провайдерский DHCP выдаёт юзерскому роутеру сразу целую подсеть в соответствии с ipv6 dhcp prefix delegation, не единственный ipv6 IP адрес, правильно?

выдается 1 айпи для WAN и в пакете dhcp так же указано для роутера что "вот братан твой префикс, повесь его себе на LAN и раздай дальше"

соответственно брас должен построить маршрут для сети выданной роутеру через ипишку которую дали ему для WAN

9 часов назад, Baneff сказал:

Далее в юзерском роутере, который поддерживает ipv6 происходит nat one-to-one?

не, про one-to-one имел в виду 1 ип = 1 кастомер, а не 1 ип = 1 устройство, не шибко точно с моей стороны

9 часов назад, Baneff сказал:

? То есть роутер как и раньше раздаёт на юзерские устройства ipv4 серые IP

я вообще говорил в контексте нат 6to6 а не 4to6

но это IPv6 курильщика, потому что простого роутинга достаточно

8 часов назад, pashaumka сказал:

в ipv6 вообще все очень просто...

там вопросы куда банальнее, это как раз для вопрошающих сложно

пулы какие-то которые сами собой куда-то расползаются... "хуйня какая-то" ;) 

Edited by l1ght

Share this post


Link to post
Share on other sites
2 часа назад, l1ght сказал:
выдается 1 айпи для WAN и в пакете dhcp так же указано для роутера что "вот братан твой префикс, повесь его себе на LAN и раздай дальше"

соответственно брас должен построить маршрут для сети выданной роутеру через ипишку которую дали ему для WAN

 

О, теперь понятно, спасибо. То есть, если там у юзера не роутер, а комп простой, то он себе принимает этот "1 айпи для WAN", а выданный префикс просто игнорирует, я так понимаю.

 

2 часа назад, l1ght сказал:
но это IPv6 курильщика, потому что простого роутинга достаточно

там вопросы куда банальнее, это как раз для вопрошающих сложно

пулы какие-то которые сами собой куда-то расползаются... "хуйня какая-то" ;)

Нет, почему сложно? Простой статический роутинг, как в старые добрые времена, как раз всё понятно. Ну если знаешь как оно там. Осталось только надеяться, что китайские программисты, которые софт для юзерских роутеров пишут,  весь этот бамбук вкурят правильно и всё будет работать как надо. Ведь там ещё параллельно и ipv4 с NAT-ом должен работать, одновременно два стека уже могут не влезть в их сознание.

 

Спасибо за ликбез, будем думать. Может и правда уже есть смысл попробовать.

 

Ещё два дурацких вопроса.

Есть ли какая-то возможность получить пул ipv6 адресов в пользование бесплатно для экспериментов? Или только как с ipv4 - годовая оплата лиру?

Нужна ли для ipv6 отдельная автономная система или можно обойтись той, что уже есть? Опять же ежегодно платить лиру за ещё одну AS не очень хочется.

Edited by Baneff

Share this post


Link to post
Share on other sites

Это кусок конфига на бордюре

ipv6 route 2001:67c:21f0:2000::/53 2001:67c:21f0::****
ipv6 route 2001:67c:21f0:2800::/53 2001:67c:21f0::****
ipv6 route 2001:67c:21f0:3000::/53 2001:67c:21f0::****

это весь конфиг на брасес аккелем

ipv6_nd
ipv6_dhcp
ipv6pool

[ppp]
ipv6=allow
ipv6-intf-id=random
ipv6-peer-intf-id=random
ipv6-accept-peer-intf-id=0



[ipv6-pool]
2001:67c:21f0:3000::/54,64
delegate=2001:67c:21f0:3400::/54,64

[ipv6-dns]
2001:67c:21f0::***
2001:67c:21f0::**
2001:67c:21f0::****   
dnssl=localka.net

[ipv6-dhcp]
verbose=1
pref-lifetime=604800
valid-lifetime=2592000
route-via-gw=1

ну + настройка ифейсов и ДНС + sysctl - И ВСЕ!!!

Edited by pashaumka

Share this post


Link to post
Share on other sites

Есть ли какая-то возможность получить пул ipv6 адресов в пользование бесплатно для экспериментов? Или только как с ipv4 - годовая оплата лиру?
Нужна ли для ipv6 отдельная автономная система или можно обойтись той, что уже есть? Опять же ежегодно платить лиру за ещё одну AS не очень хочется.

Зараз хурікани дають /48 безкоштовно. Для тестів має вистачити.

Зазвичай пул можна включити до існуючої АС. Хоча, може є нюанси.

Отправлено с моего ASUS_X00TD через Tapatalk

Share this post


Link to post
Share on other sites

приобретите ее, добавив в свою автономку  и пользуйтесь! ))))

Share this post


Link to post
Share on other sites
39 минут назад, ua.feldsher сказал:

Есть ли какая-то возможность получить пул ipv6 адресов в пользование бесплатно для экспериментов

вроде нетасист давали для тестов свой блок.

Share this post


Link to post
Share on other sites

По поводу роутеров: вTP-LINK все хорошо жужжит ( которые идут в бирюзовых коробках )

WAN

Тип подключения:
PPPoEv6

Состояние подключения:
Подключено

IPv6-адрес:
2001:67c:21f0:****:87c7:****:184c:56c9 /64

IPv6-адрес основного шлюза:
fe80::41b6:6c00:852f:73e7

Предпочитаемый IPv6-адрес DNS-сервера:
2001:67c:21f0::***

Альтернативный IPv6-адрес DNS-сервера:
2001:67c:21f0:***

IPv6 LAN

Тип назначения IPv6-адресов:
RADVD

Длина префикса:
64

IPv6-адрес:
2001:67c:21f0:****:7e8b:****:fe90:****

 

Share this post


Link to post
Share on other sites
12 минут назад, pashaumka сказал:

По поводу роутеров: вTP-LINK все хорошо жужжит ( которые идут в бирюзовых коробках )


WAN

Тип подключения:
PPPoEv6

Состояние подключения:
Подключено

IPv6-адрес:
2001:67c:21f0:****:87c7:****:184c:56c9 /64

IPv6-адрес основного шлюза:
fe80::41b6:6c00:852f:73e7

Предпочитаемый IPv6-адрес DNS-сервера:
2001:67c:21f0::***

Альтернативный IPv6-адрес DNS-сервера:
2001:67c:21f0:***

IPv6 LAN

Тип назначения IPv6-адресов:
RADVD

Длина префикса:
64

IPv6-адрес:
2001:67c:21f0:****:7e8b:****:fe90:****

 

а дуал стек где?

Share this post


Link to post
Share on other sites

Предвижу интересную проблемку. Раз юзерским девайсам за его же роутером выдаются белые ipv6 адреса, то все эти девайсы становятся доступны для атак из инета. По версии ipv4+nat там хоть была естественная защита от входящих соединений, а теперь нет - всё открыто, заходи кто хочешь. Ой что будет...

Share this post


Link to post
Share on other sites
2 часа назад, Baneff сказал:

Предвижу интересную проблемку. Раз юзерским девайсам за его же роутером выдаются белые ipv6 адреса, то все эти девайсы становятся доступны для атак из инета. По версии ipv4+nat там хоть была естественная защита от входящих соединений, а теперь нет - всё открыто, заходи кто хочешь. Ой что будет...

что мешает иметь такой же стейтфул фаервол только без ната?

ну и нат никак не мешает всякой малвари пролезать через вирусные сайты и прочую херню которую юзер сам скачивает

Edited by l1ght

Share this post


Link to post
Share on other sites
11 минут назад, l1ght сказал:

что мешает иметь такой же стейтфул фаервол только без ната?

ну и нат никак не мешает всякой малвари пролезать через вирусные сайты и прочую херню которую юзер сам скачивает

Мешает неквалифицированность юзеров. Они ничего настраивать в своём роутере не будут, многие даже пароль на вайфай не в состоянии прописать.

То, что лезет через сайты и почту - это понятно, разницы нет, но вот то, что там куча непатченых виндовозов без всяких фаерволов - факт, так что общая обстановка таки будет иметь тенденцию к ухудшению. Да, это не причина отказываться от ipv6, просто надо учитывать.

Share this post


Link to post
Share on other sites

Из всего перечисленного раздражает только гугль, который изредка, скатиняка такая, просит капчу. Что ему не хватает??? :)

 

Добавлять ipv6 начал много лет назад. Выдача любого количества IP клиенту с классификацией для шейпера была сделано задолго до этого, поэтому добавление в потенциальный список еще и ipv6 ничего не изменило. Хотел когда-то классифицировать трафик по MAC, но руки так и не дошли. Софт, билинг был давно сделан по принципу формализации, поэтому добавление ipv6 вообще не потребовало никаких телодвижений. Никаких проблем с раздачей хоть по dhcp, хоть по ppp(any)  нет. Костыли нужны только там, где софт или схема сделаны криво.

 

В целом, как по мне, работать с ipv6 существенно проще, нежели с ipv4. Кто будет впервые сталкиваться с этим, то надо привыкнуть.

 

Ах, да. Клиентские роутеры, которые не поддерживают дуал-стек... Ну им можно не выдавать v6. Пока у них роутер не сдохнет. :) Нет же задачи обязательно и срочно всех перевести на ipv6. Фишка в том, что внедрение ipv6 происходит "мягко".  Т.е. для многих клиентов даже не заметно, что у них появляется второй ip :)

Edited by vop

Share this post


Link to post
Share on other sites
11 минут назад, vop сказал:

Ах, да. Клиентские роутеры, которые не поддерживают дуал-стек... Ну им можно не выдавать v6. Пока у них роутер не сдохнет. :) Нет же задачи обязательно и срочно всех перевести на ipv6. Фишка в том, что внедрение ipv6 происходит "мягко".  Т.е. для многих клиентов даже не заметно, что у них появляется второй ip :)

они не понимают этого....разве что гики..Мы всем клиентам включаем при настройке роутера.

Share this post


Link to post
Share on other sites
9 minutes ago, pashaumka said:

они не понимают этого....разве что гики..Мы всем клиентам включаем при настройке роутера.

 

Им, по большому счету, вообще понимать ничего не положено. :) Поэтому система предоставления услуги должна быть гетерогенной, и быть готовой предоставить услугу в любой форме. Т.е. у кого есть роутер, поддерживающий ipv6 по умолчанию - тому второй стек подключается автоматически, У кого роутер не способен поддержать - тот работает по 4-й версии, и даже не  "догадывается" о существовании 6-плюшек :)

 

В любом случае весь аттракцион с "разнообразием видов в природе" надо переносить на сторону провайдера. Это не сложно, и помеха этому - только лень. А клиент - это такое существо, которое ест чипсы теми же самыми руками, и регулярно приносит деньги. :)

Share this post


Link to post
Share on other sites

По поводу лени - 1000%.. только блаблабла и разжевывание соплей.....

Share this post


Link to post
Share on other sites
19 часов назад, pashaumka сказал:

По поводу лени - 1000%.. только блаблабла и разжевывание соплей...

Э-м-м, ну, в принципе, да... вот если бы ещё платили за отсутствие лени...

 

Но, таки да, нет...

 

P. S. Что-то я расфантазировался...

Share this post


Link to post
Share on other sites
4 hours ago, ISK said:

Э-м-м, ну, в принципе, да... вот если бы ещё платили за отсутствие лени...

 

Но, таки да, нет...

 

Ну тут такое дело. Либо сейчас, не торопясь, сильно не напрягаясь, и бесплатно... Что бы было готово, "если что". Либо потом авралом выкидывая уйму денег на спецов... Хотя, кто знает. :)

Edited by vop

Share this post


Link to post
Share on other sites

Пробовал Ставить в корпоративным сегменте IPV6 в догонку к V4 трафика 50-60% уже валит через v6 проблем особо нету если клиент напрямую общается с роутером Windows + Unix  напрямую работает достаточно адекватно ... а вот если воткнуть какой нибуть TP-LINK аля 840/940 (иногда приходится корпоративы бывают разные)  то тут начинается садомия как пробросить через него /64 префикс для сети под ним ... (начиная от того что даже в разных аппаратных версиях реализация разная гдето есть SLAAC гдето только DHCP)

 

Общая структура такая несколько vlan v6 /60 на vlan

 

Так же встерачал странную вещь если интернет подается через PPoe то не открываются сайты https  при это http работает пинги идут ... как это подружить так и не понял отрубил нафиг ... 

 

Во всех вариантах подымал без DHCPv6 Сервера ... и во всех вариантах был Mikrotik (не будет здесь обсуждать почему и как) сеть от Netasist бралась /48 через тунель.

 

Может что-то не так но четкой описания процесса настройки /48 на приход /60 на влан  (или может другой) и по итогу чтобы за роутером можено было получить подсеть /64 из клиентов подключеным к роутеру ... 

Share this post


Link to post
Share on other sites
10 minutes ago, Ripper said:

....
как пробросить через него /64 префикс для сети под ним ...

....
Во всех вариантах подымал без DHCPv6 Сервера ...

....

 

А как через SLAAC вы пытались раздать сегменты /64 клиентским роутерам?

 

PS И да, в ipv6 нет броадкастов. Там не надо настраивать /60 на vlan. Если я неправильно понял.

 

Edited by vop

Share this post


Link to post
Share on other sites

Именно не как ... эти роутеры вообще нечего не получают ... видел в некоторых аппаратных модификация есть ipv6 bridge но еще не пробовал  ...

Я говорю про то что пока клиенты общаются напрямую с роутером проблем нет с внедрением а как только появляется посредник в виде недорого но крайне распостраненого роутера начинаются проблемы даже если на его коробке написанно ipv6 ready ... 

Share this post


Link to post
Share on other sites
4 hours ago, Ripper said:

Именно не как ... эти роутеры вообще нечего не получают ... видел в некоторых аппаратных модификация есть ipv6 bridge но еще не пробовал  ...

Я говорю про то что пока клиенты общаются напрямую с роутером проблем нет с внедрением а как только появляется посредник в виде недорого но крайне распостраненого роутера начинаются проблемы даже если на его коробке написанно ipv6 ready ... 

 

 

Все зависит от клиентского устройства.

1. Современный путь - устройство поддерживает prefix delegation. Тогда ставится dhcpv6, и раздаются префиксы /64 /60 /56.

2. Полу-современный. Префиксы раздаются вручную, настраиваются в ручную, можно раздавать любые. Например /80. При этом сам роутер вообще может работать на ll-addr.

3. Совсем костыль - роутер умеет экзотический ipv6 bridge. Значить включается он, и устройства за роутером получают от браса адреса, так же, как и сами роутеры.

 

Вроде ничего не пропустил. А в красивом случае, можно отставить только ipv6, поставив для хождения в 4-ю сеть dns64 и nat64.

 

Edited by vop

Share this post


Link to post
Share on other sites
6 минут назад, vop сказал:

3. Совсем костыль - роутер умеет экзотический ipv6 bridge

Я бы добавил ещё один пункт, и он в принципе имеет право на жизнь как основной. Разве что с дуал-стеком непонятно как будет.

4. Включаем роутер точкой доступа, отключаем dhcp роутера, кабель от провайдера в LAN порт, все получают IP от БРАСа прозрачно.

Share this post


Link to post
Share on other sites
11 minutes ago, KaYot said:

Я бы добавил ещё один пункт, и он в принципе имеет право на жизнь как основной. Разве что с дуал-стеком непонятно как будет.

4. Включаем роутер точкой доступа, отключаем dhcp роутера, кабель от провайдера в LAN порт, все получают IP от БРАСа прозрачно.

 

Вы прямо как у меня дома побывали. :) Именно так и сделано, причем, "глухой" роутер - старый DSL-2640 наследство от укртелекомовских времен, заодно еще и wi-fi раздает.:) В принципе, нормальный подход. :) Такой себе switch+ap IPv6 раздает нормально. Когда я такое сделал, то у меня был цивилизационный шок от другого момента. Выяснилось, что Android не понимает ipv6-only и не умеет dhcpv6 от слова совсем.

Edited by vop

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×