CZFree.Net Home Page Diskuzní Fóra CZFree.Net Archív Často Kladených Otázek Registrace Nových Členů Archív Odkazů Seznam Členů Fóra CZFree.Net Czech Node Map hosted @CZFree.net CZFree.Net WIKI
CZFree Network Portal vzkazy | ovládání | pokročilé hledání   
 

Odpovědět k Tématu 
CZFree.Net forum: Wireless community network CZFree.Net > Fórum > Síť > IPv6 peering v CZFree - RFC draft
123
Autor
Téma  < Předchozí Téma   Další Téma >
danny
faultfinder :c)
zastupce cloudu 10.24


Registrován: 12.05.2002
Příspěvků: 5246

Team Member: ADMIN

User is Mapper

Post IPv6 peering v CZFree - RFC draft Příspěvek č. 1 

Dnes az na par cestnych vyjimek je CZFree IPv4 only. A bylo by zahodno s tim zacit neco delat. Takze nejaky ne zcela doformulovany navrh, zatim spise formou odrazek k rozvinuti.

Pouzite IP:
- globalni IPv6 adresy pridelene danym upstream ISP (tim koho dotycna sit pouziva)
- prefix vygenerovany dle RFC4193 (alternativne, asi jen v situaci, kdy nejsou k dispozici globalni)

Pouzita AS:
- stejna jako pro IPv4 CZF peering

CZF BGP
- smerovane prefixy - vyhradne /48
- muze jich byt vice (RFC4193, vice prefixu od ISP...)

IP od ISP:
- implicitne je od ISP je pridelovana /48 na zakaznika

RFC4193 adresy - FC00::/7
- preklenuti pro ty, kteri nemaji moznost ziskat /48 IPv6 prefix od sveho ISP
- global ID se generuje nahodne (nelze dle rfc "prirazovat"), /48 prefix pro sit
- bude potreba je registrovat (dohledatelnost origin) *zatim neni kde

Cil:
- umoznit IPv6 propojeni po CZF infrastrukture i mimo obecny internet

Dnesni stav:
- jednim slovem - otresny
- nekde dosud videt pozustatky puvodnich pokusu na IP od Casablanky (z dob Supernetworku apod) - nefunkcni...
- IPv6-"ready" systemy pouziva kdekdo
- pokusy o IPv6 peering v ramci NFX, siti kolem CZF-Praha (uzivany /48 bloky na kazdy cloud z verejnych IPv6 rozsahu NFX)
- ...

Uvidime, kdo se chytne.

__________________

.: Beware, 'cos i'm your nitemare! | AS64524 admin with long fingers into another ASNs :-) | Praha12.Net board member | CZF-Praha & NFX netmaster | mapper | nic.czf member | CZF-IRC operator :.
.: Internet shut down due to maintenance :. .: Dulezite upozorneni: osoba je dle vseho ztelesnenym zlem a nic dobreho od ni rozhodne necekejte :-) :.

Old Post 08.04.2009 v 10:32
danny je offline   Click Here to See the Profile for danny   Find more posts by danny   Click here to Send danny a Private Message       Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
ludvik
Senior Member

Registrován: 04.12.2002
Příspěvků: 543

Příspěvek č. 2 

My (khnet) jsme ready. IP jsou NFX (AS65106) a všechny větší servery jsou funkční, včetně automatické konfigurace klientů v rámci ethernetového segmentu.

2a01:490:17::/48


Jenže u nás se naráží na několik problémů (když si odmyslím někdy zvláštní chování quaggy).

1) mikrotik stále nebyl schopen vyvinout funkční a stabilní implementaci routingu. Takže všechny menší ethernety a všechny access pointy jsou bez podpory. Kromě jedné "větve", kde jsem to udělal staticky.

2) wifi klienti na 802.1bg jsou neschopní použít ipv6 ... odpověď je "ovislink 5460"

3) wifi klienti 5GHz jsou na tom špatně ze stejného důvodu, jako je bod 1

4) ethernetisti jsou v pohodě, pokud mají buď linux, nebo visty (macOS neznám). Naprostá většina ostatních XPčkařů se na nějaký doinstalace z vysoka vyprdne. Zvlášť když nezná prujem.cz :-)

5) pak nesmíš udělat tu chybu, že koupíš lacinější L3 switch ... a od ipv6 odřízneš poměrně velkou část sítě úplně.

Ve výsledku má z 2090 členů možnost použít ipv6 pouhých 200.

6) chtělo by to nějakou killer aplikaci ... ale nic moc mě nenapadá. Ani VLC streaming moc po ipv6 nefachalo (osmička, novou jsem zatím nezkoušel).

Můj osobní názor je, že je to pokus o kvadraturu kruhu. Něco si jen tak zkoušet moc smyslu nemá. Dotyčný zjistí, že to funguje. Takže se to nasadí a stráví měsíc nad quaggou ... Znechuceně to tam sice nechá, ale vlastní "služby" udělá stylem google - tedy jiné DNSky pro ipv4 a ipv6, ve výsledku to tedy nikdo nepoužívá.
Nebo to udělá jako já - DNSky mají jak A, tak AAAA záznamy. Teprve v tomhle případě je to naprosto transparentní. Ale o to víc se nadává, když to ipv6 padne ... A pokud to nechá nefunkční společně s duální DNSkou, tak jenom lidi nadávají, že to odněkud jde, odněkud nejde ...

Ale co s DNSkou lidí jako takových? Přidělovat jako u ipv4 ručně, nebo nechat automatiku? Pokud automatiku, tak musíš použít dynamic DNS, nebo tak nějak. Bez toho ti stejně nebudou mezi sebou komunikovat po ipv6. Ručně tu šílenost přepisovat nebudou :-) A pokud ručně, tak všude DHCP ...

Předchozí odstavec je možná jedna z největších brzd. Kdo používá nějakou lepší identifikaci klientů, než jednoduchou IP? Sice si člověk myslí, že chce být free, ale jen tak někoho si do sítě pustit nechce. Což s ipv6 automatikou v podstatě je. Bude fungovat, projde firewally atp.

Old Post 08.04.2009 v 12:11
ludvik je offline   Click Here to See the Profile for ludvik   Find more posts by ludvik   Click here to Send ludvik a Private Message   Click Here to Email ludvik   Visit ludvik's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
pihhan
Member

Registrován: 12.02.2003
Příspěvků: 493

Příspěvek č. 3 

Pár snad souvisejících dotázků:

Pouštět/nepouštět do sítě 6to4 adresy, tedy mapované ipv6 adresy přes ipv4 veřejnou adresu? Existují v současné době lokální czf konce pro nativní ipv6, které to přeposílají do ipv4? Když jsem si s tím párkrát hrál, vždycky tyhle mapované šly přes německo kdovíkam a zase zpátky a pingy tomu odpovídaly.

Co s adresami od tunel brokerů? Píšeš o ISP, mě ISP jasně řekl, že ipv6 v brzy budoucnu neplánuje.

Protože pro mě není aktuální fyzické propojení s jinými cloudy, má někdo praktické zkušenosti s přenosem IPv6 přes openvpn? Jak tunelovat fyzicky data k jiným sítím, pokud fyzické spojení schopné ipv6 nativně chybí? mám ozkoušenou základní funkčnost ipv6 v režimu tap s openvpn a stateless konfigurací quaggou. Ale ubuntu plugin mě neumí tohle nastavit ani připojit přes klikátko a to mě sere. Jak je to v úspornějším tap režimu nemám potuchy, nevím jestli si to umí získat automaticky adresu ze serveru.

Lze použít z jednoho serveru s jednou IPv4 víc ipip tunelů nesoucí IPv6?

Je skutečně nutné omezení na /48 prefix? Ne každý má možnost získat si celý prefix a sem tam vyžebrá někde část cizího rozsahu k používání. Nestačilo by /56? Ne všichni jsme členy RIPE ;-)

Přidat do Czf4bfu systému IPv6 adresu. Přidat jméno i adresu? Jenom adresu? Co když chci mít jiné jméno pro v6 a v4? Jak to zapsat? (asi dotaz spíš do vlákna k tomu, ale souvisí i s tímto). Ono když nikdo neví, že ipv6 může někde použít a že to k něčemu je, asi je to naprd.

__________________

tisnov.czf

Old Post 08.04.2009 v 12:11
pihhan je offline   Click Here to See the Profile for pihhan   Find more posts by pihhan   Click here to Send pihhan a Private Message   Click Here to Email pihhan   Visit pihhan's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
santiago
Member
zastupce cloudu 10.110


Registrován: 12.10.2002
Příspěvků: 192

Příspěvek č. 4 

Nevidim duvod, proc nepovolit i adresy z rozsahy 6to4, asi kazdy cloud, ktery ma vlastni branu do Internetu, bude mit i jednu IPv4 adresu pro ziskani 6to4 IPv6 rozsahu, takze vcelku neni duvod pouzivat prefixy podle RFC 4193.

Old Post 08.04.2009 v 13:56
santiago je offline   Click Here to See the Profile for santiago   Find more posts by santiago   Click here to Send santiago a Private Message   Click Here to Email santiago   Visit santiago's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
pihhan
Member

Registrován: 12.02.2003
Příspěvků: 493

Příspěvek č. 5 

quote:
Originally posted by ludvik

Ale co s DNSkou lidí jako takových? Přidělovat jako u ipv4 ručně, nebo nechat automatiku? Pokud automatiku, tak musíš použít dynamic DNS, nebo tak nějak. Bez toho ti stejně nebudou mezi sebou komunikovat po ipv6. Ručně tu šílenost přepisovat nebudou :-) A pokud ručně, tak všude DHCP ...

Nemusíš dynamickou DNS, stačí vygenerovat pro všechny známé počítače se známou adresou a zároveň prefixu pro daný subnet a máš automatické IPv6 adresy v DNSku. Není to ideální a rozhodně lepší by bylo DHCPv6 spojené s DNS, ale lepší než povinnost instalace DynDNS klienta pro IPv6 (znáte nějakého?). Je fakt, že DNSko je celkem problém, zvláště když ipv6 adresa už reálně ťukatelná uživatelem není.
quote:

Předchozí odstavec je možná jedna z největších brzd. Kdo používá nějakou lepší identifikaci klientů, než jednoduchou IP? Sice si člověk myslí, že chce být free, ale jen tak někoho si do sítě pustit nechce. Což s ipv6 automatikou v podstatě je. Bude fungovat, projde firewally atp.

Co se tímhle myslí? V čem se liší DHCP pro IPv4 a IPv6? Pravda u DHCP máš log, u IPv6 není povinný žádný démon, co by ten log psal. Teoreticky to ale nebezpečné je úplně stejně, protože při kontrole existence kolidující adresy imho posílá každý host multicast celé síti, jestli zabíraná adresa už v síti není. Pokud budu mít program, co takové pakety bude logovat podobně jako DHCP, rozdíl je prakticky nulový. Pro solidní zabezpečení je potřeba radius, IPSec nebo nějaká VPN s rozumnější autentizací. To ale narazí u uživatelů, protože je to na ně příliš složité. Jako ochrana typu nedáme DHCP každému, jenom těm s definovanou MAC adresou, je poměrně trapná, chrání jenom před trapnými skorohackery.

__________________

tisnov.czf

Old Post 08.04.2009 v 17:51
pihhan je offline   Click Here to See the Profile for pihhan   Find more posts by pihhan   Click here to Send pihhan a Private Message   Click Here to Email pihhan   Visit pihhan's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
danny
faultfinder :c)
zastupce cloudu 10.24


Registrován: 12.05.2002
Příspěvků: 5246

Team Member: ADMIN

User is Mapper

Příspěvek č. 6 

Naperu to vsecko do jednoho postu... tak si v tom vyzobte kazdy to svoje ;)
quote:
Originally posted by ludvik
5) pak nesmíš udělat tu chybu, že koupíš lacinější L3 switch ... a od ipv6 odřízneš poměrně velkou část sítě úplně.
Jo, s timhle se potykam zrovna v 10.23 a vysledek je takova prasarna, ze se tim rozhodne chlubit nebudu (ale co clovek neudela pro nativni ipv6 doma...). A az dojdu na konec 10.24, tak si rozbiju hubu na Nortelu, ktery tam po roky mame :)
quote:
6) chtělo by to nějakou killer aplikaci ... ale nic moc mě nenapadá. Ani VLC streaming moc po ipv6 nefachalo (osmička, novou jsem zatím nezkoušel).
Tebou zmineny prujem? ;) Tohle je klasicky chicken-egg problem... jedni se vymlouvaji na druhe a vyckavaji skoro vsichni :( Ale vlastovky se najdou... i u nas.
quote:
Můj osobní názor je, že je to pokus o kvadraturu kruhu. Něco si jen tak zkoušet moc smyslu nemá. Dotyčný zjistí, že to funguje. Takže se to nasadí a stráví měsíc nad quaggou ... Znechuceně to tam sice nechá, ale vlastní "služby" udělá stylem google - tedy jiné DNSky pro ipv4 a ipv6, ve výsledku to tedy nikdo nepoužívá.
DNS jsou u Google porad ty same, jen ty "ipv6-enabled" obsluhuje jine view.
Kvadratura kruhu sama o sobe... nevim, ale vzpomen na VH a pojednani ke stanovam, tomu co tam vsichni mame a jak to ve skutecnosti (ne)naplnujeme. IPv6 je v tomhle smeru velka vyzva ;)
quote:
Nebo to udělá jako já - DNSky mají jak A, tak AAAA záznamy. Teprve v tomhle případě je to naprosto transparentní. Ale o to víc se nadává, když to ipv6 padne ... A pokud to nechá nefunkční společně s duální DNSkou, tak jenom lidi nadávají, že to odněkud jde, odněkud nejde ...
Chvili byl humbuk i kolem tohoto fora, ale dneska uz je vcelku klid. V DNS je oboji a musel by me nekdo zastrelit, aby to tam odsad zmizlo (odpor je marny) :) Zas takovy problem to neni... spis je vzdycky nejaka bota v konfiguraci site (typu "mam routu, ac ji vlastne nemam", potrati se par relevantnich ICMP a namisto rychleho fallbacku z v6 na v4 cekas vecnost na v6 timeout, aby to pak tu v4 zkusilo. Ve chvili, kdy na klienta dorazi sestkovy unreachable to preskoci na ctyrku samo rychle.
quote:
Ale co s DNSkou lidí jako takových? Přidělovat jako u ipv4 ručně, nebo nechat automatiku? Pokud automatiku, tak musíš použít dynamic DNS, nebo tak nějak. Bez toho ti stejně nebudou mezi sebou komunikovat po ipv6. Ručně tu šílenost přepisovat nebudou :-) A pokud ručně, tak všude DHCP ...
Tady nad tim taky premejslim. Pokud mate v inf.systemu evidovane MAC adresy klientu, tak z toho jde vygenerovat i ten vysledny reverz (pokud se pouziva stateless autokonfigurace) celkem snadno. Pruser jsou ovsem privacy extensions, ktere jsou zrovna v tech vistach zapnute implicitne (byt se da zakazat) - a ta adresa klienta je pokazdy jina. Povoleni dynamickych update primo z klienta muze byt cesta - ale je to reseni svym zpusobem ne zrovna bezpecne, a svym zpusobem kontraproduktivni (lide si do tech hostnamu napisou taky kdejaky nesmysl... a clovek pak stejne nepozna, kdo je na druhem konci). Takze zda se, ze managed config, DHCP a generovane configy... jenze tam zas specifikace nepracuje s hw adresou (mac), ale s DUID [identifikatorem] klienta nezavislem na HW. MAC adresu koncak precte ze stitku, ale dolovat z nej DUID... bude pakarna taky... :(

quote:
Originally posted by pihhan
Pouštět/nepouštět do sítě 6to4 adresy, tedy mapované ipv6 adresy přes ipv4 veřejnou adresu? Existují v současné době lokální czf konce pro nativní ipv6, které to přeposílají do ipv4? Když jsem si s tím párkrát hrál, vždycky tyhle mapované šly přes německo kdovíkam a zase zpátky a pingy tomu odpovídaly.
quote:
Originally posted by santiago
Nevidim duvod, proc nepovolit i adresy z rozsahy 6to4, asi kazdy cloud, ktery ma vlastni branu do Internetu, bude mit i jednu IPv4 adresu pro ziskani 6to4 IPv6 rozsahu, takze vcelku neni duvod pouzivat prefixy podle RFC 4193.
Nevim. Tenhle mechanismus je puvodne zamyslen na neco jineho. Specifikace se ani prilis netrapi tim, jak routovat z 6to4 do obecneho ipv6 sveta. Asi by to fungovalo, ale nechal bych to primarne ucelu, pro ktery to vzniklo. Take je tu riziko, ze jeden cloud vygeneruje 255 prefixu do v6 tabulek jen proto, ze ma /24 IPv4 od sveho ISP (a to nemluvim o tech, co maji jeste vic) :) A predstava, ze jeden cloud generuje soucasnych 15% globalnich tabulek... me, ehm, desi... :D

quote:
Originally posted by pihhan
Co s adresami od tunel brokerů? Píšeš o ISP, mě ISP jasně řekl, že ipv6 v brzy budoucnu neplánuje.
Pokud vim, rada tunnel-brokeru beztak prideluje na konce /48 take. Jinak je asi fuk, od koho adresy ziskas - broker je take jakasi forma "isp". Akorat bych hledal neco co funguje (o xs asi vime oba sve).
quote:
Protože pro mě není aktuální fyzické propojení s jinými cloudy, má někdo praktické zkušenosti s přenosem IPv6 přes openvpn?
Pres openvpn ipv6 protlacis v pohode, pokud pouzijes tap device. Muj oblibeny "cestovni" setup :)
quote:
Jak tunelovat fyzicky data k jiným sítím, pokud fyzické spojení schopné ipv6 nativně chybí? mám ozkoušenou základní funkčnost ipv6 v režimu tap s openvpn a stateless konfigurací quaggou. Ale ubuntu plugin mě neumí tohle nastavit ani připojit přes klikátko a to mě sere.
To je spis chyba toho konkretniho klikatka. Napis jim bugreport ;)
quote:
Jak je to v úspornějším tap režimu nemám potuchy, nevím jestli si to umí získat automaticky adresu ze serveru.
Spis myslis tun. Podpora tam nejaka omezena je (tusim ze ale ne na win), tap mi obecne vyhovuje vice - precijen to emuluje ethernet a co po tom leze je pak uz jedno.
quote:
Lze použít z jednoho serveru s jednou IPv4 víc ipip tunelů nesoucí IPv6?
Jo. Stejne tak i gre (kterym jde taky tahat ipv6). Moznosti v tomto je vice a spis je to o dohode tech dvou stran, co jim sedne nejvic...
quote:
Je skutečně nutné omezení na /48 prefix? Ne každý má možnost získat si celý prefix a sem tam vyžebrá někde část cizího rozsahu k používání. Nestačilo by /56? Ne všichni jsme členy RIPE ;-)
O tom to vubec neni. Clen RIPE (LIR) by svemu zakaznikovi mel pridelovat ty /48. Sdruzeni se z pohledu te policy da brat jako isp a ten na /48 ma narok. Zatim vsude jsem videl pridelovany prave ty /48 (a i v mistech, kde to nedava smysl), nekdo dava min? Nejake omezeni to chtit bude (obdobne jako je u IPv4), tak aby nekdo omylem neposlal cele sve vnitrni tabulky... tzn. /64 ne urcite ;) Tohle je urcite vec k dalsi diskuzi.
quote:
Přidat do Czf4bfu systému IPv6 adresu. Přidat jméno i adresu? Jenom adresu? Co když chci mít jiné jméno pro v6 a v4? Jak to zapsat? (asi dotaz spíš do vlákna k tomu, ale souvisí i s tímto). Ono když nikdo neví, že ipv6 může někde použít a že to k něčemu je, asi je to naprd.
To jo, to je dotaz na JKLIRa... tuhle vec jen (skoro)pasivne pouzivam ;)

__________________

.: Beware, 'cos i'm your nitemare! | AS64524 admin with long fingers into another ASNs :-) | Praha12.Net board member | CZF-Praha & NFX netmaster | mapper | nic.czf member | CZF-IRC operator :.
.: Internet shut down due to maintenance :. .: Dulezite upozorneni: osoba je dle vseho ztelesnenym zlem a nic dobreho od ni rozhodne necekejte :-) :.

Old Post 08.04.2009 v 18:16
danny je offline   Click Here to See the Profile for danny   Find more posts by danny   Click here to Send danny a Private Message       Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
santiago
Member
zastupce cloudu 10.110


Registrován: 12.10.2002
Příspěvků: 192

Příspěvek č. 7 

quote:

Nevim. Tenhle mechanismus je puvodne zamyslen na neco jineho. Specifikace se ani prilis netrapi tim, jak routovat z 6to4 do obecneho ipv6 sveta. Asi by to fungovalo, ale nechal bych to primarne ucelu, pro ktery to vzniklo.


Specifikace se tim netrapi, protoze je kazdemu jasne, ze je to unicastovy prefix jako kazdy jiny a je mozne ho normalne routovat. Prevazna vetsina siti asi nebude mit nativni IPv6 adresu a aby si rozchozovala IPv6 adresy, ktere by fungovaly jen z CZFree.Net, je docela hloupe, kdyz se stejnym usilim muze rozchodit IPv6 tak, ze funguje odkudkoliv.

Old Post 08.04.2009 v 21:26
santiago je offline   Click Here to See the Profile for santiago   Find more posts by santiago   Click here to Send santiago a Private Message   Click Here to Email santiago   Visit santiago's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
8an
Praha12.Net admin

Registrován: 02.09.2002
Příspěvků: 564

Příspěvek č. 8 

Ahoj,

Praha12.Net (10.27/16) je na IPv6 připravena, IPv6 routujeme celé síti a máme i nativní uplink přes HELL. Vedle toho bychom mohli peerovat s Prosekem, Jinonicemi a Jmnetem (ale to by napřed museli zahodit Mikrotiky). Máte-li zájem, ozvěte se.

Bohužel IPv6 je dostupná jenom klientům, kteří jsou připojeni na AP Ethernetem, případně těm, kteří mají Wi-Fi kartu přímo v PC. Přes HWAP v režimu router ani bridge (což je ve skutečnosti ARP proxy) IPv6 neprojde. Plánuji udělat firmware pro HWAP s podporou IPv6, ale nezbývá na to čas :-(

Ještě bych napsal náš adresní plán, třeba se někdo múže inspirovat:

  • máme subnet 2a01:490:16/48
  • každé AP s číslem XX má na sebe routován subnet 2a01:490:16:XX00/56
  • jednotlivé sektory na AP mají subnety 2a01:490:16:XXYY/64
  • P2P spoje mezi routery X a Y mají subnet 2a01:490:16:0:X:Y:Z/120
    Z je číslo spoje pro případ, že jsou dva spoje paralelně (třeba FSO záklohované Wi-Fi), většinou je to 0. Subnet /120 místo /126 je pro případ, kdy je spoj přes nějaká HWAP, která mají IPv6 adresu (zatím bohužel hudba budoucnosti).
Adresy na sektorech si klienti přiřazují automaticky, DHCPv6 je nepoužitelné: klient místo MAC adresy posílá DUID, které generuje operační systém. Takže bych musel nastavovat nové DUID ne jen když někdo vymění siťovou kartu, ale i když přeinstaluje Windows - tolik času opravdu nemám. A navíc je DUID stejné pro celý počítač, ne pro síťovou kartu. Takže máte-li Wi-Fi AP a ethernetový subnet připojené přes switch, nepoznáte podle DUID, jak se klient připojil (jestli přes Wi-Fi nebo kabelem) a jakou adresu mu máte přiřadit (a do jaké QoS kategorie patří).

__________________

Jabber: 8an@praha12.net

Old Post 08.04.2009 v 21:48
8an je offline   Click Here to See the Profile for 8an   Find more posts by 8an   Click here to Send 8an a Private Message   Click Here to Email 8an   Visit 8an's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
8an
Praha12.Net admin

Registrován: 02.09.2002
Příspěvků: 564

Příspěvek č. 9 

quote:
Originally posted by danny
Tady nad tim taky premejslim. Pokud mate v inf.systemu evidovane MAC adresy klientu, tak z toho jde vygenerovat i ten vysledny reverz (pokud se pouziva stateless autokonfigurace) celkem snadno. Pruser jsou ovsem privacy extensions, ktere jsou zrovna v tech vistach zapnute implicitne (byt se da zakazat) - a ta adresa klienta je pokazdy jina.

Také ještě nemám domyšleno jak tohle řešit, asi prostě privacy extensions zakážu, kdo bude chtít IPv6 to bude muset vypnout. Dlouhodobý plán je mít všechny lidi na Wi-Fi za routerem (protože přes HWAP v režimu "bridge" IPv6 neprojde) a v paneláku mít VLAN a subnet pro každý byt. Protože nedávno jsem skoro celý den strávil zjišťováním, který idiot si v paneláku zapnul DHCP server a přiděloval adresy všem lidem, kterým pak nefungoval net...

__________________

Jabber: 8an@praha12.net

Old Post 08.04.2009 v 22:01
8an je offline   Click Here to See the Profile for 8an   Find more posts by 8an   Click here to Send 8an a Private Message   Click Here to Email 8an   Visit 8an's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
pihhan
Member

Registrován: 12.02.2003
Příspěvků: 493

Příspěvek č. 10 

Privacy extensions snad problém úplně není, ne? Sice odchozí adresa je škaredá a bez reverze, ale přímá by měla fungovat i tam hardcodovaná z MAC adresy. Takže pro připojování k lokálnímu FTP by to mělo jít, aspoň myslím - nezkoušeno. Jako serverová IP by to snad mělo fungovat i s privacy zapnutým. To privacy je tam snad jenom kvůli odchozím spojením, ne?

K tomu DUID, nebude už mít tou dobou klient něco v neighbors cachi? On DHCP server by měl možnost znát MAC adresu odesílatele z fyzické vrstvy, takže kromě čarování pseudobridgů na klientech-apčkách by se měla zdrojová MAC dát využít jako identifikace pro rozlišení skutečného rozhraní. Ale k DHCPv6 jsem se zatím vůbec nedostal, takže možná kecám :-) Každopádně komu by se chtělo psát si patch, kdyby to démon už neuměl, že?

Jinak u IPv6 jsem zrušil jakékoliv pokusy o menší subnet než /64. I páteřní spoje mají /64, i když jsou zabrané jenom 4 adresy i pro APčka (které to teda neumí, takže jenom 2). Čestnou vyjímku tvoří dummy rozhraní s maskou /128. Kdyby někdo měl zájem, přibližné rozhození malé sítě je na http://wiki.tisnov.czf/wiki/Ipv6_rozsahy

Ono vzhledem k tomu, že nevím o nikom jiném z naší sítě kromě mě, kdo by vědomě použil IPv6, tak to nemá zas tak prioritu. Sice díky instalaci vist už jsem potkal jakýsi pokus o provoz, ale ten člověk o tom rozhodně neměl tucha. Chtělo by to user-friendly VoIP kecátko s podporou IPv6. Chce někdo napsat?

__________________

tisnov.czf

Old Post 08.04.2009 v 22:13
pihhan je offline   Click Here to See the Profile for pihhan   Find more posts by pihhan   Click here to Send pihhan a Private Message   Click Here to Email pihhan   Visit pihhan's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
pihhan
Member

Registrován: 12.02.2003
Příspěvků: 493

Příspěvek č. 11 

quote:
Originally posted by 8an
Také ještě nemám domyšleno jak tohle řešit, asi prostě privacy extensions zakážu, kdo bude chtít IPv6 to bude muset vypnout. Dlouhodobý plán je mít všechny lidi na Wi-Fi za routerem (protože přes HWAP v režimu "bridge" IPv6 neprojde) a v paneláku mít VLAN a subnet pro každý byt. Protože nedávno jsem skoro celý den strávil zjišťováním, který idiot si v paneláku zapnul DHCP server a přiděloval adresy všem lidem, kterým pak nefungoval net...

Od tohohle chytré switche mají blokování DHCP z nepovolených portů. Dělat extra vlan pro každou domácnost... hodně práce. Mě spíš pěkně vysírají visty se sdílením netu, které se hrdě hlásí po ipv6 jako router a při pokusu o routování provoz ztopí na na firewallu. Zrovna dneska jsem musel čekat zas 3 minuty ve škole na timeout, než se mě czfree.net přepnul na ipv4. Bohužel na tohle nemají lék ani na fakultě, kde mají přístup ke hračkám řádově lepší, než my na naší síti.
Teda kromě časté rady na internetu: vypnout ipv6...

__________________

tisnov.czf

Naposledy upravil pihhan 08.04.2009 v 22:20

Old Post 08.04.2009 v 22:17
pihhan je offline   Click Here to See the Profile for pihhan   Find more posts by pihhan   Click here to Send pihhan a Private Message   Click Here to Email pihhan   Visit pihhan's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
santiago
Member
zastupce cloudu 10.110


Registrován: 12.10.2002
Příspěvků: 192

Příspěvek č. 12 

quote:
Originally posted by 8an
každé AP s číslem XX má na sebe routován subnet 2a01:490:16:XX00/56


My zatim davame /60 na AP, ale asi je to zbytecne setreni.

quote:
P2P spoje mezi routery X a Y mají subnet 2a01:490:16:0:X:Y:Z/120


Takove site porusuji RFC 4291, bod 2.5.1., kde se rika, ze L2 sit musi mit prefix /64 .

Old Post 08.04.2009 v 22:18
santiago je offline   Click Here to See the Profile for santiago   Find more posts by santiago   Click here to Send santiago a Private Message   Click Here to Email santiago   Visit santiago's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
8an
Praha12.Net admin

Registrován: 02.09.2002
Příspěvků: 564

Příspěvek č. 13 

quote:
Originally posted by pihhan
Privacy extensions snad problém úplně není, ne? Sice odchozí adresa je škaredá a bez reverze, ale přímá by měla fungovat i tam hardcodovaná z MAC adresy. Takže pro připojování k lokálnímu FTP by to mělo jít, aspoň myslím - nezkoušeno. Jako serverová IP by to snad mělo fungovat i s privacy zapnutým. To privacy je tam snad jenom kvůli odchozím spojením, ne?

Ne, privacy extensions jsou mechanismus volby IP adresy, takže příchozí a odchozí adresa je samozřejmě stejná.

quote:
Originally posted by pihhan
K tomu DUID, nebude už mít tou dobou klient něco v neighbors cachi? On DHCP server by měl možnost znát MAC adresu odesílatele z fyzické vrstvy, takže kromě čarování pseudobridgů na klientech-apčkách by se měla zdrojová MAC dát využít jako identifikace pro rozlišení skutečného rozhraní.

Ano, možná by šlo nějak zjistit MAC adresu, ze které DHCP request přišel. Ale ne nějak jednoduše, v UDP socketu žádná MAC adresa nechodí, musel bych překopat slušný kus kernelu. A hlavně je to úplně proti myšlence protokolu (i když se mi nezdá, že by při navrhování DHCPv6 někdo přemýšlel). Než vymýšlet, jak protokol zprasit, aby fungoval v mých podmínkách, to ho radši nepoužiju vůbec.

quote:
Originally posted by pihhan
Jinak u IPv6 jsem zrušil jakékoliv pokusy o menší subnet než /64. I páteřní spoje mají /64, i když jsou zabrané jenom 4 adresy i pro APčka (které to teda neumí, takže jenom 2). Čestnou vyjímku tvoří dummy rozhraní s maskou /128. Kdyby někdo měl zájem, přibližné rozhození malé sítě je na http://wiki.tisnov.czf/wiki/Ipv6_rozsahy

Já jsem to vzdal u sektorů s klienty, ale na spojích žádný problém se subnety /120 nepozoruji, a provozuji to už asi půl roku. Hlavní myšlenka za adresním plánem je aby se adresy daly generovat automaticky a já bych je v ideálním případně ani nemusel vidět (což momentálne náš IS splňuje).

quote:
Originally posted by pihhan
Ono vzhledem k tomu, že nevím o nikom jiném z naší sítě kromě mě, kdo by vědomě použil IPv6, tak to nemá zas tak prioritu. Sice díky instalaci vist už jsem potkal jakýsi pokus o provoz, ale ten člověk o tom rozhodně neměl tucha. Chtělo by to user-friendly VoIP kecátko s podporou IPv6. Chce někdo napsat?

IMHO killer aplikace pro IPv6 budou P2P sítě, nejspíš Bittorent: Pirate Bay nedávno zavedla IPv6 adresy na trackeru (tracker.thepiratebay.org), záleží jak dlouho bude trvat, než se podpora IPv6 dostane do klientů. Lidi pochopí, že s IPv6 nemusí řešit žádné forwardování portů a můžou v klidu sosat :o) Ale napřed se musí IPv6 dostat do stavu, kdy to funguje prostě "samo".

__________________

Jabber: 8an@praha12.net

Old Post 08.04.2009 v 22:32
8an je offline   Click Here to See the Profile for 8an   Find more posts by 8an   Click here to Send 8an a Private Message   Click Here to Email 8an   Visit 8an's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
danny
faultfinder :c)
zastupce cloudu 10.24


Registrován: 12.05.2002
Příspěvků: 5246

Team Member: ADMIN

User is Mapper

Příspěvek č. 14 

quote:
Originally posted by santiago
Specifikace se tim netrapi, protoze je kazdemu jasne, ze je to unicastovy prefix jako kazdy jiny a je mozne ho normalne routovat. Prevazna vetsina siti asi nebude mit nativni IPv6 adresu a aby si rozchozovala IPv6 adresy, ktere by fungovaly jen z CZFree.Net, je docela hloupe, kdyz se stejnym usilim muze rozchodit IPv6 tak, ze funguje odkudkoliv.

Specifikace se tim prave trapi...: The mechanism is intended as a start-up transition tool used during the period of co-existence of IPv4 and IPv6. It is not intended as a permanent solution. Takze je to spise na hrani, nez na nasazeni po cele siti.
Ta funkcnost odkudkoliv zabezpecena pres 6to4 muze byt i kontraproduktivni, tezko ovlivnis, ktery (verejny) 6to4 relay se "zvenci" pouzije (zalezi, odkud z bgp ta "druha strana" chytne nejvyhodnejsi 2002::/16). Nejblizsi pro nas je aktualne typicky z Nemecka... a tezko rict, kolik se pres nej protahne (nezkousel jsem).
Specifikace IPv6 beztak pocita s tim, ze na jednom rozhrani muze byt vice adres. Klidne muze byt jedna z tech po nejaky cas 6to4. Ale dlouhodobe by se lidi meli snazit ziskat prefix od sveho ISP, tlacit na nej (musi citit, ze je poptavka, nenechat se odbyt) - a ne "zkysnout" u 6to4, k cemuz muze snadno dojit... Na lepsi casy se blyska u vetsiny z tech, ktere CZF site jako upstream pouzivaji - IPv6 se tam alespon implementuje, pokud uz neni...
RFC4193 se mi zamlouva jeste z jednoho duvodu - ne vsude clovek chce/bude chtit mit na vsem globalne dosazitelne adresy. A site-local jsou uz nejaky ten patek deprecated...

__________________

.: Beware, 'cos i'm your nitemare! | AS64524 admin with long fingers into another ASNs :-) | Praha12.Net board member | CZF-Praha & NFX netmaster | mapper | nic.czf member | CZF-IRC operator :.
.: Internet shut down due to maintenance :. .: Dulezite upozorneni: osoba je dle vseho ztelesnenym zlem a nic dobreho od ni rozhodne necekejte :-) :.

Old Post 08.04.2009 v 22:34
danny je offline   Click Here to See the Profile for danny   Find more posts by danny   Click here to Send danny a Private Message       Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
danny
faultfinder :c)
zastupce cloudu 10.24


Registrován: 12.05.2002
Příspěvků: 5246

Team Member: ADMIN

User is Mapper

Příspěvek č. 15 

quote:
Originally posted by 8an
Já jsem to vzdal u sektorů s klienty, ale na spojích žádný problém se subnety /120 nepozoruji, a provozuji to už asi půl roku.
Tohle do detailu pitva RFC3627.

__________________

.: Beware, 'cos i'm your nitemare! | AS64524 admin with long fingers into another ASNs :-) | Praha12.Net board member | CZF-Praha & NFX netmaster | mapper | nic.czf member | CZF-IRC operator :.
.: Internet shut down due to maintenance :. .: Dulezite upozorneni: osoba je dle vseho ztelesnenym zlem a nic dobreho od ni rozhodne necekejte :-) :.

Old Post 08.04.2009 v 22:43
danny je offline   Click Here to See the Profile for danny   Find more posts by danny   Click here to Send danny a Private Message       Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
8an
Praha12.Net admin

Registrován: 02.09.2002
Příspěvků: 564

Příspěvek č. 16 

quote:
Originally posted by santiago
My zatim davame /60 na AP, ale asi je to zbytecne setreni.

Já do budoucna počítám se subnetem pro každého klienta AP, a těch je většinou víc než 16. Chci, aby AP bylo agregovatelné do jedné položky routovací tabulky, abychom nemuseli mít na každém routeru Cisco nebo nadupané PC, které zvládne 500 položek v routovací tabulce.

quote:
Originally posted by santiago
Takove site porusuji RFC 4291, bod 2.5.1., kde se rika, ze L2 sit musi mit prefix /64 .

Pokud by platilo
quote:
For all unicast addresses, except those that start with the binary value 000, Interface IDs are required to be 64 bits long and to be constructed in Modified EUI-64 format.

tak by to porušovalo 2001:4860:a003::68 AKA ipv6.google.com, 2a01:490:0:2::171 AKA czfree.net i 2001:1890:1112:1::20 AKA ietf.org - nic z toho není odvozené z MAC podle EUI-64. Takže tipuju, že se to vztahuje k něčemu jinému (možná k link-local adresám?), nebo to RFC které bude brzy prohlášeno za obsolete... Nemám teď čas to studovat, RFCčka pro IPv6 jsou pořád ve vývoji, obzvlášť zábava je kolem standardů pro překlad IPv4 na IPv6. Mimochodem, adresy na P2P spojích jsou stejně potřeba jenom kvůli traceroute, routování jede přes link-local adresy. Zkuste je úplně zrušit a uvidíte.

__________________

Jabber: 8an@praha12.net

Old Post 08.04.2009 v 22:47
8an je offline   Click Here to See the Profile for 8an   Find more posts by 8an   Click here to Send 8an a Private Message   Click Here to Email 8an   Visit 8an's homepage!   Reference obchodniku Upravit/Smazat Příspěvek   Odpovědět s Citací  
Veškerý čas je GMT. Aktuální čas: 04:42.  Předcházející Téma   Další Téma
Odpovědět k Tématu
123  
Zformátovat pro Tisk | Stáhnout Téma do Palma | Poslat Téma E-mailem | Odebírat tuto Diskuzi

Search this Thread:

 

CZFree.NET | Copyright ©MMII - MMXIV CZFree.NET | Kontaktujte Nás
Powered by: vBulletin - Copyright ©MM - MMII Jelsoft Enterprises Limited.
Founder: Deu / original scripting by: carlos (All High Seeds) / Node Monitor by: 8an
Additional Portal & Node Monitor Development by: oto, Zajsoft, Danny, Netdave
Hosted by: NFX.cz / FreeTel.cz