IPv6 - od myslenky k nasazeni

Bezplatné komerční sdělení, které má souvislost s ISP problematikou / Automatické pročištění vlákna do 30 dnů od posledního příspěvku.
Bach
Příspěvky: 123
Registrován: 11 years ago

Re: IPv6 - od myslenky k nasazeni

Příspěvekod Bach » 3 weeks ago

Kmotrik píše:Hapi: zkus se podívat na tohle video https://youtu.be/SZvNpE97LN8

Treba ti to napovi :)


Ano, doporučuji zkouknout celé. V čase 2:06:00 máte i mojí živou ukázku nastavení MK. server-client
1 x
Na domácí přípojku to jde. :-))) http://www.speedtest.net/result/3688392378.png

Uživatelský avatar
hapi
Příspěvky: 11564
Registrován: 11 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 3 weeks ago

to je hezký, jako fajn ale nechci DP od nadřazenýho mikrotiku. Chci prostě vzít CPE MK a nastavit na něm řekněme pool /56 tak aby si klientský PC vzaly /64 což je prakticky advertise se zapnutým DNS...? To jak se klientská jednotka dozví jaký má dávat pool musí bejt už v ní zadaný. Nebude se nikam ptát co má použít, už je to v ní nastavený. Jediný na co tam bude zadaný DHCPv6 PD, jestli sem to správně pochopil, je jenom kvůli dalším "cpe" který si tam klient bez našeho vědomí zapojí.

Takže aktuálně stále nevím co má klient doma za počítače připojený protože jediný kde něco takového vidím je neighbor list.

Jestli sem to správně pochopil tak "přidělení" adres počítačům dává advertise a dhcp je jenom pro delegaci prefixů routerům pod nim?
0 x

Bach
Příspěvky: 123
Registrován: 11 years ago

Příspěvekod Bach » 3 weeks ago

hapi píše:to je hezký, jako fajn ale nechci PD od nadřazenýho mikrotiku. Chci prostě vzít CPE MK a nastavit na něm řekněme pool /56 tak aby si klientský PC vzaly /64 což je prakticky advertise se zapnutým DNS...? To jak se klientská jednotka dozví jaký má dávat pool musí bejt už v ní zadaný. Nebude se nikam ptát co má použít, už je to v ní nastavený. Jediný na co tam bude zadaný DHCPv6 PD, jestli sem to správně pochopil, je jenom kvůli dalším "cpe" který si tam klient bez našeho vědomí zapojí.



ANO. Jestliže chcete dávat statickou konfiguraci per zákazník.

hapi píše:Takže aktuálně stále nevím co má klient doma za počítače připojený protože jediný kde něco takového vidím je neighbor list.

Jestli sem to správně pochopil tak "přidělení" adres počítačům dává advertise a dhcp je jenom pro delegaci prefixů routerům pod nim?


Co má doma za zařízení potřebujete vědět kvůli servisu? U IPv4 tedy sledujete ARP?
Pro DR Vás zajímá jen ta /56.
0 x
Na domácí přípojku to jde. :-))) http://www.speedtest.net/result/3688392378.png

ludvik
Příspěvky: 3941
Registrován: 7 years ago

Příspěvekod ludvik » 3 weeks ago

Měli bychom tu probírat implementační problémy ... a ne začátečnická nepochopení. https://www.lupa.cz/serialy/pohneme-s-ipv6

Ono pokud nastavíš CPE, že má na LAN nějakou /56 tak to také musíš říct ven do zbytku sítě. A pak máš několik možností - necháš to na nadřízeném DHCP, který to propašuje do routovací tabulky a rozšíří to OSPF. Nebo to tam uděláš staticky celé ručně. Nebo daruješ klientům rovnou OSPF, což ty s mikrotiky technicky vzato můžeš.
Používá někdo na mikrotiku DHCPv6 Relay? Platí i o něm to, co o plném DHCP serveru? Také to vrazí do routovací tabulky?


Statika má problém v link-local adresách. Vyměníš-li router, bude to jiné a máš problém v konfiguraci. Dynamicky pomocí DHCP by to mělo být v pořádku (tedy až na ty moje stesky na začátku threadu).
Na rozhraních můžeš mít i globální adresy, to by pak tento problém možná řešilo. Ale dodnes nevím jak jsou na tom různé nástroje s tím, aby šly vůbec použít. Fungovat by to mělo, ale měl jsem s tím problém. Routa má next hop link-local adresu.

Ale co dál v tom klientském CPE je už myšlené tak, že každý segment (lan, wifi, infrastuktura, hosti, acojavimjeste) dostane jednu /64 síť z toho přiděleného /56 (viz ta ukázka s poolem). A v rámci toho jednoho segmentu to už funguje samo pomocí SLAAC.
Jak to je v případě, že by celý prefix pomocí PD dostala přímo stanice netuším. Řekl bych, že desktop OS z toho bude dost zmatený.

A co má klient doma nevidíš ani při IPv4. A ani tě to nemá co zajímat. Zajímá tě IP co leze z jeho NAPT. A v případě IPv6 tě zajímá ten /56 segment. Což je vlastně naschvál, protože hlídat usery na switchi bez routeru je prakticky nemožné díky privacy extensions - IP je každou chvilku jiná. Což mě mimochodem dost vytáčí, protože to mění pohled na tuhle část sítě dost výrazně - klient (zákazník) prostě bez routeru ani ránu.

Mimochodem zkoušel (já vlastně nemám jak ...) někdo to advertise DNS v konfiguraci, kdy existují jen IPv4 DNS? Podle mě by to pak nemělo fungovat. I když OS jako takovému je to zatím fuk. A v případě windows je ještě problém, že to umí až windows 10.
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

Bach
Příspěvky: 123
Registrován: 11 years ago

Příspěvekod Bach » 3 weeks ago

ludvik píše:Používá někdo na mikrotiku DHCPv6 Relay? Platí i o něm to, co o plném DHCP serveru? Také to vrazí do routovací tabulky?


Minimálně do verze 6.40.2 bohužel NE . U novějších jsem to zatím nezkoušel
0 x
Na domácí přípojku to jde. :-))) http://www.speedtest.net/result/3688392378.png

Uživatelský avatar
hapi
Příspěvky: 11564
Registrován: 11 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 3 weeks ago

ludvik píše:Měli bychom tu probírat implementační problémy ... a ne začátečnická nepochopení. https://www.lupa.cz/serialy/pohneme-s-ipv6


no tohle je právě ono co pro tebe je začátečnická nepochopení ale já do teď nevěděl že dhcpv6 je jenom pro delegace. Vsadim se že je víc lidí kteří to prostě z textů nepochopily že to je jenom pro tohle a ne pro přidělení ipček pro pc ale pro přidělení routerům a to je sakra rozdíl kterej jsem teda nepochopil. Přesně takový věci lidem znepříjemňují nasazení ipv6 protože se na něčem zasekne a prostě to pošlou k ledu protože to prachy nevydělává a tím to končí. Vsadim se že ani v tom serialu co si postnul nebude to co píšu.

Jo statika + ospf stejně jako ipv4. Už mi to běží na dvou místech s ipv6 a nevidim problém v link-local adresách. Vyměnim routu, napíšu pool, vyberu ::/64 na lan stranu, ospf zařídí ostatní a už to jede. Jestli sem správně pochopil video tak stejně na lan straně je globální adresa kvůli PD pro ostatní routery takže ospf má z čeho brát.

advertise dns sem zkoušel ted a prostě jenom nedá dns záznamy. ipčko dostaneš. Ačkoliv na jinym místě si pc dns nevzalo i když je vyplněný, u mě doma si to vzal i android tak nevim.

co má doma klient vidim u ipv4, ty ne? Já bych řek že to je důležitý protože když se řeší problém tak je to první věc na kterou se díváme. Vy to vůbec neřešíte? to se dost divim protože jste teda první dvá (ty a ten ve videu) co nezajímá dhcp leases. Je to věc co odhalí i vadnej switch za cpe když to u stavu napíše "offered" a to samí i odhalovalo spálený eth porty na RB411 případně i vadný kabely co jely jednosměrně a podobně. Nehledě na to že to píše do logu kdy tam kdo byl a kdy naposled klient ještě dostal ipčko atd.. fakt se divim že toho vůbec nevyužíváte. Díky tomu se většina věcí vyřeší od stolu.
0 x

Bach
Příspěvky: 123
Registrován: 11 years ago

Příspěvekod Bach » 3 weeks ago

hapi píše:
ludvik píše:Měli bychom tu probírat implementační problémy ... a ne začátečnická nepochopení. https://www.lupa.cz/serialy/pohneme-s-ipv6


no tohle je právě ono co pro tebe je začátečnická nepochopení ale já do teď nevěděl že dhcpv6 je jenom pro delegace. Vsadim se že je víc lidí kteří to prostě z textů nepochopily že to je jenom pro tohle a ne pro přidělení ipček pro pc ale pro přidělení routerům a to je sakra rozdíl kterej jsem teda nepochopil. Přesně takový věci lidem znepříjemňují nasazení ipv6 protože se na něčem zasekne a prostě to pošlou k ledu protože to prachy nevydělává a tím to končí. Vsadim se že ani v tom serialu co si postnul nebude to co píšu.

Jo statika + ospf stejně jako ipv4. Už mi to běží na dvou místech s ipv6 a nevidim problém v link-local adresách. Vyměnim routu, napíšu pool, vyberu ::/64 na lan stranu, ospf zařídí ostatní a už to jede. Jestli sem správně pochopil video tak stejně na lan straně je globální adresa kvůli PD pro ostatní routery takže ospf má z čeho brát.

advertise dns sem zkoušel ted a prostě jenom nedá dns záznamy. ipčko dostaneš. Ačkoliv na jinym místě si pc dns nevzalo i když je vyplněný, u mě doma si to vzal i android tak nevim.

co má doma klient vidim u ipv4, ty ne? Já bych řek že to je důležitý protože když se řeší problém tak je to první věc na kterou se díváme. Vy to vůbec neřešíte? to se dost divim protože jste teda první dvá (ty a ten ve videu) co nezajímá dhcp leases. Je to věc co odhalí i vadnej switch za cpe když to u stavu napíše "offered" a to samí i odhalovalo spálený eth porty na RB411 případně i vadný kabely co jely jednosměrně a podobně. Nehledě na to že to píše do logu kdy tam kdo byl a kdy naposled klient ještě dostal ipčko atd.. fakt se divim že toho vůbec nevyužíváte. Díky tomu se většina věcí vyřeší od stolu.


DHCPv6-PD => PD=PrefixDelegation
Já neříkám, že mě dhcp-leases nezajímá. Pokud má ve vnitřní síti napevno IP, tak potřebujete ARP místo leases.
U IPv6 sledujete neighbor pro připojené zařízení se SLAAC. A Binding pro alokované prefixy za routery
Když máte Dual Stack, tak máte stále stejné možnosti u IPv4, navíc máte IPv6
0 x
Na domácí přípojku to jde. :-))) http://www.speedtest.net/result/3688392378.png

ludvik
Příspěvky: 3941
Registrován: 7 years ago

Příspěvekod ludvik » 3 weeks ago

DHCPv6 není jen pro delegace. Ale přidělování přímo adres snad nefunguje nikde ... (všechno jsem samozřejmě nezkoušel).

Ono pokud má většina lidí tplinky, tak z nich stejně moc nevyčtu. Čili mě to fakt moc nezajímá. A když už, tak neighbors jsou to samé, co ARP. Jiné informace v podstatě nedostaneš, protože to je stateless.

Problém k pochopení to zase až takový není (alespoň základy). Veškerá sranda začne, až se to člověk snaží zprovoznit na svých zařízeních. Řeší výjimky, bugy, vztah k administračnímu systému a tak dál a tak dál.

Ono s mikrotikem je vůbec legrace. Teď jsem si to tu na zkoušku zase hodil, jestli se něco nezměnilo.
a) má problém s RA. Nenastaví si ani default route. Jen vypnutí forwardu zajistí nastavení IP, ale už ne defaulty. Ale jen z quaggy, ne z mikrotiku té samé verze (6.42.9). edit: a to ještě ne vždy ...
S podivem akceptuje DNS - a to až tak dobře, že pokud ji dostane i z DHCP, tak tam jsou prostě dvakrát.
b) default route si lízne z DHCP. Což by jít nemělo :-) Čili v tu chvilku musí použít informace z RA.
c) člověk by řekl, že pokud vypnu managed-configuration, že vůbec nebude fungovat DHCP. Funguje pořád ... no budiž, je tam klient, tak ať funguje.
Naposledy upravil(a) ludvik dne 19 Oct 2018 01:07, celkem upraveno 1 x.
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

Uživatelský avatar
hapi
Příspěvky: 11564
Registrován: 11 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 3 weeks ago

potřebuju ARP místo leases? u zákazníka doma přese je vždy dhcpv4 tak tam je i leases... no asi máme každej hodně jinak řešenou síť a proto si moc navzájem nerozumíme protože mluvíme o něčem jinym co ten druhej nemá. Tplinky už nepoužíváme 2 roky, všude se mění za mikrotiky a to i home ap takže vidíme totálně všude. Nebavilo nás jezdit po servisech když si někdo nezastrčil kabel do stolního apčka nebo kabel rozšlapal mezi futrama a přes mikrotika to vidim tak prostě zjebu zákazníka po telefonu a i vidim co tam právě dělá a kam co zapojil špatně. Takže u nás většina lidí tplinky nemá a nebo je má do lanu s vypnutým dhcp. Navíc jsme malá síť, řešit nějaký delegování prefixů z pár centrálních bodů se u nás nepotká s vůlí to udělat. Prostě routovaná ospf síť s nat cpe bez centrálního řízení/přidělování a bez nutnosti toho aby tam muselo cokoliv běžet kromě hlavní gw. Prostě klasika co má většina ISPíků a i třeba starnet.

Já sem dneska hodně zkoušel ty DNS advertise a mě pro změnu win10 a android sežral pouze se zatrhnutím dns advertise jinak si nastavení přes dhcp nevzaly. (MK v6.43.2)
0 x

Uživatelský avatar
TTcko
Příspěvky: 449
Registrován: 7 years ago

Příspěvekod TTcko » 3 weeks ago

ludvik píše:Používá někdo na mikrotiku DHCPv6 Relay? Platí i o něm to, co o plném DHCP serveru? Také to vrazí do routovací tabulky?


ne, ani na 6.42.7 to není implementováno, bylo by dobrý aby to Mikrotiku reportovalo víc lidí, my to reportujeme s každou verzí co nasadíme, ale když to n ebude masa lidí, tak to nebudou řešit.


ludvik píše:A co má klient doma nevidíš ani při IPv4. A ani tě to nemá co zajímat. Zajímá tě IP co leze z jeho NAPT. A v případě IPv6 tě zajímá ten /56 segment. Což je vlastně naschvál, protože hlídat usery na switchi bez routeru je prakticky nemožné díky privacy extensions - IP je každou chvilku jiná. Což mě mimochodem dost vytáčí, protože to mění pohled na tuhle část sítě dost výrazně - klient (zákazník) prostě bez routeru ani ránu.



což mě osobně přijde jako naprosto správný přístup, to že to v IPv4 bylo jinak je jen proto že existoval NAT.
0 x

Uživatelský avatar
okoun
Příspěvky: 5732
Registrován: 9 years ago
antispam: Ano
Bydliště: Mordor

Příspěvekod okoun » 3 weeks ago

to že se ipv6 neustále mění mě nepřipadá jako správný přístup, jen to nahrává uchylákům a šmejdům dalšího druhu, které nikdo nedohledá, jelikož víme jen jaký prefix patří do které přípojky ale dál už nic.
jinak nějak nechápu v čem je v praxi dobré EUI64? všichni víme co to dělá, ale k čemu to?
0 x
Povoláním ISP není jen připojovat lidi k internetu, ale také jim dokázat vysvětlit, že bez pořádné investice do HW nelze udělat kvalitní přípojku a domácí síť...

Petr Bačina
Příspěvky: 984
Registrován: 4 years ago
Bydliště: Horní Slavkov
Kontaktovat uživatele:

Příspěvekod Petr Bačina » 3 weeks ago

okoun píše:to že se ipv6 neustále mění mě nepřipadá jako správný přístup, jen to nahrává uchylákům a šmejdům dalšího druhu, které nikdo nedohledá, jelikož víme jen jaký prefix patří do které přípojky ale dál už nic.


No tohle je ale úmysl. Kvůli zvýšení bezpečnosti. Sice tahle mince má i druhou stranu, ale už je to tak.

Hapi: nemůže být celý problém v tom, že na celou IPv6 nahlížíš jenom jako na modifikovanou IPv4? 6ka je vlastně úplně jiná. Tam kde byla adresa je Prefix, tam kde byl DHCP server pro klienta (telefon atd.) je dneska automatika, kterou nenastavuješ atd. Pak hledáš mechanizmy, postupy, které nejsou...

IPv6ku jsme zatím nenasadili, ale už nějaký ten pátek zjišťuji co a jak bude potřeba k nasazení a myslím, že ani nebude problém v rozběhání, ale správě si rozvrhnout adresování vůči struktuře sítě.
0 x

radik
Příspěvky: 233
Registrován: 3 years ago

Příspěvekod radik » 3 weeks ago

On je totiz asi celkovy problem v tom jak ma kdo navrhnutou sit.

-1. Pokud je sit, ze na kazdy bode ma router a routuje vse co pres neho tece, tak nasadit IPv6 muze byt skutecne problem. Musi konfigurovat znovu cely OSPF, rozdelovat slozite IPv6 site apod.

-2. u siti, ktery davaji VLAN per klient a klient vetsinou nema svuj router (ma tam primo pocitace) tak neni kam moc delegovat prefix a dostava jen nejaky adresy z /64.
-2a. i kdyby tam mel router a sit nepouziva RADIUS, tak chapu, ze s DUID je problem, protoze musi DHCP server prenastavit. U RADIUSu muze davat site podle MAC (i kdyz se to nedoporucuje a ma to castecne svy duvody - proto i reinstal systemu zmeni DUID), takze docela dost zbytecne prace

Pokud je sit co pouziva PPPoE, tak nic z toho neresi, protoze IPv6 konfiguruje pouze na par paternich routerech. Prefix se dava podle interface, takze i problem s DUID odpada.
Jediny problem je rekonfigurace klientskych routery, aby si vse nacetli. U nových to lze dělat vzdy. Pokud ale byli klienti uz nakonfigurovany nekdy v minulosti (nebo to maji z tovarny), tak se jen na koncentratoru zapne IPv6 a IPv6 jede sama od sebe (pak zalezi jen jestli je potreba v systemu zadat a nebo se liznou zpetne do systemu).
1 x

Uživatelský avatar
TTcko
Příspěvky: 449
Registrován: 7 years ago

Příspěvekod TTcko » 3 weeks ago

radik píše:On je totiz asi celkovy problem v tom jak ma kdo navrhnutou sit.

-1. Pokud je sit, ze na kazdy bode ma router a routuje vse co pres neho tece, tak nasadit IPv6 muze byt skutecne problem. Musi konfigurovat znovu cely OSPF, rozdelovat slozite IPv6 site apod.


TOHLE jsou PATERNI ROUTERY


/routing ospf-v3> export compact
# oct/19/2018 09:18:20 by RouterOS 6.42.7

/routing ospf-v3 instance set [ find default=yes ] name=XXXXX redistribute-connected=as-type-1 redistribute-static=as-type-1 router-id=X.X.X.X
/routing ospf-v3 interface add area=backbone interface=backbone_1 network-type=ptmp

/ipv6> export compact
# oct/19/2018 09:26:14 by RouterOS 6.42.7
/ipv6 address add address=xxxx:xxxx:xxxx:xxxx::1 interface=local_1
/ipv6 dhcp-relay add dhcp-server=xxxx:xxxx:xxxx::250 interface=local_1 name=ipv6
/ipv6 nd set [ find default=yes ] managed-address-configuration=yes

TOHLE je KLIENTSKY MIKROTIK

/ipv6> export compact
# oct/18/2018 15:14:18 by RouterOS 6.43.4
/ipv6 address add address=::1 from-pool=local_1 interface=local_1
/ipv6 dhcp-client add add-default-route=yes interface=uplink_1 pool-name=local_1 request=prefix
/ipv6 nd set [ find default=yes ] advertise-dns=yes



a) naopak v IPv6 světě je OSPF mnohem jednodušší, nic se nekonfiguruje, jen se to "zapíná"
b) sítě nemusíš rozdělovat vůbec nijak, prostě vezmeš nějaký /32 segment a ten dáš na centrální DHCP, z něj přiděluješ /48 koncovým routerům u lidí
c) každému svému páteřnímu routeru dáš na bridge local_1 libovolný prefix, klidně z jiné /32, aby i tvoje síť byla přístupná z IPv6

ještě je potřeba mít centrální DHCPv6, co přiděluje DHCP-PD a skript v PHP (my máme PHP, protože používáme KEA DHCP server a triggery nad SQL), co z přídělů dělá statický routy na hraniční routery (to je to co zatím Mikrotik neumí viz pár příspěvků výše, až to kluci z Mikrotiku opraví, bude to extrem jednoduchý)

TOHLE je KOMPLET KONFIGURACE IPv6 v naší síti, nevím ale mě to zas jako věda nepřijde... komplet konfigurace na 8 řádků konfigurace MIKROTIKU .. jako kluci, sorry nezlobte se na mě, ale to je tak jednoduchý, že to snad ani jednodušší být nemůže, zbytek je jen ve vašich hlavách .. obavách a neznalosti...


radik píše:-2. u siti, ktery davaji VLAN per klient a klient vetsinou nema svuj router (ma tam primo pocitace) tak neni kam moc delegovat prefix a dostava jen nejaky adresy z /64.
-2a. i kdyby tam mel router a sit nepouziva RADIUS, tak chapu, ze s DUID je problem, protoze musi DHCP server prenastavit. U RADIUSu muze davat site podle MAC (i kdyz se to nedoporucuje a ma to castecne svy duvody - proto i reinstal systemu zmeni DUID), takze docela dost zbytecne prace

Pokud je sit co pouziva PPPoE, tak nic z toho neresi, protoze IPv6 konfiguruje pouze na par paternich routerech. Prefix se dava podle interface, takze i problem s DUID odpada.
Jediny problem je rekonfigurace klientskych routery, aby si vse nacetli. U nových to lze dělat vzdy. Pokud ale byli klienti uz nakonfigurovany nekdy v minulosti (nebo to maji z tovarny), tak se jen na koncentratoru zapne IPv6 a IPv6 jede sama od sebe (pak zalezi jen jestli je potreba v systemu zadat a nebo se liznou zpetne do systemu).
Naposledy upravil(a) TTcko dne 19 Oct 2018 09:39, celkem upraveno 11 x.
3 x

radik
Příspěvky: 233
Registrován: 3 years ago

Příspěvekod radik » 3 weeks ago

A bez nejakyt PHP bastlu to neudelas. To je to co rikam, na co narazi vetsina lidi, takze stejne stale plati to co jsme psal. Zapnuti OSPF neni zas takovy problem, ale je to problem, kdyz to musis udelat treba na 700 routerech...


Me to vysvetlovat nemusis, me IPv6 uspesne bezi i bez takovych nesmyslu.
0 x


Zpět na „Komerční sdělení“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 1 host