Bejutás a helyi LAN-ba IPv6-on - Telekom

IPv6

Sziasztok!

 

Telekom Sagemcom @5670-es dobozka, nem bridge módban (és ez általam nem is változtatható ...).

Pingetni nem lehet a WAN és a LAN oldalt sem!

A helyi LAN-ból megy az IPv6-t, kilátok, de be nem!

 

Van itt valaki, aki nagy szakértője ennek a dobozkának és a Matáv IPv6-os szolgáltatásának?

Yettel nem adott IPv6-ot az OtthoniNet-hez, de ott megoldottam a HE-net TLB-vel. Gondoltam itt könnyebb lesz! Hát befelé jelenleg nem, ráadásul a HE.net TLB-s megoldás csak bridge (?) módban megy, mert valahogy a DMZ-be tett gépre nem jönnek a Proto 41-es csomagok és itt pl. WireGuard VPN (tunnel) nem támogatott.

Milyen lehetőségeim vannak?

Köszi!

  • 2844 megtekintés

( azbest | 2022. 12. 15., cs – 15:38 )

Bridge módba rakást a szolgáltató tudja megcsinálni távolról, ha arra van igényed.

Ha egyébként van ipv6 cím osztva a gépekre és nem local link cím, hanem a router által kapotthoz hasonló, ahhoz tett postfixes, akkor kap címet.
Ilyenkor a routuer (hgw) webes felületén lehet egy pipa, hogy legyen -e biztonságos vagy sem az ipv6. De ha beenged mindent, akkor mindened kinn fog lógni publikusan a neten. Van amelyik telekom hgw -nél, legalábbis régebbi szoftver verzióson ki sem lehet kapcsolni, hogy minden elérhető legyen kintről is, mert bugos.

Van IPv6 cím osztva (nem csak LLA) és kifelé működik a dolog.

 

Az általad említett biztonságos ipv6-os beállítással még nem találkoztam, de mondjuk firewall beállítással sem! (IPv4-re sem!)

A telekomos doboz (most ezt minek is hívjuk igazán? router vagy mi? mert modem nem, max. média konverter optikáról UTP-re) mögött van 2 db. OWRT-s router WAN oldala, azaz IPv4-en dupla NAT mögött vannak a cuccok.

Jelenleg még nem igazán tudom, hogy akarom-e a bridge módot, annak minden nyűgével, de a Yettelnél jó volt, hogy magam játszhattam vele.

Az IPv6 tulajdonképpen azért kellene, hogy ezt a dupla NAT/port forward/SNI-s dolgot ki lehessen kerülni. Most viszont befelé nem látszik, hogy működne.
 

Jó volna, ha a szolgáltató ilyenekről is tájékoztatna valami papírkájában, hogy ne kelljen a sötétben tapogatódzni.

Üdv:
Ruzsi

ha neked egymás mögé van fűzve több router, akkor első körben azt kéne megnézned, hogy  közvetlenül a a szolgáltatói cucc mit ad. Azon beállítani amit kell (mit engedjen, mit ne).
A szolgáltatói cucc HGW (home gateway - egyben router + switch + wifi).

Ha a szolgáltató cucc mögé közvetlenül dugott gép már úgy kapcsolódik a netre, ahogy szeretnéd, akkor lehet utána okosítani, hogy a belső routereid mit csináljanak. Lehet azok fogják meg a bejövő kéréseket.

Na, egy név már van! :-) HGW.

 

A HGW lehetőségeit végigrágtam párszor. Amit lehetett kapcsolgattam, próbálkoztam.

Vannak opciók, amik nem teljesen (!?) tiszták, de azok sem IPv6-osok, bár van valami IPv6 pin-holding ... ez olyan port forwarding-os kinézetű, lehet, hogy pont ez kell nekem?

Sajnos a HGW mögött lévő routerek WAN portjaira nem jön pl. ping. Természetesen van IPv6-os forgalom, mert megy RA, RS, ND ICMP6 üzenet, vagy a kifelé igyekvők, de befelé nem igazán. Talán ez az IPv6 pin-holding ...

Üdv:
Ruzsi

"Jó volna, ha a szolgáltató ilyenekről is tájékoztatna valami papírkájában, hogy ne kelljen a sötétben tapogatódzni."

Egyrészt a szolgáltatók azt csinálják, hogy a HGW eszköz bekötését és beüzemelését kiadják külsős alvállalkozóknak, akik az esetek többségében csak annyit értenek bármihez is, hogy behúzzák a lakásba a kábelt, rákötik a dobozt, beszólnak a központba hogy működik-e, majd elbúcsúznak. A felhasználók 99.99%-a nem másra használja a netet, mint játék/stream/netflix/FB/Insta/pornó, és kész, ennyi. A maradék pedig szívhat, ha fel akarja oldatni a NAT-ot és saját routert, saját -- külsőleg elérhető -- szervert akarna üzemeltetni. Negatív tapasztalat mindegyik szolgáltatóval: az utóbbi években hiába volt kérve a NAT feloldása: pár hétig ment, aztán mindig visszavették: ésnem azért mert valami biztonságilag problémás forgalmat észleltek volna, hanem mert CSAK. Párszor még el lett játszva feléjük, hogy ezt ne csinálják már, hagyják úgy ha egyszer be lett állítva, de hiába. Most ezeket az ismerősöket/ügyfeleket beraktam egy stabilan publikus cím  mögé OpenVPN kapcsolattal, ezen keresztül egy kanyarral érik el a saját szervereiket.

Egy másik topicban, de már írtak arról, hogy már minden eszköz és szoftver egyre inkább le van butítva, ezeken az égadta világon de semmit nem tudsz igényeidre szabni vagy beállítani. Jobb esetben tesznek rá egy gombot ami bár nem csinál semmit, de saját megnyugtatásodra nyomogathatod, mint kisgyerek az elemes-brummogós kismacit.

...akik az esetek többségében csak annyit értenek bármihez is, hogy behúzzák a lakásba a kábelt, rákötik a dobozt, beszólnak a központba hogy működik-e, majd elbúcsúznak

Ennyi néha pont elég is...

Megkísérlem elmagyarázni még egyszer, utoljára:

1. A problémán forrása a hibás modem.

2. Önök küldenek egy szerelőt, aki ért a számítógéphez, valamint egy működő modemet, továbbá egy hálózati kábelt, mivel ez a szar ami itt van, csak fojtogatós s**xre alkalmas, másra nem. 

3. Küldenek a szerelővel egy embert, aki tudja használni a telefont, a kaputelefont, valamint a liftet, bár jöhetnek lépcsőn is, így ez csupán ajánlott opció. 

4. Kicserélik a modemet. A szerelő bejön, köszön napszaknak megfelelően, leveszi a cipőjét, visszautasítja a felkínált frissítőt és kicseréli a modemet. A közlekedős ember kint marad. 

5. Aláírom a munkalapot, a szerelő elköszön és kimegy.

6. Működik a szolgáltatás és mindenki boldog.

( theadam | 2022. 12. 15., cs – 16:07 )

Az említett ONT eszköz optikai hálózaton van, PPPoE betárcsázással. Ez azt jelenti, hogy legritkábban ~168 óránként van egy kapcsolatbontás, új IPv6 prefix és új IPv4 cím. Az kérdéses, hogy ez az eszköz le tudja-e kezelni az ilyesmit, de szerintem nem. A Sagem-en biztosan van valami tűzfal ahol paraméterezhető ez a rész, de ahogy írtam, kétlem, hogy hosszútávon működne.

 

Ami megoldás lehet, egy MikroTik router beszerzése, scripttel lekezelhető a dinamikus IPv6-os prefix. A Sagem-en bekapcsolható a PPPoE passtrough, ilyenkor egy eszköz rákötve csinálhat újabb PPPoE-t, és kapsz egy /56-os v6-os prefix-et és egy darab IPv4 címet a saját eszközre.

 

Konklúzió: Nem egyszerű beállítani, mert az IPv6 logikájával ellentétes a dinamikusan változó prefix és mivel legjobb tudomásom szerint csak Mikrotik-kel hozható össze normálisan a mutatvány, ezért egyszeri befektetés is jóeséllyel. Valami megoldás OpenWRT-re is van, de azt nem ismerem, nem tudom, mennyire kell vele vacakolni.

TheAdam

Itt a második név: ONT! Ez valmi Optical Network Termination lenne?

 

Igen, PPPoE lehet, mert most PPP-n van a kapcsolat.

Az IPv4-re van DDNS lehetőség.

Az IPv6 cserét majd meglátom, mit fog csinálni, de láttam olyat, hogy DHCP-PD, ami ki van kapcsolva jelenleg.

PPPoE passthrough-t bekapcsoltam, de a saját routerem azt mondta, hogy PADO timeout, amit én arra véltem, hogy nem nem kapja meg. Lehet, hogy ki-be kellene kapcsolnom a HGW/ONT-t? A PPP-hez a usernevet és a jelszót megkaptam, de az eszközből is kilvashatom.

HE.net-nél a saját IPv6-os alhálóm (és a tunnel két vége) fixen maradt. Itt a cső nálam lévő végének IP-je változott, amit valami API-val kellett volna aktualizálnom és ennyi. Egy darabig a Yettel nem nagyon cserélte az IPv4-em, aztán most már naponta és

ráadásul este felé behalt rajta a forgalom. Érdekes, hogy reggelre "kiegyenesítette" magát, de akkor már az IPv6 halott volt, hiszen cserélte a cső végének az IPv4-ét a Yettel. Macerás ...

A Mikrotikbe most nem ruháznék be, mert pár napja jött egy AX1800-as OWRT-s router/AP és az is húzós volt.

Próbálok egyezkedni a szolgáltatóval, hátha ...

Aztán marad a bridge ...

Üdv:
Ruzsi

Az ONT az optical network terminal, vagy is a végponti eszköz, ami nálad van:)

 

mauzi V | 2022. 12. 16., p – 00:25 )

Permalink

Konkrét eszközre nem vagyok biztos benne, tud-e szűrni a Sagemcom tűzfal. Ha még is, az örömteli. MikroTik-en az egész LAN szegmens egy bridge, ott tehát nem lehet olyat, hogy mondjuk mindent beengedek ether2-re, csak IPv6 cím alapján lehet engedni, de mivel változik a prefix, valahogy át kell írni a tűzfalon.

rattila | 2022. 12. 15., cs – 17:00 )

Permalink

Telekom-nál egyidőben aktív lehet két PPPoE session optikán. Tehát egyet a Sagemcom épít, egyet pedig a te routered. Az új, Android alapú Telekom TV platformnak ui szüksége van netre és arra, hogy a Telekom eszközén lógjon, emiatt van engedve a második session, hogy attól még saját eszközön is legyen publikus IP és IPv6.

TheAdam

Szia nekem is ez volt a gondom. A routerbe amit a telekom feltesz alapból ki van kapcsolva, hogy IPv4 és IPv6 ping-re válaszóljon. Azt szűri. Hiába kérsz ppoe-vel és be van kapcsolva a PT is akkor sem lesz IPv6-od. De ha bele lépsz a modembe és ott bekapcsolod az IPv6 választ azonnal menni fog és onnantól már a mikrotik tud kapni PREFIX-et. Csak PREFIX-et állíts be ha beállítod az ADDRES-t is akkor nem ad.

Csak prefix-et kérj, címet ne. MikroTik-en szívtam vele pár órát:D

mauzi V | 2022. 12. 16., p – 22:39 )

Permalink

Az ONT-on lévő PPPoE lekapcsolásával csak óvatosan. Ahogy fenntebb írtam, az új, Telekom TV platformnak szüksége van a netkapcsolatra, ezért a két session lehetősége.

TheAdam

Ez azt jelenti, hogy legritkábban ~168 óránként van egy kapcsolatbontás, új IPv6 prefix és új IPv4 cím. Az kérdéses, hogy ez az eszköz le tudja-e kezelni az ilyesmit, de szerintem nem.

Mit nem tud lekezelni?

A kiosztható DHCPv6-PD-vel kapja, az minden további nélkül kapja az új prefixet. A helyi LAN-on router advertisement van, az pedig azonnal kiszórja a helyi gépeknek. A beépített tűzfal interfészek alapján dolgozik, mindegy neki, hogy épp mi az IP címe.

Dinamikus interfészek esetén ne hardcode-olj prefixet. Ez már így volt dinamikus IPv4 címek esetében is.

IPv6 esetén, ha nem szeretnéd, hogy a szolgáltató által változhasson a házon belüli kommunikáció, akkor alkalmazz ugyanazon VLAN-ban több prefixet egyszerre. Legyen egy belső ULA prefix, ami független a WAN kapcsolattól, és legyen egy global prefix, ami a szolgáltató kénye-kedve szerint változhat.

Ha a belső gépedet szeretnéd elérni kívülről, akkor a tűzfalon célszerű lehet network prefix translationt használni, ha a routered támogatja. Ez statless is lehet, nem úgy, mint a klasszikus NAT.

Az IPv6 alapjában véve nem a NAT-olásról szól, hanem hogy minden eszközt közvetlenül meg lehessen címezni.
Kár, hogy az első gondolatunk mindig a NAT. Ezt jól belénk verte az IPv4.

A prefix translation már jobb megoldás. Sajnos a hálózati eszközökben ma még egyedi szkriptelés nélkül
   - se a tűzfal filterszabályok
   - se a prefix translation
nem tehető függővé a kapott prefixtől, nincs még felkészítve erre a szoftverük.

Egyébként a dinamikus IP is egy külön történet, hogy miért szokott rá a világ?

Egyébként a dinamikus IP is egy külön történet, hogy miért szokott rá a világ?

még dialup időszakban adott modemnek volt külön IPcíme, és nem az előfizetőnek. Természetesen adott előfizető is kérhetett fixen IPcímet (speciális okokból, pl UUCP v SMTP-etrn alapú levelezés), természetesen felárért.

A következő ugrás, amikor az előfizető folyamatosan online volt, a szolgáltató szeretett némi extra lóvét beszedni a FIX ipcím miatt, aki nem fizetett érte azt pedig periodikusan ledobta (és reconnect esetén persze új IP-t kapott).
Most pedig affelé tart a világ, hogy a előfizető akkor kap külső (IPv4) címet, ha ezért fizet...

Igen. Viszont ezt a "kellemetlen" szokást viszik tovább IPv6-ra is. Lehet hogy úgy érzik, hogy kevés lesz az IPv6 cím. :)
És akkor kapsz otthonra a RIPE által ajánlott /56-ot és végigszkriptelheted az összes hálózati eszközödet vagy marad a tartomány forgatás csak mert dinamikus IPv6 lesz a menő?

Jelenleg a MATÁV ha jól tudom szintén ad egy IPv6 címet a routerednek és prefixet a dhcpv6 pool-ba, amiből a router mögötti hálózatot konfigurálod (pl. SLAAC segítségével).
Lásd imént hivatkozott RIPE ajánlást: It is strongly discouraged to assign prefixes longer than /56 unless there are very strong and unsolvable technical reasons for doing this.
Viszont egyelőre örülj, hogy ha a szolgáltatótól egyáltalán kapsz egyetlen /64-et. A vendégwifi és hasonló életszerű alhálózatok ma még nem kaphatnak önálló /64-et.

Wow! Látom. Ez tetszik!

  • A HGW 1db /56 IPv6 prefixet is kap, melyből az első /64 prefix a LAN oldalon kerül felhasználásra. A /56 prefix többi részét az ügyfeleink által telepített plusz routerek használhatják (kérhetik DHCP-vel) prefix delegálás keretében további interfészeik IP címmel ellátására
    https://www.telekom.hu/rolunk/ipv6/mit_kinal_a_magyar_telekom

Bárcsak a többi szolgáltató
  - mindegyike adna végre IPv6-ot
  - és ráadásul így a RIPE ajánlásával összhangban.

Jó ez a leírás, de a lényeget kiemelném:
Az Internet felől IPv6-on is természetesen védjük az ügyfeleinket és ezzel együtt a készülékeiket is, ezért kívülről a telefon felé kapcsolatot kezdeményezni továbbra sem lehetséges, ezen irányú kommunikációt tűzfal szűri a Magyar Telekom hálózatában.
Na most innestől lehet a kérdezőnek valós IPv6 címe, mehet is a forgalma tisztán IPv6 alapokon kifelé - de bejönni nem fog rajta. Az persze lehet kérdés, hogy az első tagmondatban említett készülékek pontosítása csupán a második mondatban említett (mobil) telefon, vagy csak példa? A kérdés alapja, hogy a mobil eszközöknek a mobil neten más tartományból ad IPv6 címet a T, így relatíve könnyen megoldható, hogy az azon bejövő kapcsolatokat tiltsa, miközben a másik tartományt, amelyből a routerek kapják az IPv6-ot, nem szűri.

Igen, alapból /64 van, de kérhetsz /56-ot is. Nem az ügyfélszolgálaton. Elég ha bekötsz egy másik normálisabb routert. Openwrt-vel és Mikrotikkel nekem jelenleg is /56 van kérve PD-vel. Régen még /48-at is tudtam, de ez megszünt.

Akkor is, ha nincs bridge módban. Csak az icmpv6 legyen engedélyezve mindenen.

A lakossági az egy dolog, de hogy a céges, fix IP cím feláras opcióval rendelkező csomaghoz is csak IPv4-ből adnak fixet, IPv6-hoz nem, az érthetetlen. (DIGI)

BTW, függetlenül attól, hogy lakossági vagy céges: manapság egy fix IPv4 címes opció többezer Ft szokott lenni. Vegyél inkább egy közeli (kis válaszidejű) szolgáltatótól egy VPS-t, ami adott esetben kb. havi ~2000 Ft ellenében ad fix IPv4 címet és fix /56 prefixet. A hátulütője a tunnel, ami GRE esetén 20+4 bájt veszteség az MTU-ból.

A telekom teljesen kretén. Van olyan laskossági előfizetésünk, ahol csak modem / hgw cserekor változott az ip cím. Talán, ha sok órára áramtalanítva lenne, esetleg akkor osztana újat.

Ellenben az üzleti előfizetés, amihez kifejezetten fix ip cím van, ott nem fix. Beköttetés után is szívás volt vele és a szerelő azt mondta, hogy nem tudja bekapcsolni üzleti csomagnál. Aztán valahogy sikerült több hónap után. Viszont szerződés újrakötéskor új hgw-t kaptunk, azóta megint változik meghatározott időnként a cím, pedig kifejezetten fixet kértünk. Most megint megy a küzdelem, hogy megoldják a fix címet.

Mindkettő koaxos :)

( wpeople v | 2022. 12. 15., cs – 16:26 )

a PPPoE passthru-ra két esélyt érzek:
1) az eszközben van erre gyárilag opció
2) a usernevet kicseréled üres beállításra 

Van ilyen opció és kapcsolgatható!

Pont ott van, ahol a PPP nem módosítható adatai vannak (kivéve: user/pass)

Az üres nevet mondta a szerelő is. Próbáltam. Lehet, hogy rosszul, de akkor "kaptam" a PADO timeout-ot az OWR-tn.

 

Még játszom vele, bár jó lenne már magára hagyni, hogy "csak" működjön! ;-) De a tanulás és a kísérletezésben is van kihívás!

Üdv:
Ruzsi

A routerem építi fel a kapcsolatot. 

IPv4-en sikerül, de nehezen. Viszont ha bekapcsolom, hogy PPP-n kérjen IPv6 címet, akkor nincs 4-es cím sem!

Csak arról a routerről megy, amelyik a DMZ-ben van!

 

Apropó DMZ! 

Az ide tett gép megkapná a proto 41-es csomagokat is? Az ONT nem tud ilyen proto-t forwardolni. :-(

Pl. a HE.net tudna valami ilyet. Mondjuk nem megy, de lehet, hogy rosszul csinálom! 

Üdv:
Ruzsi

Apropó DMZ!
Az ide tett gép megkapná a proto 41-es csomagokat is? Az ONT nem tud ilyen proto-t forwardolni.

A PPP Passthru opció használata esetén esetében nincs értelme annak, hogy DMZ és forwardolás. Onnantól a Telekom által adott eszközt nem használod routernek, csak egy GPON <-> Ethernet médiakonverternek.

Az ONT egyik LAN lábára dugod a saját routered WAN lábát, ott tudsz rajta a routeredről PPPoE kapcsolatot kezdeményezni. A PPPoE kapcsolatban egy kutyaközönséges PPP sessionnek kellene felépülni, ami dual-stack, azaz PPP IPCP-vel kapsz rá IPv4 címet, és SLAAC-vel IPv6 címet. Ezzel maga a routered már tud IPv6-on is menni kifelé. Ha a belső hálódnak is szeretnél IPv6 címeket, akkor azt a routeren DHCPv6 PD-vel kell kérned. Ez nekem így működik a Telekomos kapcsolatomon 10+ éve. (Már ADSL-lel is így működött, csak időközben a köztes infrastruktúra átment ADSL-ről GPON-ra, de ebből szoftveresen semmit sem vettem észre, mert pont ugyanúgy kell PPPoE csatlakozni mindkét esetben.)

Egy dolog változott pár évvel ezelőtt: régebben külön PPPoE session kellett az IPv4-hez és az IPv6-hoz, aztán egy ideje már egy is elég, mert dual-stack lett a PPP session.

( rattila | 2022. 12. 16., p – 11:42 )

Találtam ilyet: IPv6 Pin-holing!

A nevéből itélve ez valami IPv6 szintű tűzfal lyuggatás lenne?

Próbáltam beadni neki címeket, de eddig hibával szállt ki.

Olyan van, hogy:

  • Name
  • Protocol (TCP, UDP, BOTH, ICMP) [nem túl sok lehetőség!]
  • Local IP [itt van egy LLA-s cím beírva példának]
  • Remote IP [itt egy globál cím példa van]
  • Local port
  • Remote port
  • Action (reject local|remote|both; accept local|remote|both) [itt van nyíl az irányhoz ill. egy "like"-szerű kéz zölddel és prossal)

Az Action és a Name tiszta.

A Remote IP egy távoli gép globál IPv6-ja kell.

A Local IP kinek a local-ja? A HGW vagy pl. a HGW mögötti routerem LLA-ja? Vagy a router mögötti elérendő eszközé?

Jelenleg megelégednék egy router WAN port pingetéssel is.

Próbáltam ICMP és TCP-vel, de nem fogadta el! Nem sok infót kaptam eddig a Telekomtól a témában, bár 3 munkanapot írtak a kérdésem megválaszolására ...

Valakinek van ilyen Sagemcom F@st 5760-ja, ahol állított ilyet? Azt hittem, gyorsan ki lehet találni hogyn kell lyukasztgatni ezt a merev tűzfalat, de most már pilótavizsgásnak tűnik így leírás, magyarázat nélkül.

Üdv:
Ruzsi

( rattila | 2022. 12. 16., p – 22:20 )

Kicsit elmerültem a témában és néztem forgalmat a pppoe-es interfészen, ami nem kap IPv6-ot.

Sajnos az odhcp6c kap egy db. választ, de nem kapok IP-t. A pppd +ipv6 paraméter ellenére sem! Gondolom, hogy ha kapna 6-os IP-t a PPP-nél, akkor a DHCP se kellene.

Még megpróbálhatom kézzel debug-olni a PPP-t...

Kéne kapnom IPv6-os IP-t ezen a PPPoE-s passthrough 2. kapcsolaton is? 

Üdv:
Ruzsi

Nekem ez a két szimultán session új, ilyet régebben nem lehetett, és van egy olyan érzésem, hogy ha lehet is, akkor is ez egy, a szolgáltató által nem kívánatos / nem támogatott módja a használatnak. Nem tudom, hogy mennyire teljesértékű a második kapcsolat, de szerintem "ne keresd vele a bajt".

A HGW-n lődd le a betárcsázást, kapcsold be a PPPoE passthru-t, és tárcsázz be a saját routeredről. Ezt én csillió helyen használom (ezeket a sorokat is egy ilyen Telekomos GPON kapcsolatról írom), működik. Az IPv4 mindenképpen, de IMHO már az összes Telekomos access koncentrátoron több éve dualstack van.

Egy csomag kimenet a routerem pppoe interfészről:

 

root@dh-homer:~# tcpdump -ni pppoe-Test ip6
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on pppoe-Test, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
12:14:02.151275 IP6 fe80::e6c7:22ff:fe3a:9094 > ff02::1: ICMP6, router advertisement, length 64
12:17:03.965415 IP6 fe80::e6c7:22ff:fe3a:9094 > ff02::1: ICMP6, router advertisement, length 64
12:18:54.170882 IP6 fe80::7c9e:ca4f:f876:e1fb > ff02::2: ICMP6, router solicitation, length 8
12:18:54.228730 IP6 fe80::7c9e:ca4f:f876:e1fb.546 > ff02::1:2.547: dhcp6 solicit
12:18:54.232139 IP6 fe80::e6c7:22ff:fe3a:9094.547 > fe80::7c9e:ca4f:f876:e1fb.546: dhcp6 advertise
12:18:55.647780 IP6 fe80::7c9e:ca4f:f876:e1fb.546 > ff02::1:2.547: dhcp6 solicit
12:18:57.596799 IP6 fe80::7c9e:ca4f:f876:e1fb.546 > ff02::1:2.547: dhcp6 inf-req
12:18:57.599866 IP6 fe80::e6c7:22ff:fe3a:9094.547 > fe80::7c9e:ca4f:f876:e1fb.546: dhcp6 reply
12:18:58.171765 IP6 fe80::7c9e:ca4f:f876:e1fb > ff02::2: ICMP6, router solicitation, length 8
12:19:02.172228 IP6 fe80::7c9e:ca4f:f876:e1fb > ff02::2: ICMP6, router solicitation, length 8
12:19:06.172665 IP6 fe80::7c9e:ca4f:f876:e1fb > ff02::2: ICMP6, router solicitation, length 8
12:19:50.716888 IP6 fe80::e6c7:22ff:fe3a:9094 > ff02::1: ICMP6, router advertisement, length 64

Üdv:
Ruzsi

( rattila | 2022. 12. 17., szo – 08:30 )

A lelövéshez a user adatokon kívül kell ki-bekapcsolás is? 

Mert csak kitörölve a user adatokat, vidáman megy tovább! Persze mitől is dobná el a már meglévő kapcsolatot? 

Üdv:
Ruzsi

( renard | 2022. 12. 17., szo – 11:40 )

Egyszer láttam ilyen dobozt. Kifelé van publikus IPv6-os címed, de IPv4-es nincs, az IPv4-es LAN-t nem fogod kívülről elérni, mert az szolgáltatói NAT mögött van. Az összes eszközöd, ami ezen az eszközön lóg és tud IPv6-ot, kap publikus IPv6-os címet, ezeket nem árt egyesével védeni.

Pingelni csak az IPv6-os publikus címet lehet, ehhez egy pipát kell betenni valahol a menüben (pontosan nem tudom megmondani, hogy hol, de könnyű megtalálni; ha nagyon kell, be tudok lépni egy ilyen kütyübe, ha otthon van a gazdája).

Jelenleg minden érdekel a témában, mert infó hiányában szenvedek! 

Nálam van IPv6 prefix (szerintem /64-es), van IPv4 a HGW-nek (aztán a többiek port forwarddal elérhetők) és tudok csinálni az egyik (DMZ-be tett) routeren PPPoE-t csak IPv4-gyel. 

Befelé IPv6 nem játszik, még a HGW sem pingethető! 

 

Jó lenne, ha a szolgáltató a hálózati lehetőségekről is tájékoztatna, nem csak az árakról és sebességekről! Egy pár oldalas brossúra már régen nem elegendő ilyen bonyolultságú dobozkákhoz! 

Üdv:
Ruzsi

( rattila | 2022. 12. 17., szo – 13:11 )

Azt hiszem, OWRT-s segítség kellene!

Sikerült olyan odhcp6c parancsssort kreálnom, ahol kapok prefixet, de valahogy a script mégsem konfigurálja fel a pppoe-Test interfészemet a kapott prefix alapján.

Üdv:
Ruzsi

No hát, kérem szépen: sikerült az újabb OWRT-s dobozra (GL.iNet AX1800) PPPoE-re IPv4+6-os IP címet kapnom!

Aire választ adott:

1. Nem kell a DMZ-ben lennie az eszköznek. Bocsánat azoktól, akikkel "vitatkoztam"! Nekik volt igazuk!

A régi és az új OWRT-s eszköz is a HGW sárga, belső LAN-jára csatlakozik és onnan kap IP-t a WAN portjukra.

2. Úgy nézki, tényleg 2 session/user a limit.

Ebből egyet használ a HGW és maradékon osztozik a 2 OWRT. Kizáró vagy kapcsolattal, tehát nem kap már IPv4-et az, amelyik később próbál szerezni magának. Ez szépen látható a logban: User session limit exceeded.

Most kezdődik a játék: van 2 db. ::/64-es tartományom és ebből kell megoldani, hogy lehessen ki-be közlekedni.

(jelenleg éppen még pingetni se tudom kintről IPv4-en a pppoe-s interfészt ...)

Üdv:
Ruzsi

( gerendas | 2022. 12. 17., szo – 13:17 )

Gyanítom nem sokat segít neked - nálam DIGI /64 -et ad és azt a OpenWrt simán dhcp6 -al tovább adja a belső gépeknek.
Kívülről így elérhetőek IPv6 -on.

Küldenél nekem konfigeket, képernyő képeket? Legjobban az összehasonlító módszerrel szoktam haladni.

Jelenleg én is egy DiGI-s rendszerből nézem az otthoni kesze-kusza hálóm és itt is /64 van. Még nem próbáltam bejönni, viszont itt csak a DIGI dobozkája van, ami szintén valami ONT és nagyon tetszik, hogy koax is jön ki belőle, így nem kell semmilyen más doboz a TV-hez.

Üdv:
Ruzsi

( rattila | 2022. 12. 18., v – 18:36 )

Jelenleg óriási a káosz a hálóban, de próbálok úrrá lenni rajta.

Ehhez egy kicsit előrelépnék IPv6 konfig tekintetében.

A HGW kap egy aaaa:bbbb:cccc:dddd::/64-es prefixet.

Van egy WAN IPv6-os cím, ami nincs benne a fenti tartományban.

 

A HGW LAN-jához csatlakozik 2 OWRT-s router WAN portja, akik DHCP-n (?) kapnak címet.

Mit kell állítanom a két routernek, hogy az ő helyi LAN lábaikon lógó kliensek használható IPV6-okat kapjanak?

aaaa:bbbb:cccc:dddd:1::/48 és aaaa:bbbb:cccc:dddd:2::/48 legyen a prefixe a DHCP-iknek?

 

Aztán ott van még a PPPoE 2. session, ami szintén kapott egy címet és valószínűleg egy tartományt is, de ez már csak az egyik OWRT WAN lábán van csak.

 

Távlatokban a 11 éves TP-Linkes OWRT-t nyugdíjaznám, mert már IPv6 tekintetében 2x megbukott:

- Ciscó L3-as switch-csel nem volt jó viszonyban IPv6-on,

- Megbukott a PPPoE-es IPv6 kérésen.

Viszont most még sok eszköz ül a WiFi-jén, így nem dobnám ki. Majd "konszolidálnám" a hálóm, de ez idő, idő, idő és közben mennie is kéne, ráadásul sokszor távolról kell(ene) kalapálni, ami magában hordozza a kicsukás lehetőségét.

Üdv:
Ruzsi

Na előkotortam egy régi TP-linket. 2012 első félévében már díjakat nyert termék volt a TL-WR842ND v1.
Láthatóan fut ezen is, webes konfig felület is oké (próbáltam), stb.

A 8 MB flash az viszont tényleg alapkövetelmény, kevesebb flash-el szerelt routerre a mostani OpenWRT image már nem megy fel, max saját eléggé redukált valami.

Nálam az egyik helyen egy Xiaomi Mi WiFi Mini szórja a WiFit, abban van 128 MB RAM és 16 MB flash.

https://openwrt.org/toh/xiaomi/miwifi_mini

https://chinagadgetsreviews.com/unboxing-xiaomi-mi-wifi-mini-router-eng…

Abban így néz ki a státuszképernyő:

https://i.imgur.com/zBq6lUx.png

Nálad mennyi a szabad memória és a szabad tárhely?

( rattila | 2022. 12. 23., p – 12:46 )

Az a kérdés merült fel bennem, hogy használhatok -e saját ONT-t a meglévő helyett?

Üdv:
Ruzsi

( gattila | 2022. 12. 24., szo – 09:12 )

Én már végigjártam ezt a témát. Koaxos Sagemcom-om van IPTV-vel. Amennyiben van IPTV-d, akkor nem teheted bridge módba az eszközt.

Van rendes dualstack, de az IPTV miatt IPv4-en Nat-ol. Rákötöttem egy Mikrotik router-t, ahol natolok mégegyszer IPv4-en. A HGW-n DMZ-be raktam a mikrotik IP-jét. Így IPv4 teljesen OK, kívülről minden beesik a mikrotikre.

IPv6-on PD-vel sikerült /56-ot kérni a szolgáltatótól, így a mikrotik után akár több VLAN-t is ki tudok szolgálni IPv6-tal.

Kifelé működik is minden, de kívülről befelé semmi, mint ahogy írtad. Ez azért van, mert vagy a HGW-ben vagy a szolgáltató hálózatán kívülről a NEW csomagok Drop-ra, az Established, Related csomagok Accept-re vannak állítva a tűzfalban. A Gui-n nincs semmi, amivel ezt be tudnám állítani. 

Az ügyfélszolgálaton nem értették a problémám. Azt kérdezgették, hogy most akkor működik vagy nem és, hogy azt szeretném hogy működjön vagy nem :D. Mondtam nekik, hogy működik az IPv6, de kívülről befelé megfogja egy tűzfal az új kapcsolatokat. Az ügyfélszolgálatos kolléga egyáltalán nem érti, mi a probléma, nem küzdöttem tovább.

Egyébként, ha egyéb problémátok lenne, checkoljátok, hogy icmpv6 átmegy-e, mert ha nem, akkor nem működik a PD és/vagy a Neighbor Discovery. Mert IPV6-nál nincs ARP.

A DMZ-be bejön a protocol 41 is? (IPv6 in IPv4) Hogy lehetne ezt ellenőrizni?

Ki kell próbálni. Nekem régen a Telekomnál egy Cisco EPC3925 HGW volt és abba nem ment be az IP protocol 41 a DMZ-be. Csak a protocol 6 (TCP) és a protocol 17 (UDP) ment be, azon belül minden port.

Jött válasz a levelemre. Hívjam a 1414-et ...

 

Létezik olyan feltöltő kártyás mobilnet, ami nem CG-NAT mögött van? Azaz, amire be lehetne jutni a Netről?

Yettelt próbáltam, de a 100.x-es tartományból ad IP-t.

Az otthoni Tkom-os Netem úgy néz ki, hogy hetente cserél IP-t, de ehhez hozzátartozik, hogy kivettem a HGW-ből a név/jelszó párost és PPPoE passthru van, amit a routerem terminál. Jót küzdöttem hozzá a DDNS-sel, de alakul!

Ahogy látom, az IPv6 címet is cserélte és így nem igazán tudom, hogyan tudom ezt használni a LAN-on lévő gépek számára!
Beüzemeltem egy TLB-t a 6in4 alapján, de valami nem gömbölyű, mert csak úgy tudok IPv6-ot pingetni, ha a pppoe interfészt megadom a ping-nek. Lehet, hogy így semmi értelme a Tkom-os IPv6-os címnek?
Sajnos nem igazán megy az OpenWRT (Linux) alatt az IPv6-os címek módosítgatása az intefészeken (pl. törlés), ill. a route parancs, de magával a route tábla bejegyzésekkel se vagyok teljesen tisztában, nem még a parancs szintaktikájával! Aztán bejátszhat az ip6tables is rendesen!

Most per pill. az IPv6 nem működik a rendszeremben, pedig rendesen küzdöttem vele!

Üdv:
Ruzsi

Feltöltőkártyásat nem tudom.

A mobilflottás adatkártyák rendes IP-t adnak (Van egy ilyen Yettel kártyám). 5-6 ezer Ft/hó a havidíj. Szerintem direktben a yettelnél is van ilyen, de így olcsóbb. Céget nem írok, mert nem akarok reklámozni itt senkit.

A lényeg, hogy két vagy háromféle APN van. Az "online" APN CG-nat-ot ad. A "net" APN pedig rendeset.

Rendes lakossági előfizetésnél nem tudom, hogy ki lehet-e cserélni az APN-nt, de szerintem úgy nem működik. Nem tudom kipróbálni, mert a rendes kártyám telekomos.

Köszönöm a választ!

A feltöltősöm az "online" APN-t hozza. "net"-et nem láttam.

Az Otthoni MobilNet-et kéne megnéznem, milyen APN-t használ. Az igazi IPv4-et hozott, csak olyan volt, mintha 2 tartományból osztogatott volna, ráadásul kb. naponta és ugye ott sincs IPv6 ... :-(

Backup elérésnek gondoltam volna. Bár így is maradhatna VPN-nel.

Üdv:
Ruzsi

( Dwokfur v | 2023. 01. 13., p – 10:35 )

Nálam Sagemcom f@st 5655 van. Bridge mód nélkül, ha beállítom a PPTP-passthrough-t, hogy saját router-rel lehet használni. A Telekom egyszerre két PPTP-t is enged. A modem fellép egyel és adja az IPTV-t meg a telefont, az internetet pedig a saját router-rel oldom meg. Ez is egy lehetőség és akkor a te kezedbe kerülnek a dolgok.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."