Native ipv6 home router

Ubuntu Linux

Hi,

Az lenne a kerdesem barki is csinalt-e mar olyat hogy native ipv6 router ubuntubol, vagy latott-e leirast hozza?
Google-ozgatok par napja de hasznalhatot eddig meg nem talaltam.
Amit szeretnek, 1 pc 2 lan kartyaval egy wan, egy lan router es firewall a lannak.

Ennyi.

Valami otlet?

Elore is koszi szepen.

cyd

  • 5613 megtekintés

( uid_20269 | 2016. 03. 24., cs – 09:28 )

Múlt hónapba állítottam be két pfSense tűzfalat, nekem bejött.
Szerintem szedj le egy live-ot aztán nézd meg mit tud ipv6-ból..
--
God bless you, Captain Hindsight..

( uid_6201 v | 2016. 03. 24., cs – 09:33 )

Általános Linux szerverrel még nem csináltam, de ha netán WiFi router is megfelel, OpenWRT a barátod, illetve Mikrotik olcsóbb routerei szintén. Legalábbis ezeken keresztül sokunknál szépen jön a natív IPv6.

( mauzi v | 2016. 03. 24., cs – 09:34 )

> Az lenne a kerdesem barki is csinalt-e mar olyat hogy native ipv6 router ubuntubol

Linuxból (konkrétan Debian-ból, de ez kb. tökmindegy, mert disztribúció-független) és NetBSD-ből már csináltam PC alapú, IPv6-os routert. (Még BGP-vel is, Quagga-t használok, nem hibátlan, de működik.)

Egyébként, Ciscoval és Mikrotikkel remekül működik, és a szappantartó kategóriában valószínűleg az OpenWRT is beválik.

Hol akadsz el?

Hogy merre induljak.
Legyen global ipv6 a belso halon? Legyen csak link-local a belso halon es global a wan oldalon? Legyen only ipv6 a wan oldalon es ipv4 a lan oldalon?
Szoval meg azt sem tudom melyik koncepcio fele induljak.

Bocsi a lamasagert.

Az energia nem vész, csak a franc se tudja hova lesz.

Nem lámaság, ezt mindegyikünk végigszopta.
IPv4 ettől teljesen független ág, ide nem szól bele.

Digi esetén például úgy néz ki, hogy
- router wan interfészére kapsz: 2a01:36c:/128 címet
- router LAN interfészére kapsz: 2a01:36d:/64 tartományt --> ebből radvd illetve dhcpdv6 oszthat a gépeknek publikus címet.

LAN oldalon még az fd00/8-ból is adj belső címet, mert az legalább fix, a Digié minden nap változik és hülyén néz ki minden nap más címmel hivatkozni a LAN-os nyomtatóra, LAN-os szerverre, ...

Egyébként leírhatod a végén hogyan csináltad meg az Ubuntu routert, ekkor nekünk sem kell kikisérleteznünk ha ilyenre szottyan kedvünk.

OpenWRT esetén egyébként ma már szinte semmi szopás, ha szűzinstall 15.05.1-et raksz fel és ekkor a webes konfigfelületén keresztül WAN6-ra kiválasztasz DHCPv6 klienst. Ha a régebbi verziót upgradeled, akkor volt szopás a régről átvett hibás IPv6 tűzfallal.

Azt nem lehet DIGI eseten hogy a routert - sajat pfSense meghagyon IPv6-nak de csk a WAN oldalon es a belso LAN-t kezelem hagyomanyos IPV4-el es a PFSense fordit-NAT-ol stb ?

Ketlem hogy a TV-k, es kismillio egyeb dolog orulne az IP6-nak es amint Te is emlitetted vicces is lenne minden nap mashol megtalalni oket nem beszelve a biztonsagi kovetelmenyekrol. Szoval egyelore az IPV4 privat kosz szepen eleg belulve es a kulso resz legyen csak IPV6...

+1
Samsung SMART TV (2012) IPv4 only.
Lantronix (USB-UART modul) és társai, ami otthon ritka de előfordul, még szintén IPv4 only.
Egyéb egyedi fejlesztésű áramkörök: IPv4 only

De a Digi ad IPv4 és IPv6-ot is. Így még nincs probléma ezekkel az IPv4 eszközökkel. Annyi hogy mint kiveséztük, ha IPv4-en 100.64/10 -ből oszt a szolgáltató, akkor azt a szolgáltató NAT-olja, kintről elérhetetlen.

A biztonság terén IPv6 sem annyira vészes. A NAT hiánya ne zavarjon: 


  1. sor: conntrack alapján enged minden felépült kapcsolatot
          ip6tables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

  2. sor: csak bentről engedi az előzőn kívüli mindent (új kapcsolódást)
          ip6tables -A FORWARD -i LANINTERFESZ -j ACCEPT

  3. sor: reject a többire
          ip6tables -A FORWARD -j REJECT

Így csak bentről indított kapcsolatra megy válasz. Egyébként OpenWRT alaptűzfala erre van állítva.
És ebbe beleszúrhatsz portot, amint kintről beengedsz.

Tény, hogy a dinamikus IPv6-ra én is pont ezért morgolódtam, hogy a LAN-on az internetes címet használva minden nap máshol van minden, de esetemben

$ ping6 -n c1
PING c1(fdee:f362:64f7:0:21e:6ff:fecc:bc13) 56 data bytes

és ezen a belső IP címen fixen elérem.
Egyébként tényleg furi, hogy így az eszközöknek legalább 3 db IPv6 címük van:

1. link local - automatikusan generálódik, nem alkalmas kommunikációra, csak IP kérésre
2. fd00/8 tartományból Unique local address, tehát a LAN-os cím; ezt jegyezd be az intrás névszerveredbe
3. szolgáltatótól kapott publikus interent cím ... és dinamikus hogy szívjál. De legalább nem NAT-olt.
4. IPv4 címe is van az eszköznek, mert IPv4-es hostokat IPv6-tal nem érsz el jelenleg.

Koszi - ez hasznos - jo tudni !

Masik kerdes - ha a DIGI NAT-ol az IPv6 meg dinamikus hogy tudok gondoskodni rola hogy a belso kameraimat mindig megtalaljam kintrol meg ha IPv6-on is? Valamifele DynDNS IPv6-ra gondolok.

Jelenleg sajat kulso DNS-eimet updatelem a valtozo IPV4-el de azt konnyu kideritenem - bar most hogy igy irom IPv6-ra is biztos tudnek hegeszteni valami scriptet de azt akkor mindig belulrol kellene kezdemenyeznem es az eleg bonyolult ha az eszkoz nem tud scriptet futtani.

Jelenleg a routeremen (NAT) futo script teszi ezt es port forwaldol befele, de mondjuk nem hiszem hogy ilyesmit tudnek futtani a kamerakon is hogy megkapjam a valos cimeket...

Biztos hogy natívban ki akarod engedni egy jelszó ellenében?
VPN jobbnak tűnik a homevideó elkerüléséhez. Ez pedig futhat az OpenWRT-ben vagy bármely belső SBC-n is és onnantól fixen névvel hivatkozhatsz rá az fd00/8 tartományon levő, esetleg IPv4-es LAN-os címükön.

- Link local mindenképpen lesz mindenhol. Az nem route-olható.
- A belső hálón nem kötelező global, elegendő lehetne site-local, de az deprecated (RFC 3879: "Site is an Ill-Defined Concept")
- A megoldás mindenképpen a global, mindenhova. És, persze tűzfallal védeni a belső hálót.
- Belső hálón célszerű lehet még Unique Local használata

Sziasztok!

Szeretnék segítséget kérni, mert már rengeteg posztot elolvastam a témában és még mindig nem akar működni.

A hálózat konfigurációja ua, mint amit feljebb már leírtak. IPv4-en a hálózat hibátlanul működik.

Ubuntu 16.04
WAN: enp63s0
LAN: enp32s0

Idáig eljutottam:

* a /etc/ppp/options fájl végébe be írva: "+ipv6 ipv6cp-use-ipaddr"
* a /etc/sysctl.conf fájlban ez is be írva "net.ipv6.conf.enp63s0.accept_ra=2"

Újraindítás vagy újra kapcsolódás után (Digi PPPoE) kapok egy IPv4+IPv6 címet. A router hibátlanul tud kommunikálni a világgal v6-on keresztül. Eddig minden szép és jó.

Szeretném a teljesen hálózaton elérhetővé tenni a v6-ot.

Szóval ha hozzáadom ezt a sort a sysctl.conf-hoz "net.ipv6.conf.all.forwarding=1" a "net.ipv6.conf.enp63s0.accept_ra=2" elé, onnantól nem kapok v6-os címet.

Próbálkoztam wide-dhcp6c-al, hogy kapjak egy prefix-delegatet, de nem sok sikerrel. Így az radvd.conf-ot sem tudtam érdemben beállítani.

Tudnátok segíteni, hogy mi az ami miatt ez nem működik?

Üdv,
northway

> Szóval ha hozzáadom ezt a sort a sysctl.conf-hoz "net.ipv6.conf.all.forwarding=1" a "net.ipv6.conf.enp63s0.accept_ra=2" elé,
> onnantól nem kapok v6-os címet.

Ez eddig rendeltetésszerű.

> Próbálkoztam wide-dhcp6c-al, hogy kapjak egy prefix-delegatet, de nem sok sikerrel.

Pedig, kéne neki mennie. Nálam ezzel megy: 


interface ppp0 {
  send ia-pd 0;
  request domain-name-servers, domain-name;
  send domain-name-servers, domain-name;
};

id-assoc pd {
  prefix-interface eth0 {
    sla-id 0;
    sla-len 8;
    ifid 1;
  };
};

Itt teszem hozzá, hogy a wide dhcp6c egy régóta nem karbantartott, elavult termék. Javaslom helyette a dhcpcd használatát. Szintén DIGI estén nekem ez működik: 


allowinterfaces ppp0 eth0
debug
hostname
duid
ipv6only
noipv6rs
nogateway
waitip

interface ppp0
  iaid 1
  ia_na 1
  ia_pd 2/::/64 eth0/0/64

Továbbra sem megy, szóval próbálok megosztani még infót:

interfaces:

# The loopback network interface
auto lo
iface lo inet loopback

# LAN
auto enp32s0
iface enp32s0 inet static
address 192.168.0.1
netmask 255.255.0.0
gateway 192.168.0.1
dns-nameservers 192.168.0.1
dns-search mydomain.com

iface enp32s0 inet6 auto

# WAN
auto enp63s0
iface enp63s0 inet static
address 10.1.1.10
netmask 255.255.255.255

iface enp63s0 inet6 auto

# PPP
auto dsl-provider
iface dsl-provider inet ppp
pre-up /bin/ip link set enp63s0 up # line maintained by pppoeconf
provider dsl-provider

Illetve beleírtam a /etc/dhcp/dhclient.conf -ba

# Digi
allowinterfaces ppp0 enp63s0
debug
hostname
duid
ipv6only
noipv6rs
nogateway
waitip

interface ppp0
iaid 1
ia_na 1
ia_pd 2/::/64 enp63s0/0/64

Esetleg iptables bekavarhat?

A wide csomagot töröltem és ahogy írtad beállítottam a dhcpd-t.

A syslogban ezek az üzenetek vannak:

Sep 5 09:23:02 lynx dhclient[5085]: DHCPDISCOVER on enp63s0 to 255.255.255.255 port 67 interval 8 (xid=0xf6701a46)
Sep 5 09:23:06 lynx dhclient[4884]: DHCPDISCOVER on enp63s0 to 255.255.255.255 port 67 interval 7 (xid=0x6958df1e)
Sep 5 09:23:10 lynx dhclient[5085]: DHCPDISCOVER on enp63s0 to 255.255.255.255 port 67 interval 10 (xid=0xf6701a46)
Sep 5 09:23:13 lynx dhclient[4884]: DHCPDISCOVER on enp63s0 to 255.255.255.255 port 67 interval 12 (xid=0x6958df1e)
Sep 5 09:23:20 lynx dhclient[5085]: DHCPDISCOVER on enp63s0 to 255.255.255.255 port 67 interval 21 (xid=0xf6701a46)
Sep 5 09:23:25 lynx dhclient[4884]: DHCPDISCOVER on enp63s0 to 255.255.255.255 port 67 interval 17 (xid=0x6958df1e)
Sep 5 09:23:32 lynx kernel: [ 1033.806685] device ppp0 left promiscuous mode
Sep 5 09:23:38 lynx kernel: [ 1039.544046] device enp63s0 entered promiscuous mode
Sep 5 09:23:41 lynx dhclient[5085]: DHCPDISCOVER on enp63s0 to 255.255.255.255 port 67 interval 17 (xid=0xf6701a46)
Sep 5 09:23:42 lynx dhclient[4884]: DHCPDISCOVER on enp63s0 to 255.255.255.255 port 67 interval 11 (xid=0x6958df1e)
Sep 5 09:23:53 lynx dhclient[4884]: DHCPDISCOVER on enp63s0 to 255.255.255.255 port 67 interval 14 (xid=0x6958df1e)
Sep 5 09:23:58 lynx systemd[1]: Started Session 33 of user northway.
Sep 5 09:23:58 lynx dhclient[5085]: DHCPDISCOVER on enp63s0 to 255.255.255.255 port 67 interval 14 (xid=0xf6701a46)
Sep 5 09:24:01 lynx CRON[5141]: (northway) CMD (~/cron/ppp-check.sh > /dev/null 2>&1)
Sep 5 09:24:07 lynx dhclient[4884]: DHCPDISCOVER on enp63s0 to 255.255.255.255 port 67 interval 19 (xid=0x6958df1e)
Sep 5 09:24:12 lynx dhclient[5085]: DHCPDISCOVER on enp63s0 to 255.255.255.255 port 67 interval 10 (xid=0xf6701a46)
Sep 5 09:24:13 lynx kernel: [ 1074.784035] device ppp0 entered promiscuous mode
Sep 5 09:24:22 lynx dhclient[5085]: DHCPDISCOVER on enp63s0 to 255.255.255.255 port 67 interval 14 (xid=0xf6701a46)
Sep 5 09:24:26 lynx dhclient[4884]: DHCPDISCOVER on enp63s0 to 255.255.255.255 port 67 interval 17 (xid=0x6958df1e)
Sep 5 09:24:31 lynx dhcpd[1648]: DHCPREQUEST for 192.168.1.32 from 08:66:98:db:bc:8d via enp32s0
Sep 5 09:24:31 lynx dhcpd[1648]: DHCPACK on 192.168.1.32 to 08:66:98:db:bc:8d via enp32s0
Sep 5 09:24:36 lynx dhclient[5085]: DHCPDISCOVER on enp63s0 to 255.255.255.255 port 67 interval 11 (xid=0xf6701a46)
Sep 5 09:24:43 lynx dhclient[4884]: DHCPDISCOVER on enp63s0 to 255.255.255.255 port 67 interval 16 (xid=0x6958df1e)
Sep 5 09:24:47 lynx dhclient[5085]: DHCPDISCOVER on enp63s0 to 255.255.255.255 port 67 interval 21 (xid=0xf6701a46)
Sep 5 09:24:59 lynx dhclient[4884]: DHCPDISCOVER on enp63s0 to 255.255.255.255 port 67 interval 13 (xid=0x6958df1e)

A tcpdump-on pedig ez jelenik meg:

tcpdump: listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
00:00:00.000000 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 88) fe80::f952:c923:5dce:13c5 > ip6-allnodes: [icmp6 sum ok] ICMP6, router advertisement, length 88
hop limit 0, Flags [managed, other stateful], pref medium, router lifetime 1800s, reachable time 0s, retrans time 0s
prefix info option (3), length 32 (4): 2a01-036c-0115-23a0-0000-0000-0000-0000.pool6.digikabel.hu/64, Flags [onlink, auto], valid time 86400s, pref. time 14400s
0x0000: 40c0 0001 5180 0000 3840 0000 0000 2a01
0x0010: 036c 0115 23a0 0000 0000 0000 0000
rdnss option (25), length 40 (5): lifetime 600s, addr: cnss2.digicable.hu addr: cnss1.digicable.hu
0x0000: 0000 0000 0258 2a01 0368 000a 0000 0000
0x0010: 0000 0000 0002 2a01 0368 000a 0000 0000
0x0020: 0000 0000 0001

A prefix infót látom, de nem tudom miért nem veszi fel az interface a címet. Valamit triviálisat kihagytam?