Android - IPv6 -> IPv4 fallback (kimenő forgalom Link Local címről)

Android

Adott egy dual-stack hálózat, ahol DHCPv6 osztja az IPv6 címeket.

Az Android nem támogatja a DHCPv6-ot, viszont megkapja a default route hirdetést router advertisementben. Ez eddig nem volna probléma, viszont - Global IPv6 cím hiányában - a Link Local címével próbál kimenni WAN irányba. Ez nyilván nem sikerül neki, és nem fallback-el IPv4-re, ami nagyobb baj.

Ez látszik a tűzfalon a tcpdump-ban:


16:43:05.056910 IP6 fe80::a23e:6bff:fea6:c9f4.43614 > imap.cegnev.hu.imaps: Flags [S], seq 2480787975, win 65535, options [mss 1440,sackOK,TS val 360139 ecr 0,nop,wscale 6], length 0

Próbáltam ehhez hasonló szabályokkal játszani, hátha sikerül rávenni az IPv4 fallback-re, de nem jártam eredménnyel:


ip6tables -A FORWARD -s fe80::/10 ! -d fe80::/10 -j REJECT --reject-with icmp6-no-route

illetve

ip6tables -A FORWARD -s fe80::/10 ! -d fe80::/10 -j REJECT --reject-with icmp6-addr-unreachable

Mi erre a best practice? (az Androidos készülékek bezúzásán kívül)

SLAAC nem játszik, a jelenlegi DHCPv6 implementáció nem kerülhető meg.

  • 882 megtekintés

( _ventura_ v | 2017. 10. 26., cs – 19:41 )

Ugyan nekem az O+3T -m OxygenOs 4.1 ota magának dönti el, hogy megy-e az ipv6 vagy sem. attól függetlenül, hogy SLAAC vel megkapta az IP-t.

Amugy mi a gond az SLAAC-vel ? Ha jól rémlik a szolgáltatók, DHCPv6 al küldenek 1 címet meg PD-vel egy tartomány, amit az ügyfél a routeren úgy szór ahogy akar, legtöbbször ugye SLAAC-vel.

Fedora 25, Thinkpad x220

Nem úgy van ám az a topológia.

- A felhasználók közvetlenül csatlakoztatják a (BYOD) készülékeiket ethernet vagy WiFi felületen. Nincs saját routerük, ahol PD-t tudnának fogadni, és maguknak SLAAC-zni.

Ezek notebookokkal, telefonokkal, tabletekkel az épületekben rohangáló jónépek.

- Nekem szolgáltatói oldalról nincs akkora prefixem, hogy minden végfelhasználónak saját /64-et, pláne saját VLAN-t tudjak adni.

- Több felhasználó (= csoportok) vannak egy VLAN-ban, minden VLAN-ban egy /64 van.

Jelenleg RADIUS authentikáció után a júzer megkapja a megfelelő VLAN-t, és a benne használható /64-ből a számára dedikált statikus IPv6 címet/címeket.

Ez IPv4-gyel így van 20+ éve, IPv6-tal (DHCPv6 mellett) 8 éve, bevált, működik. A kliensek többsége Windows, a dolog Vista óta a felhasználók szemszögéből out-of-box működik.

Alapjaiban véve leszarom, hogy Android-on DHCPv6 hiányában nem megy az IPv6, de a probléma az, hogy ha látja az Android a RA-ban érkező gatewayt, akkor azon akar kimenni akkor is, ha nincs route-olható IPv6 címe.

- Olyat nem tudok csinálni, hogy egy VLAN-on belül az Android kliens ne kapjon RA-t, mindenki más meg igen,

- Olyat még más oprendszerrel nem tapasztaltam, hogy egyedül Link Local cím birtokában el akart volna indulni a WAN prefixek irányába (ez szerintem erősen IP stack hiba)

- Ha egy cél IPv6 prefix nem volt elérhető IPv6 felett, akkor eddig minden más rendszer csendben visszaváltott IPv4-re (out-of-box) - az Android meg baszik visszaváltani.

Most tehát ott vagyunk, ahol a part szakad. Van egy k*rva rég óta jól működő topológia és hálózat, és az Android nem képes rajta keresztül elérni egy kutyaközönséges szervert IPv4 fölött, mert feloldja az AAAA rekordját, aztán paff.

Közbe megtaláltam mi ez az egész :D

Nekem itthon volt v6om, de a O+3T kitalálta, hogy nem hajlandó használni, mert csak. :D
Viszont mivel SLAAC vel megkapott mindent, volt 1-2 program pl gmail ami nem igazán működött. A play is először csak homokórázott és csak nagy timeout indult meg v4 felé. Érdekes módom chrome-al nem volt ilyen gondom.

Az IT ban sajna a "régóta jól működő" nem létezik, csak abban az minden komponens változatlan :D
Csak ez ritkán tartható, így pár évente újra kell gondolni, javítani, átgondolni a dolgokat ahogy változnak a dolgok.

vagy SLAAC, vagy kapcsold ki a v6 ot. Látod 1x éve van v6, de nem képesek normálisan mai napig implementálni egyesek :<

BYOD -ra elég az ipv4 :>

Fedora 25, Thinkpad x220

> Vagy pontosan tudni kell, hogy melyik user melyik v6 címet kapta meg ?

Igen. Ennek rengeteg oka van, aminek egy részét ki lehetne küszöbölni dinamikus DNS-sel, nagy részével azonban gondban lennénk. (Itt most hadd ne ássak bele mélyebben.)

> Ez valami hotspot?

Funkcionálisan nevezhetjük annak. Van vezetékes (ethernet) és WiFi csatlakozási lehetőség, és az eszközök tekintélyes része BYOD.

Én ezen a screenshoton semmi nyomát nem látom a DHCPv6-nak. Vannak szép, minden bizonnyal SLAAC-s címeid...

(Azt el tudom képzelni, hogy valamelyik vendor beletett DHCPv6 klienst az Androidos készülékébe, de a stock Android-ban legutolsó információim szerint nincs DHCPv6 támogatás - "WontFix")