(Megoldva) Vodafone IPv6

IPv6

Úgy néz ki, engem is utolért a végzet :) A Vodafone külön értesítés nélkül (minek is) IPv6 + CGNAT-ra tett át. Igazából fogalmam sincs mikor, ott derült ki, hogy a fiam szeretett volna magának valami VPN-t csinálni és a korábban hozzá forwardolt portok nem működtek, és már a routerem iptables filterében sem növekedtek a számlálók, ha próbáltam kintről kapcsolódni. Aztán jobban megnézve a vodafone router beállítását, nem találtam a korábbi portforward menüpontot, és ha lekérdeztem az adatokat, a külső IPv4 cím helyett megjelent egy IPv6 cím meg egy prefix delegation egy /57-es tartománnyal (ami azért első körben emberbarátnak tűnik).

Akinek esetleg Vodafone netje van, van információja arról, hogy ez a delegált prefix mennyire állandó (mondjuk egy router restart után)? Ha igen, arra kérem, hogy ossza meg a tapasztalatait.

Mindenesetre első lépcsőként a delegációból sikerült egy IPv6 címet beállítani az edgerouteren, egyelőre eddig jutottam, a tovább delegálás még hátravan (leírást találtam róla, viszonylag egyszerűenk tűnik a dolog), de előtte még be kell lőnöm az IPv6 tűzfalat, hogy ne legyen nyitott a hálózat.

Korábban már próbálkoztam IPv6-tal (Hurricane Electric tunnelen át), tehát nem teljesen szűz terület, ami akkor nem teljesen jött össze, az a DHCPv6. Az automatikus címadás működött rendben (SLAAC), de szeretném elérni, hogy a hostok IPv6 címei bekerüljenek a DNS zónámba. Ha erről valaki tud valami részletes és viszonylag emészthető leírást (angol vagy magyar nyelven), azt szívesen venném.

Egyelőre ennyi.

  • 3838 megtekintés

( kruska v | 2023. 05. 11., cs – 12:52 )

de előtte még be kell lőnöm az IPv6 tűzfalat, hogy ne legyen nyitott a hálózat.

Ez a része viszonylag egyszerű. Küldöm, ahogy én használom - persze nyilván lehet még finomítani. 

    ipv6-name WANv6_IN {
        default-action drop
        description "WAN inbound traffic forwarded to LAN"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related sessions"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }

    ipv6-name WANv6_LOCAL {
        default-action drop
        description "WAN inbound traffic to the router"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related sessions"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
        rule 30 {
            action accept
            description "Allow IPv6 icmp"
            protocol ipv6-icmp
        }
        rule 40 {
            action accept
            description "allow dhcpv6"
            destination {
                port 546
            }
            protocol udp
            source {
                port 547
            }
        }
        rule 50 {
            action accept
            description WireGuard
            destination {
                port 51800-51899
            }
            log disable
            protocol udp
            source {
            }
        }
    }

Nálam csak SLAAC van:

    ethernet eth9 {
        address dhcp
        description wan
        dhcpv6-pd {
            pd 0 {
                interface eth8 {
                    host-address ::1
                    prefix-id :1
                    service slaac
                }
                interface eth11 {
                    host-address ::1
                    prefix-id :3
                    service slaac
                }
                interface switch0 {
                    host-address ::1
                    prefix-id :2
                    service slaac
                }
                prefix-length /56
            }
            rapid-commit enable
        }
        duplex auto
        firewall {
            in {
                ipv6-name WANv6_IN
                name WAN_IN
            }
            local {
                ipv6-name WANv6_LOCAL
                name WAN_LOCAL
            }
        }

Az automatikus címadás működött rendben (SLAAC), de szeretném elérni, hogy a hostok IPv6 címei bekerüljenek a DNS zónámba.

Én ezt abszolút fapad módon oldom meg, a routeren fut egy cron script, ami prefix változás esetén (nálam Telekom van, nagyon ritkán változik) megupdateli a DNS-t, a cloud tűzfalakat stb.

#!/bin/bash

LAST_FILE=/home/ubnt/ipv6/ipv6_last
LAST=`cat $LAST_FILE`

SUBNET56_IPV6=`ip addr show dev eth8 | grep inet6 | awk {'print $2'} | awk -F'::' {'print $1'} | awk '{print substr($1, 1, length($1)-2)}'`

if [[ "$LAST" != "$SUBNET56_IPV6" ]]; then
    echo $SUBNET56_IPV6 > $LAST_FILE
    ...
fi

Ezek a rule-ok (WANv6_local és Wanv6_in) benne voltak az Edgerouter-X-ben a wireguardot kivéve (gyárilag?), csak hozzá kellett rendelni az interface-hez (nyilván a default setup nem tudja, hogy melyik interface milyen funkciót kap).

A script érdekes, de én azért meg fogom próbálni a dhcpv6 beállítást :)

Ezek a rule-ok (WANv6_local és Wanv6_in) benne voltak az Edgerouter-X-ben a wireguardot kivéve (gyárilag?)

Nem nagyon emlékszem, mert a WG-t nem tudta alapból, úgy kellett külön telepíteni és konfigolni. De esélyes.

A script érdekes, de én azért meg fogom próbálni a dhcpv6 beállítást :)

Kíváncsi vagyok, mire jutsz vele. Kicsit csalódott vagyok, hogy az EdgeRouter vonal ennyire elhanyagolt lett, pedig szerintem kiváló vas lenne (nekem 12P van).

Az interface-ed számozásából gondoltam, hogy nagyobb cucc :) Ebben ugye nincs beépített switch? ER POE-5 volt nekem korábban, megadta magát (egy haverom úgy néz ki, megcsinálta, de még nem kaptam vissza), ehelyett néztem egy Pro 8-at, de aztán elvetettem, mert nincs hw switch benne, a bridge meg lassú és felesleges, ráadásul zúg, mint állat. Úgyhogy ER-X lett a pótlás, pici, csendes, teszi a dolgát és van rajta egy POE passthrough, ami jó, mert így meg tudom hajtani a Nanostationt is vele. Lassan visszaérkezik a javított ER-5, az megy tartaléknak, mert bár az Ubiquiti ezt a vonalat elengedte, én nem szeretném.

( uid_6201 v | 2023. 05. 11., cs – 13:10 )

Akár akarjuk akár nem, a jövő az IPv6 user végpontok irányába mutat. Így a végponti peer-to-peer kapcsolatok problémája megoldódik.
 

Emiatt nem is bánkódom különösebben az átállítás miatt, van alkalom tanulni. A HE féle IPv6-ot azért szüntettem meg, mert mivel külföldi IPv6 tartományom lett, egy-két olyan szolgáltatás nem ment, amely ország szerint differenciál, így ha azokat akartam használni, ki kellett kapcsolni az adott gépen az IPv6-ot (ezt a Linuxon viszonylag egyszerű volt, de tableten, mobilon MAC-en már nem annyira).

Ez eddig ok, de azért a vodkáék szólhattak volna, még ha a felhasználók sok kilences százaléka nem is fogta volna fel, mi a toszt is akarnak...

Így hogy mindenegybe cég lett és még meg is vette kormányunk és pártunk (veszi, fogja venni, nem követem) olyan trehány banda lett. Nem bírnak egy ügyet hat hónapja intézni lassan már, pedig szóltunk nekik írásban, szóban, személyesen, telefonon, közvetítőn keresztül, földön, vízen, levegőben és a sínek között is, de még mindig semmi...

( Friczy v | 2023. 05. 11., cs – 17:54 )

Szerkesztve: 2023. 05. 11., cs – 18:17

Bonyolódik a dolog, a külső interface megkapja a v6 címet, viszont a belső nem. tcpdumppal megnézve a dhcpv6 forgalmat, ilyenek jönnek vissza.

dhcp6 reply (xid=f26975 (IA_PD IAID:0 T1:0 T2:0 (status-code NoPrefixAvail)) (rapid-commit) 

Ha jól értem, akkor a prefix delegálás mintha nem működne, tehát amit a voda box kiír, azt nem küldi?

(rátaláltam egy korábbi ezzel kapcsolatos itteni threadre, az alapján amit itt kiír, annak semmi köze ahhoz, hogy delegál-e vagy sem, vagyis kapok egy sima /64 tartományból egy címet, amivel nem sokra megyek)

Egyébként én Digi-nél az alábbi módon csinálom közel 9 éve:
   - WAN dhcpclient --> address + prefix lekérés
   - LAN-on csak SLAAC van, ide ezt a prefixet hirdeti

LAN oldalon DHCPv6 szerver nincs. SLAAC gyakorlatilag mindent tud, ami nekem az itthoni hálózatban IPv6 terén kell.

( oykawa | 2023. 05. 11., cs – 20:24 )

Ha felhívod a Vodafone-t (1270) tudod kérni vissza a natív nyilvános külső IP-t ami nem natolt, viszont akkor nem lesz IPV6!

Oykawa

Köszönöm. Egyelőre visszakértem az IPv4-et, ezt megcsinálták, eddig ezzel elvoltam, a bridge módon még gondolkodom. A kettős NAT nem zavart eddig sem, viszont amikor hirtelen feldobta a pacskert az Edgerouter, akkor jól jött, hogy némi munkával, de át tudtam állni a szolgáltatói routerre, így hamarabb lett netkapcsolat, és volt időm keresni pótlást.

Szóval v6 jövő még nagyon odébb van, sőt egyre messzebb ...

Igen, ugyanezt érzem én is gyakran.  :(
Reálisabban nézve elég végiggondolni, hogy mi mozgatja a mai internetet. Az otthoni kamera és a peer-to-peer az másodlagos cél. Az elsődleges üzleti célokra az ipv4 elég.

Így igaz. A mindent is valami relay-n át megoldásoknál elég sokáig lehet NAT-olgatni az eszközöket, emiatt az már egész biztos tolódik nem keveset, amiről néhány éve szó volt, hogy kényszer lesz az IPv6 bevezetése. Jelenleg egy szűk geek réteget leszámítva senkit nem érdekel. Ehhez hozzájön, hogy a beállítása is bonyolultabb mint az IPv4, ha valakinek van is, amint rádugja a saját router-ét, hogy legyen fájlmegosztás, ASUS AI Protection és társai, a v6 megy a levesbe, mert nincs motiváció felkonfigurálni.

 

Sokat írtam már róla itt, az OVH Kimsufi szervereken a hirdetett 100 Mbps-mal szemben az IPv6 az esetek túlnyomó többségében duplex gigabit. Szerintem az alacsony populációja miatt úgy vannak vele, hogy ezzel is segíthetik a terjedését, ha más nem, azok körében, akiknek megéri a nevetségesen jó ár egy kicsit mókolós szerverért. Van aki CloudFlare proxy-t IPv6-on köti rá és a felhasználók simán elérik dual stack, gigabiten.

 

Másik jó példa a Telekom, amikor nagyon morognak a felhasználók egyik-másik duguló külföldi irány miatt, sokszor láttam már, hogy az IPv4-et korrigálják, az IPv6 meg el van felejtve és 100 ms-mal nagyobb a késleltetés. Régen a v6-os útvonalak érezhetően jobbak voltak, mint a v4, ez az előny mára sajnos teljesen eltűnt. Az OVH francia DC-be hónapokig volt gyenge az IPv6-os peering Telekom-on, nem kapkodták el a javítást. Nem tudom melyik oldal érdeme, pár hónapja már mindenesetre rendben van.

 

Nagyon kíváncsi leszek, merre fog haladni ez az IPv6 téma, mert jelenleg nagyon visszafogottan használják és a terjedése is lassuló tendenciát mutat, noha eddig sem volt villám.

TheAdam

A 'nem birkózik meg vele' ez esetben szerintem nem állja meg a helyét. Amit adnak, az egyszerűen kevés arra, amire nekem kell. egy /60-nal már ellennék, főleg, hogy nem tartom valószínűnek, hogy az IoT eszközök rövid időn belül IPv6-képesek lesznek. De ha az ajánlás szerinti /56-ot adnák, akkor simán beüzemelném a teljes IPv6-ot, és még gyakorlásra való subnetem is maradna.

Mellesleg Manci néninek simán lehetne ezzel a beállítással is, ha csak egy számítógépe van, vagy esetleg több, de mindegyik a szolgáltatói routerre dugva (közvetlenül vagy switchen/wifin át).

Az lesz. Ha rendes IPv6-ot adnának /56 (vagy akár /60) delegációval, akkor még rendben lenne a dolog, de úgy, hogy gyakorlatilag egy v6 címem van (és még ott is trükközni kell, hogy kívülről elérhető legyen), így nem kell.

A box alapból tilt minden kintről jövő kapcsolatot, ami alapvetően rendben is van, a portforward helyett viszont az a megoldás, hogy ha egy portot be akarok valahová engedni, akkor meg kell adnom az eszköz mac-addressét, és a portot. Vagyis az egész csak akkor működik, ha nincs saját routerem, és minden belső eszköz közvetlenül vagy switchen át a Vodafone routerére csatlakozik. Ez lehet, hogy megfelel egy átlagembernek (ő viszont nem fogja tudni, hogy mi az a mac-address), de ha saját router, több subnet, stb. van, akkor már használhatatlan.

Szerk: Meg is volt a visszakapcsolás, meglepő módon várakozni se kellett (persze egy rakás szöveget végig kellett hallgatni, mire egyáltalán a menühöz értem, de legalább zenehallgatásos félóra nem volt), egy kellemes hangú hölgy készségesen visszaállította IPv4-re.

Nem elég. A jelenlegi beállításban a routerem kap egy IPv6 címet, még csak nem is subnetet, mivel ez akár változhat is, nem is tudnám továbbosztani, IPv6-nál meg NAT nem jár.

És igen, kellenek publikus IP-vel elérhető subnetek, és mivel /64-et szabványosan subnetelni már nem lehet, ez nem járható út. Szépen hangzik a /64 subnetben elférő 64 bitnyi cím, de ha egyszer az IPv6-ot úgy alakították ki, hogy ennyi cím ugyanabban a subnetben kell legyen (ami persze egy marhaság, de attól még ez a standard), akkor ez nem annyi cím.

Mivel saját routert is használok a vodafone-é mögött, már az sem oldható meg, hogy akár ennek a /64 subnetnek a többi címét valahogy berendezzem a router mögé, mert csak arra az egy címre kapom meg a csomagokat, amit a router megkapott, már a router mögötti egyik gépem sem kaphatna ebből a tartományból.

Szóval felejtsd el ezt a szép hosszú számot, teljesen felesleges ezzel jönni. Remélem, nem is gondoltad komolyan.

( halacs v | 2023. 05. 12., p – 08:48 )

Szerkesztve: 2023. 05. 12., p – 08:49

Telekomnál ilyen gondok nincsenek szerencsére. Van publikus IPv4 címem és egy /56-os prefixem is DHCPv6-al amit SLAAC-al szépen tovább tudok adni a helyi hálózaton. Mindeközben telefon is van. IP TV mondjuk nincs, mert az bridge módban nem működik de hát istenem, a fenének se kell már manapság lineáris TV :)

Említetted viszont az IPv6 címek DNS-be rakását. Na az engem is izgat. Azon gondolkoztam még, hogy esetleg Cloudaflare-el meg lehetne oldani, de azt még nem tudom, milyen eventekre tudnék felülni Mikrotikben ezt megvalósítandó.

( theadam | 2023. 05. 12., p – 10:37 )

A hazai szolgáltatók IPv4 / IPv6 helyzete

 

Vodafone, ha már ez a téma
Az IPv6-ot kedvük szerint kapcsolják be, de nem dual stack, hanem egy DsLite nevű implementációval, ami az IPv4 csomagokat IPv6-ba csomagolva továbbítja és valahol valami Vodafone eszköz kibontja, ott lesz belőle v4. Emiatt a CGNAT kötelező eleme. Bridged mód, IPv4 port forward ilyenkor nincs.
A prefix továbbosztása egy jó módszer, viszont az IPv4 továbbra is NAT-olt lesz, és a v6-os DSLITE tunnel miatt a v4-only szolgáltatásokkal lehet gond a MTU változtatása miatt. Ezen felül, ahogy itt is látszik, a prefix(ek) továbbadása sem működik úgy, ahogyan annak kéne.
Megoldás: Vodafone kábelesen vissza kell kérni az IPv4-et.
Ugyanitt fontos, ez a PH fórumon jött elő. Ha valakinek a bridged mód hiányából tűnik fel az IPv6, ne kérjen bridge-t, mert elronthatják! Külön kérje, hogy rakják vissza IPv4-re és ha az megy, akkor mehet a bridged mód bekapcsolása. IPv6-tal a bridge-t a rendszerük engedi beállítani az ő oldalukon, de a vége offline állapotú szerelővárás lehet.

 

DIGI: Dual Stack, PPPoE esetén, IPv4-en publikus vagy NAT-olt cím, v6-on DHCP-vel egy /64 prefix + cím. Minden PPPoE csatlakozásnál változik, a v6 még fixip mellett is.

 

Telekom:
- Kábelnet, Docsis esetén IPv4-en nincs NAT és egy cím, v6-on pedig adnak egy /56-ot, ezt valamelyik eszköz továbbadja router módban /64-enként, valamelyik nem, mai napig küzdünk vele egy ismerősnél
- PPPoE-n azaz optikán és DSL-en session-önként (jellemzően két darab lehet aktív egy felhasználóval) adnak egy IPv4-et ez lehet NAT-olt vagy publikus és IPv6-on egy /56-os prefix-et, ebből meg lehet címet, /64-es prefixeket venni, viszont a Telekom IPv6-on sima címet nem ad, MikroTik-en ez megszivatott:D

TheAdam

DHCPv6-al nekem Telekom koax és optika esetén is van /56-os v6 prefixem.

 

Annyi, hogy emlékeim szerint ezt külön kértem, hogy engedélyezzék de nem az optikára hanem a koaxra. A T-s fórumban ha rákeresel lehet még ott van.

 

Valami olyasmit mondtak/írtak annó, hogy valamiért alapból nincs koaxon országosan engedélyezve a DHCPv6 csak egyes területeken.

 

Optika esetén nálam így működik Mikrotiken (koaxon is kb ugyanez):

- csináltam egy PPPoE interfészt az ether1 interfészre ami a T-s HGW felé megy

- DHCPv6 client: interfésznek megadod a PPPoE interfészt és bepipálod hogy prefixet kérsz (info és address nem kell). Pool name nálam "wan-pool", pool prefix length meg 64.

- ezt követően fel kell venni IPv6 címet a PPPoE interfészre (advertise: no) és egyet a LAN interfészre (advertise: yes) a poolból.

- elvileg egyből kapnak a kliensek SLAAC-al IPv6 címeket és minden működik (megfelelő tűzfalazás mellett)

Kérd, hogy kapcsolják be az IPv6-ot. Sajnos közel sem biztos, hogy telefonon hozzáértőt fogsz ki, legyél határozott, vagy írj nekik a netes formjukon, ott kompetens személyhez kerül a probléma, de ennek átfutása 1--2 hét. Ha telefonon kompetens technikust fogsz ki, akkor kb. két perc. Illetve persze nézd meg, hogy ha az ONT tárcsáz be, kap-e IPv6-ot, mert elvileg most már ha az ONT kap, akkor bármi kap, ami építi a PPPoE-t.

TheAdam