IPv6

Sziasztok!

Kaptam IPV6 címet a VPS-emre.
Szeretném beállítani, hogy a böngészőkből is rendesen elérhető legyen.

CloudFlare DNS-ében beállítottam:
AAAA dictzone.com = 2a01:6ee0:1::19:1
AAAA www = 2a01:6ee0:1::19:1

NGINX-ben beállítottam:
listen 80 reuseport;
listen [::]:80 reuseport;

Találtam többféle online teszt progit ehhez.

Pl. ezt nézve hibát dob a sima "IPv6 only user"-re az NGINX, AZ "IPv4 only user" ÉS "IPv4+IPv6 stack user" stimmel:
http://validador.ipv6.br/index.php?site=dictzone.com&lang=en

Valamit rosszul csinálok?
Hogyan tudom "IPv6 only"-ra ellenőrizni én is sima böngészőből?

Sziasztok,

Lehetséges még valahogy új accot regisztrálni?
A user@ipv6.t-online.hu alapból ugye nem működik, a regisztrációs lap pedig már nem megy.

Évek óta használom a Telekom "tesztidőszak" néven futó natív IPv6 szolgáltatását ADSL és GPON felett, az utóbbi években semmi gond nem volt vele, remekül működött.

Tegnap óta halál van. A PPP session szépen bemegy, ez az utolsó a logban:

May 20 08:16:22 barany pppd[3466]: Connect: ppp1 <--> /dev/pts/1
May 20 08:16:22 barany pppoe[3608]: PADS: Service-Name: ''
May 20 08:16:22 barany pppoe[3608]: PPP session is 37334 (0x91d6)
May 20 08:16:22 barany pppd[3466]: PAP authentication succeeded

Majd aztán nem történik semmi, csak beköszön a timeout:

May 20 08:17:20 barany pppd[3466]: IPV6CP: timeout sending Config-Requests
May 20 08:17:20 barany pppd[3466]: Connection terminated.
May 20 08:17:20 barany pppoe[3597]: Session 37324 terminated -- received PADT from peer

Ha van itt valaki illetékes a Tékomtól, ránézne kérlek?

Sziasztok!

Egy felhasználókat szimuláló teszteszközön dolgozunk. Egy évek óta működő, bevált, folyamatosan fejlesztett, elég összetett, belső céges megoldásról van szó. A felhasználók szimulálása hálózati forgalom generálását jelenti.

A legfrissebb use case a következő feltételeket tartalmazza:
- 50,000 felhasználó szimulálása egyedi IPv6 címmel
- 4 network namespace (4x12500 IPv6 cím)
- TCP transzport
- IPsec

Ha bármelyik feltételen lazítok (pl. IPv6 helyett IPv4, vagy nem kell IPsec, vagy UDP-t használok TCP helyett) minden kiválóan működik.
A fenti feltételek esetén körülbelül 4x3000 felhasználó elindítása után (105) "No buffer space available" hibaüzenetek jönnek vissza akkor, akkor, amikor IPsec-es üzenetet akarok kiküldeni az adott felhasználóval.

A gyári Ubuntu 12.04-hez képest az alábbi beállításokat szoktam elvégezni:
net.ipv4.ip_local_port_range = 1024 7999
net.core.rmem_max = 12582912
net.core.wmem_max = 12582912
net.ipv4.tcp_rmem = 10240 87380 12582912
net.ipv4.tcp_wmem = 10240 87380 12582912
net.ipv6.route.max_size = 8388608
net.ipv6.xfrm6_gc_thresh = 8388608

Ha nem szórom szét a felhasználókat network namespace-ekre, akkor ezt a hibaüzenetet elő tudom idézni a net.ipv6.xfrm6_gc_thresh lejjebb vételével.

3.2.0 és 3.11.0 kernelekkel próbálkoztam.

Van valami ötletetek, hogy mi okozhatja ezt a hibát?

Köszönettel: Sics

Napok óta ezzel szenvedek :D
A felállás a következő:
Van egy T-com előfizetés amihez adnak /56-os publikus ipv6 tartományt. A fő router PPPoE-n megkapja a /56-ot, majd ebből egy /64 használ a LAN interface-en, ez működik is jól az emögött levő eszközökön. Van egy másik routerem (841N) ami mőgé be akarok routolni egy másik /64-et. Ez a router wifin megkapja az ipv6 címet műkdöik is róla a net ipv6 on. Viszont, ha a LAN interface-re felveszek egy másik /64 -et, akkor az amögött lévő eszközökön már nem megy a net, illetve elérek vele mindent ami a 1043ND mögött van, de kifele a netre már nem.

Nahh most ez 12.09-es openwrt még működött, de most átdolgozták az egész IPv6 részt és így már nem megy.
ping6 hibaüzenete: Destination unreachable: Unknown code 5, ami az openwrt szerint rossz beállítás miatt van, hiányzik az ip6assign.

Akárhogy csűretem, csavartam sose akar menni.

Néztem a ip -6 rule policykat is de nem lettem tőle okosabb, mit hogyan kéne beállítani.

Van valakinek 5lete ?

A minap itthon felhúztam egy ipv6 tunnel-t egy cisco routeren homokozó jelleggel.
A tunnel a HE.net-től van és mivel már van magyar pop ezért természetesen azt a végpontot használom.

Mikor elkészültem, jött a meglepetés, ping a T-nél lévő szerveremre, erre 80-100ms, nézek egy traceroute-ot és hopp,
...
2 ge4-20.core1.bud1.he.net (2001:470:0:2BA::1) 20 msec 12 msec 12 msec
3 10ge1-4.core1.vie1.he.net (2001:470:0:2B3::1) 16 msec 20 msec 16 msec
4 10ge1-4.core1.prg1.he.net (2001:470:0:284::2) 24 msec 24 msec 24 msec
5 10ge15-3.core1.fra1.he.net (2001:470:0:213::1) 36 msec 32 msec 28 msec
6 as1299.gige-g2-9.core1.fra1.he.net (2001:470:0:168::2) 32 msec 56 msec 28 msec
7 bpt-b4-link.telia.net (2001:2000:3080:32A::1) [MPLS: Label 3223 Exp 0] 52 msec 52 msec 52 msec
8 bpt-b4-link.telia.net (2001:2000:3080:32A::1) [MPLS: Label 3223 Exp 0] 56 msec 56 msec 52 msec
9 magyar-ic-151712-bpt-b4.c.telia.net (2001:2000:3080:32A::2) 56 msec 56 msec 56 msec
...

néztem hogy vajon miért ha a HE.net és a T is bix tag, eközben persze találtam ilyen "szép" dolgokat mint: http://bgp.he.net/AS65082#_prefixes6

Aztán megnéztem az lg.het.net-en illetve a bix-en, hogy hol lehet a "gond"

=== Bird Style Reply ===
Command: show route for 2001:4c48:2:bf05::1 all

2001:4c48::/32 via 2001:7f8:35::5483:1 [R5483x1 Oct09] * (100) [AS5483i]
Type: BGP unicast univ
BGP.origin: IGP
BGP.as_path: 5483 5483 5483
BGP.next_hop: 2001:7f8:35::5483:1 fe80::224:14ff:fe4b:8200
BGP.med: 0
BGP.local_pref: 100
BGP.atomic_aggr:
BGP.aggregator: 145.236.223.214 AS5483

"BGP.as_path: 5483 5483 5483" ez éppen elég ahhoz, hogy a HE inkább egy Tier 1 felé forgalmazzon a helyett hogy átdobta volta a BIX-en.

Sziasztok!

A feladat az, hogy egy linux host hallgasson 240.000 IP címre. IPv4-re több megoldást is tudok. Az IPv6-tal vannak gondjaim. Ha egyesével adom hozzá az IPv6 címeket, az egyrészt 3 napig tart, másrészt a routing is belassul. A megoldás valami olyasmi lenne, hogy egy IPv6 cím range-et visszaroute-olok a loopback interfészre:
http://serverfault.com/questions/590038/adding-a-whole-ipv6-64-block-to…
http://serverfault.com/questions/209203/can-i-bind-a-large-block-of-add…
http://serverfault.com/questions/465889/linux-ipv6-how-to-bind-to-an-ar…

De sajnos nem megy. IPv4-en az analóg megoldás hibátlanul működik.


root@ubuntu-vm:~# ip -6 route get 8888::1
unreachable 8888::1 from :: dev lo table unspec proto kernel src fe80::a00:27ff:fece:5afd metric -1 error -101
/* Eddig oké, nem is kell ismernie */


root@ubuntu-vm:~# ip -6 route add local 8888::/16 dev lo

root@ubuntu-vm:~# ip -6 route show table local
local ::1 via :: dev lo proto none metric 0
local 8888::/16 dev lo metric 1024
local fe80::a00:27ff:fe1c:b171 via :: dev lo proto none metric 0
local fe80::a00:27ff:fe31:7d31 via :: dev lo proto none metric 0
local fe80::a00:27ff:fece:5afd via :: dev lo proto none metric 0
local fe80::a00:27ff:fefb:d04a via :: dev lo proto none metric 0
ff00::/8 dev eth1 metric 256
ff00::/8 dev eth3 metric 256
ff00::/8 dev eth0 metric 256
ff00::/8 dev eth2 metric 256

root@ubuntu-vm:~# ip -6 route get 8888::1
local 8888::1 from :: dev lo src ::1 metric 0
cache
/* Útvonal hozzáadva, routing megy, hibaüzenet nincs */

root@ubuntu-vm:~# ping6 8888::1
PING 8888::1(8888::1) 56 data bytes
ping: sendmsg: Invalid argument
ping: sendmsg: Invalid argument
^C
--- 8888::1 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1009ms
/* Ping bukik, a hibaüzenet furcsa */

root@ubuntu-vm:~# nc 8888::1 -l 20000
nc: Cannot assign requested address
/* Hálómacska csak nyávog, nem csinálja a dolgát */

Mit rontok el? Mi hiányzik? Hogy kellene?

Köszi, üdv.: Sics

Mi számít mostanában alap tűzfalazásnak, ha nem akarok zavart okozni az erőben, de inkább a "mindent tiltok és csak bizonyos dolgokat engedek" vonalon akarok mozogni?

Sixxs tunnelem van, és a RELATED,ESTABLISHED dolgok be vannak engedve, egyébként az INPUT policy DROP. IPv4-en ez elég is volt, nem kellett neighbor discovery meg ilyesmi, a pingre és létező kapcsolatokra visszajöttek az ICMP csomagok, stb.

IPv6-on meg ugyebár vannak már az előbb említett dolgok, ND, bővebb ICMP, mittudomén, annyira mélyen nem értek hozzá. Itt van például egy jó nagy script. Ezt kicsit túlzásnak tartom. Nem akarok alapból beengedni mindenféle ICMP-t, és a RELATED,ESTABLISHED szabály miatt a lényeg bejön, gondolom. Van-e olyan szabály, amit még érdemes beengedni? És van-e értelme az ilyeneknek, mint pl. RH0 tiltás? A gyakorlatban elérhet ilyen még hozzám egyáltalán?

T-home, adott a modem/router. Hogyan tudom rávenni, hogy proto-41-et továbbítson egy gépnek a LAN-on? A webes felületén nem láttam ilyen lehetőséget. Netán ha DMZ-be teszem azt a gépet? Bridge mode hekkelés? Egyéb?

T-com tól van IPv6 címem. Viszont pár dolog nem jön be, főleg külföldiek.
Mivel a traceroute elmegy a címig, viszont a web nem megy, gondoltam MTU gond lehet, mivel pppoe-n kapom meg a címet. Viszont mss-clamping az van.

Merre keressem a problémát? Más találkozott ezzel a problémával?