zprovozneni IPv6 vc. IPv4 na W2008

[DAM]

Zdravim,

chtel bych rozchodit v siti oba protokoly IPv6 pro mistni sit (domena - zalohovani) s DNS pro domenu na Serveru i IPv4 pro internet. Na serveru (W2008SERVER) bezi DHCP (IPv4 i IPv6) i DNS pro mistni sit. Server: staticka IPv4: 192.168.1.1 a IPv6: FE80::1

Nemuzu se ale vubec z klinta pingnout pres IPv6 pres IPv4 bez problemu.

Nema nekdo zkusenosti, diky za rady.

[monsoon]

A jaky ipv6 rozsah tam vubec pridelujes? Jedine, co vidim je FE80::, coz je link scope rozsah, to je adresa, kterou ma kazde rozhrani automaticky a funguje jen na danem segmentu, rozhodne neni routovatelny.
FE80::1 je adresa loopbacku. Normalnim interfacum se priradi poslednich 64bitu z mac adresy pomoci rozsireni EUI-64.
Pres tyhle adresy se samozrejme da taky pingnout, ale pak potreba zadat jeste odchozi interface, protoze na vsech interfacech je jeden a ten samy rozsah, takze z routovani tabulky se to nepozna a navic je mozne podle scopu pingnout jen adresy 1 hop daleko. Odchozi interface se ve windows udava pomoci % a cisla interfacu. Asi takto:

Kód:

C:\Documents and Settings\monsoon>ping fe80::219:d1ff:fe1b:3a6c%4

Pinging fe80::219:d1ff:fe1b:3a6c%4 with 32 bytes of data:

Reply from fe80::219:d1ff:fe1b:3a6c%4: time<1ms
Reply from fe80::219:d1ff:fe1b:3a6c%4: time<1ms
Reply from fe80::219:d1ff:fe1b:3a6c%4: time<1ms
Reply from fe80::219:d1ff:fe1b:3a6c%4: time<1ms

Ping statistics for fe80::219:d1ff:fe1b:3a6c%4:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms

[DAM]

Diky za rady.

Poplantal jsem zadani IPv6 adresy, docetl jsem se, ze pro lokalni sit je prefix FE80 a zbytek jsem mylslel, ze muzu doplnit jek je libo, tak jsem dal:

SERVER FE80:0000:0000:0000:0000:0000:0000:0001
CLIENTI FE80:0000:0000:0000:0000:0000:0000:0002,3,4 atd¨

Pochopil jsem dobre prevedeni MAC na EUI-64: (MAC je 48 bit co se dolnuje na tech zbylych 16 bitu nuly?)
napr: MAC = 01:23:45:67:89:ab
je v EUI-64 = 0000:0123:4567:89ab ??

Takze nyni mam pouzit IPv6 adresy napr: FE80:0000:0000:0000:0000:0123:4567:89ab ??

A co znamena presne ten odchozi interface??

[monsoon]

Ja bych ti nejdrive rozhdone doporucil si neco o IPv6 zjistit, ted vysla velmi dobra knizka od Pavla Satrapy.
http://knihy.nic.cz/ipv6/

Ono ipv6 neni jen o tom, ze je ta adresa delsi, tech zmen je vice a chtelo by to se seznamit aspon se zakladnima adresnima principama jako ze, rozhrani ma standardne vice ip adres s ruznym scope a podle cile se vybira zdrojova adresa.

Adresy FE80:: jsou automaticky na kazdem rozhrani a rucne se nenastavuji.

Jestli hledas neco na zpusob mistnich adres v ipv4, tak pak je zde rozsah FC00::/7
Otazka jestli potrebujes vnitrni rozsah z vnitrnich, ven neroutovatelnych adres, kdyz je ipv6 adres dostatek, pak bys rusil zakladni ipv6 princip, ze vse muze byt primo na internetu.
Takze bych radsi rozdal vsude nejaky verejny rozsah z 2000::/3, nejjednussi je asi 6to4.

EUI-64 - Zjednodusene rozdelis mac na pulku a doprosted se stric FFFE, pak se nastavuji nektere konkretni bity podle typu, ale to je uz na delsi povidani.

[DAM]

No praveze na IPv6 chci jen lokalni adresy ne verejne. Pres IPv6 chci jen mistni prenos SERVER-CLIENTI.

Dale mam HW router na kterem bezi DNS IPv4 pro preklad na internet.

Proto to nechci michat. Na Serveru bezi take DNS ale jen pro preklad pro mistni domenu (tady bych chtel jen IPv6), tak nevim proc by se meli clienti dotazovat DNS na Serveru, kdyz chcou treba na internet.

Diky za objasneni.

[Jezevec]

a) widle ..... (dopln libovolne mnoztvi vyrazu vetsinou na webu cenzurovanych)

b) potrebujes mit IPv6 povolenou na stanicich (napr v XP do cmd ipv6 install a je hotovo)
c) IPv6 se vetsinou (ne ze by to neslo, ale je to blbost) neprideluje pres DHCP. Funguje to tak, ze v siti je aspon jeden stroj, kterej vysila prefix a stanice si k prefixu sama doplni zbytek podle MAC. Pripadne se da jeste posilat ohlasovani routeru - pokud je jich vic, tak si stanice sama sestavi routovaci tabulku (muze byt na jednom segmentu vic prefixu a pro kazdy treba jiny router ...).

DNSko za normalnich okolnosti umi "od prirody" oboji, je to proste jen jiny typ zaznamu (A vs AAAA). jak je na tom widlowsi nevim a testovat to radsi nebudu.

Jestli je to co sem psal realizovatelny s widlema jako serverem nemam potuchy, teoreticky asi jo, ale vzhledem k "funkcnosti" widlowsiho DHCPka/DNSka pro IPv4 ....

Pokud uz to delas, nema smyslu vyrabet lokalni adresy, pozadej si o prideleni verejnyho prefixu, dostanes /64 a to ti bude stacit do smrti. Pak to jen pripadne osefujes FW.

[WereWiking]

Ozivim tohle tema - sice trosku OT prispevkem, ale zase je tu docela uzitecne a srozumitelne sepsane zakladni info.

Padla tu rec o router advertisment a zajimalo by me, co vsechno pomoci nej lze propagovat. Jestli jen vychozi gateway, nebo i treba veci jako DNS a NTP server (tzn. by to dokazalo suplovat veci, co se tedka opravdu na IPv4 resi managovanym DHCP server).

Monsoon - proc je podle tebe lepsi pridelovat vsem stanicim z verejneho rozsahu misto lokalniho (FC00::7)? Chapu ideu "s IPv6 muze byt na netu opravdu vsechno, NATka je minulosti," na druhou stranu je to ale podle me pro spravce docelna pohodlny zpusob, jak mit kontrolu nad provozem mezi netem a lokalni siti.

Pridam jeste jeden dotaz - mate nejaky tip (ve smyslu "sam neco takovyho mam") na dobry navod na konfiguraci ip6tables? Par jsem jich na netu objevil, ale vetsina z nich mi prisla takova chaoticka.

[Jezevec]

RA posle jen prefix + GW (v siti jich muze byt vic), pridelovat cokoli jinyho nez verejny IP je prasarna (a navic IPv6 NAT neumi a umet nebude bez hnusnych hacku) a na kontrolu provozu je firewall.

Co se konfigurace tejce, pokud chces resit provoz do vnitrni site, tak ve FORWARD, vetsinou se tam dava neco jako:

-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

politika samo na drop to ti v defaultu nepovoli zadnej provoz (neni jak navazat spojeni), pak neco takovyho:

-A FORWARD -s mujprefixprolan::/64 -j lan_out
-A FORWARD -d mujprefixprolan::/64 -j lan_in

coz ti rozhodi prichozi a odchozi provoz
a pak trebas takto:

-A lan_in -d mojekrasnaip/128 -p tcp -m tcp --dport 3389 -m state --state NEW -j ACCEPT
-A lan_out -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT

coz povoli prichozi provoz na RDP konkretniho stroje (navazani noveho propojeni, zbytek zaridi RELATED,ESTABLISHED) a odchozi provoz na http bez omezeni pro vsechny. Jeste je dobry povolit ICMP6.

[WereWiking]

Jezevec: diky za odpoved. Ja se asi musim odprostit od konceptu "kdyz se nekde babraly iptables, tak se montoval firewall a NATka dohromady"

Jinak jsem tu podle tvych rad a sveho puvodniho ipv4 skriptu splacal neco takoveho, nicmene jeste to neni kompletni:

Kód:

IPT="ip6tables"

WAN="eth0"
LAN="eth1"

$IPT -F

$IPT -P INPUT       DROP
$IPT -P OUTPUT      DROP
$IPT -P FORWARD     DROP

$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A INPUT -i lo -j ACCEPT

$IPT -A INPUT -i $LAN -j ACCEPT
$IPT -A OUTPUT -o $LAN -j ACCEPT

echo 1 > /proc/sys/net/ipv6/conf/all/forwarding

$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A OUTPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP

$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

# blabla, tady povolim nejaka INPUT/OUTPUT pravidla pro http, rsync a podobne

Co se forwardu ven tyce, ten bych asi nechal neomezeny. Tohle nastaveni se tyka me domaci site, na ktere jsem vicemene jen ja, takze v tomhle smeru by to pro me bylo spis omezujici (kvuli kazde sluzbe si vytvaret explicitni odchozi pravidlo).
Tudiz, jestli spravne chapu, by odchozi pravidlo pro FORWARD mohlo vypadat nejak takhle (ci ne?):

Kód:

$IPT -A FORWARD -i $LAN -j ACCEPT

(Pripadne, pokud bych chtel routovat do netu z vpn, je mozne napsat "povsechne"

Kód:

$IPT -A FORWARD -o $WAN -j ACCEPT

, ci je treba explicitne uvest jednotlive ifaces, ze kterych se ma forwardovat?)

Tady by me zajimalo, jestli by misto tveho mujprefixprolan::/64 slo pouzit i neco obecnejsiho - pokud bych napr. tech subnetu mel doma vice, tak jestli je treba je vsechny vypsat explicitne, ci by slo napsat i neco jako muj6to4prefix/48.

K forwardu dovnitr, k cemu je dobre, ze si na to clovek udela separatni chain? Tj. ze neudela primo pravidlo

Kód:

$IPT -A FORWARD -i $WAN -d $mojekrasnaip -p tcp --dport 3389 -j ACCEPT

No a asi posledni dotaz - k tomu ICMP. Uz jsem s tim nastavenim chvilku laboroval, na netu jsem ugooglil proste

Kód:

$IPT -A INPUT -p ipv6-icmp -j ACCEPT
$IPT -A OUTPUT -p ipv6-icmp -j ACCEPT

, tak jestli je to dostacujici (puvodne mi totiz ICMP nejelo). Samozrejme tam pak jeste pridam nejake limity na minutu.

Omlouvam se za haldu otazek, ale vetsina navodu valejicich se po netu vynechava nejakou podstatnou informaci a ja v tom pak mam gulas. Resp. nastavit to, aby to fungovalo, to zvladnu, ale jestli je to "spravne", tim si jist byt nemuzu.

[WereWiking]

DNSko za normalnich okolnosti umi "od prirody" oboji, je to proste jen jiny typ zaznamu (A vs AAAA). jak je na tom widlowsi nevim a testovat to radsi nebudu.

Mala perlicka

[Jezevec]

Co se tyce forwardu ven, samo v domaci siti kde nechces resit odchozi bordel ti staci jedno z tech dvou pravidel, pokud mas vic vnitrnich rozhrani, tak samo muzes povolit odchozi provoz vsem. Rozsah samo muzes uvet tak jak potrebujes => kdyz mas svoji /48, tak ji tam flaknes celou, pokud bys mel ruznych rozsahu vic, tak bys je musel vyjmenovat.

Separatni chainy jsou dobry predevsim na to, ze udrzujes pravidla prehledny => snadno dohledas kde co je. Kdyz naladujes vsechno do forward/input/output/... tak az tam budes mit 30+ pravidel, zacnes mit problem s identifikaci toho co a proc ktery dela (navic zalezi na poradi).

K icmp asi tolik, ze je dobry to povolit i na forwardu (i dovnitr) aby se na ty stroje dalo pingnout (coz by podle rfc jit melo vzdy) a aby se jim daly posilat vsemozny stavovy informace.

[WereWiking]

ad forwarding ven - rozumela, chapala, dekovala
ad separe chainy - ditto

ad icmp - tou poznamkou ohledne RFC minis, ze podle specifikace by kazdy stroj mel byt pingatelny?

Prikladam dalsi dotaz, ve vyse uvedenem prikladu mam $mojekrasnaip, nicmene tato je momentalne generovana pomoci radvd (namapovano na me 6to4). Jakym zpusobem se to resi v tomhle pripade (tzn. stanice na lokalu nemaji fixne dane IP od DHCP)?

[Jezevec]

IP se default (XP a vejs) generuje nahodne => tohle pouzit nemuzes. Muzes ale na tech widlich pomoci netsh vynutit generovani IP z MAC = pak je vzdycky stejna.
netsh interface ipv6 set global randomizeidentifiers=disabled

Jop, kazdy stroj by mel odpovedet na ping.

[WereWiking]

Chapu-li tedy spravne, standardne neni mozne do site propagovat DNS? Me totiz prekvapuje, ze v 95% navodu na Internetu se doctu "DHCP nepotrebujes, pouzij radvd", ale toto pritom podle vseho neumi klientum priradit DNS server.

Jinak "staticke" generovani podle MAC a radvd advert je fajn, diky. Hadam, ze tady se uz trosku hraje na to, ze IPv6 adresy jsou tak osklive, ze to lidi dotlaci k tomu si vsude rozjet DNS... ted jeste zprovoznit nejake rozumne name-resolving mezi wokennima a linuxima krabicema .

[Jezevec]

Ono to jde, ale widle to aspon pokud vim neumej. Minimalne by se system mel pokusit pouzit router = stroj kterej se propaguje jako GW. Jinak na to existuje i RFC ale cislo ti nereknu. Pokud si pamatuju dobre, tak po prideleni site by si danej stroj mel broadcastnout do site a zeptat se "kdo ze tady je DNS" a neco by mu melo odpovedet. Podobne by mel byt schopen objevit i dalsi sluzby.

[WereWiking]

A to je vec radvd, ci IPv6? Abych vedel, podle ceho RFCovat.

[Jezevec]

mela by to bejt vlastnost IPv6

[monsoon]

Moznosti jak propagovat do site DNS popisuje http://tools.ietf.org/html/rfc4339
Neco z toho je dnes uz prakticky zavrhnuto, takze nam zbyly dve varianty:
1) Ohlasovat to primo v ramci RA podle http://www.ietf.org/rfc/rfc5006.txt
2) DHCPv6, ktere muze bezet v nekolika rezimech, statefull, stateless.

[WereWiking]

No, vypada to, ze pro "domaci" ucely je v tom pripade radvd plne dostacujici. Nabizi se pak otazka (spise volna, do diskuze), jak tyto veci managovat ve vetsich sitich, kdy je zadouci, aby nektere stroje (typicky servery) mely "rozumnou" IP (kterou admin po par nocich stravenych nad konfiguraci toho ci onoho bude umet odrikat pozpatku a binarne). Precijen, je sice fajn, ze v lokale kazda masinka dostane svoji IP podle MAC (kterou je v zasade mozne povazovat za fixni), nicmene pamatovat si takovehle hruzoadresy treba u 10 a vice stroju, to uz by bylo na hlavu. Ono ostatne ani datlovani tech vygenerovanych hausnumer z radvd do ip6t skriptu nebyla zadna hitparada.

[Jezevec]

Tak serverum muzes IP pridelit rucne (at uz fyzicky na serveru nebo vazbou pres MAC a DHCP) a muzes si je ocislovat "hezky", ale proto je tu DNS aby sis nemusel pamatovat tyhle hruzy.

[WereWiking]

Tak jasne, ze mame DNS, ale myslim, ze vsichni moc dobre vime, ze at uz je DNS zkonfigurovana sebelip, datlovani IP adres do vselijakych kolonek ruznych aplikaci se clovek proste nevyhne... Tipl bych, ze kazdy spravce alespon trosku vetsi site vi z hlavy takovych 20-30 adres/rout ruznych masin v lokalu, i kdyz je ma vsechny hezky pojmenovane.

Jinak rucni pridelovani je podle vseho jedina moznost, jak smysluplne nahodit staticke adresy v lokalu. DHCPv6 (a varianty implementace) umoznuji staticke prideleni jen na zaklade DUID, coz uz je takova polo-automagie, ktera je na nastelovani pracnejsi/otravnejsi nez rucni nastaveni. Zajimava zakouti ten protokol odhaluje, vskutku.

PS: OpenVPN IPv6 tun (zatim) neumi. Resp. od verze 2.1 "umi", nicmene pro IPv6 adresy neni syntakticka podpora v konfiguracich (direktivy jako server, ifconfig...). Takze holt tap.

[Jezevec]

To je prave to, ze do rozumny aplikace by melo jit nacpat jmeno. Uz proto, ze IP se muze menit z ruznych duvodu i na v4. No a routy nebudes mrcasit ruco, ale pustis si trebas ospf6d.

[WereWiking]

Dovolim si oprasit tenhle thread. Zkoumal jsem dalsi "problem" IPv6, a tim je precislovani site ve chvili, kdy firma zmeni poskytovatele (a tudiz se zmeni cely prefix). Zjistil jsem, ze IPv6 pro tenhle ucel nabizi ULA adresy, coz je relativne elegantni reseni. Zkusil jsem tyhle adresy nastavit na lokalni siti (Windows Vista, Gentoo) a mam ten problem, ze Windows se tuhle adresu snazi pouzivat pro pristup na Internet.

Kód:

C:\Users\WW>ping nix.cz

Příkaz PING na nix.cz [2a02:38::1001] od fd5f:<ULA-prefix>:1::2 - 32 bajtů dat:

Nevite, jakym zpusobem jim to vymluvit? Krome ULA maji jeste link-local a potom global adresu (ziskanou pomoci RA). Dival jsem se do routovaci tabulky a ::/0 ma jako default gateway nastavenou link-local adresu routeru (tj. fe80:...).

Prikladam nastaveni /etc/radvd.conf:

Kód:

interface eth1 {
    AdvSendAdvert       on;
    AdvLinkMTU          1280;
    MaxRtrAdvInterval   60;

    prefix 2002:<6to4-prefix>:2::/64 {
        Base6to4Interface eth0;
        AdvOnLink on;
        AdvAutonomous on;

        AdvValidLifetime 300;
        AdvPreferredLifetime 120;
    };

    RDNSS 2002:<6to4-prefix>:2::1 {};
};

PS: Windows zatim nativne nepodporuji RDNSS direktivu :/

[Jezevec]

a) widle jsou tupe a pouzivaji IPv6 blbe
b) nepredpokladam, ze bys menil providera z minuty na minutu => pokud si vystacis s RA, tak staci zacit broadcastovat novy prefix soucasne s puvodnim = stroje budou mit dve verejne IP. No a az vypnes RA stareho prefixu, pojedou s novou IP.