IPv6 konektivita

Dne 2014-05-19 14:25

Dobrý den,
sháním radu, jak rozběhnout IPv6 pro LAN a DMZ za Turrisem. Jedná se o nativní připojení.
Popis situace:
Pro naše potřeby máme přidělen rozsah 2001:4de8:xxxx:2000::/56, který je ze strany ISP routován na vnější iface eth2.7 Turrise na jeho adresu 2001:4de8:xxxx::47/64. Komunikace z Turrise funguje v pořádku, viz:

root@turris:~# ping6 nic.cz
PING nic.cz (2001:1488:0:3::2): 56 data bytes
64 bytes from 2001:1488:0:3::2: seq=0 ttl=58 time=6.051 ms

Máme dva vnitřní ifaces, které mají následující konfiguraci:

vnitřní segment LAN:

eth2.2    Link encap:Ethernet  HWaddr D8:58:D7:00:03:FE
          inet addr:10.253.100.1  Bcast:10.253.100.255  Mask:255.255.255.0
          inet6 addr: fe80::da58:d7ff:fe00:3fe/64 Scope:Link
          inet6 addr: 2001:4de8:xxxx:2001::1/64 Scope:Global
...

vnitřní segment DMZ:

eth2.8    Link encap:Ethernet  HWaddr D8:58:D7:00:03:FE
          inet addr:88.xxx.yyy.49  Bcast:88.xxx.yyy.55  Mask:255.255.255.248
          inet6 addr: fe80::da58:d7ff:fe00:3fe/64 Scope:Link
          inet6 addr: 2001:4de8:xxxx:2002::1/64 Scope:Global
...

Do těchto dvou segmentů dále "distribuujeme" IPv6 přes stateless konfiguraci (nevyužíváme DHCPv6) přes RA.

root@turris:~# cat /etc/config/6relayd
config server 'default'
  list network 'dmz'
  list network 'lan'
  option rd 'server'

Klient (v LAN segmentu) normálně obdrží IPv6 adresu a vytvoří i svoji dočasnou:

en0: flags=8863<UP,BROADCAST,SMART,RUNNING,SIMPLEX,MULTICAST> mtu 1500
  ether b8:e8:56:43:f3:80
  inet6 fe80::bae8:56ff:fe43:f380%en0 prefixlen 64 scopeid 0x5
  inet 10.253.100.100 netmask 0xffffff00 broadcast 10.253.100.255
  inet6 2001:4de8:xxxx:2001:bae8:56ff:fe43:f380 prefixlen 64 autoconf
  inet6 2001:4de8:xxxx:2001:c467:87da:e23a:a7b9 prefixlen 64 autoconf temporary

Klient obdrží jako bránu local-link adresu Turrise, tj. fe80::da58:d7ff:fe00:3fe.

Ping do světa na klientovi vypadá následovně:

Pavel-MBPR-2:~ pf$ ping6 nic.cz
PING6(56=40+8+8 bytes) 2001:4de8:xxxx:2001:c467:87da:e23a:a7b9 --> 2001:1488:0:3::2
^C
--- nic.cz ping6 statistics ---
4 packets transmitted, 0 packets received, 100.0% packet loss

Na klientovi ping na local-link adresu routeru vypadá takto:

Pavel-MBPR-2:~ pf$ ping6 fe80::da58:d7ff:fe00:3fe
PING6(56=40+8+8 bytes) fe80::bae8:56ff:fe43:f380%en0 --> fe80::da58:d7ff:fe00:3fe
ping6: sendmsg: No route to host
ping6: wrote fe80::da58:d7ff:fe00:3fe 16 chars, ret=-1

Přitom ping global adresu jede v pořádku:

Pavel-MBPR-2:~ pf$ ping6 2001:4de8:xxxx:2001::1
PING6(56=40+8+8 bytes) 2001:4de8:xxxx:2001:bae8:56ff:fe43:f380 --> 2001:4de8:xxxx:2001::1
16 bytes from 2001:4de8:xxxx:2001::1, icmp_seq=0 hlim=64 time=0.925 ms

Na první pohled se mi zdá, že pokud by klient jako gw dostal onu globální adresu, která je dosažitelná, tak by to mělo jet v pořádku. Dokáže někdo poradit, jak dál postupovat?

Od Ondřej Caletka (>>>)

Dne 2014-05-20 09:55

> Pavel-MBPR-2:~ pf$ ping6 fe80::da58:d7ff:fe00:3fe
> PING6(56=40+8+8 bytes) fe80::bae8:56ff:fe43:f380%en0 --> fe80::da58:d7ff:fe00:3fe
> ping6: sendmsg: No route to host
> ping6: wrote fe80::da58:d7ff:fe00:3fe 16 chars, ret=-1

V příkazu ping jste neuvedl inferface, který je u LL adres povinný. OS si evidentně nějaký interface vybral, ale není vůbec jisté, že si vybral správně.

Ukažte soubor /etc/config/network. Podle mě je to způsobeno tím, že nemáte správně nastavené volby ip6hint a ip6assign. Routing IPv6 v novém OpenWRT je poměrně sofistikovaný a implicitně zahazuje všechno, o čem neví, kam patří.

V tomto případě byste měl mít u interface lan toto:


        option ip6assign '64'
        option ip6hint '2001'

A u DMZ toto:


        option ip6assign '64'
        option ip6hint '2002'

Od pflajshans.moje

Dne 2014-05-26 10:25

Děkuji za odpověď. Nakonec byl problém u ISP. Než jsem rozchodil IPv6 na Turrise (byla tam prodleva několika dní mezi instalací Turrise a rozchozováním IPv6), tak ISP přestal routovat náš subnet na naši bránu. Teď už vše šlape jak má.