Jak na IPv6 bez tunelu

Dne 2016-01-05 11:06

Pokud k vám ISP směřuje staticky IPv6 bez tunelu, znamená to, že vám přidělil nějaký prefix pro vaši domácí síť, řekněme 2001:db8:cafe:4200::/56 a také nějakou spojovací adresu vašeho routeru s jeho routerem, na kterou vám prefix směruje, například 2001:db8:cafe:0042::2/64. Také vám zřejmě oznámil IPv6 adresu svého routeru, tedy vaší brány. Ta bude v tomto případě nejspíš 2001:db8:cafe:0042::1.

Tyhle tři údaje zapíšete do rozhraní Foris do konfigurace WAN, spolu s údaji o IPv4 takto:

IPv6 adresa: 2001:db8:cafe:0042::2/64
IPv6 výchozí brána: 2001:db8:cafe:0042::1
IPv6 prefix: 2001:db8:cafe:4200::/56

Častý problém u ISP zavádějících IPv6 je, že zapomenou přidělit prefix pro domácí síť. Vzhledem k absenci NATu pak router nemá žádné adresy které by mohl přidělovat do domácí sítě.

Od martin.s

Dne 2016-01-05 13:12 Upraveno 2016-01-05 14:41

Je to přesně tak.

Konkrétně mi přidělil tyto údaje:

lokální link pro můj WAN: fe80::2/10
brána operátora: fe80::1
Prefix pro moji LAN: 2a02:a40:30c:110::/64

Vše jsem takto nastavil do Forisu, není kde udělat chybu. Fungovalo.
Pak jsem v Lucci nastavil v DHCP DNS s IPv6 a v ten okamžik to přestalo fungovat :(

... a ať dělám co dělám, už to neumím rozběhat :(

ted se koukám na konfigurační soubory. Je něco špatně, pokud je takto zapsaná DNS v IPv6 formátu?


config dnsmasq
  option domainneeded '1'
  option boguspriv '1'
  option filterwin2k '0'
  option localise_queries '1'
  option rebind_protection '1'
  option rebind_localhost '1'
  option local '/lan/'
  option domain 'lan'
  option expandhosts '1'
  option nonegcache '0'
  option authoritative '1'
  option readethers '1'
  option leasefile '/tmp/dhcp.leases'
  option resolvfile '/tmp/resolv.conf.auto'
  option port '0'

config dhcp 'lan'
  option interface 'lan'
  option start '100'
  option leasetime '12h'
  option dhcpv6 'server'
  option ra 'server'
  list dns '2a02:a40:30c:1::2'
  list dns '2a02:a40:30c:2::2'
  option limit '60'
  list dhcp_option '6,192.168.1.1'

config odhcpd 'odhcpd'
  option maindhcp '0'
  option leasefile '/tmp/hosts/odhcpd'
  option leasetrigger '/usr/sbin/odhcpd-update'

Od Ondřej Caletka (>>>)

Dne 2016-01-05 16:13

Kde přesně jste co nastavil? I adresy DNS serverů by měly jít nastavit ve Forisu. V každém případě jejich nastavení nemá vůbec zádný význam. Stejně chcete, aby počítače v místní síti používali jako DNS server Turris, jinak se zbytečně připravujete o DNSSEC validaci.

Od martin.s

Dne 2016-01-05 18:59

Lucii - Síť - rozhraní - LAN - Upravit - Použít vlastní DNS servery
S DNSsec máte pravdu.

Dostal jsem se do slepé uličky. Jdu na Reset to default a znovu.

Od Ondřej Caletka (>>>)

Dne 2016-01-06 10:14

Ty DNS servery je potřeba nastavovat u rozhraní WAN, tedy u toho rozhraní, prostřednictvím kterého jsou dostupné. Tahle volba neovlivňuje které DNS servery bude router na daném rozhraní přidělovat, místo toho určuje DNS servery providera, proto nedává smysl nastavovat ji u LAN rozhraní.

Od martin.s

Dne 2016-01-05 19:14 Upraveno 2016-01-05 20:58

Po dnešním resetu do továrního nastavení, jsem vše nastavil jen ve Foris.
Na první pohled cítím změnu k lepšímu.

V lokální sítí se mi již objevují IPv6 přidělení poskytovatelem, presto test v sekci "DNS" ve Forisu stále zobrazuje "křížek" u IPv6.


Konektivita IPv6  Chyba
Dostupnost IPv6 brány  Chyba

Z konzole Turrisu mi brána na ping neodpovídá, což IMHO nemusí nutně ukazovat na závadu.

root@turris:~# ping6 fe80::1
(ticho)

Když si v konzoli pingnu sám sebe na Wan port, ping odpovídá.

root@turris:~# ping6 fe80::2
64 bytes from fe80::2: seq=0 ttl=64 time=0.166 ms
64 bytes from fe80::2: seq=1 ttl=64 time=0.166 ms
64 bytes from fe80::2: seq=2 ttl=64 time=0.136 ms
64 bytes from fe80::2: seq=3 ttl=64 time=0.137 ms
64 bytes from fe80::2: seq=4 ttl=64 time=0.158 ms
64 bytes from fe80::2: seq=5 ttl=64 time=0.138 ms

Když provedu ping z počítače v lokální síti na IPv6 adresu Turrisu, ping odpovídá

#ping -6 2a02:a40:30c:110::1
Pinging 2a02:a40:30c:110::1 with 32 bytes of data:
Reply from 2a02:a40:30c:110::1: time<1ms
Reply from 2a02:a40:30c:110::1: time<1ms
Reply from 2a02:a40:30c:110::1: time<1ms
Reply from 2a02:a40:30c:110::1: time<1ms

Když provedu ping z počítače v lokální síti na Wan IPv6 adresu Turrisu, ping neodpovídá

#ping -6 fe80::2
(neodpovídá/ticho)

V případě ifconfig vidím toto:

root@turris:~# ifconfig
br-lan    Link encap:Ethernet  HWaddr D8:58:D7:00:11:04
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fd9a:c933:f428::1/60 Scope:Global
          inet6 addr: fe80::da58:d7ff:fe00:1104/64 Scope:Link
          inet6 addr: 2a02:a40:30c:110::1/64 Scope:Global
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:131603 errors:0 dropped:0 overruns:0 frame:0
          TX packets:232346 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:9205355 (8.7 MiB)  TX bytes:334803701 (319.2 MiB)

eth0      Link encap:Ethernet  HWaddr D8:58:D7:00:11:04
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2012 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:215068 (210.0 KiB)
          Base address:0x8000

eth1      Link encap:Ethernet  HWaddr D8:58:D7:00:11:05
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:47847 errors:0 dropped:0 overruns:0 frame:0
          TX packets:73383 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:6547465 (6.2 MiB)  TX bytes:95136500 (90.7 MiB)
          Base address:0xa000

eth2      Link encap:Ethernet  HWaddr D8:58:D7:00:11:06
          inet addr:85.207.88.122  Bcast:85.207.88.127  Mask:255.255.255.248
          inet6 addr: fe80::2/10 Scope:Link
          inet6 addr: fe80::da58:d7ff:fe00:1106/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:232634 errors:0 dropped:0 overruns:0 frame:0
          TX packets:130999 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:339008441 (323.3 MiB)  TX bytes:10983394 (10.4 MiB)
          Base address:0xc000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:261 errors:0 dropped:0 overruns:0 frame:0
          TX packets:261 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:51446 (50.2 KiB)  TX bytes:51446 (50.2 KiB)

wlan0     Link encap:Ethernet  HWaddr BC:30:7D:92:8C:A6
          inet6 addr: fe80::be30:7dff:fe92:8ca6/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:85532 errors:0 dropped:0 overruns:0 frame:0
          TX packets:161214 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:5766275 (5.4 MiB)  TX bytes:243168560 (231.9 MiB)

Napadá Vás něco?
Pokud je chyba u ISP, jak to zjistím? Je nějaký ukazatel, který by mi více napověděl kde je chyba? (když pominu mé omezené znalosti IPv6, ale proto s tím chci experimentovat, abych se něco přiučil).

Od Ondřej Caletka (>>>)

Dne 2016-01-06 10:19

Pokud vám IPv6 funguje, nenechávejte se znepokojovat selháváním testu. Selhává nejspíše proto, že váš ISP používá pro spojení svého routeru s vaším link-local adresy (což je naprosto legitimní postup) a takové adresy nejsou platné bez udání rozhraní, protože se stejný rozsah opakuje na každém rozhraní. Což také odpovídá na váš dotaz proč vidíte link-local adresu i na rozhraní wlan0 i na dalších rozhraních.

Test ve Forisu zřejmě rozhraní neudává a proto selže. Vy však můžete vyzkoušet ručně ping na adresu fe80::1%eth2.

Od martin.s

Dne 2016-01-06 13:08

Ano, vše již funguje jak má. Děkuji za pomoc. :wink: