Debian reititin ja ipv6

[dataaja95]

RFC6177 suosittelee antamaan /56-blockin loppukäyttäjille. Hyvä nähdä että operaattorit seuraavat suositusta eikä anna pelkkää /64-blockia.



Vaikka operaattori jakaisi osoitteet /56-prefixillä, ei sen pitäisi olla mikään este. Pitäisihän sen pystyä jakamaan useampaan /64-verkkoon.

Ihan mielenkiinnosta miksi suositellaan juuri tuota 56 prefixiä.

 

[telcoM]

Yhden /56 prefixin voi jakaa 256:ksi /64 aliverkoksi. Luulisi riittävän kotikäyttöön...

Eli jos operaattorin jakama prefixi on vaikka DNA:n tapaan muotoa 2001:14ba:13xx:xx00::0/56, niin silloin tuosta voi tehdä aliverkkoja muotoa 2001:14ba:13xx:xxnn::0/64, joissa siis xx:xx on operaattorin antama ja nn vapaavalintainen välillä 00 .. ff.

Tällöin reitittimen internetin puoleinen liitäntä käyttää täyttä /56 prefixiä, ja sisäverkkoon päin voi olla useita liitäntöjä joista jokainen tarjoaa ko. sisäverkon osalle vain osan käytettävissä olevasta IPv6-avaruudesta.

Viestintävirasto on julkaissut kuluttajaliittymien IPv6-toteutuksista suosituksen. Suositus-PDF:n sivulla 7, kohdassa 5.2.1 on perustelua siitä miksi juuri /56:

Suositus IPv6:n käyttöönotosta kuluttajalaajakaistaliittymissä (200/2014 S)

Spoileri

Viestintävirasto suosittelee, että yhdelle liittymälle jaetaan vähintään /56:n pituinen verkkoalue, jolloin asiakkaalla on käytettävissään ainakin 256 aliverkkoa. Tähän vähimmäissuositukseen päädyttiin siksi, että asiakaspäätelaitteen tulee jakaa jokaiseen porttiin oma /64-aliverkko [13] ja sama koskee käytännössä myös muita kotona olevia reitittimiä. Siksi esimerkiksi /60-osoiteavaruus tulee loppumaan helposti kesken jo tavallisissa kuluttajaliittymissä. Lisäksi pieninkin teleyrityksille jaettava verkkoalue mahdollistaa 16 miljoonaa tällaista /56-liittymää, eli osoitteet eivät tule loppumaan kesken.

Mikäli teleyritys tarjoaa osalle käyttäjistä IPv6-palvelua 6rd:n avulla, tällöin myös /60 voi olla perusteltu vaihtoehto (katso luku 5.4).

 

[dataaja95]

Yhden /56 prefixin voi jakaa 256:ksi /64 aliverkoksi. Luulisi riittävän kotikäyttöön...

Eli jos operaattorin jakama prefixi on vaikka DNA:n tapaan muotoa 2001:14ba:13xx:xx00::0/56, niin silloin tuosta voi tehdä aliverkkoja muotoa 2001:14ba:13xx:xxnn::0/64, joissa siis xx:xx on operaattorin antama ja nn vapaavalintainen välillä 00 .. ff.

Tällöin reitittimen internetin puoleinen liitäntä käyttää täyttä /56 prefixiä, ja sisäverkkoon päin voi olla useita liitäntöjä joista jokainen tarjoaa ko. sisäverkon osalle vain osan käytettävissä olevasta IPv6-avaruudesta.

Viestintävirasto on julkaissut kuluttajaliittymien IPv6-toteutuksista suosituksen. Suositus-PDF:n sivulla 7, kohdassa 5.2.1 on perustelua siitä miksi juuri /56:

Suositus IPv6:n käyttöönotosta kuluttajalaajakaistaliittymissä (200/2014 S)

Ok ihan täysin ymmärrettävää ajattelin toteuttaa sisäverkon käyttäen dnsmasqia joka jakaisi ipv6 dhcp:llä koneille. dnsmasqin konffissa kuitenkin vaaditaan osoitealuetta joka koneille jaetaan. Miten tuo oikein konffataan. VOisitko heittää esimerkkinä ipv6 rangen joka koneille voitaisiin jakaa.

 

[telcoM]

Itse en ole dnsmasqia käyttänyt IPv6:n kanssa, mutta netistä löytyi yhden norjalaisen toteutus:
Using dnsmasq for dhcpv6

Tuo dnsmasqin dhcp-range optio pitää vääntää huolella man-sivun kanssa näköjään.
Jutun juoni näyttäisi olevan se, että ensin haet itsellesi prefixin (keinolla/välineellä millä hyvänsä) ulkolinjan verkkoliitäntään, ja sitten voi määritellä DHCPv6:lla määriteltävän osoitesarjan sen perusteella käyttämällä constructor:<ulkolinjan_liitäntä> parametria dhcp-range optiossa. Tällöin dnsmasq katsoo itse ulkolinjan liitännän saaman osoitteen perusteella mikä prefixin pitää olla, ja muodostaa sen perusteella (oletuksena /64-prefixin) IPv6-segmentin. Tässä tapauksessa voi joko määrittää näin määräytyvän prefixin sisällä DHCPv6:lla jaettavan osoitesarjan alku- ja loppupäät:

dhcp-range=::1,::400,constructor:eth0

...tai sitten (vain SLAACia ja/tai tilatonta DHCPv6:ta käytettäessä) sallia kaikki osoitteet prefixin sisällä:

dhcp-range=::,constructor:eth0

Tuohon loppuun pitää vielä lisätä pilkku ja haluttu dnsmasqin IPv6-toimintatila. Koska tuskin haluat harrastaa mobile-IPv6:ta, kysymykseen tulevat lähinnä vaihtoehdot ra-only, slaac, ra-names, ra-stateless.

"ra-only" tarkoittaisi että dnsmasq hoitaa vain radvd:n tehtävää tälle segmentille. DHCPv6 ei ole käytössä eikä anneta lupaa SLAACin käyttöön. Tämän kanssa pitäisi hoitaa itse osoitteitten jakelu jotenkin muuten, eli tämä jättää homman puolitiehen.

"slaac" antaa route advertisementeissa luvan SLAACin käyttöön, ja myös DHCPv6 on päällä. Tällöin IPv6-asiakaskone voi saada yhtä aikaa kaksi julkista IP-osoitetta: yhden SLAACin perusteella ja toisen DHCPv6:n kautta.

"ra-stateless" antaa osoitteen määrittyä SLAACilla, ja jakelee lisätietoja (kuten IPv6-DNS palvelimen osoite ja muut lisätiedot) DHCPv6:n "tilattomalla" versiolla, eli asiakaskoneitten julkiset IPv6-osoitteet ovat SLAACin mukaiset: osoitteen ensimmäiset 8 tavua prefixin mukaan ja viimeiset 8 verkkokortin MAC-osoitteesta hiukan muokattuna.

Näiden lisänä voi käyttää vielä "ra-names" lisäoptiota, joka heittäytyy ovelaksi: jos asiakaskone käyttää pelkkää SLAACia, sen ei tarvitse välttämättä asioida DHCPv6-palvelimen kanssa ollenkaan, jolloin dnsmasq ei välttämättä missään vaiheessa saa tietää koko asiakaskoneen olemassaolosta.

Mutta jos asiakaskone lisäksi hakee perinteisen IPv4-osoitteen perinteisellä DHCP:llä ja "ra-names" optio on käytössä, dnsmasq katsoo IPv4 DHCP-pyynnössä esitetyn MAC-osoitteen ja IPv6-pingaa sen pohjalta muodostettua SLAAC IPv6-osoitetta. Jos sieltä tulee vastaus, dnsmasq toteuttaa IPv4 DHCP:llä pyydetyn/määrätyn DNS-nimen myös SLAAC-osoitteelle IPv6-puolelle AAAA-tietueena kaupan päälle.

Jos asiakaskone käyttää IPv6 privacy extensionia (eli vaihtelee IPv6-osoitettaan annetun prefixin sisällä), ra-names ei tietenkään toimi. Ainakin Windows 10 toimii oletuksena näin: jos haluat sen pois päältä, tästä löytyy loitsut siihen: Disable IPv6 Privacy Extension in Windows : BinaryLane

Toinen tapaus jossa "ra-names" ei toimi on se että dnsmasq-kone ei ole suoraan kytköksissä verkkosegmenttiin jonne IPv6-osoitteita pitäisi jaella, vaan välissä on DHCP-relay. IPv6-kykyiset asiakaskoneet eivät välttämättä käytä DHCP-asiakastunnisteena MAC-osoitetta, vaan niillä voi olla erillinen DHCP client ID, jolla ei tarvitse olla mitään tekemistä MAC-osoitteen kanssa. Tämä on mahdollista myös IPv4-puolella, joten DHCP-relayn kautta tulleessa pyynnössä ei välttämättä ole mukana MAC-osoitetta lainkaan. Tällöin dnsmasq ei voi tietää mille SLAAC-osoitteelle DNS AAAA-tietue pitäisi luoda. Suoraan kytketyssä verkossa dnsmasq voi aina katsoa alkuperäisen DHCP-paketin Ethernet-osoitetiedoista lähettäjän MAC-osoitteen.

 

[dataaja95]

Ja ipv6 lähti toimimaan dnsmasqin ja dhcpcd:n avustuksella. Kiitokset kaikille auttaneille. Määritin että dnsmasq jakelee osoitteita koko /64 prefixin alueelta EIkä tiettyä aliverkkoa näin aluksi. säädöt jatkukoon.
IPv6 Address Management
Lueskelin vähän kyseistä dokumentaatiota ja heräsi kysymys. Mitä eroa on seuraavilla osoitteiden jakelumenetelmillä.
NDRA, DHCPv6 (IA_NA), DHCPv6 (IA_PD), NDRA+IA_PD, sekä IA_NA+IA_PD.
Dhcpv6 on ymmärtääkseni vastaava kuin normaali dhcp ja tuo IA_PD ymmärtääkseni tarkoittaa että operaattori jakaa sinulle prefixin eli käytännössä tekniikka mitä operaattorit nyt käyttävät. Mutta entä nuo muut teknologiat.

 

[dataaja95]

Mielenkiintoista palomuurin reititystaulussa on ruvennut esintymään reitti 169.254.132.55/16
Mitä tutkin niin tuo muodostetaan automaattisesti jos kone ei saa dhcp:ltä ip-osoitetta tai muuten nettiyhteyttä muodostettua. Kuitenkin yhteydet toimivat. Miten tuon reitin saisi poistettua pysyvästi ip route del poistaa reitin vain seuraavaan boottiin asti.

 

[telcoM]

NDRA on ilmeisesti Neighbor Discovery/Router Advertisement, eli se mitä käytetään jos "ylävirran" reitittimessä on pelkkä radvd:n vastine toiminnassa eikä DHCPv6:ta välttämättä ollenkaan. Tällöin saadaan kyllä muodostettua maailmanlaajuiseen liikennöintiin kelpaava IP-osoite SLAACilla, mutta jos käytetään pelkkää IPv6:ta ja Router Advertisement-viesteihin ei ole ympätty mukaan tietoa IPv6 DNS-palvelimesta (joo, niinkin voi tehdä), DNS-tietoa ei sitten saa mistään. Myöskään asiakaskoneelle ei automaattisesti voi muodostua minkäänlaista verkossa tunnettavaa nimeä ellei kone itse järjestä sitä jollain tavoin. Tämä on ehkä IPv6:n minimitoteutus verkon kannalta, ja perus-asiakaskoneen ei tarvitse verkkoon liittyäkseen välttämättä tehdä muuta kuin kuunnella passiivisesti hetkisen aikaa. Tämä vastaisi omaa IPv6-sisäverkkoasi, jos valitsit joko ra-stateless tai ra-only toimintatilan dnsmasq:lle.

DHCPv6 (IA_NA): Router Advertisementeissä on tällöin "käytä DHCPv6:ta"-bitti päällä, ja tarjolla on ainoastaan yksittäisiä IPv6-osoitteita, eli prefixejä ei ole jaossa. Tällaisessa tapauksessa et voi tehdä aliverkkoja ainakaan ilman lisäkikkailua. Lisäksi DHCPv6-palvelimella pitäisi periaatteessa aina olla ajantasainen tieto siitä mitä koneita verkossa on, ja se voi vaikkapa päivittää DNS-tietoja ajanmukaisiksi tietojensa perusteella. "Firman toimistoverkko", tai muu verkkoylläpitäjän rautahanskassa tiukasti pysyvä verkko. Vaatii asiakaskoneelta vähän enemmän aktiivista neuvottelukykyä, mutta vastalahjaksi tulee enemmän hallittavuutta ja mahdollisuus segmentoida verkkoa hyvinkin pieniksi aliverkoiksi jos on tarvetta.

DHCPv6(IA_PD): pakollinen DHCPv6 tarjoaa pelkkiä prefixejä, eli tällöin asiakkaan on _pakko_ tehdä itselleen aliverkko ja päättää itse miten hoitaa osoitteiden jakelu sen sisällä. Voisi olla se IPv6-operaattorin oletustarjous pienen tai keskisuuren yrityksen nettiliittymään.

NDRA+IA_PD: tämä on ymmärtääkseni yhdistelmä ensimmäisestä ja kolmannesta vaihtoehdosta, eli perus asiakaskoneen ei välttämättä tarvitse huudella mitään DHCPv6-palvelimelle vaan se voi esim. SLAACilla keksiä itselleen kelvollisen osoitteen pelkästään passiivisesti kuuntelemalla verkkoa hetkisen aikaa, mutta DHCPv6:lla voi pyytää ja saada prefixin aliverkon perustamista varten jos haluaa. Tämä taitaa olla se mitä tällä hetkellä saat operaattoriltasi.

IA_NA + IA_PD on taas yhdistelmä kakkos- ja kolmosvaihtoehdosta, eli asiakaskoneet määrätään käyttämään DHCPv6:ta aina, ja aliverkonkin voi perustaa jos haluaa.

 

[telcoM]

Mielenkiintoista palomuurin reititystaulussa on ruvennut esintymään reitti 169.254.132.55/16

Onko sulla käytössä/ajossa avahi-autoipd paketti? Se voisi olla "syyllinen" tähän ilmiöön.

 

[dataaja95]

Onko sulla käytössä/ajossa avahi-autoipd paketti? Se voisi olla "syyllinen" tähän ilmiöön.

EIpä ole asennettuna kyseistä pakettia.

 

[dataaja95]

Hyvin mielenkiintoista. Miksiköhän dna-antaa vain neljä ipv6-osoitetta yhteen liittymään. Itse koitin kytkeä useamman laitteen verkkoon ja neljä laitetta oli raja minkä jälkeen en enää saanut slaacilla ipv6-osoitetta. Pitää soitella tästä dnalle-hullulta tällainen tuntuu kun osoitteita on kuitenkin useita tuhansia. Mutta ipv6-toimii ja on kyllä hyvä systeemi!