Barnabas

PPPoe Passthrough, IPv6, pfSense

Kérdés

Sziasztok,

Szeretnek nehany szervert futtatni, es ehez szuksegem lenne publikusan elerheto IPv6-os cimekre (tobb mint egyre).  A szerverem nem igenyel ipv4 forgalmat egyaltalan. 

A kovetkezo a problemam: 

Elofizettem egy uzleti csomagra, (1000/1000) es kaptam egy F@st 5655v2-es modemet. Eloszor kertem statikus IP cimet hozza, kesobb kiderult, hogyha IPv6 szolgaltatast hasznalni akarom, akkor arrol le kell mondjak. Mivel ipv4-et nem hasznalom, ezert ez nem problema. Ezek utan, egy /64-os subnet ki lett osztva a halozatomnak. Kimeno kapcsolat tokeletesen mukodott, de bejonni semmi sem tudott. Keresgeltem nehany oran keresztul, hogy megis hogyan tudnam kikapcsolni a routeromon az ipv6-os tuzfal szabalyokat, es 3-4 hivassal kesobb, kiderult, hogy sehogy se lehet ezen a keszuleken, es ha minden igaz egyik keszuleken se, amit a T-Systems (telekom uzleti csoportja) kinal. Ezert azt javasoltak nekem, hogy a sajat routeromon allitsam be a PPPoe csatlakozast, es ugy probalkozzak. Igy is tettem. Bridge modot bekapcsoltam a F@st-on, es egy pfSense-t tettem be moge. Azon beallitottam a PPPoe csatlakozast, es az IPv4 teljesen tokeletesen mukodik is. Telefonos egyeztetes utan az is kiderult, hogy /64-es subnetet fogok kapni DHCPv6-os modon. Ezt is be sikerult allitani a pfsense-en, de itt kezdodtek a problemak. Probaltam minden fajta konfiguracioban beallitani, hogy mindenki kapjon publikus IPv6 cimet a LAN-on, de sajnos csak a routernak sikerult kiosztani egyetlen egy cimet. 

A Netgate(pfsense fejleszo csapat) forumjan is utanna kerdeztem ennek a problemanak, es annyit mondtak, hogy nagyobb subnetet kell kerjek, de a T-Systemnel azt mondtak nekem, hogy /64-eset tudnak ok csak kiosztani. 

En nekem mindegy, hogy milyen router fog futni a F@st mogott, (nem ragaszkodok a pfSense-hez, ez volt az elso amit ki probaltam) nyitott vagyok minden fajta megoldasra. Valaki tudna nekem ajanlani egy olyan konfiguraciot ami mar tesztelt es mukodo kepes? (HE, tunnel megoldas szamomra elfogathatatlan, mivel 99.9%-ban minden adat IPv6-on fog futni, ezert nem egy 2Mb/s-os tunnelen szeretnek dolgozni)

 

Elore is koszonom a potencialis megoldasokat.

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

10 válasz erre a kérdésre

@Barnabas

Nem subnetet osztanak, hanem prefixet, a subnetet te tudod készíteni belőle, routerekkel vagy azok interfaceivel.

Sajnos ilyen szintű hálózati dolgokra nem nagyon terjed ki a legtöbb általános ügyintéző tudása.

Statikus prefixre gondolsz, gondolom. Sajnos csak dinamikus van, bár üzleti csomagban gondolom eleget tudnak tenni ilyenfajta egyéni igényeknek is. Hívd fel az ügyfélszolgálatot, hogy mit szeretnél, talán tudnak segíteni benne vagy találni valakit, akinek van jogosultsága beállítani neked.

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
3 órája, btz írta:

@Barnabas

A WAN(pppoe0)-nál mi van a DHCPv6 kliensnél próbáld meg azt, hogy  "Use IPv4 connectivity as parent interface" "Request a IPv6 prefix/information through the IPv4 connectivity link"-nél pipa, a "DHCPv6 Prefix Delegation size" legyen /56 . Indítsd el a DHCPv6 Server és Router Advertisement (RA) szolgáltatásokat,  utánna rebootold az egészet.

Ezekkel a beallitasokkal + meg a "Only request an IPv6 prefix, do not request an IPv6 address"-el eggyutt most mar minded tokeletesen mukodik. Koszonom szepen a segitseget. Jo lett volna az elejetol kezdve, ha a T-Systemnel a telefonon nekem azt mondjak, hogy /56-os subnetet osztanak, es nem /64-et. Nem tudom, hogy kivel beszelgettem ott, de ok akkor ugy nez ki, hogy nincsenek ezzel tisztaban. 

Meg lenne egy olyan kerdesem, hogy statikus IPv6 subnetet lehet kerni? Vagy ez mindig dinamikusan megy kiosztasra? VPN szervert szeretnek futtatni, ipv6-os kiosztassal is, es ott meg kell adni egy tunnel cimet (es ott is szeretnek ipv6-ot passzolni), ezert a dinamikus kiosztas gondokat tudna okozni. 

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

@Barnabas

A WAN(pppoe0)-nál mi van a DHCPv6 kliensnél próbáld meg azt, hogy  "Use IPv4 connectivity as parent interface" "Request a IPv6 prefix/information through the IPv4 connectivity link"-nél pipa, a "DHCPv6 Prefix Delegation size" legyen /56 . Indítsd el a DHCPv6 Server és Router Advertisement (RA) szolgáltatásokat,  utánna rebootold az egészet.

Szerkesztve ekkor: Szerkesztő: btz

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Posztolva: (szerkesztve)

Javaslom próbáld ki az Openwrt-t is.  Ezen minden működik alapból, nem is kell szinte konfigurálni semmit. Ahogy látod, a /56-os prefixel több interfészt is tudok címezni, akár egyet kettő /64-es ipv6 címmel is, ezekből kapnak az interfacere csatlakozott eszközök.

ipv6-Telekom.jpg

Szerkesztve ekkor: Szerkesztő: btz

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

@Barnabas

Elolvastam és ilyen kijelentést nem láttam sehol, amiben bármelyik tag azt írná, hogy a Pfsense-nek nehezére esik kiosztani a /64-es címeket vagy azt hogy "nem szereti". Arról beszélnek, ha nem kapsz prefixet csak egy címet a WAN interfacedre, akkor nyilván nem megy, de ez nem így van, mert kapsz prefixet a Telekomtól. Még ha csak /64-et, kapnál is, egy interface azt fel tudja venni, a WAN-ra pedig címet kapsz, nem prefixet. 

Utánakérdeztem Facebookon, hogy mi a helyzet a T-Systemes IPv6 prefixekkel, ha kapok választ, akkor leírom és a Netgate fórumán is jelzem a tagoknak. 

Tegyél fel képernyőképeket a Pfsense beállításaidról. 

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
41 perce, btz írta:

A Telekom lakossági csomagjában azt ad, így 256 szubneted lehet. Szerintem az üzleti csomagban sem kell, hogy ez másként legyen, de utánnakérdezek, hátha valaki biztos benne. 

Ezt megkoszonnem.

42 perce, btz írta:

Atya ég, mi az hogy szereti meg nem szereti? Nehezére esik? 😂 Nettó badarság. Ez olyan mintha a kenyérpirító nem szeretné a kenyeret. Nem tudom ki mondta neked ezt, de inkább engedd el az illetőt, akárki volt. 😃

https://forum.netgate.com/topic/142437/native-ipv6-from-telekom-using-gpon-and-pppoe

A netgate forumon is utanna kerdeztem e tema koreben, es ott mondtak nekem, hogy /64-es subnettel problema lesz. 

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
Ekkor: 2019. 04. 11. at 22:30, Barnabas írta:

Probalkoztam /56-os prefixel is

Ha esetleg mégis az van, hogy a Tsystem nem azt ad, akkor hiába is próbálkoztál vele. De szerintem nem ez a helyzet. 

Ekkor: 2019. 04. 11. at 22:30, Barnabas írta:

 a T-Systems miert /64-es subnetet mondott nekem? Biztos vagy benne, hogy /56-ot osztanak? 

A Telekom lakossági csomagjában azt ad, így 256 szubneted lehet. Szerintem az üzleti csomagban sem kell, hogy ez másként legyen, de utánnakérdezek, hátha valaki biztos benne. 

Ekkor: 2019. 04. 11. at 22:30, Barnabas írta:

a pfSense nem szereti a /64-es subnetet, es nehezere esik annak kiosztasa. 

Atya ég, mi az hogy szereti meg nem szereti? Nehezére esik? 😂 Nettó badarság. Ez olyan mintha a kenyérpirító nem szeretné a kenyeret. Nem tudom ki mondta neked ezt, de inkább engedd el az illetőt, akárki volt. 😃

Ekkor: 2019. 04. 11. at 22:30, Barnabas írta:

Megkerdezhetem, esetleg neked ez konfiguralva van otthon? Jartasnak hangzol pfsense teren. 

Én Openwrt - t használok és /56-al van több subnetem, ami több router használatához kell, de ha csak egy router van a "háztartásban" akkor /64-el is simán működik minden. 

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Udv @btz

Probalkoztam /56-os prefixel is, es azzal is problemak voltak. (Stateless kiosztast is probaltam mar, es a kliensek automatikusan kernek ipv4-et es 6-ot is). 

Megkerdezhetem, hogy a T-Systems miert /64-es subnetet mondott nekem? Biztos vagy benne, hogy /56-ot osztanak? A Netgate forumon azt a visszajelzest kaptam, hogy a pfSense nem szereti a /64-es subnetet, es nehezere esik annak kiosztasa. Vagyis ha tenylegesen /56-os subnet lesz kiosztva, akkor elmeletileg mindennek mukodnie kellene. 

Azert hasznalom a pfSense-t mert ezt valamennyire ismerem mar. Tudom, hogy milyen tuzfal szabalyok vannak, illetve, hogy hogyan kell azokat konfiguralni. Amit meg eszre vettem, hogy amikor a routerom kapott egyetlen ipv6-os cimet, akkor mindig mast kapott. Ugy nez ki, hogy dinamikus kiosztast hasznalnak. Ez szamomra tul nagy problemat nem okoz, mert tudok irni egy script-et amivel automatikusan tudom frissiteni a szerverek IP cimet cloudflaren. 

Megkerdezhetem, esetleg neked ez konfiguralva van otthon? Jartasnak hangzol pfsense teren. 

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Üdv @Barnabas

Üzleti csomagban is, ahogy a lakosságiban is, szerintem /56-os prefixet kapsz a Telekomtól, amivel akár 254 alhálózatot (subnetet) lehet létrehozni, amiben alhálózatonként többmillió publikus IPv6 cím osztható ki az eszközöknek, ami több mint elég, még egy komplett szerverfarmon is akár. De ha csak egy /64-es subnetet kapsz, akkor is ki kéne ossza a címeket hálózaton lévő eszközöknek, ha minden jól működik. 

A router szerveren amin a Pfsense fut többféle módon oszthatsz ki IPv6-ot a rákapcsolódó klienseknek. 

A leghasznosabb a Stateless autoconfiguration using EUI-64 addressing process (SLAAC), mert ez a legegyszerübb és a legtámogatottabb, de használható a DHCP 6-os verziója is. 

A kapcsolódó eszközökre bejövő forgalmat a Pfsense tűzfalán teljes mértékben szabályozhatod, letilthatod például azt is, hogy a pingre melyik eszköz válaszoljon, melyik ne, melyik milyen portokon legyen elérherő, akár az IPv4 NAT-tal "védett" korszakában, de akár az egész forgalmat szabaddá teheted a publikus IPv6 címmel rendelkező gépek és eszközök felé az azokon lévő tűzfalra bízva a munkát. 

Itt csak arra kell figyelni, hogy a Telekom fix IPV6 prefixet adjon mert arra lehet beállítani tűzfal szabályokat

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Hozz létre egy fiókot vagy jelentkezz be a kommenteléshez

Ahhoz, hogy kommentelhess, tagnak kell lenned.

Fiók létrehozása

Hozz létre a közösségünkben egy új fiókot. Igazán egyszerű!


Új fiók regisztrálása

Bejelentkezés

Már van fiókod? Jelentkezz be itt!


Bejelentkezés most