NWPerfGuy

Telekom IPv6

Kérdés

Sziasztok!

Ha a Telekom oldalán rákeresek akkor hivatalosan az IPv6 támogatott:

  https://www.telekom.hu/rolunk/ipv6/mit_kinal_a_magyar_telekom

De ha megnézem a PPPoE kommunikációt akkor az IPV6CP konfigurációs kérelemre nem hogy Ack-ot de még csak csak egy Nak-ot sem kapok mintha azt sem tudná a másik oldal mit akar a PPPoE kliensem. Budapest XI.-kerben vagyok, üvegen, egy HG8245H GPON egységgel. Nem tudja valaki, hogy pontosan mi a helyzet az IPv6-al a telekom hálózatán? Nekem olyan érzésem van, hogy ha gond van egy adott felhasználónál akkor az adott nagyobb területen egyszerűen letiltják, akkor is ha az más felhasználókat is érint.

Köszi,

Zoli

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

97 válasz erre a kérdésre

11 órája, Goodman írta:

Szia!

Koszi a valaszt. Ugy tunik valami nem jo meg a Magenta oldalon, mert a PPPoE kapcsolathoz tartozo ppp profile-ban az IPv6-ot required-re tettem, es igy 5 percenkent szakadok ezzel a hibaval:

23:55:25 pppoe,ppp,info Telekom: terminating... - IPv6 negotiation rejected 
 

Holnap folytatom...

Nos, beszeltem ismet egy kedves l2 holggyel a 1414-en, mindent rendben latott, es azt javasolta amit itt is olvastam hogy masnal megoldotta a problemat: ont csere :) jelentkezni fogok a fejlemenyekkel

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

@Goodman

Ha pppoe-n keresztül sikerülne beállítanod az ipv6 ot, akkor minden eszközöd minden portja mindenhonnan a világon mindenki által korlátlanul elérhetővé válik. Ezt akarod..? (nekem biztonsági szempontból felállna a szőr a hátamon)

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
1 perce, Tamas586 írta:

@Goodman

Ha pppoe-n keresztül sikerülne beállítanod az ipv6 ot, akkor minden eszközöd minden portja mindenhonnan a világon mindenki által korlátlanul elérhetővé válik. Ezt akarod..? (nekem biztonsági szempontból felállna a szőr a hátamon)

Nettó badarság. ? 

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
1 minute ago, btz said:

Nettó badarság. ? 

Nem az. 

Nincs nat. Minden eszköze külön külön publikus ip-t kap. Pppoe vel pedig megkerüli a szolgáltatös boxba épített bejövö kapcsolat szűrőt..

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
48 perce, Tamas586 írta:

Nem az. 

Nincs nat. Minden eszköze külön külön publikus ip-t kap. Pppoe vel pedig megkerüli a szolgáltatös boxba épített bejövö kapcsolat szűrőt..

Szia!

Ha pppoe-n keresztül sikerülne beállítanod az ipv6 ot, akkor minden eszközöd minden portja mindenhonnan a világon mindenki által korlátlanul elérhetővé válik.”

Nem egészen. A lenti esetben az történik, hogy a routerem kap(na, de nem kap, es erre felvettek egy ont csere hibajegyet, szoval valoszinu kapnia kene) egy ipv6 cimet, es ha akarom, prefixet, amit, ha akarom, hirdetek a LAN-omon. Tobbek kozott ezert is van 4 vlan az itthoni halozatomban, nem celom, hogy a Fulop-szigetekrol jojjenek be mondjuk a nyomtatomba hackerek mert kapott egy publikus ipv6 cimet...

 

 

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

@Goodman

"Ha pppoe-n keresztül sikerülne beállítanod..."

" nem celom, hogy a Fulop-szigetekrol jojjenek be mondjuk a nyomtatomba hackerek "

Ezért próbáltalak figyelmeztetni..  Hogy vagy be tudod állítani ipv6-on a szükséges szűrőket (már az elsőperctől) amit kikerültél  a saját eszközzel, vagy így jársz.  :/

Szerkesztve ekkor: Szerkesztő: Tamas586

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
3 órája, Tamas586 írta:

Nem az. 

Nincs nat. Minden eszköze külön külön publikus ip-t kap. Pppoe vel pedig megkerüli a szolgáltatös boxba épített bejövö kapcsolat szűrőt..

Szerinted boldog boldogtalan hozzáfér a LAN-odhoz ha IPv6 - ot használsz? IPv6 tűzfalról hallottál már? Ugyanolyan szinten szabályozható hálózatot lehet készíteni IPv6-al, mintha IPv4 lenne. Még portot is lehet nyitni annak az eszköznek, amelyiknek kell, a többit le lehet zárni. Szerinted attól hogy a külvilág felé egyedi címe van az eszköznek ami a LAN-on van, nem lehet központilag tiltani, hogy a portjaihoz kívülről hozzáférjenek? Csúnya hekkerkedés lenne, ha ez így működne. 

Maradjunk annyiban, hogy IPv6 - al minden LAN eszköznek lehet egyedi címet adni, a LAN-on lévő eszközök kívülről való elérése ugyanolyan szinten szabályozható, mintha egy NAT mögötti hálózat lenne 

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
3 órája, Goodman írta:

Szia!

Ha pppoe-n keresztül sikerülne beállítanod az ipv6 ot, akkor minden eszközöd minden portja mindenhonnan a világon mindenki által korlátlanul elérhetővé válik.”

Nem egészen. A lenti esetben az történik, hogy a routerem kap(na, de nem kap, es erre felvettek egy ont csere hibajegyet, szoval valoszinu kapnia kene) egy ipv6 cimet, es ha akarom, prefixet, amit, ha akarom, hirdetek a LAN-omon. Tobbek kozott ezert is van 4 vlan az itthoni halozatomban, nem celom, hogy a Fulop-szigetekrol jojjenek be mondjuk a nyomtatomba hackerek mert kapott egy publikus ipv6 cimet...

 

 

2 órája, Tamas586 írta:

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

@Goodman

VLAN nélkül is megoldható, eszközönként testreszabható az IPv6 - os hálózat is

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
50 perce, btz írta:

Szerinted boldog boldogtalan hozzáfér a LAN-odhoz ha IPv6 - ot használsz? IPv6 tűzfalról hallottál már? Ugyanolyan szinten szabályozható hálózatot lehet készíteni IPv6-al, mintha IPv4 lenne. Még portot is lehet nyitni annak az eszköznek, amelyiknek kell, a többit le lehet zárni. Szerinted attól hogy a külvilág felé egyedi címe van az eszköznek ami a LAN-on van, nem lehet központilag tiltani, hogy a portjaihoz kívülről hozzáférjenek? Csúnya hekkerkedés lenne, ha ez így működne. 

Maradjunk annyiban, hogy IPv6 - al minden LAN eszköznek lehet egyedi címet adni, a LAN-on lévő eszközök kívülről való elérése ugyanolyan szinten szabályozható, mintha egy NAT mögötti hálózat lenne 

+ A NAT magában nem add 100%-os védelmet. A routerem szerint minden eszközömnek van egyedi IPv4 címe, ezért ha nincs más tűzfal szabály megadva és érkezik egy csomag a PPPoE interfészen a 192.168.1.x címekre, akkor vígan továbbítja azokat. Egy rendes ISP persze nem engedi, hogy ilyen történjen, de pl. egy kollégiumi hálózaton megeshet.

Aki magának ír IPv6 tűzfal szabályokat, figyeljen, hogy:
    - ne blokkolja a bejövő DHCPv6-ot, különben a router nem tudja megújítani a prefixet
    - a hálózat helyes működéséhez engedélyezni kell bizonyos ICMPv6 csomagokat

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

@btz

"Szerinted boldog boldogtalan hozzáfér a LAN-odhoz .."

Igen hozzáfér. Ha nem állítod be megfelelően.

A szolgáltatós box-ban már eleve be van jól állítva, de ő ezt kikerüli pppoe-vel és a saját routerére bízza. Ott lehet alapból nincsenek aktiválva ezen szűrők. (nem tudom mije van és az mit tud v6-on)

Az én routerem sem szűr alapból v6-on, 1-2 éve pont te magyaráztad nekem itt milyen parancsokat kellene kiadnom a routeren parancssorban, hogy ne legyek veszélyben, eszerint már elfelejtetted..

Szerkesztve ekkor: Szerkesztő: Tamas586

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
2 órája, btz írta:

@Goodman

VLAN nélkül is megoldható, eszközönként testreszabható az IPv6 - os hálózat is

Szia btz!

Tisztaban vagyok vele, de ettol fuggetlenul vannak eszkozok, amikrol en akarom eldonteni, mit lathat, es mit nem, illetve a halozaton levo egyeb eszkozokkel mit kommunikalhat, es mit nem. Erre a legmegfelelobb szerintem par VLAN, foleg amiota bejott az iot, es meg a termosztatoknak is ip cime van a hazban. :)

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
Ekkor: 9/11/2020 at 11:13, Goodman írta:

Nos, beszeltem ismet egy kedves l2 holggyel a 1414-en, mindent rendben latott, es azt javasolta amit itt is olvastam hogy masnal megoldotta a problemat: ont csere :) jelentkezni fogok a fejlemenyekkel

Most egy kicsit morcos vagyok... Tegnap felhivott egy muszaki ember a hibajegyemmel kapcsolatban, hogy ok nem cserelnek csak ugy ont-t, utananez, aztan ma reggel hivott egy masik, hogy jelenleg meg nincs bekapcsolva az IPv6 a teruleten mert sok gondot okozott a Sagem modemnel, es ennyi. A hibajegyet meg lezartak azzal, hogy a hiba mar nem tapasztalhato...

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
3 órája, Goodman írta:

Most egy kicsit morcos vagyok... Tegnap felhivott egy muszaki ember a hibajegyemmel kapcsolatban, hogy ok nem cserelnek csak ugy ont-t, utananez, aztan ma reggel hivott egy masik, hogy jelenleg meg nincs bekapcsolva az IPv6 a teruleten mert sok gondot okozott a Sagem modemnel, es ennyi. A hibajegyet meg lezartak azzal, hogy a hiba mar nem tapasztalhato...

Ha nagyon nagyon kell IPv6 akkor használhatsz tunel szolgáltatót is hozzá. Igaz nem olyan gyors mint a natív, de legalább tudsz egyedi IPv6 címeket osztani a lanodra. 

A Telekomos IPv6 - ot szerintem engedd el. 

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

@btz
"Ha nagyon nagyon kell IPv6 akkor használhatsz tunnel szolgáltatót is hozzá."
Ez nem teljesen igaz. A Sagemcom ONT-ben van egy bug (fw: SG3G10000494, SG3G10000604), amitől nem tudod a leggyakoribb tunnel típust használni.
Lásd: HE 6in4 tunnel, TCP kapcsolat megszakad

@Goodman
Ez a "gondot okoz az IPv6 a Sagemcomnál" elég nagy kamunak tűnik. A konkrét tüneteket sosem mondják, és az a pár kiválasztott sem panaszkodik, aki elérte, hogy nála bekapcsolják.
A "területen sok gondot okozott" kifogást sem értem, úgy is előfizetésenként kapcsolják be.

Júliusban azt mondták (itt is, és az ügyfélszolgálaton is), hogy a következő firmware (SG3G10000604 ??) majd megold mindent. Most, hogy már kint van egy újabb fw, maradnak a régi kifogások.

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
Ekkor: 2020. 09. 14. at 13:37, sipsza írta:

@btz
"Ha nagyon nagyon kell IPv6 akkor használhatsz tunnel szolgáltatót is hozzá."
Ez nem teljesen igaz. A Sagemcom ONT-ben van egy bug (fw: SG3G10000494, SG3G10000604), amitől nem tudod a leggyakoribb tunnel típust használni.
Lásd: HE 6in4 tunnel, TCP kapcsolat megszakad

@Goodman

Régebben olvastam, de mostanában idő hiányában nem nagyon követtem figyelemmel ezt az ügyet. Ha Pppoe passthrough módban használod a netet saját esközzel, ez a hiba akkor is fennál? 

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
18 órája, btz írta:

Régebben olvastam, de mostanában idő hiányában nem nagyon követtem figyelemmel ezt az ügyet. Ha Pppoe passthrough módban használod a netet saját esközzel, ez a hiba akkor is fennál? 

Hello,

Nalam van valami anomalia, es meg nem zartam ki, hogy a Sagem ONT szivat.

HE.net-es tunnelt csinaltam, ping mukodik szinte mindenhonnan mindenhova, de amint egy tcp kapcsolatot akarnek letrehozni, szetszakad, nem megy at, olyan mintha mtu issue lenne, de 1280ig lementem mindket oldalon es nem lett jobb....

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

@btz

Igen. PPPoE passthrough nélkül is próbáltam egyszer, de úgy még a pingre sem jött válasz, bár arról szerintem a NAT tehetett. L2TP/IPsec passthrough kapcsolót kerestem, de vagy nem találtam vagy nem segített.

@Goodman

Ha ránézel az ONT felőli ethernet interfészen a csomagokra, látni fogod, hogy a feléd érkező TCP ACK-okat tartalmazó csomagokban hibás a PPPoE - Payload length érték, ezért a PPPoE kliensed eldobja őket.

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
Ekkor: 9/20/2020 at 19:58, sipsza írta:

@btz

Igen. PPPoE passthrough nélkül is próbáltam egyszer, de úgy még a pingre sem jött válasz, bár arról szerintem a NAT tehetett. L2TP/IPsec passthrough kapcsolót kerestem, de vagy nem találtam vagy nem segített.

@Goodman

Ha ránézel az ONT felőli ethernet interfészen a csomagokra, látni fogod, hogy a feléd érkező TCP ACK-okat tartalmazó csomagokban hibás a PPPoE - Payload length érték, ezért a PPPoE kliensed eldobja őket.

Sziasztok!

Meg mindig nem adtam fel, azota volt egy emailes korom a Telekom ugyfelszolgalattal, amit volt kepuk postai levelben megvalaszolni, es semmilyen hozzaadott erteke nem volt a megoldashoz.

Viszont ma eszrevettem egy nagyon erdekes dolgot. Probalok sajat VPS-el GRE tunnelen keresztul IPv6-ot csiholni amig nem oldodik meg nativan, es a routeremen inditottam egy pinget, amire nem kellett volna valaszt kapnom.

De valaszt kaptam... Es ami a legfurcsabb, hogy egy olyan cimre, ami sehol nincs felkonfiguralva az en oldalamon.

A csatolt kepen lathato kimenet egy traceroute ipv6.google.com parancs futtatasa kozben latszik a routeren.

Es itt vannak a relevans beallitasok a routerrol:

[admin@GM-RB3011] > tool traceroute  2a00:1450:400d:809::200e
 # ADDRESS                          LOSS SENT    LAST     AVG    BEST   WORST
 1 fe80::e2ac:f1ff:fe21:1f43          0%  217   2.5ms     2.9     1.7    22.4
 2 2001:4c48:bec::2                 38..  217   2.8ms     3.2     2.5    17.7
 3 2001:4c48:bec::5                 24..  217   3.9ms     4.5     3.3    18.8
 4 2001:4c48:200:6100::2:2            0%  217   2.6ms     4.2     1.8   121.4
 5 2001:4860:0:a::1                   0%  217   2.5ms     2.7       2    18.8
 6 2001:4860:0:1::9d7                 0%  217   2.5ms     2.7     1.7    18.4
 7 2a00:1450:400d:809::200e           0%  217   2.5ms     2.6     2.2     6.8

[admin@GM-RB3011] > /ipv6 route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, o - ospf, b - bgp, U - unreachable
 #      DST-ADDRESS              GATEWAY                  DISTANCE
[admin@GM-RB3011] > /ipv6 address print
Flags: X - disabled, I - invalid, D - dynamic, G - global, L - link-local
 #    ADDRESS                                     FROM-POOL INTERFACE                                                                                         ADVERTISE
 0 DL fe80::c6ad:34ff:fed1:695c/64                          bridge                                                                                            no
 1 DL fe80::c6ad:34ff:fed1:695c/64                          VLAN43-Home                                                                                       no
 2 DL fe80::c6ad:34ff:fed1:695c/64                          MGMT                                                                                              no
 3 DL fe80::c6ad:34ff:fed1:695b/64                          ether1                                                                                                    
 6 DL fe80::c6ad:34ff:fed1:695c/64                          VLAN20-IoT                                                                                        no
 7 DL fe80::d/64                                            Telekom                                                                                           no
 8 DL fe80::2:25dd:d510/64                                  Merlin                                                                                            no
 9 XG 2a01:270:9310:0:f00d::1/64                            Merlin                                                                                            no
10 IDL fe80::3:c0a8:5801/64                                  sit1                                                                                              no

DHCPv6 request-re soha semmilyen valasz nem jon sem az ether1-en, sem a PPPoE interface-en inditva. Az ONT-ben semmilyen ipv6hoz kotheto beallitas nincs.

Szoval valamiert kapok egy eleg furcsa link-local v6 cimet a PPPoE interfacen, es nincs nemhogy default, de semmilyen route-om a routing tablaban, de siman el tudok traceroute-olni az ipv6.google.com-ig. Az elso hop pedig egy link-local address, ami szinten nem szerepel sehol mashol. A kulso cim pedig ami a kepen lathato, nyilvanvaloan a Telekom publikus ugyfel range-e....

Na erre varrjatok gombot. Bar en jobban orulnek ha olvasna ezt valaki belsos, es pontot tenne az ugy vegere.

 

Capture2.PNG

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
31 perce, Goodman írta:

Na erre varrjatok gombot. Bar en jobban orulnek ha olvasna ezt valaki belsos, es pontot tenne az ugy vegere.

 

 

Szerk helyett reply: most jon a legdurvabb. A publikus IP-n, ami a kepernyofoton latszik, siman elerem a routeremet tavolrol... Mondanom se kell, hogy ez igy elegge eletveszelyes, hiszen nem is tudtam rola, hogy van egy ilyen cimem. Nyilvan az ONT csinal valamit, amitol a link-local cimre ki/beforditodik a publikus cimre erkezo forgalom. (azota ujracsatlakoztam, es reprodukalhato, csak a kulso IPv6 cim masik subnetbol van)

root@Merlin# telnet 2001:4c4e:6:495::d 22 
Trying 2001:4c4e:6:495::d...
Connected to 2001:4c4e:6:495::d.
Escape character is '^]'.
SSH-2.0-ROSSSH

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
22 perce, Goodman írta:

Szerk helyett reply: most jon a legdurvabb. A publikus IP-n, ami a kepernyofoton latszik, siman elerem a routeremet tavolrol... Mondanom se kell, hogy ez igy elegge eletveszelyes, hiszen nem is tudtam rola, hogy van egy ilyen cimem. Nyilvan az ONT csinal valamit, amitol a link-local cimre ki/beforditodik a publikus cimre erkezo forgalom. (azota ujracsatlakoztam, es reprodukalhato, csak a kulso IPv6 cim masik subnetbol van)

root@Merlin# telnet 2001:4c4e:6:495::d 22 
Trying 2001:4c4e:6:495::d...
Connected to 2001:4c4e:6:495::d.
Escape character is '^]'.
SSH-2.0-ROSSSH

Aha, rajottem. Most kellett kernem egy prefixet a routeren, es megkaptam DHCPv6-on. De ez igy nagyon erdekes, hogy az ONT-n sehol nem latszik semmi, kvazi nincs is IPv6 cime lathatoan az eszkoznek, de megis.

Szoval ugy nez ki van nativ v6om. :)

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon
4 órája, Goodman írta:

Aha, rajottem. Most kellett kernem egy prefixet a routeren, es megkaptam DHCPv6-on. De ez igy nagyon erdekes, hogy az ONT-n sehol nem latszik semmi, kvazi nincs is IPv6 cime lathatoan az eszkoznek, de megis.

Szoval ugy nez ki van nativ v6om. :)

Az első hop (fe80::e2ac:f1ff:fe21:1f43) egy Cisco MAC címből generált link-local cím, tehát nem a Sagemcom.
A Telekomtól három csatornán kaphatsz IPv6 címet/prefixet:
 - IPV6CP-n a PPPoE kapcsolat kezdetekor: fe80::d
 - a PPPoE interfészen folyamatosan érkezik Router Advertisement, ami tartalmaz SLAAC-re használható prefixet (2001:4c4e:6:495::/64).
 - DHCPv6 prefix delegation

A Mikrotik RouterOS jelenlegi limitációja, hogy a Router Advertisementből nyert címeket/prefixeket/route-okat nem tudod megnézni sehol. Egyetlen beállítási lehetőség, hogy letiltod a RA fogadását. Ezt teheted globálisan (IPv6>Settings>Accept Router Advertisements: no), vagy interfészenként (tűzfallal eldobod a bejövő ICMPv6 Type 134 csomagokat).
A telekomos IPv6-hoz nem szükséges, hogy fogadd az RA-t, szóval, ha más miatt nincs rá szükséged, nyugodtan letilthatod.

Szerkesztve ekkor: Szerkesztő: sipsza

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Hozz létre egy fiókot vagy jelentkezz be a kommenteléshez

Ahhoz, hogy kommentelhess, tagnak kell lenned.

Fiók létrehozása

Hozz létre a közösségünkben egy új fiókot. Igazán egyszerű!


Új fiók regisztrálása

Bejelentkezés

Már van fiókod? Jelentkezz be itt!


Bejelentkezés most