Ugrás a tartalomhoz
  • 2

IPV6


okostojás

Kérdés

  • Válaszok 372
  • Létrehozva
  • Utolsó válasz

A legnépszerűbb tartalomgyártók a témában

A legnépszerűbb tartalomgyártók a témában

Posztolt képek

Ajánlott posztok

  • 0

@Tamas586

Nem tudja a router, hogy melyiken van a webszerver. A tesztelés ideje alatt gyakran változtattam a tabletem ipv6 ip címén és nem volt kedvem átirogatni a célgép címét a szabályban, ezért inkább ezt nem szabályoztam le egy gépre, szóval ha lett volna 10 webszerveres gépem, akkor ezzel mind a 10-re nyitott lenne a 8080-as port.

A FE80 kommunikáció a dhcpv6-hoz kell, ahogy az openwrt-s tűzfal szabályban is benne van, elég lenne csak source portnak az 547 célportnak pedig az 546, de ahogy a fenti hszben is írtam, az egyszerűsíés kevéért kihagytam az iptables szabályból. Később ha több időm lesz foglalkozni vele akkor bele rakom az iptables szabályba is a portokat, és azt is hogy a cél ip range is csak FE80....lehet.

Szerintem érdemes brkapcsolva hagyni mind a kettőt, mert ha van Android 5 alatti oprendszerrel rendelkező telefonod, tableted, akkor az csak slaac-al kaphat ipv6 címet, én is stateless + stateful beállításon hagytam a routerem dhcpv6 beállításait.

Link kommenthez
Megosztás más oldalakon

  • 0

És akkor itt is az ígért módosítás, mostmár jobban hasonlít az openwrt tűzfalkeretrendszerében található szabályokhoz. 

ip6tables -F
ip6tables -P INPUT DROP
ip6tables -P FORWARD DROP
ip6tables -P OUTPUT ACCEPT
ip6tables -A FORWARD -p tcp -m tcp --destination [IDE: IPV6 CÍM] --dport 8080 -j DROP #(Vagy ACCEPT ha meg akarom nyitni a portot a destination résznél megjelölt ip címmel rendelkező gépen)
ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A INPUT --protocol udp --src fe80::/10 --source-port 547 --destination fe80::/10 --destination-port 546 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT #(Drop ha nem akarjuk a pinget)
ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-reply -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type time-exceeded -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type bad-header -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type unknown-header-type -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type router-solicitation -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type router-advertisement -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT
ip6tables -A FORWARD -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT
ip6tables -A FORWARD -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT
ip6tables -A FORWARD -p icmpv6 --icmpv6-type time-exceeded -j ACCEPT
ip6tables -A FORWARD -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT
ip6tables -A FORWARD -p icmpv6 --icmpv6-type echo-request -j ACCEPT #(Drop ha nem akarjuk a pinget)
ip6tables -A FORWARD -p icmpv6 --icmpv6-type echo-reply -j ACCEPT
ip6tables -A FORWARD -p icmpv6 --icmpv6-type unknown-header-type -j ACCEPT

 

Több szabályt fel lehet venni, különböző gépek portjaira, nyitni és zárni lehet őket, akár mind a ~65000  portot le lehet zárni, mintha NAT mögött lenne a gép.

Link kommenthez
Megosztás más oldalakon

  • 0
18 hours ago, btz said:

Milyen típusú a mobil router?

A router: WR1043, modem még nincs konkrétan, de valamelyik ezek közül:  (link)

18 hours ago, btz said:

Maradjon benne midkettő. Slaac is, DHVPv6-PrefixDelegation is.

Nem hiszem hogy jó ötlet ha egy LAN-ra két DHCP szerver osztja a címeket.. (egyik helyben, másik a szolgáltatónál)

Másnál is vagy az egyik vagy a másik kapcsolható be.  de nem mindkettő.. Nálam ugyanígy vagy egyik vagy másik kell.

Mobilnetnél tűzfallal se kell foglalkozni: " Az Internet felől IPv6-on is természetesen védjük az ügyfeleinket és ezzel együtt a készülékeiket is, ezért kívülről a telefon felé kapcsolatot kezdeményezni továbbra sem lehetséges, ezen irányú kommunikációt tűzfal szűri a Magyar Telekom hálózatában. "

Szerkesztve ekkor: Szerkesztő: Tamas586
Link kommenthez
Megosztás más oldalakon

  • 0

@Tamas586

Azért írtam hogy érdemes bekapcsolni mindkettőt, mert vannak olyan kliensek, amik csak az egyiket vagy a másikat támogatják vagy nem teljesen, így kiegészítik egymást.

Nálam pont ez a helyzet. Van Win7 kliens nem támogatja az RA által hirdetett RDNS infókat ezért a dns szerver címet a dhcp szerver mondja meg neki (mondjuk ezt megadhatnám statikusan is, de egy ehhez nem értő felhasználó szívna vele). Van Android 4.4 kliens, ami komplete nem ismeri a DHCPv6 ot (rootolva természetesen lehet letölteni, hozzá olyan alkalmazást, ami által megkaphatja dhcpv6 által is a címét, de rootolva nem tarthatom mert pl használom a TVGO-t is néha, az meg nem enged műsort nézni rootolva, tehát vagy dhcpv6 vagy TVGO)

Tehát nekem a LAN-on lévő DHCP beállítás így néz ki

Screenshot_2016-10-15-19-06-09.png

Stateless + Stateful

Amúgy nálad is bekapsolható egyszerre, ahogy nézem, a másik Asusos routeren nem tudom miért nem lehet egyszerre mindkettő menjen.

Amúgy az RADVD nem dhcp server hanem Router Advertisement Daermon, ami az RA (Router Hirdetés) szolgáltatás működéséért felelős. Az RA is a szolgáltatói prefixet hírdeti és a dhcpv6 is, szóval nem egy helyi unicast címet ad az RA sem.

Link kommenthez
Megosztás más oldalakon

  • 0

@fgabor87

Amennyiben publikus ipv4 címet továbbra is kapod a T-től a HGW-d wan interfészére, addig elérhetők lesznek NAT mögül portforwarddal a belső hálón üzemelttett ipv4 eszközök, mint eddig, ha használtál ilyet. A belső hálózatodat pedig te szabályzod nem a T, amennyiben nem kapcsolod ki a dhcpv4 servert a routereden/HGW-den addig természetesen megkapják a LAN-os eszközök a szokásos helyihálózati 192,168.0...... vagy 192.168.1...... stb ipv4 címüket.

Szerkesztve ekkor: Szerkesztő: btz
Link kommenthez
Megosztás más oldalakon

  • 0

Az IPv6-os címek mobilon történő bevezetésénél kicsit furcsa volt olvasni, hogy az iOS nem támogatja az IPv6-ot. Támogatja az, csak nem úgy, ahogy azt a szolgáltatók szeretnék. Egy kicsit utánaolvastam ennek a témának és IPv6-only fronton mostmár értem, hogy miről van szó. A háttérben a Google és az Apple két különböző megoldási javaslata van az IPv6-ra való könnyebb áttéréssel kapcsolatban és az Apple ragaszkodik a saját megoldásához. Emiatt a mobilinternet szolgáltatóknak jelenleg nehéz olyan megoldást nyújtani, ami mind a két csoport igényeit teljesen ki tudja elégíteni. Dual-stack helyett sok helyen az IPv6-only halózat létrehozását preferálják, a kevés publikus IPv4 cím miatt. Itt viszont gond van azokkal az applikációkkal, amik bedrótozott v4 protokollt vagy IPv4 címet használnak kommunikációra. Erre a problémára a Google implementálta Android 4.3+-tól azt a technológiát (464XLAT), amivel a háttérben az IPv4-es címeket IPv6-osra lehet alakítani és abból később a DNS64+NAT64 páros el tudja érni a kívánt IPv4-es címet. A 464XLAT-ot az Apple nem szeretné implementálni, hanem azt mondja, hogy ne legyen olyan app a store-ban, ami nem tud IPv6-only halózaton működni. Ezt tett is követte, 2016.06.01-től nem lehet már olyan app-ot beküldeni a store-ba, ami ezt nem teljesíti. Ebben az esetben azokkal a régi app-okkal lehet gond, amiket már nem támogatnak, így frissíteni sem fognak, de még használják őket.

Mobilon én is inkább az IPv6-only hálózatot támogatnám, mert ez nagyobb lökést ad annak, hogy jobban terjedjen a protokoll. Ráadásul az itt lévő app-ok készítőit könnyebben rá lehet venni, hogy módosítsák a programjaikat. Mobilon akkor most dual-stack-et vezetnek be itthon vagy IPv6-only-t? Egyébként meg lehet azt szolgáltatói oldalon valósítani (különböző APN-ek használatával), hogy aki pl. régi mobil oprendszerrel jelentkezik fel az csak IPv4-et kap, aki meg megfelelővel az meg csak IPv6-ot esetleg mások meg dual-stack-et?

Link kommenthez
Megosztás más oldalakon

  • 0
23 órája, btz írta:

@disconnect

Minek kellene az iptvnek ipv6-on menni, vagy akár publikus ipv4-en?

Azért kéne ipv6-on menni, mert akkor nem kell hozzá igmp-t támogató hiperszuper router ahhoz hogy más elosztón is keresztülmenjen az iptv, hanem egy egyszerű switch is elég lenne...

Szerkesztve ekkor: Szerkesztő: disconnect
Link kommenthez
Megosztás más oldalakon

  • 0
1 órája, btz írta:

Manapság az IGMP tudás elég alapfunkció, nem csak hiperszuper routerek kiváltsága.

De az elég kiváltságos dolog, hogy routert használjak egy router után... tudod oda ahova switch lenne a normális. Nem is használok router után routert, hanem switch van amin ez a dzsunka gány megoldású iptv nem megy át, mert ilyen szabványtalan tákolt igmp hókuszpókusz kell hozzá.

Szerkesztve ekkor: Szerkesztő: disconnect
Link kommenthez
Megosztás más oldalakon

  • 0
1 órája, btz írta:

Van IGMP képes switch is.

Nyilván a profi, több millióba kerülő switchnek nevezett routerek tudják. Ráadásul ahhoz is router támogatás kell, amire a telekom kukából kihalászott cisco hgw-i tuti nem képesek, hiszen még az alap funkciókra se képesek.

Szerkesztve ekkor: Szerkesztő: disconnect
Link kommenthez
Megosztás más oldalakon

  • 0
3 órája, btz írta:

Milliókba? :D

7000-ért. Tessék. 

Ja ha éppen ismersz egy ilyen switchet ami véletlenül tudja, az jó. Ha nem, akkor kb lehetetlen rátalálni. Na meg így se működik, hiszen a cisco hulladék még mindig nem tud igmp snoopingot, és nehogy már én alkalmazkodjak a telekom gány megoldásaihoz vásárolgatva extra tudású switchet. Elég alkalmazkodni az aranyárú alacsony színvonalú szolgáltatásaikhoz.

Szerkesztve ekkor: Szerkesztő: disconnect
Link kommenthez
Megosztás más oldalakon

  • 0
5 órája, Roli82 írta:

Butaságot írsz mert a Cisco HGW tudja IGMP, csak el van rejtve a felhasználók elől az opció, és egyáltalán nem hulladék az eszköz. Ezért felesleges volt ide beregisztrálni ha csak fröcsögni tudsz...

De, hulladék. Főleg a wifi-je, ami 1 falon keresztül is alig megy át, de hát antenna nélkül nem is lehet mást várni... Mellesleg egy kazán is.

Link kommenthez
Megosztás más oldalakon

  • 0

Van antennája, csak a dobozon belül. Próbáld meg máshogy helyezni: felállítani, lefektetni, elforgatni. Emlékeim szerint nem annyira gyenge az.

OFF:
Ettől függetlenül egyetértek veled, tényleg gyalázatos eszköz.Nekem a kistesója van (3212), annak a tápegysége megy folyton tönkre. Eddig 3-nál tartok, most próbálok újat szerezni, mert a mostaninak már fura a hangja, és egy kondi már volt benne cserélve (felpúposodott), de olyan jó minőségű a nyák, hogy a forrasztásnál levált róla a vezetőszál. De még valahogy sikerült hozzáforrasztanom a kondi lábát.
Lehet, hogy jobban járnék valami általános DC táppal, ami ugyan azt tudja, és a végén lecserélném a csatlakozót. T már nem tud ehhez tápot adni.
ON

 

Link kommenthez
Megosztás más oldalakon

  • 0

@anonymus
Igen, volt tegnap este, pont ennek kapcsán kaptam meg az IPv6-os címet. De a statusnál csak IPv4-et ír, de ennek a routernek elég varázsló szerű a felület kialakítása, nem igazán ír ki részletes adatokat.
WAN-ról ennyit árul el a részletező fülön:

Connection type
Automatic IP

WAN IP
31.46.197.xxx

Subnet Mask
255.255.254.0

DNS
84.2.46.1
84.2.44.1

Gateway
31.46.196.1

Lease time
1 days

Lease expires
17 hours 36 minute(s) 36 seconds

Van egy IPv6 log, ott ezek vannak "törzsadatként":
IPv6 Connection Type:        Native with DHCP-PD
WAN IPv6 Address:            2001:4c4c:202:9:6134:xxx
WAN IPv6 Gateway:            fe80::222:90ff:fedf:28d9
LAN IPv6 Address:            2001:4c4c:125f:8700::1/56
LAN IPv6 Link-Local Address: fe80::ae9e:17ff:fe89:cd90/64
DHCP-PD:                     Enabled
LAN IPv6 Prefix:             2001:4c4c:125f:8700::/56
DNS Address:                 2001:4c48:1::1 2001:4c48:2::1

Remélem ezek jók. :)

@Roli82
Akkor csak nem vettem észre, sorry. :)

Link kommenthez
Megosztás más oldalakon

Csatlakozz a közösséghez!

Posztolhatsz regisztráció előtt is. Ha már van regisztrációd, jelentkezz be itt.

Vendég
Válaszolj a kérdésre...

×   Formázással együtt illesztetted be a tartalmat.   Formázás eltávolítása

  Only 75 emoji are allowed.

×   A linkedet automatikusan beágyaztuk.   Linkként mutatás

×   Az előző tartalmat tároltuk. .   Itt törölhetsz

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Új...