Tkom Sagem F@st 5670 pin-holing

IPv6

Sziasztok!

A fenti eszközön megy valakinek ez az IPv6 fal lyukasztgatás?

Baromi lassan csinálja a semmit! Adott kezelésnél simán kiléptet a WEB-es felületéből és go back again ...

Definiáltam 3 szabályt és ebből 2-t nem bírok törölni, módosítani. Valamelyiknél ad "something went wrong" piros hibaüzenetet.

Minimum macerás, idegőrlő!
A 3.-at már nem is merem, hogy hozzányúljak, mert az az SSH engedélyezése!

Egyébként ha változik a kapott alhalózat (dinamikus IP), minden alkalommal cserélnem kell itt a szabályt, ha egyébként sikerülne?

(A Tkom CG-NAT alóli kibújás és egyben IPv6 ki-bekapcsoltatása se volt egyszerű!)

Köszönöm!

( PunishR v | 2024. 02. 03., szo – 14:23 )

Amennyiben lehet (szerintem lehet) akkor tedd bridge mode-ba es felejtsd el.

Kopasz módszer (meglincselhettek érte. :D )

Bridge-be átrakod, IP címét átírod mjuk 2-es végűre, ha a router az 1-esen van.

A fő routereddel betárcsázol az 1-es portjára a T-s csodacuccra, mennek róla a dolgaid, fogsz egy másik kábelt, rákötöd a kettes portjára a főrouter switchét, a sagemcom 3. portjába bekötöd az IPTV androidos dobozt és megy a TV is, meg a betárcsázás is

Egész pontosan ki tudom törölni a PPP azonosítást és be tudom kapcsolni a PPPoE pass-through-t.

Most két session-om van: be van kapcsolva a PPP és ez ad egy kapcsolatot és meg a pass-through egy másik routerbe.
Elvileg - és gyakorlatilag is - van
Gondolok itt 2 kapcsolatom ugyan azon optikai szálon keresztül.

IPv6 tekintetében mindkettővel kihívással küzdök, >1 éve kínlódok azzal, hogy a dinamikus IP miatt csre után az egész mindenség -
leginkább a belső hálón lévő eszközök - elérhetetlenek lesznek, mert az eszközök - nem csak a Sagem-hez kapcsolódóak, hanem a router mögöttiek is, amik a bridzsen lennének, belegabalyodnak az új IP-be. Természetesn ez kihat a dynamikus DNS frissítésre is.

A lényeg, hogy nem elérhetőek a cuccok!
 

A Digi se sokkal jobb.
Ott egy Huawei dobozka van, és újabban az az mögötti Ubuntu-s gép se akar menni, ha cserélődik az IP.
Ott router újraindítás kell.

Tényleg ennyire macera ez az IPv6 jelenleg?
Gondolok itt arra, hogy pl. Linux alatt nem találtam olyan DDNS klienst nem fizetős kategóriában, ami egyszerre és macera nélkül frissíti az IPv4 és 6-ot, bár ezen lehet kézzel buhernyákolni, több-kevesebb sikerrel.

Bármennyire is szeretném, jelenleg még mindig megbízhatóbbnak tűnik a port-forwarding, mint a direkt IPv6.
Utóbbi megy addig, amíg a szolgáltató nem cserél IP-t, aztán kezdhetem előlről a kézi kalapálást.

Üdv:
Ruzsi

" leginkább a belső hálón lévő eszközök - elérhetetlenek lesznek, mert az eszközök - nem csak a Sagem-hez kapcsolódóak, hanem a router mögöttiek is, amik a bridzsen lennének, belegabalyodnak az új IP-be. Természetesn ez kihat a dynamikus DNS frissítésre is."

Amikor IP cím váltás van, akkor a routernek kellene küldeni egy router advertisment üzenetet 0-s lifetime-mal. Ezt tcpdumppal lehet ellenőrizni, hogy megkapja-e a kliens. Aztán, hogy ez a DHCPv6-tal milyen viszonyban van, azt a fene se tudja. Használsz rezervált címeket?

Nem használok, de jó lenne!

Először legalább az IP kiosztás menjen!
 

Érdekes, de a Sagem LAN local IPv6-ot nem ad, de globálisat igen!
Egyre inkább nem értem a rendszer működést!
Kapcsolgatom a beállításokat, de nem látok változást a kliensen.
Van olyan, hogy DHCP-PD és Address Autoconfiguration, de nem látom nyomát, ahogy
a DHCPv6-nak se!

Igen fura és bugos szerkezet ez a Sagem cucc!

Üdv:
Ruzsi

Alapvetően nincs szükségem rá, de van ahol legalább az van, ha már global nincs.
Ebben az alhálóban egyik kliensnek sincs site-local címe, azaz vagy nem adja a Sagem, vagy nem is kéri senki.

A kérdés, hogy egyáltalán kellene-e kapnia a klienseknek?

Egyre jobban nem értem az IPv6 működését, minél jobban elmerülök benne.

Üdv:
Ruzsi

Site Local deprecated, van helyette ULA, de NAT nélkül annyit ér pontosan, mint NAT nélkül a 192.168.x.x, sőt talán kevesebbet, mert ha csak ULA van, hiába van működő Masquerade, inkább IPv4-re váltanak az alkalmazások. Én pl a 2001:db8-as publikus tartományból kizárt blokkot használom ULA helyett, így az alkalmazánok jobban preferálják az IPV6-ot, valamint egyik alhálón prefix translation van a többi felöl meg Masquerade.

A link Local meg nem routolható, nem csak az internet felé, hanem semerre, de pl átjáró címeként vagy pl DHCPv6 kommunikációnál használják.

Csak annyit, hogy IPv6 esetén ezt preferálják, nem a direkt cím kiosztást. Digi esetén is nálam felcsattan a PPPoE kapcsolat, majd link local kapcsolat van már, de DHCP-n kapja a router a használható tartományt, ami pl Mikrotik RouterOS alatt letárolódik egy IPv6 pool-ban (névvel ellátott címtartomány), amiből pl a router belső lábára lehet címet generálni (pl ::1/64 és a pool neve van megadva) és RA-n hirdeti a router belső lába a tartományt a kliensek felé ( de most már pl a DNS szervert is meg tudják hírdetni, ha jól tudom), de DHCPv6-ot is lehet használni, akár párhuzamosan, de ha több router van, akkor a példakonfigok kapásból a DHCP-t ajánlották, gondolom, könnyebb (/64-nél) nagyobb tartományokat továbbítani, ahogy a szolgáltatók is tehetik (jó esetben /48 vagy /56 tartományt kapunk, nem pedig /64-et) 

Ja, én a NAT miatt a külső lábon, a PPPoE-n állítottam be a ::1/64 és szolgáltatói pool címet, valamint a DHCP kliens hív meg tűzfal szabály módosító szkriptet, pl a prefix translation szabályban az új prefix befrissítéséhez. Nem mondom, hogy követendő, csak próbálkozok. Majd látjuk, ha jobban terjed az IPv6, jön-e elő valami gond.

A kép helyett egy kliens kivonat:

rattila@opk-mh:~ $ ifconfig eth0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.152  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 fe80::d33e:8512:4cc0:1ba7  prefixlen 64  scopeid 0x20<link>
        inet6 2001:4c4e:<prefix-fennmaradó>:b46b:de98:2463:9e39  prefixlen 64  scopeid 0x0<global>
        ether b8:27:eb:fd:22:e0  txqueuelen 1000  (Ethernet)

Tehát látható, hogy nincs site-local cím, ami ílyen lenne:

fdaa:bbcc:ddee:0000::/64

a Sagem oldala szerint, de nem igazán ez a bajom, hanem ebben a hálóban lévő másik eth interfész kéri a DHCPv6 solicite
üzenettel a címét, de a Sagem-en kívül nincs más aki IP-t osztana, de neki nem ad! Van link-local, amin látni, hogy az ff02::1:2-re
megy küldi a csomagot a link-local címéről, de nincs rá válasz és nem is kap semmilyen site-local, vagy global IPv6-ot és
ezt nem értem, hiszen a fenti eth0-on ott a global IP!
Mindkét eszköz a Sagem egy-egy Ethernet portjára kapcsolódik.
 

Annyit azért megjegyeznék, hogy az, aki nem kap semmit a Sagem-től, az egy OWRT-t WiFi-s router és ő terminálja a Sagem-en keresztül jövő PPPoE kapcsolatot, azaz jelenleg két routerem van: maga a Sagem, a Tkom "mindenével" és az én PPPoE-s cuccom,
aki szintén rotert játszik, de más IPv4 és IPv6 címekkel.
Tehát az optikai szál a Sagem-be jön és ott válik ketté, két session-ra: Sagem és OWRT.

Ez az egyszerű felállás, bár kicsit megbonyolítottam, mert van belső szintű átjárás a két helyi LAN között is, hogyha elállítgatom az egyiket, akkor a másikból még jóeséllyel el tudjam érni a kintről nem elérhető eszközöket.

Ha sikerül megfejteni, hogyan tudok ide képet küldeni, akár még le is rajzolnám a szitut.

Miért kell ez? Mert az OWRT is kavar az IPv6-okkal cím váltáskor, a Sagem meg majdnem áthatolhatatlan az IPv6-os falával, ill. tele van buggal, viszont jól ossza - egyes eszközöknek - a váltáskor az IPv6-ot. Így próbélok 2-in-1-t játszani, de még mindig nem tökéletes.

Üdv:
Ruzsi

( rattila | 2024. 02. 12., h – 21:25 )

Vettem egy MikroTik hEX-et.

A HG-t bridge kapcsolta a T-kom.
2 eszköz van, ami PPPoE-val csatlakozik:

1 AP (ami most a router)
1 MikroTik.

Mindkettőnek van IPv4-e. Az AP-nek van IPv6-ja.
A MikroTik-nek nincs IPv6-ja a pppoe interfészén.

Kell valamit állítani a MikroTik-en, hogy neki is legyen Tkom-os IPv6-ja?
IPv6 engedélyezve, a link local cím ott van, de ennyi.

Az AP-m által osztott IPv6-ok eltűnnek, csak a site local címek maradnak.

Sokkal jobb nem lett az IPv6-os elérhetőségem, mint amikor a HG router
üzemmódban volt.

A MikroTik Router OS-éhez nem sokat értek, de látom, hogy lehet OWRT-t
varázsolni rá. Az AP-n is OWRT speciális, gyártó által tuningolt sw van, de valami
15.x-es verzióval, míg a MikroTik-es OWRT 23.05.2-es lehetne, ha feltenném
rá.

Valami nagyon nem gömbölyű így, hogy eltűnnek egy idő után a már megkapott
IPv6-os címek, pedig van DHCPv6 is konfigurálva.

Üdv:
Ruzsi

Van a PPPoE interfécednek címe, egy Link local fe80: kezdetű cím (ahhoz elég, hogy a szolgáltatói átjáróval lehessen beszélgetni).

DHCPv6-on lehet kérni prefixet, amit lementesz egy pool-ba, valamint a LAN(!!!) oldalon létrehozol egy ilyen címet: ::1/64,  From pool: <pool neve, amibe a DHCP kliens tárolta a kapott prefixet>, valamint bekapcsolod, hogy "Advertise". Lesz egy publikus címe a LAN oldalon a routerednek és ezt szépen ki is hírdeti a LAN oldali klienseknek,hogy ő a router és ezen a prefixen elérhető. Legalább is Digi-nél, de lehet a többieknél is hasonló.

Persze érdemes belőni a tűzfalat is, hasonló módon az ipv4-hez, hogy az established, related (és untracked) kapcsolatokat engedje csak be és át a PPPoE-n valamint a DHCPv6-ot, ICMP-t ésatöbbit, de vannak fent példakonfigok a Mikrotik oldalán.

Gyakorlatban összekattintgattam Winbox alatt.

Alábbi parancsokban interfész neveket át kell írni.

DHCP kliens:

/ipv6 dhcp-client
add add-default-route=yes interface=WAN-PPPoE pool-name=Digi-pool request=prefix use-peer-dns=no

IPv6 cím és hirdetés a LAN-on

/ipv6 address
add address=::1 advertise=yes from-pool=Digi-pool interface=LAN

Tűzfal meg innen a második hsz, meg a linkelt oldal az alapkonfigokkal (ha üres beállításokkal indítanál):

https://forum.mikrotik.com/viewtopic.php?t=171343

Na erre is jó az IP cloud, ráadásul a legfrissebb RouterOS RC-ben már több felhasználós egyszerűen összekattintgathatós Wireguard is van az IP Cloud szekció alatt. Dob egy QR kódot és azt beolvasva már fel is csatlakoztattad a mobilt. Valamint kipróbáltam, lementve a szöveges konfigot a Windows-os Wireguard kliens felhasználónév.conf formában elmentve be is szippantotta és csatlakozott is a távoli gépem.

Annyi probléma lehet, hogy létrehoz tűzfal szabályokat, ami vagy illik a konfigodhoz, vagy nem :D (nekem pl nem teljesen, de hozzáigazodtam)

Kb itt járok:

[rattila@RouterOS] /ipv6 address> print
Flags: X - disabled, I - invalid, D - dynamic, G - global, L - link-local 
 #    ADDRESS                                     FROM-POOL INTERFACE                                                                                  ADVERTISE
 0 DL fe80::7a9a:18ff:fe3c:7b4a/64                          bridge                                                                                     no       
 1 DL fe80::7a9a:18ff:fe3c:7b49/64                          ether1                                                                                     no       
 2 DL fe80::7/64                                            pppoe-out1                                                                                 no       
 3  G 2001:4c4e:<my>::1/64                   Tkom-pool bridge                                                                                     yes

[rattila@RouterOS] > ping ipv6.google.com
invalid value for argument address:
    invalid value of mac-address, mac address required
    invalid value for argument ipv6-address
    failure: dns name exists, but no appropriate record

Gyakorlatilag van IPv6 címem már ...
Gyanítom, hogy a baj a névfeloldással is lehet, bár a mac-es hibaüzenetet nem értem.

Üdv:
Ruzsi

Igen, tudom!
Ezek a gugli DNS szerverei.
 

Sajnos az IPv4-es címei nem mennek IP címmel sem! :-(

Az ipv6.google.com névvel nem, de IP címmel megy! (2a00:1450:400d:80e::200e)

Elvileg a DNS szervert a szolgáltatótól kapom ... Én nem állítottam semmit, de találkoztam ilyen paraméterekkel a RouterOS-ben.

Üdv:
Ruzsi