Jump to content
Калькуляторы

Carrier Grade NAT IPv6

2 минуты назад, ne-vlezay80 сказал:

А Вам не кажится, что возможен такой сценарий как сейчас с ipv4?

Где-то на подходах решат использовать не /64 на интерфейс, а порезать помельче. Так что сильно не скоро.

Share this post


Link to post
Share on other sites
2 минуты назад, Sergey Gilfanov сказал:

Где-то на подходах решат использовать не /64 на интерфейс, а порезать помельче. Так что сильно не скоро.

Я уже на /112 и /120 перешёл. /120 это там - где нужно меньше всего хостов.

Share this post


Link to post
Share on other sites
1 час назад, ne-vlezay80 сказал:

Я уже на /112 и /120 перешёл. /120 это там - где нужно меньше всего хостов.

Шутите? Обратитесь в РАЙП - вам еще навалят.

Share this post


Link to post
Share on other sites
18 hours ago, Ivan_83 said:

Потому что роутер дома не нужен от слова совсем.

....

С IPv6 нет необходимости раздавать один адрес на всех, значит и нет смысла делать что то отличное от бриджа.

 

Позволю себе малость повредничать. :) Словечко "бридж" как бы из личной жизни роутеров, не? Я даже больше скажу, что "бридж" попахивает броадкастом, которого в ipv6 нету, не? :)

18 hours ago, Ivan_83 said:

Для провайдера неприятность в том что он увидит не один мак а минимум 3, а чаще и того больше. Хотя роутер даже в режиме бриджа может это аккуратно спрятать в один мак.

Сети, с неразделяемой средой, типа ethernet вообще мало пригодны для коммерческого учета. 

 

16 hours ago, Ivan_83 said:

Уточню: TTL=1 это просто мастхэв для UPnP/DLNA - того что не должно покидать пределы жилища.

А разве UPnP в ipv6 работает не в lladdr простанстве, не?

Share this post


Link to post
Share on other sites
15 часов назад, Sergey Gilfanov сказал:

Не сработает. Все эти железки очень хотят ходить к производителю.

Ещё раз перечитай.

Для исходящих TCP соединений самой железки TTL=1 не выставляется.

Те она сама ходить может - а на неё только из локалки, и это с нулевым администрованием фаирвола.

 

 

14 часов назад, jffulcrum сказал:

Но Те кто стоит за сетью и занимается сетями решили, что это слишком сложно, и выпилили нахер.

Кажется оно осталось, в мультикасте.

 

 

10 часов назад, sdy_moscow сказал:

пора определиться уже: "маршрутизатор" (Л3) или "коммутатор" (Л2) у вас между сетью клиента и сетью оператора?

Большинству хватит обычного свича и обычной точки доступа.

 

10 часов назад, sdy_moscow сказал:

А дальше проблемы только в том, как настроить файрвол на роутере клиента и что делать со скачущими сейчас по умолчанию адресами устройств с точки зрения администрирования, безопасности и файрволов.

НИЧЕГО!

Объясни зачем нужен фаервол когда у тебя дома одни мобилки и ноуты?

Там давно производитель всё порешал.

 

 

9 часов назад, ne-vlezay80 сказал:

А Вам не кажится, что возможен такой сценарий как сейчас с ipv4?

Нет.

Более того, в фантастике будущего будет типа: расшируй послание и узнаешь тайный IPv6 адрес где хранятся ништяки :)

В IPv4 их перебрать можно, такой сценарий был разве что в 90х возможен :)

Share this post


Link to post
Share on other sites
6 часов назад, vop сказал:

Позволю себе малость повредничать. :) Словечко "бридж" как бы из личной жизни роутеров, не? Я даже больше скажу, что "бридж" попахивает броадкастом, которого в ipv6 нету, не? :)

Подразумевалось что есть роутер который всё ещё нужен чтобы делать NAT для IPv4, но IPv6 там имеет смысл просто бриджевать.

Броадкастом не попахивает, достаточно кадр у которого в ethernet заголовке стоит тип ipv6 перекидывать как есть на другой интерфейс.

 

6 часов назад, vop сказал:

Сети, с неразделяемой средой, типа ethernet вообще мало пригодны для коммерческого учета. 

Счётчики на портах коммутаторов уже отменили?)

 

6 часов назад, vop сказал:

А разве UPnP в ipv6 работает не в lladdr простанстве, не?

#define UPNP_SSDP_V4_ADDR        "239.255.255.250"
#define UPNP_SSDP_V6_ADDR_LINK_LOCAL    "FF02::C" // link local scope
#define UPNP_SSDP_V6_ADDR_SITE_LOCAL    "FF05::C" // site local scope
#define UPNP_SSDP_V6_ADDR_LINK_LOCAL_EV    "FF02::130" // for link local multicast eventing
#define UPNP_SSDP_V6_ADDR_SITE_LOCAL_EV    "FF05::130" // for site local multicast eventing


Но это SSDP касается, он же только анонсит что есть, а дальше там обычный вебсервис отвечает, чей адрес указан в анонсах.

У меня этим nginx + пхп занимается.

Надо бы у них ttl/hop limit крутилку попросить для сокетов добавить в конфиг :)

Share this post


Link to post
Share on other sites
15 hours ago, jffulcrum said:

Изначально в IPv6 были как раз на такие случаи site-local адреса. Но Те кто стоит за сетью и занимается сетями решили, что это слишком сложно, и выпилили нахер.

ipv6 ula ;)

Share this post


Link to post
Share on other sites
3 hours ago, Ivan_83 said:

Подразумевалось что есть роутер который всё ещё нужен чтобы делать NAT для IPv4, но IPv6 там имеет смысл просто бриджевать.

Броадкастом не попахивает, достаточно кадр у которого в ethernet заголовке стоит тип ipv6 перекидывать как есть на другой интерфейс.

 

Ну я же на это "все еще стоит" и писал, что не надо там ничего бриджевать. На внутренний интерфейс кидается /64 - и мать с ним - все "оно там само автоматом работает". :) Или нафиг роутер вообще убирать.

 

Добавлено: тут "нахер" не в значении "зачем", а в значении "take away его" :)

 

Quote

Счётчики на портах коммутаторов уже отменили?)

Нет, не отменили, но это уже хардварное пиляние единой среды, как таковой. Технология собственно широковещательной сети про это не сильно знает, и коммерческий учет идет совершенно другими, расчитанными на конкретные модели свичей. Т.е., сплошной зоопарк и подпорки. :) Есть и другие подпорки, типа вланов и разных тоннелей pointopoint.

 

Quote

#define UPNP_SSDP_V4_ADDR        "239.255.255.250"
#define UPNP_SSDP_V6_ADDR_LINK_LOCAL    "FF02::C" // link local scope
#define UPNP_SSDP_V6_ADDR_SITE_LOCAL    "FF05::C" // site local scope
#define UPNP_SSDP_V6_ADDR_LINK_LOCAL_EV    "FF02::130" // for link local multicast eventing
#define UPNP_SSDP_V6_ADDR_SITE_LOCAL_EV    "FF05::130" // for site local multicast eventing


Но это SSDP касается, он же только анонсит что есть, а дальше там обычный вебсервис отвечает, чей адрес указан в анонсах.

У меня этим nginx + пхп занимается.

Надо бы у них ttl/hop limit крутилку попросить для сокетов добавить в конфиг :)

 

Да, дальше там действительно простой http, на который TTL=1 ставить вредно и не нужно. А то как я ролики ютюба буду в глупый телик загонять? :)

 

PS Что тут на форуме за редактор - убивает нахер половину мой клавиатуры, жрет пробелы?

Share this post


Link to post
Share on other sites
2 часа назад, vop сказал:

Да, дальше там действительно простой http, на который TTL=1 ставить вредно и не нужно. А то как я ролики ютюба буду в глупый телик загонять? :)

Не, на него как раз и нужно тоже TTL=1 для входящих на него соединений, в прошлом на 1900 порт цеплялись из инета и рулили UPnP-IGD - пробрасывали порты в фаере.

Я и сам раз так развлекался пока на работе стоял какой то древний роутер на времянке.

А для глупого телика - очень рекомендую коди на отдельной железке, юутп там тоже есть (хотя после каких то последних изменеий то ли плагина толи гугла сетап стал именно ютубного плагина стал требовать квеста в панели разработчика гугла, гуглааак тоже нужен для этого).

Бонусом систематизация домашней колекции видео и музона, можно прямо в нём же играть игры от приставок: денди, сега, плейстейшин 1. (пс2 - наверное будет позже и ограниченный набор игр: коди не имеет поддержки OpenGL в ретроапи, а эмулятор Play! который вроде единственный имеет ретроапи не все игры тянет, далеко не все)

И да, прекрасно рулится беспроводным джойстиком, навигация сильно удобнее и быстрее чем с пульта.

 

2 часа назад, vop сказал:

PS Что тут на форуме за редактор - убивает нахер половину мой клавиатуры, жрет пробелы?

Эта фигня похоже не любит фарфокс.

У меня часто курсор перестаёт смещаться или нельзя добавить энтером строчку.

Хня какая то с форумным редактором.

Share this post


Link to post
Share on other sites
5 часов назад, Ivan_83 сказал:

Эта фигня похоже не любит фарфокс.

У меня часто курсор перестаёт смещаться или нельзя добавить энтером строчку.

+1

Share this post


Link to post
Share on other sites

курсор иногда перестаёт двигаться стрелками и в хроме.. и не только на этом форуме, но и на дргуих на том же движке.. но так, не часто.. тоесть стирать, писать или мышкой тыкать в друге место ок, а стрелки право-лево-верх-низ - 0 эмоций. потом двргу бац, снова работает.

Share this post


Link to post
Share on other sites
В 29.05.2020 в 16:26, UglyAdmin сказал:

А зачем там вообще NAT? Это же IPv6, там адресов хватит на все холодильники, кофеварки и тостеры...

 

скажем, есть у меня локалка и линки к разным провайдерам.

как мне обойтись без NAT?

поднимать свою AS? не всегда хочется, да и не всегда можется.

навешивать на хосты по адресу от каждого провайдера и отдавать выбор маршрута на откуп хосту, а  не маршрутизатору? с зоопарком устройств в сети не прельщает.

Share this post


Link to post
Share on other sites
1 hour ago, edo said:

 

скажем, есть у меня локалка и линки к разным провайдерам.

как мне обойтись без NAT?

поднимать свою AS? не всегда хочется, да и не всегда можется.

навешивать на хосты по адресу от каждого провайдера и отдавать выбор маршрута на откуп хосту, а  не маршрутизатору? с зоопарком устройств в сети не прельщает.

 

Это немоного нетривиальный случай, как бы, но для этого есть несколько вариантов, описаных в разных rfc. Например, тот же NPTv6. По ключевому слову multihoming  ipv6 находится много интересного. Например тут:

 

https://tools.ietf.org/id/draft-ietf-rtgwg-enterprise-pa-multihoming-12.html

 

PS А раздача кучи адресов вообще не проблема - адресов "многа" :)

Share this post


Link to post
Share on other sites
4 часа назад, edo сказал:

скажем, есть у меня локалка и линки к разным провайдерам.

как мне обойтись без NAT?

ИМХО специально по этому поводу провайдерам стоит начать продавать VPN для действующих абонентов. Если трафик будет от пира, то это лишь незначительно поднимет себестоимость услуги. Преимущество перед NAT очевидно. Если основной линк отвалится, то абонент этого даже не заметит, а отвал ядра сети явление редкое. Можно даже сделать из этого комплексную услугу, когда абонент просто арендует роутер с батарейками на 10-15 часов работы и дополнительным беспроводным каналом подключенным к виртуальному оператору. Все деньги пойдут одному провайдеру, а тратится будут только при поломке основного канала к абоненту.

Так же NAT плохо дружит с IPSec,  а ведь именно его предлагается использовать для соединения с корпоративными сетями вместо разнообразных VPN. Ведь все туннельные интерфейсы регулярно создают конфликты адресации. Кстати, если маркетологи будут убеждать корпоративных клиентов, что им просто необходимо удобство прозрачной адресации, то может быть удастся продать IPv6.

Share this post


Link to post
Share on other sites
10 часов назад, edo сказал:

скажем, есть у меня локалка и линки к разным провайдерам.

..

навешивать на хосты по адресу от каждого провайдера и отдавать выбор маршрута на откуп хосту, а  не маршрутизатору? с зоопарком устройств в сети не прельщает.

Так сами навешаются, нет? Каждое устройство получит два Router Advertisement и выберет по адресу в сетке каждого провайдера. А выбор маршрута (через какого провайдера ходить по умолчанию) - вроде там флаг приоритета есть.

Share this post


Link to post
Share on other sites
2 hours ago, Sergey Gilfanov said:

Каждое устройство получит два Router Advertisement и выберет по адресу в сетке каждого провайдера. А выбор маршрута (через какого провайдера ходить по умолчанию) - вроде там флаг приоритета есть.

Если роутер один, то RA тоже придёт один, только с двумя префиксами в нём.

Можно контролировать, с адресов в котором префиксе клиенты ходить не будут, выставляя этому префиксу preferred lifetime = 0.

Соотв-но они всегда будут ходить с другого, и задача таким образом будет решена.

А приоритеты есть у самих роутеров (но это надо больше одного роутера) и у маршрутов (недефолтных), у префиксов нету.

Share this post


Link to post
Share on other sites
В 31.05.2020 в 16:12, ne-vlezay80 сказал:

Я уже на /112 и /120 перешёл. /120 это там - где нужно меньше всего хостов.

а RA разве не требует /64?

Share this post


Link to post
Share on other sites
2 часа назад, edo сказал:

а RA разве не требует /64?

На этот случай есть fec0::/8 ли же 2002::/48. Если нежен NAT. А белые статикой по /128.

Share this post


Link to post
Share on other sites
9 hours ago, edo said:

а RA разве не требует /64?

Если делегировать клиентам сетки, то на доступе там вообще не нужны реальные адреса. Или раздавать по dhcpv6. Или на бумажке писать... карандашиком. :)

Share this post


Link to post
Share on other sites
10 часов назад, vop сказал:

Если делегировать клиентам сетки, то на доступе там вообще не нужны реальные адреса.

Но лучше делать. Host Unreachable должен же откуда-то отправляться и доходить.

Share this post


Link to post
Share on other sites
2 hours ago, Sergey Gilfanov said:

Но лучше делать. Host Unreachable должен же откуда-то отправляться и доходить.

Так там же есть делегированная сеть на клиента, которую ему отдали по dhcpv6 на его duid (или карандашиком на бумажке - не важно), и реальный адрес у него уже стоит на внутреннем интерфесе (если говорить условно). Зачем такому клиентскому роутеру еще и /128 давать то? Это атавизм из мира ipv4, не? :)

Share this post


Link to post
Share on other sites
1 час назад, vop сказал:

Так там же есть делегированная сеть на клиента, которую ему отдали по dhcpv6 на его duid (или карандашиком на бумажке - не важно), и реальный адрес у него уже стоит на внутреннем интерфесе (если говорить условно). Зачем такому клиентскому роутеру еще и /128 давать то? Это атавизм из мира ipv4, не? :)

Не, ну поскольку у нас все равно Ethernet, то технически на внешнем интерфейсе вообще IP адрес не нужен. Ни IPv6,  ни IPv4. Вбиваем в вышестоящий маршрутизатор, что вот этот реальный IP (первый из выданной клиенту сетки), куда нужно маршрутизировать сетку клиента - он вон на том MAC. А дальше все на адресах внутренней сетки клиента работает. Но это что-то больно экзотически выходит.

Share this post


Link to post
Share on other sites
2 hours ago, Sergey Gilfanov said:

Не, ну поскольку у нас все равно Ethernet, то технически на внешнем интерфейсе вообще IP адрес не нужен. Ни IPv6,  ни IPv4. Вбиваем в вышестоящий маршрутизатор, что вот этот реальный IP (первый из выданной клиенту сетки), куда нужно маршрутизировать сетку клиента - он вон на том MAC. А дальше все на адресах внутренней сетки клиента работает. Но это что-то больно экзотически выходит.

Ну как бы вipv6 именно это и сделано. :)

 

Делегируем префикc клиентскому роутеру (а он роутер уже с этого момента). Убрали dhcp по mac адресу, придумали интерфейс-независимый duid в v6.

Для того, что бы не заморачиваться с mac-адресами, а работать в той же pv6  парадигме, делаем link-local addressing. Один фиг в ether они генерируются на основе mac (lladdr почти во всех вредах имеют свои правила генерации). И спокойно роутим на этот клиентский роутер делегированный ему префикс.

 

По хорошему, клиенсткий роутер может через свой RA рассказать всем в сегменте (включая дефолтному(-ным) роутеру(-ам), что бы его префикс отдавали ему, но по умолчанию эта фишка везде отключена, и по умолчанию системы принимают только дефолтный роутинг (accept_rs_rt_*_plen). В принципе, если туда записать нужный prefixlen, оно анонсится нормально.

 

Просто надо помнить, что в ipv6 все же  хосты отличаются своими роялми - кто роутер, кто просто поинт.

Share this post


Link to post
Share on other sites

Да, хотел еще подсказать. Клиентский девайс принимает RA, пришедшего от линк-локал адреса, и настраивает у себя дефолтный роутинг на этот линк-локал адрес. Он даже не знает, есть ли реальный адрес на интерфейсе у гейтвея, и какой это адрес. В больинстве лупошим дефолт-роутинг на fe80::1 :)

Вроде ничег оне перепутал.

Share this post


Link to post
Share on other sites

Все равно не понимаю осмысленность этого мероприятия. Если у оператора есть /32, то ему пусть даже по /64 на коммутатор жалко?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this