st_re Опубликовано 25 апреля, 2011 · Жалоба Уу.. после чего выснится, что у клиента туннель от He.net и этот адрес ЕМУ доступен. 2. Как будем проверять ? С чего Вы взяли что АААА будет отвечать на пинг али на http(80) ? там окажется почта на нестандартном порту с deny any to any на все остальное. Или вообще интранет, куда чел попадает через vpn, а Вашу проверялку оттуда выгонят ссаными тряпками. Счастливых от Вашего внедрения будет масса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 25 апреля, 2011 · Жалоба Уу.. после чего выснится, что у клиента туннель от He.net и этот адрес ЕМУ доступен. пиринг с he.net само собой, пока он шаровый. Счастливых от Вашего внедрения будет масса. а надпись "no route to host" или "невозможно загрузить страницу" еще больше клиента порадует. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 25 апреля, 2011 · Жалоба Вообще-то это личная жинь браузера или ещё какой-то аппликухи. Не провайдерово дело лазить своими потными лапками в мой траффик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 25 апреля, 2011 (изменено) · Жалоба Вообще-то это личная жинь браузера или ещё какой-то аппликухи. Не провайдерово дело лазить своими потными лапками в мой траффик. Согласен. Но надо внедрять ipv6 клиентам. Что им ставить? аппаратный роутер с внутренним NAT на Ipv4? Хочется поставить роутер с опенврт с поддержкой ipv6 + rtadvd с раздачей хомячкам по квартире белых ipv6 адресов. Изменено 25 апреля, 2011 пользователем vlad11 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rm_ Опубликовано 25 апреля, 2011 (изменено) · Жалоба Вообще-то это личная жинь браузера или ещё какой-то аппликухи. Не провайдерово дело лазить своими потными лапками в мой траффик. Согласен. Но надо внедрять ipv6 клиентам. Что им ставить? аппаратный роутер с внутренним NAT на Ipv4? Хочется поставить роутер с опенврт с поддержкой ipv6 + rtadvd с раздачей хомячкам по квартире белых ipv6 адресов. Во-первых не пытайтесь одновременно со внедрением IPv6 "вывнедрить" IPv4. Это невозможно ближайшие ндцать лет. Во-вторых всё что вы перечислили никак не соотносится с ранее озвученным вами извратом о перенаправлении "недоступных" AAAA на A. Могу предположить что выше вы имели ввиду вовсё не какую-то злобную вещь, а обычный NAT64 (см. гугл). Изменено 25 апреля, 2011 пользователем rm_ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 25 апреля, 2011 · Жалоба Могу предположить что выше вы имели ввиду вовсё не какую-то злобную вещь, а обычный NAT64 (см. гугл). Мы вернулись к 10-той странице этого топика :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Valaskor Опубликовано 26 апреля, 2011 · Жалоба Приехали http://forum.dlink.ru/viewtopic.php?p=730311#p730311 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 26 апреля, 2011 · Жалоба Счастливых от Вашего внедрения будет масса. а надпись "no route to host" или "невозможно загрузить страницу" еще больше клиента порадует. Еще раз, если no route получает Ваша проверялка, не факт что клиент не получит страницу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 26 апреля, 2011 · Жалоба Счастливых от Вашего внедрения будет масса. а надпись "no route to host" или "невозможно загрузить страницу" еще больше клиента порадует. Еще раз, если no route получает Ваша проверялка, не факт что клиент не получит страницу. Почему бы "проверялке" не делать CURL, тогда достоверность будет на уровне. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
karpa13a Опубликовано 26 апреля, 2011 · Жалоба Почему бы "проверялке" не делать CURL 8k syn/sec только на 80-ый порт. расскажите про архитектуру данной проверялки. и главное: за чей счет?) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 26 апреля, 2011 · Жалоба Почему бы "проверялке" не делать CURL 8k syn/sec только на 80-ый порт. расскажите про архитектуру данной проверялки. и главное: за чей счет?) Это отдельный разговор. :) Да и сам по себе IPv6 - дело не дешёвое. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 26 апреля, 2011 · Жалоба А потом придет вирус, который будет ресолвить себе, ну скажем MXы? и всех их проверяем на доступность (на доступность чего ? мы так и не узнали что есть доступность.. 80 порта там может не быть. А если есть то отвечать он может ОЧЕНЬ медленно)... правильно вирус должен слать только на проверенные ресурсы ;) незачем вирус напрягать ненужной отправкой на мертвые IP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rus-p Опубликовано 27 апреля, 2011 · Жалоба Смотрел на cisco.com поддержку 6rd нашел только на новых 15-х иосах и то только для 38 ISR-ов. Следующая железка уже ASR 1000. Видимо на 72 и ниже поддержки 6rd не планируется ? Тогда видимо остается только linux... есть ли у кого пример рабочей конфигурации или статьи на тему поднятия 6rd border на линукс ? Коллеги, кто плотно с линухом сидит, вопрос уже не раз всплывает. Ответ видимо отрицательный, линукс пока не умеет 6rd border ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
none7 Опубликовано 27 апреля, 2011 · Жалоба Коллеги, кто плотно с линухом сидит, вопрос уже не раз всплывает. Ответ видимо отрицательный, линукс пока не умеет 6rd border ? Должен уметь. Настройка 6rd-шлюза по идее не должна сильно отличатся от настройки клиента. ip tunnel add 6rdtun mode sit local 10.0.0.1 ttl 64 ip tunnel 6rd dev 6rdtun 6rd-prefix 2001:db8:f000::/36 6rd-relay_prefix 10.0.0.0/8 ip link set 6rdtun up ip add address 2001:db8:f000::1/36 dev zs6rdtun Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rus-p Опубликовано 29 апреля, 2011 · Жалоба Ок. Буду мучить. Еще вопрос по прошивкам CPE, поддерживающим 6RD. Комкаст в прошлом году добавил в open-wrt поддержку 6RD, но отсылает за ней на сайт sourceforge.net. На сайте папка пуста. Судя по анонсу, функционал был добавлен в ветку Backfire 10.03, сейчас уже доступен Backfire 10.03.1-RC4 Вопрос к пользовавшимся, туда 6RD вставили или комкаст зажал ? Судя по анонсу, комкаст добавил dhcp опцию 150 (сейчас иана присвоила 212). По идее, родная прошивка open-wrt умеет 6in4, т.е. в худшем случае, не будет красивых рюшечек в вебинтерфейсе, и dhcp опции, а статика должна заработать ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rm_ Опубликовано 29 апреля, 2011 · Жалоба Комкаст в прошлом году добавил в open-wrt поддержку 6RD, но отсылает за ней на сайт sourceforge.net.На сайте папка пуста. Исходники доступны: http://sourceforge.net/p/dslite-6rd/svn/2/tree/backfire/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 29 апреля, 2011 · Жалоба скажите, а как 6rd решает проблему белых ipv4? делать NAT44 на самом 6rd GW? У меня сразу вопрос на каком железе? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rus-p Опубликовано 29 апреля, 2011 · Жалоба Проще всего да, делать сразу на клиентском CPE, потом еще раз у провайдера. Итого NAT444. Чье железо вас интересует ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 29 апреля, 2011 · Жалоба мне интересно то, что у провайдера, т.е. это NAT на самом 6rd Border Relay (или GW, все по разному называют). На каких платформах у cisco это реально поддерживается и кто еще кроме cisco это поддерживает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rus-p Опубликовано 29 апреля, 2011 · Жалоба NAT может быть в любом месте сети, совсем не обязательно на 6rd relay, т.к. трафик на последний попадает только туннельный, на выделенный эникаст IPv4 адрес. У cisco заявлена поддержка на ASR1k, пока только 2k туннелей, сейчас пытаюсь выяснить почему так мало. У джуна или уже есть или скоро будет, тут недавно писали. Алюся пока думает. Вообще, та скорость с которой комкаст протестировал 6rd, затем отказался и внедряет натив наводит на мысль, что что-то где-то не то. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 29 апреля, 2011 · Жалоба представьте себе нат туннеля 6to4 в любом месте сети? это как, если 1to1, то в чем смысл? возьмем хотя бы сессию рррое на СРЕ, ipv4 адрес которой используется для формирования 6rd virtual interface, вопрос как его натить потом и самое главное где? авторы этой "замечательной" идеи говорят, что это надо делать на 6rd BR. Вот только реализовать это или регламентировать они не удосужились имхо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 29 апреля, 2011 · Жалоба Вообще, та скорость с которой комкаст протестировал 6rd, затем отказался и внедряет натив наводит на мысль, что что-то где-то не то. поддержка со стороны CPE и BRAS, лишний overhead, MTU 1280 byte(даже с учётом того что фрагментацией в ip6 занимаются только хосты, провал по кпд передачи по сравнению с native ipv6 будет) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 29 апреля, 2011 · Жалоба да, тут нужно сделать поправку - если ваш NAT overload который находится до 6rd GW умеет делать bypass 6to4 то может оно и взлетит как-то. вопрос, а умеет ли? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
none7 Опубликовано 30 апреля, 2011 · Жалоба Не понимаю в чём проблема размещения 6rd relay, необходимо отроутить трафик на него мимо NAT, но через шейпер. На цисках это должно решаться одним правилом в access-list. Вообще, та скорость с которой комкаст протестировал 6rd, затем отказался и внедряет натив наводит на мысль, что что-то где-то не то. 6rd - временный механизм для переходя на IPv6. За год использования 6rd они выкинули всё несовместимое с native IPv6 железо и теперь 6rd им не нужен, так как у них Native Dual Stack. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
macharius Опубликовано 30 апреля, 2011 (изменено) · Жалоба Не понимаю в чём проблема размещения 6rd relay, необходимо отроутить трафик на него мимо NAT, но через шейпер. На цисках это должно решаться одним правилом в access-list. по мне - так это костыль. (слайд 8) http://www.nanog.org/meetings/nanog50/presentations/Wednesday/NANOG50.Talk65.Why-6rd-NANOG50-100610.pdf (слайд 13) http://www.nanog.org/meetings/nanog49/presentations/Monday/ipv6_home_cisco.pdf читая форум так и не понял, а на ASR1к есть NAT overload (NAPT)? и еще вопрос, подскажите, кто в теме. В случае с 6rd, как ПК, который подключен к СРЕ получает инфрмацию о DNSv6? используется stateless DHCPv6? если да то как эта информация попадает на СРЕ? Изменено 30 апреля, 2011 пользователем macharius Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...