Buonasera,
Ora che ho Sky Wifi Attivo e funzionante vorrei finalmente capire come configurare la rete in dual stack.
Allora, Comincio a dire che ovviamente con lo SkyHub tutto era perfetto e funzionava fin da subito.

Ma iuo essendo scemo (ma neanche troppo) ho una macchina pfSense (ancora per poco).

Dunque mi sono un poco informato su questo fatidico IPv6 tanto odiato da tutti.
Da quel che ho capito il gateway dovrebbe assegnarmi una intera subnet.

Quindi stando ai servizi il mio ipv6 è:
2a0e:0xxx:xxxx::2000 il che significa che l'indirizzo completo è: 2a0e:0xxx:xxxx:0000:0000:0000:0000:2000
Ma questo non mi sembra una subnet!

Dunque quello che vorrei ottenere:
1) Le macchine devono avere un indirizzo IPv4 privato (NAT) con DHCP reservation (cè)
2) Le macchine devono avere un link-local address che se ho ben capito. Questo indirizzo è come un indirzzo privato. Ma non puoi effettivamente farci il routing sopra quindi è limitato dal dominio di broadcast.

Quello che non capisco è perchè la mia WAN ha come gateway IPV6 un indirizzo link-local. Immagino sia per non avere i router di SKY accessibili su internet.

Il problema più grosso che ho al momento è che non riesco a ricevere/vedere gli indirizzi dei DNS SKY w quindi niente VOIP. Io suppongo che tale indirizzo sia di tipo unique local. Ma non ne sono sicuro.

Non ho ancora trovato il modo di asseganre alle macchine un IPv6 appartenente alla sottorete. O perlomeno la macchina in cui sono collegato ora sembra avere un indirizzo IP ma gli altri no.

Andando a memoria ricordo che lo sky hub assegnava anche degli indirizzi temporanei. Quelli cosa erano?

    hitech95 Ma questo non mi sembra una subnet!

    Quella sarà una subnet per il collegamento WAN-BRAS.

    Ti viene anche data una subnet ruotata verso di te /48 tramite DHCP-PD che poi devi mettere nelle impostazioni della tua lan.

    hitech95 Le macchine devono avere un link-local address che se ho ben capito. Questo indirizzo è come un indirzzo privato. Ma non puoi effettivamente farci il routing sopra quindi è limitato dal dominio di broadcast.

    Yes

    hitech95 Il problema più grosso che ho al momento è che non riesco a ricevere/vedere gli indirizzi dei DNS SKY

    No dovrebbe essere un indirizzo global e dovresti riceverlo via DHCP

    hitech95 Andando a memoria ricordo che lo sky hub assegnava anche degli indirizzi temporanei. Quelli cosa erano?

    Le Privacy extensions, praticamente su PC/Smartphone per navigare usi un indrizzo che cambia ogni volta per rendere più difficile ai siti il tracciamento.
    Puoi sempre però assegnare un indirizzo statico.

    Per pfSense sulla WAN devi mettere IPv6 configuration type DHCP6 e come delegation size /48, ti consiglio anche dopo aver richiesto il tuo prefisso di speficarlo come prefix hint in modo da ridurre la probabilità che ti venga cambiato.

    La LAN poi la devi configurare come Track Interface, scegliendo la WAN e mettendo 0 come prefix ID (che sarebbe il numero della subnet).

      edofullo No dovrebbe essere un indirizzo global e dovresti riceverlo via DHCP

      Esatto ma la mia WAN non ha effettivamente indirizzo v6.

      edofullo Per pfSense sulla WAN devi mettere IPv6 configuration type DHCP6 e come delegation size /48, ti consiglio anche dopo aver richiesto il tuo prefisso di speficarlo come prefix hint in modo da ridurre la probabilità che ti venga cambiato.

      La cosa del delegation non la ho ancora del tutto compresa.
      Tra l'altro in Windows gli indirizzi me li fa finire tutti con un %20 %21 che diavolo sarebbe?

      Su unix dopo il % ci sono le interfacce.
      Comunque si ho tutto configurato come dovrei avere ma la WAN non ha l'IP:

        • [cancellato]

        • Modificato

        hitech95

        Come hai collegato il pfSense? In cascata allo SkyHub o direttamente all'ONT?

        hitech95 Quello che non capisco è perchè la mia WAN ha come gateway IPV6 un indirizzo link-local

        In IPv6 il default gateway non viene assegnato via DHCP ma viene ricevuto via RA (Routing Advertisement). L'indirizzo link-local viene automaticamente creato così che RA possa funzionare.

        hitech95 Esatto ma la mia WAN non ha effettivamente indirizzo v6.

        Effettivamente... come è configurata l'interfaccia WAN? Prova a mettere il client DHCP in debug mode, Prova anche a impostare "Do not wait for a RA". Ma l'indirizzo IPv6 sulla BR_LAN da dove viene? Segui quanto detto da edofullo - DHCPv6 sulla WAN e Track Interface sulla LAN.

        hitech95 La cosa del delegation non la ho ancora del tutto compresa.

        In IPv6 non ti assegnano solo un IP pubblico sulla WAN che poi NATti. Ti assegnano anche un'intera subnet pubblica (diversa da quella della WAN) che devi usare sulla LAN al posto degli indirizzi privati che scegli liberamente in IPv4. Il "prefisso" con la sua dimensione indica appunto quale subnet devi usare - quindi poi questa subnet viene direttamente ruotata su internet invece di venire nattata.

        hitech95 Tra l'altro in Windows gli indirizzi me li fa finire tutti con un %20 %21 che diavolo sarebbe?

        È lo scope ID: https://docs.microsoft.com/en-us/previous-versions/aa921042(v=msdn.10)

          [cancellato] Come hai collegato il pfSense? In cascata allo SkyHub o direttamente all'ONT?

          ONT diretto

          [cancellato] In IPv6 il default gateway non viene assegnato via DHCP ma viene ricevuto via RA (Routing Advertisement). L'indirizzo link-local viene automaticamente creato così che RA possa funzionare.

          Ora ha più senso.

          [cancellato] Effettivamente... come è configurata l'interfaccia WAN? Prova a mettere il client DHCP in debug mode, Prova anche a impostare "Do not wait for a RA". [...] Segui quanto detto da edofullo - DHCPv6 sulla WAN e Track Interface sulla LAN.

          Già fatto è così dal DAY One. Ora provo con il "Do not wait for a RA".



          [cancellato] Ma l'indirizzo IPv6 sulla BR_LAN da dove viene?

          Eh quello è l'unico indirizzo IPV6 che ottengo e sembra esse pure pubblico!

          [cancellato] In IPv6 non ti assegnano solo un IP pubblico sulla WAN che poi NATti. Ti assegnano anche un'intera subnet pubblica (diversa da quella della WAN) che devi usare sulla LAN al posto degli indirizzi privati che scegli liberamente in IPv4. Il "prefisso" con la sua dimensione indica appunto quale subnet devi usare - quindi poi questa subnet viene direttamente ruotata su internet invece di venire nattata.

          MA quindi la delegation sarebbe la subnet degli indirizzi global?
          Quindi se ho capito bene la WAN avrebbe un IP global unicast con prefix diverso da quelli delle macchine, giusto?

            • [cancellato]

            • Modificato

            hitech95 Già fatto è così dal DAY One. Ora provo con il "Do not wait for a RA".

            Ok, ma l'IP IPv6 sulla BR_LAN è stato assegnato dinamicamente? Putroppo non ho ancora potuto provare pfSense con IPv6 nativo e DHCP su WAN - solo tunnel Fastweb o HE - quindi non so esattamente comporta in quel caso.

            hitech95 MA quindi la delegation sarebbe la subnet degli indirizzi global?

            Sì esatto, è la subnet con gli indirizzi globali assegnati alla tua LAN. Che a sua volta il pfSense può distribuire via DHCPv6 e/o SLAAC sulla LAN. Così che le macchine possano accedere direttamente ad internet, non essendoci il NAT. Gli indirizzi link-local rimangono - in IPv6 è comune che una interfaccia abbia più di un indirizzo assegnato.

            hitech95 Quindi se ho capito bene la WAN avrebbe un blobal unicast diverso da quelli delle macchine, giusto?

            Esatto. Dal punto di vista del routing è identico a IPv4, solo che non c'è più il concetto di indirizzo privato (e NAT):

            IPv4: WAN:subnet pubblica <-> router:ip-pubblico-WAN <NAT> router:ip-privato-LAN <-> LAN:subnet-privata
            IPv6: WAN:subnet pubblica <-> router:ip-pubblico-WAN <routing> router:ip-pubblico-LAN <-> LAN:subnet-pubblica

              [cancellato]
              Allora io sulla WAN ottengo solo un indirizzo local. Non un global. Ma la macchina da cui ti scrivo ottiene un indirizzo global pubblico esattamente come la LAN.

              Questa cosa non la capisco. Infatti non mi imposta nemmeno i DNS. Ora mettendo il DHCP client in debug mode ho anche recuperato dal log gli IP dei nameserver così posso fare il resolve dei domini del server voip.

              Devo ancora provare ma immagino che abbiano un indirizzo di tipo unique. (non credo siano accessibili da fuori la rete Sky e non sono sicuramente link-local.

              Io mi aspetto una situazione del genere:
              https://imgur.com/lJTetk9

              Forse mi sbaglio io?

              Comunque non ho ancora ben capito la differenza tra DHCPv6, SLAAC e RA.
              Sembrano fare tutti la stessa cosa.

                • [cancellato]

                • Modificato

                [cancellato] non c'è più il concetto di indirizzo privato (e NAT)

                Nì, ad esistere esistono (fc00::/7), ma finalmente data l'abbondanza di indirizzi è nuovamente fattibile assegnare IP global unicast (pubblicamente ruotabile) ad ogni dispositivo. 😉

                (So-che-tu-lo-sai, ti uso per chiarezza del lettore)

                hitech95 Allora io sulla WAN ottengo solo un indirizzo local. Non un global. Ma la macchina da cui ti scrivo ottiene un indirizzo global pubblico esattamente come la LAN.

                Potrebbe anche essere corretto, non hanno voluto sprecare una subnet per il punto-punto tra te e il BRAS..
                @x_term se non erro è cliente Sky UK, magari ha info. O @Supreme69 .

                Prova a fare un tracert o ping a un indirizzo IPv6, tipo 2001:4860:4860::8888 e vedi che succede.

                hitech95 non credo siano accessibili da fuori la rete Sky

                Why not? Se è così è perché hanno impostato delle ACL al perimetro, ma di per sé avranno indirizzi global unicast anche loro.

                  [cancellato] Nì, ad esistere esistono (fc00::/7), ma finalmente data l'abbondanza di indirizzi è nuovamente fattibile assegnare IP global unicast (pubblicamente ruotabile) ad ogni dispositivo. 😉

                  (So-che-tu-lo-sai, ti uso per chiarezza del lettore)

                  Si si, so che esistono gli unique local 😅 Se trovo il modo di configurarli lo faccio sicuramente per la sottorete SRV.

                  [cancellato] Prova a fare un tracert o ping a un indirizzo IPv6, tipo 2001:4860:4860::8888 e vedi che succede.

                  C:\Users\Hitech95>tracert 2001:4860:4860::8888
                  
                  Traccia instradamento verso dns.google [2001:4860:4860::8888]
                  su un massimo di 30 punti di passaggio:
                  
                    1    <1 ms    <1 ms    <1 ms  p55.lan [2a0e:xxxx:xxxx:0:xxxx:xxxx:xxxx:4f9e]
                    2     2 ms     1 ms     1 ms  2a0e:400::160
                    3     *        *        *     Richiesta scaduta.
                    4     *        *        *     Richiesta scaduta.
                    5     7 ms     7 ms     7 ms  2001:4860:0:101c::1
                    6     6 ms     6 ms     6 ms  2001:4860:0:1::2625
                    7     7 ms     7 ms     7 ms  dns.google [2001:4860:4860::8888]
                  
                  Traccia completata.

                  C'è sempre qualcosa che non quadra:

                  E riguardo al voip:

                  C:\Users\Hitech95>nslookup
                  Server predefinito:  p55.lan
                  Address:  2a0e:xxxx:xxxx:0:xxxx:xxxx:xxxx:4f9e
                  
                  > server 2a0e:404:0:a::1
                  Server predefinito:  [2a0e:404:0:a::1]
                  Address:  2a0e:404:0:a::1
                  
                  > voip.it.isp.sky
                  Server:  [2a0e:404:0:a::1]
                  Address:  2a0e:404:0:a::1
                  
                  DNS request timed out.
                      timeout was 2 seconds.
                  DNS request timed out.
                      timeout was 2 seconds.
                  DNS request timed out.
                      timeout was 2 seconds.
                  DNS request timed out.
                      timeout was 2 seconds.
                  *** Tempo scaduto per la richiesta a [2a0e:404:0:a::1]
                  > voip.sky.it
                  Server:  [2a0e:404:0:a::1]
                  Address:  2a0e:404:0:a::1
                  
                  DNS request timed out.
                      timeout was 2 seconds.
                  DNS request timed out.
                      timeout was 2 seconds.
                  DNS request timed out.
                      timeout was 2 seconds.
                  DNS request timed out.
                      timeout was 2 seconds.
                  *** Tempo scaduto per la richiesta a [2a0e:404:0:a::1]

                    hitech95 tracert 2a0e:404:0:a::1 e nslookup google.com 2001:4860:4860::8888? Come sono le rules del firewall?

                      hitech95 Allora io sulla WAN ottengo solo un indirizzo local. Non un global. Ma la macchina da cui ti scrivo ottiene un indirizzo global pubblico esattamente come la LAN.

                      Perchè Sky fa così: tra gateway e il tuo router c'è continuità a livello 2, usano unicamente indirizzi link-local per parlarsi perchè non sono necessari altri indirizzi. Lato router di Sky poi loro avranno una rotta che dice "per cliente x con subnet 2001:db8:acdf:1200::/48 il next hop è fe80::4255:82ff:febb:d1c3 che tu conosci su quella interfaccia Ethernet lì". In questo modo non si usano IPv6 pubblici tra gateway e router ed il tuo router può ricevere una subnet intera e pulita da usare in LAN. Il router a sua volta poi potrà autoassegnarsi uno degli IPv6 da una delle /64 incluse e fare il RA nella tua LAN. Poniamo quindi che da Internet chiedi di collegarti a 2001:db8:acdf:1234::1 che è il tuo router, ripeto il gateway avrà una rotta conosciuta su una determinata interfaccia e MAC address del tuo router, il tuo router poi riceverà il pacchetto e riconoscerà la sua rete interna.
                      Questo ad esempio è quello che la mia Mikrotik vede sulla interfaccia collegata al modem FTTC, ovvero il gateway lato Sky (è un Nokia...) ed è direttamente collegato e si vedono a livello Ethernet.

                      Poi di quella subnet che mi viene assegnata, seleziono una /64 e ne faccio l'annuncio in LAN (non lo censuro perchè tanto tra meno di 3 settimane trasloco e cambierà...)

                      Nel traceroute tu vedi il tuo router e subito dopo il router di Sky (eh... qui in realtà no perchè Sky UK apparentemente ha configurato tutto per non rispondere a ICMPv6). Di nuovo, non è necessario che abbia un IPv6 pubblico anche lato WAN, perchè sono direttamente connessi e possono usare quello.

                      Tracing route to dns.google [2001:4860:4860::8888]
                      over a maximum of 30 hops:
                      
                        1     1 ms    <1 ms     1 ms  2a02:c7f:f6d4:6700::1
                        2     *        *        *     Request timed out.
                        3     *        *        *     Request timed out.
                        4     *        *        *     Request timed out.
                        5     7 ms     6 ms     6 ms  2a00:1450:8135::1
                        6     7 ms     6 ms     6 ms  dns.google [2001:4860:4860::8888]

                      Il discorso invece del test su ipv6-test, intanto considera che ICMP appare filtered giustamente, tu non vuoi che il tuo PC risponda ai ping da tutto internet, no? Per il DNS invece è un altro paio di maniche ma ti dico solo che in realtà lo posso raggiungere pure io da qua [edit: ah anche a te va il tracert ma non risponde alla query... sicuro che non hai qualche impostazione su pfsense a riguardo?]

                      Tracing route to 2a0e:404:0:a::1 over a maximum of 30 hops
                      
                        1    <1 ms    <1 ms    <1 ms  2a02:c7f:f6d4:6700::1
                        2     *        *        *     Request timed out.
                        3     *        *        *     Request timed out.
                        4     7 ms     7 ms     7 ms  ge-5-0-5-587.edge6.amsterdam1.level3.net [2001:1900:5:2:2::1e39]
                        5    36 ms    28 ms    29 ms  lo0.0.edge1.milan2.level3.net [2001:1900:2::3:160]
                        6    30 ms    30 ms    29 ms  sky-italia.bear1.milan2.level3.net [2001:1900:5:2:2:0:10:37a]
                        7     *        *        *     Request timed out.
                        8     *        *        *     Request timed out.
                        9    29 ms    29 ms    29 ms  2a0e:404:0:a::1

                        fracarza nslookup google.com 2001:4860:4860::8888

                        Lo stavo per mandare:

                        C:\Users\Hitech95>nslookup google.com 2001:4860:4860::8888
                        DNS request timed out.
                            timeout was 2 seconds.
                        Server:  UnKnown
                        Address:  2001:4860:4860::8888
                        
                        DNS request timed out.
                            timeout was 2 seconds.
                        DNS request timed out.
                            timeout was 2 seconds.
                        DNS request timed out.
                            timeout was 2 seconds.
                        DNS request timed out.
                            timeout was 2 seconds.
                        *** Tempo scaduto per la richiesta a UnKnown
                        
                        C:\Users\Hitech95>tracert 2a0e:404:0:a::1
                        
                        Traccia instradamento verso 2a0e:404:0:a::1 su un massimo di 30 punti di passaggio
                        
                          1    <1 ms    <1 ms    <1 ms  p55.lan [2a0e:xxxx:xxxx:0:xxxx:xxxx:xxxx:4f9e]
                          2     2 ms     1 ms     1 ms  2a0e:400::160
                          3     6 ms     6 ms     6 ms  2a0e:400::6
                          4     5 ms     5 ms     5 ms  2a0e:401:ffff:ffe0::d
                          5     5 ms     5 ms     5 ms  2a0e:404:0:a::1
                        
                        Traccia completata.
                        
                        C:\Users\Hitech95>ping 2001:4860:4860::8888
                        
                        Esecuzione di Ping 2001:4860:4860::8888 con 32 byte di dati:
                        Risposta da 2001:4860:4860::8888: durata=7ms
                        Risposta da 2001:4860:4860::8888: durata=7ms
                        Risposta da 2001:4860:4860::8888: durata=7ms
                        Risposta da 2001:4860:4860::8888: durata=7ms
                        
                        Statistiche Ping per 2001:4860:4860::8888:
                            Pacchetti: Trasmessi = 4, Ricevuti = 4,
                            Persi = 0 (0% persi),
                        Tempo approssimativo percorsi andata/ritorno in millisecondi:
                            Minimo = 7ms, Massimo =  7ms, Medio =  7ms
                        
                        C:\Users\Hitech95>

                        x_term Il discorso invece del test su ipv6-test, intanto considera che ICMP appare filtered giustamente, tu non vuoi che il tuo PC risponda ai ping da tutto internet, no?

                        Il fatto del ICMP è appositamente bloccato altrimenti i bot iniziano a spammarmi la 22 come non ci fosse un domani... e visto che mi hanno già superato il fail2ban con una password di 8 caratteri (alfanumerica+simboli) ora faccio il possibile per evitare altri attacchi.

                        x_term Per il DNS invece è un altro paio di maniche ma ti dico solo che in realtà lo posso raggiungere pure io da qua:

                        Eh quello sembra creare un sacco di problemi. non sto capendo infatti come mai non riesco a risolvere usando i nameserver IPv6!

                        Per il discorso dell'IP sulla wan è tutto chiaro. Ho l'IP pubblico del router e quindi si usa quello!

                        • x_term ha risposto a questo messaggio

                          hitech95 Il fatto del ICMP è appositamente bloccato altrimenti i bot iniziano a spammarmi

                          Che è lo stesso motivo per cui anche io lato WAN non rispondo a ICMPv6... e ho una regola che fa drop ICMPv6 nella forward. Ma è appunto normale.

                          hitech95 non sto capendo infatti come mai non riesco a risolvere usando i nameserver IPv6!

                          Prova a vedere se lo riesce a fare il pfsense, mi pare ci sia un tool per fare nslookup...

                            x_term edit: ah anche a te va il tracert ma non risponde alla query... sicuro che non hai qualche impostazione su pfsense a riguardo?

                            Non mi pare:




                            LA cosa che a me fa anche strano è che non compaiono i DNS del DHCP nella lista dei DNS per il forwarder. Cosa che con PPP faceva anche se poi io uso il resolver.

                              x_term Prova a vedere se lo riesce a fare il pfsense, mi pare ci sia un tool per fare nslookup...

                              Ho fatto così per fare prima, ma da terminale non mi risponde nemmeno al ping 🤔:

                                • [cancellato]

                                • Modificato

                                hitech95 Hai la regola di nat per any address udp... Non vorrei ti mascherasse le query con l'indirizzo link local che non è ruotabile.

                                hitech95 Nascondi l'indirizzo IPv6, quello rimane tuo statico, e non cambia mai!

                                  [cancellato]
                                  Sembra fosse lei la causa di tutti i mali😁 Mi pareva fosse li per il voip. Ma chi è che si ricorda.
                                  Sono stato sgambettato per un anno e non ho più usato la macchina...

                                  [cancellato] hitech95 Nascondi l'indirizzo IPv6, quello rimane tuo statico, e non cambia mai!

                                  Ops me ne sono accorto ora 😅

                                    • [cancellato]

                                    hitech95 Bon, puoi ovviamente tenerla ma va ristretta alla subnet interna come sorgente altrimenti fai il macello 😉

                                      [cancellato] Ti dico attualmente sono abbastanza fuso. Non riesco neanche a focalizzare il perchè piantava tutto.
                                      Ho passato la pausa pranzo a guardarmi la documentazione del MAP-T e qualche conferenza al riguardo. Appena ho staccato mi sono messo a guardare gli IPv6 che non li vedevo da una vita e che ho sempre lasciato li.

                                      Io e miei amici abbiamo un detto:

                                      make menuconfig
                                      ctrl+7 'ipv6'
                                      rimuovi pacchetti trovati

                                      Un pò come un SELINUX permissive appena hai installato centos/fedora e non hai voglia di mettere tutti i servizi in whitelist...

                                      Ragazzi se passate per venezia avanzate uno spritz!

                                      https://ipv6-test.com/ va a meraviglia.
                                      Non capisco la cosa del HOST che secondo me non ha senso in quanto sono linee consumer.
                                      Se non erro wind aveva dei domini assegnati agli ip in modo che il reverse ip lookup tirasse fuori qualcosa.

                                      Ora voglio invece capire come dare un senso agli indirizzi che mi danno. Perchè mi farebbe davvero piacere averli più ordinati e non a casaccio. una cosa del tipo XXXX::YYYY:ZZZZ
                                      Dove YYYY è la subnet e ZZZZ è l'identificativo della macchina!

                                      Domani configuro FreePBX e finalmente (spero) di riavere dopo un anno ho di nuovo la linea fissa funzionante.

                                        Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                        P.I. IT16712091004 - info@fibraclick.it

                                        ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile