IPv6 e dubbi su configurazione in RouterOS

walt · 31 mag 2023

Hola!

Accantonato in via provvisoria il FRITZ!Box in comodato, grazie al prefisso /48 in dual stack assegnato sulla mia linea FTTH Dimensione sto sperimentando la configurazione IPv6 applicata a tre conosciute soluzioni software: RouterOS, OPNsense ed OpenWrt, ambienti operativi di cui ho moderata padronanza a livello hobbystico, in particolare ho da tempo adottato il primo su linea FTTH TIM e su root server Hetzner (sul quale però ho finora evitato di implementare la configurazione IPv6).

Per chi come il sottoscritto ha vissuto decenni nella "bambagia" dell'IPv4 nel complesso l'esito degli approcci iniziali è incoraggiante ma proprio nello specifico di RouterOS è emersa una singolarità che sottopongo all'autorevolezza di molti di voi!

Applicando la configurazione proposta sul portale di Pianeta Fibra (integrata con poche regole aggiuntive di firewall e con vezzosa assegnazione di IPv6 statico al bridge)...

/ipv6 dhcp-client
add add-default-route=no dhcp-options="" dhcp-options="" disabled=no interface=pppoe pool-name=wan-pool pool-prefix-length=\
    64 prefix-hint=::/0 request=prefix use-peer-dns=no

/ipv6 nd
set [ find default=yes ] advertise-dns=no advertise-mac-address=yes disabled=no dns="" hop-limit=64 interface=bridge \
    managed-address-configuration=no mtu=unspecified other-configuration=no pref64="" ra-delay=3s ra-interval=3m20s-5m \
    ra-lifetime=30m ra-preference=medium reachable-time=unspecified retransmit-interval=unspecified
/ipv6 nd prefix default
set autonomous=yes preferred-lifetime=1w valid-lifetime=4w2d

...ottengo regolare delega del prefisso /48...

[walter@ros] > ipv6/dhcp-client/print
Columns: INTERFACE, STATUS, REQUEST, PREFIX
# INTERFACE  STATUS  REQUEST  PREFIX                          
0 pppoe      bound   prefix   xxxx:yyyy:zzzz::/48, 2d23h59m55s

ma - ecco la singolarità - nel caso abiliti anche o soltanto la richiesta di assegnazione indirizzo allora il client rimane in laconica ricerca...

[walter@ros] > ipv6/dhcp-client/print
Columns: INTERFACE, STATUS, REQUEST
# INTERFACE  STATUS        REQUEST
0 pppoe      searching...  address
                           prefix

[walter@ros] > ipv6/dhcp-client/print
Columns: INTERFACE, STATUS, REQUEST
# INTERFACE  STATUS        REQUEST
0 pppoe      searching...  address

...colpa di qualche parametro errato o non valorizzato?
Che possa trattarsi di funzionalità non correttamente supportata (!?) da RouterOS?

Ho sfogliato alcune discussioni qui e là senza trovare spiegazione...ma è pur sempre vero che sono anziano e stanco

Non posso mancare di evidenziare che, abilitando apposita opzione, l'assegnazione dell'indirizzo IPv6 alla WAN avviene regolarmente sia in OPNsense

root@opnsense:~ # ifconfig pppoe0 | grep inet6
        inet6 fe80::xxxx:xxx:xxxx:xxxx%pppoe0 prefixlen 64 scopeid 0xa
        inet6 fe80::xxxx:xxxx:xxxx:xxxx%pppoe0 prefixlen 64 scopeid 0xa
        inet6 xxxx:xxxx:xxxx:xxxx:xxxx:xxx:xxxx:xxxx prefixlen 64 autoconf

sia in OpenWrt

root@OpenWrt:~# ip a show pppoe-wan |grep inet6
    inet6 xxxx:xxxx:xxxx:xxxx:xx:xxxx:xxxx:xxxx/64 scope global dynamic noprefixroute
    inet6 fe80::xx:xxxx:xxxx:xxxx/128 scope link

In merito ho poi una modesta curiosità che mi sembra opportuno portare all'attenzione del cortese @giusgius : l'IPv6 assegnato alla PPPoE è dinamico a fronte di vincoli tecnici e/o normative oppure per scelta arbitraria?
Nel mio piccolo ho ingenuamente ipotizzato che sia valutata pleonastica l'assegnazione statica di quell'IPv6 dal momento che è già possibile assegnare IPv6 statico ad altra interfaccia del router ma magari mi sfuggono considerazioni più autorevoli...

A latere consigliate di approndire la funzionalità dei parametri Advertise DSN, Managed Address Configuration e Other Configuration nella sezione neighbor discovery ?

Grazie a tutti

giusgius · 31 mag 2023

walt @giusgius : l'IPv6 assegnato alla PPPoE è dinamico a fronte di vincoli tecnici e/o normative oppure per scelta arbitraria?

Confermo che è fisso!

walt · 31 mag 2023

giusgius allora visto che io mi ritrovo assegnazione dinamica, mi sfugge l'impostazione lato router che consente di ottenerla fissa...

giusgius · 1 giu 2023

walt lato tuo non devi impostare nulla affinché sia statico perché viene fornito da noi, ma ci sono due prefissi che ottieni. Il primo è il tuo prefisso di rete, che è statico ed è una /48.
Il secondo è per la comunicazione BRAS - Router, che è una /64 ed è dinamico (ma non lo usi nella tua rete).

walt · 1 giu 2023

giusgius Il secondo è per la comunicazione BRAS - Router, che è una /64 ed è dinamico (ma non lo usi nella tua rete).

Allora non ero stato chiaro o non avevi inteso correttamente tu : io mi riferivo appunto al /64!

Quindi torna che è dinamico e allora rimane la mia curiosità: perché dinamico?

P.S.:

giusgius ma non lo usi nella tua rete

beh ad esempio potrei stabilire di usarlo alla stregua dello statico IPv4 e configurare NAT da/verso indirizzi ULA

[cancellato] · 1 giu 2023

walt beh ad esempio potrei stabilire di usarlo alla stregua dello statico IPv4 e configurare NAT da/verso indirizzi ULA

E perché fare una cosa del genere? Hai un prefisso /48 assegnato, perché cercarsi guai con NAT66 e ULA? Casomai puoi fare Network Prefix Translation fra uno dei prefissi assegnati e quello ULA, se vuoi qualcosa che non richieda renumbering in caso di cambio del prefisso.

In IPv6 c'è una sostanziale differenza fra il prefisso che ti viene delegato e l'IP che viene assegnato all'interfaccia WAN del router. Quest'ultimo viene usato solo per il routing con la rete dell'ISP - e potrebbe persino essere un indirizzo link-local (sconsigliato da RIPE, ma configurazione diffusa). I tuoi pacchetti, al contrario di IPv4 con NAT necessario, non escono mai con quell'indirizzo - hanno indirizzi nel prefisso assegnato. Se facessi NAT con quell'indirizzo potresti persino trovarti con pacchetti non ruotabili.

IPv6 non è IPv4 con più bit - cambiano diversi paradigmi d'uso.

giusgius · 1 giu 2023

walt Allora non ero stato chiaro o non avevi inteso correttamente tu : io mi riferivo appunto al /64!

Quindi torna che è dinamico e allora rimane la mia curiosità: perché dinamico?

Ti ha risposto [cancellato] in maniera super dettagliata

EErnyTech · 1 giu 2023

walt Quel IP che ottieni sulla wan non è realmente utile, con IPv6 via PPPoE sarebbe sufficiente un link-local.
Immagino che dimensione ha deciso di assegnarlo perché alcuni router fanno i capricci se non ottengono un IPv6 globale sulla wan (e alcuni fanno i capricci se invece lo ottengono però alla fine bisogna decidere cosa fare)

l'IP che ottieni lo puoi tranquillamente ignorare, a te interessa il prefix ottenuto via la prefix delegation che puoi usarlo come ti pare. Se vuoi fare NAT verso ULA (cosa che sconglio perché poi gli host daranno la priorità a IPv4 invece di IPv6 ULA quindi prima di farlo devi riflettere per capire se è quello che vuoi) basta che ti prendi una /64 da quel prefix ottenuto che è statico e assegnarla direttamente all'interfaccia che preferisci.

Io il NAT (o meglio NPT cioè il Nat 1:1 tra prefix IPv6) l'ho fatta diverse volte ma preferisco usare IPv6 global non annunciato su Internet in questo modo tutti gli host daranno la priorità a IPv6 di default

walt · 1 giu 2023

[cancellato] E perché fare una cosa del genere?

Come affermato in apertura discussione, sono in fase di sperimentazione pertanto lascio spazio alla mia curiosità istintiva non dimenticando al tempo stesso l'utilità razionale di comprendere ed introiettare i corretti scenari d'uso: esporre in pubblico eventuali ingenuità è talvolta contropartita di questo processo!

[cancellato] Se facessi NAT con quell'indirizzo potresti persino trovarti con pacchetti non ruotabili.

Ti riferisci sempre all'eventuale scenario con utilizzo di IP link-local?

[cancellato] I tuoi pacchetti, al contrario di IPv4 con NAT necessario, non escono mai con quell'indirizzo

Se è vero - e lo è! - che il mio approccio alla specifica questione è compromesso da un conoscenza teorica ad oggi inadeguata, in termini puramente empirici mi sentirei di azzardare (!) e confutare in parte l'affermazione: essa ha inespugnabile fondamento in riferimento ai pacchetti di LAN ma di medesimo fondamento decade in riferimento ai pacchetti in uscita dal router i quali presentano l'IPv6 /64 nel momento in cui IPv6 sia disabilitato lato LAN (o quanto meno il bridge sia privo di assegnazione IPv6).

Tu veemente asserirai: "Io con l'espressione 'tuoi pacchetti' mi riferivo ça va sans dire a quelli di LAN!"
E sdegnato reclamerai: "Perché mai poi considerare un caso d'uso 'sì...astruso?!"
D'altro canto io obietterò: "Perché sto sperimentando e mi piace provare ogni possibilità!"
E giocondo chioserò: "Ciò non significa che rappresenterà lo scenario d'uso in esercizio!"

La vita è un gioco e mi piace anche prendermi un po' in giro

Preso definitivamente atto che lato mio all'atto pratico quell'IPv6 è poco più di un orpello, rimango con la residuale fanciullesca curiosità di comprendere la configurazione necessaria in RouterOS al fine di ottenerne assegnazione: in merito approfitto della tua competenza quindi @[cancellato] ti chiedo, hai suggerimenti?

Grazie

ErnyTech preferisco usare IPv6 global non annunciato su Internet

Ho letto ora la tua articolata risposta!
Il concetto di annuncio IP mi è abbastanza chiaro in termini di configurazione lato ISP ma in ambito domestico mi lascia spiazzato: puoi sviscerare soltanto un minimo il passaggio citato? Grazie!

EErnyTech · 1 giu 2023

walt

Ho letto ora la tua articolata risposta!
Il concetto di nnuncio IP mi è abbastanza chiaro in termini di configurazione lato ISP ma in ambito domestico mi lascia spiazzato: puoi sviscerare soltanto un minimo il passaggio citato? Grazie!

Semplicemente dato che IPv6 non ha problemi di disponibilità è possibile procurarsi prefix IPv6 global (e quindi annunciabili su internet) e decidere di non annunciarli mai su Internet pubblico così da poterli usare "localmente" in un NPTv6.
Se ci pensi la stessa cosa si può fare anche su IPv4 ma se ti dico di comprare un IPv4 per non annunciarlo mi daresti del pazzo .
La comodità di fare come ti ho detto è non avere problemi con la priorità del ULA oltre ad avere un prefix IPv6 assegnato a te che nessun altro dovrebbe usare.

[cancellato] · 1 giu 2023

walt Come affermato in apertura discussione, sono in fase di sperimentazione pertanto lascio spazio alla mia curiosità

Fai benissimo - la risposta significa che non c'è alcun motivo di fare una cosa del genere in IPv6. Se in IPv4 il tuo IP "pubblico" è quello assegnato alla WAN, in IPv6 quello che è "pubblico" è il prefisso delegato, non l'IP della WAN.

walt Ti riferisci sempre all'eventuale scenario con utilizzo di IP link-local?

Link local o ULA. Se l'indirizzo sulla WAN non è GUA e cerchi di usarlo come indirizzo nel pacchetto tramite NAT non sarò ruotabile (a meno che non ci siano ulteriori NAT) - ma a meno di non voler fare configurazioni strane, non è previsto di usare IPv6 in stile "CG-NAT" - IPv6 serve per evitare tutto ciò che complica solo le cose.

walt pacchetti in uscita dal router i quali presentano l'IPv6 /64 nel momento in cui IPv6 sia disabilitato lato LAN

No, se hai disabilitato IPv6 lato LAN i pacchetti non viaggeranno su IPv6 lato WAN a meno che non usi espressamente protocolli di traduzione/incapsulamento (i MAP-T e MAP-E che usano Sky e Iliad, ad esempio) per far viaggiare il traffico IPv4 su una rete IPv6. Ma a quel punto di nuovo il traffico IPv6 è limitato alla rete dell'ISP (che dovrà avere gli endpoint per fare l'operazione inversa) - anche perché non puoi mandare un pacchetto IPv6 ad una destinazione che se lo aspetta IPv4.

Useranno quell'IP se generi traffico direttamente da quella interfaccia (es. se fai un ping direttamente dal router da quell'interfaccia) - ed è uno dei motivi per i quali RIPE consiglia di assegnare a quella WAN un prefisso /64 dedicato (vedi https://www.ripe.net/publications/docs/ripe-690) - perché con altri tipi di indirizzamento potrebbero esserci problemi.

walt Preso definitivamente atto che lato mio all'atto pratico quell'IPv6 è poco più di un orpello

Per ora in Italia sì, ma fai bene a prenderci confidenza ora, prima o poi arriverà.

walt comprendere la configurazione necessaria in RouterOS

Purtroppo non uso Mikrotik e con RouterOS non ti posso aiutare.

ErnyTech Semplicemente dato che IPv6 non ha problemi di disponibilità è possibile procurarsi prefix IPv6 global (e quindi annunciabili su internet) e decidere di non annunciarli mai

Sì, però devi avere la possibilità di ottenere la tua assegnazione direttamente. Cosa non alla portata di tutti.

EErnyTech · 1 giu 2023

[cancellato]

Sì, però devi avere la possibilità di ottenere la tua assegnazione direttamente. Cosa non alla portata di tutti.

Se a qualcuno del forum serve per uso non professionale e da non annunciare su internet mi può contattare che lo faccio gratis

walt · 1 giu 2023

ErnyTech sollecitato dai tuoi interventi, ho sfogliati alcuni approfondimenti in merito a NPTv6: mi rendo sempre più conto che lunga è la strada per padroneggiare senza incertezze la materia IPv6 ma lo specifico scenario mi appare in parte più comprensibile, grazie.

[cancellato] Se in IPv4 il tuo IP "pubblico" è quello assegnato alla WAN, in IPv6 quello che è "pubblico" è il prefisso delegato, non l'IP della WAN.

[cancellato] Useranno quell'IP se generi traffico direttamente da quella interfaccia

Confermo che con pacchetti in uscita dal router mi riferivo, con scarsa precisione lessicale, a quello scenario: e per ottenere il risultato devo appunto aver in precedenza disabilitato del tutto IPv6 lato LAN o quanto meno aver disassegnato IPv6 dal bridge...sempre fermo restando la consapevolezza che si tratta di una questione di scarso valore e correlata a sola curiosità fanciullesca.

[cancellato] Per ora in Italia sì, ma fai bene a prenderci confidenza ora, prima o poi arriverà.

Con quell'IPv6 mi riferivo proprio a quello: il /64 della "discordia"
Che poi almeno in Italia l'adozione di IPv6 sia tutt'oggi ridotta, concordo...così come concordo sull'utilità di prendere in ogni caso confidenza con la materia...con figure barbine in allegato

[cancellato] Purtroppo non uso Mikrotik e con RouterOS non ti posso aiutare.

Peccato...appena individuo altri nominativi autorevoli provvederò a chiedere loro un parere!

Rinnovo i ringraziamenti ai partecipanti

[cancellato] · 1 giu 2023

walt e per ottenere il risultato devo appunto aver in precedenza disabilitato del tutto IPv6 lato LAN o quanto meno aver disassegnato IPv6 dal bridge...

Beh no, basta operare direttamente dal router e usare un tool locale che permetta di selezionare l'interfaccia. Può essere utile per fare troubleshooting se il routing end-to-end non funziona, per capire dov'è il problema.

walt in ogni caso confidenza con la materia...con figure barbine in allegato

I casini all'inizio li fanno tutti - a meno che non segui un corso formale prima (e anche in quel caso...) - specialmente quando ci sono molte cose uguali o simili ma alcune sono invece "perfidamente" diverse.

walt · 1 giu 2023

[cancellato]

[cancellato] basta operare direttamente dal router e usare un tool locale che permetta di selezionare l'interfaccia

Giusto specificare, io mi riferivo ad una casistica per così dire "ignorante"