• [cancellato]

  • Messaggio #4
  • Modificato

edofullo Il problema è che io vorrei il raspberry in stateful con assegnata una /64 da cui dare gli IP ai container,

Essenzialmente vuoi una subnet. Però allora ti serve un server DHCP che supporti la subnet. Assegni il prefisso /64 alla subnet e quindi il DHCP rilascerà gl indirizzi per quella subnet.

Puoi anche configurare il Pi per fare da server per quella subnet (però lo metterei allora con IP statico), però poi devi evitare che il server DHCP a monte usi l'intero /48 senza subnettare.

Poi sinceramente con IPv6 consiglio caldamente un server DHCP integrato con il DNS che fa automaticamente il mapping fra indirizzi assegnati e nomi host. Così non c'è bisogno di ricordarsi gli IP e si può sempre cercare l'IP assegnato ad un host.

Poi devi fare routing fra le subnet da qualche parte, anche sul Pi stesso.

Sul FW comincia a fare se non c'è una un regola di default deny all in in ingresso. Poi apri solo le porte eventualmente necessarie.

      [cancellato] Essenzialmente vuoi una subnet. Però allora ti serve un server DHCP che supporti la subnet. Assegni il prefisso /64 alla subnet e quindi il DHCP rilascerà gl indirizzi per quella subnet.

      Puoi anche configurare il Pi per fare da server per quella subnet (però lo metterei allora con IP statico), però poi devi evitare che il server DHCP a monte usi l'intero /48 senza subnettare.

      Poi devi fare routing fra le subnet da qualche parte, anche sul Pi stesso.

      Ok no troppo sbatti, mi conviene mettere tutti sotto la /48 come ha detto ziomatt, alla fine comunque i container saranno raggiungibili singolarmente dall'esterno, quello è il mio scopo.

      [cancellato] Sul FW comincia a fare se non c'è una un regola di default deny all in in ingresso. Poi apri solo le porte eventualmente necessarie.

      Mah, in teoria la regola già ci dovrebbe essere perchè il router supporta IPv6 nativamente ed è fatto per essere usato su reti v6 da consumer, comunque ci guardo.

      [cancellato] Poi apri solo le porte eventualmente necessarie.

      Posso aprire direttamente il raspberry anche vero? Quello alla fine è l'unico dispositivo che vorrei accessibile da fuori (ma poi fuori dove, visto che v6 non c'è da nessuna parte, vabbè)

      Vi faccio sapere più tardi se funziona la soluzione di netflix 🤞

              edofullo IP completamente casuali

              SLAAC (in modalità EUI64) genera indirizzi IPV6 basati sul Mac Address. È stato poi realizzato un secondo meccanismo per risolvere la questione privacy e rendere casuale l'indirizzo.

              edofullo Invece se riuscissi a usare indirizzi del tipo 2001:470:aaaa::1 sarebbero anche ricordabili a memoria.

              L'idea è che tu non debba ricordarti quelli ma la /64 (gli ultimi 64 bit sono generati a caso e per così dire "sprecati").

              edofullo Secondo te fa riesce a far NAT a 1 Gbps?

              Non conosco il modello specifico ma normalmente NAT a 1Gbps con il software originale non è un problema. Se ci installi OpenWRT serve il Flow Offloading. Il problema è l'eventuale QoS.

                      • [cancellato]

                      • Messaggio #7
                      • Modificato

                      edofullo Posso aprire direttamente il raspberry anche vero?

                      In IPv6 l'indirizzo è pubblico e quindi puoi aprire l'indirizzo che vuoi con le porte che vuoi. Però per fare regole con IP dinamici ci vuole un firewall che sappia risolverli ad esempio a partire dal nome host. Altrimenti ci vogliono IP "fissi", anche tramite reservation sul DHCP. Io sinceramente considero SLAAC una soluzione del 1996 - non adatta in qualsiasi situazione dove le macchine devono essere facilmente identificabili.

                      Poi sarebbe il caso di avere una DMZ per cercare di minimizzare i rischi. Dipende da cosa fa il Pi.

                          [cancellato] Io sinceramente considero SLAAC una soluzione del 1996 - non adatta in qualsiasi situazione dove le macchine devono essere facilmente identificabili.

                          Alla fine grazie a questa pagina sono riuscito a capire cosa sono le varie impostazioni e ho settato così (ditemi se vedete qualcosa di sbagliato):

                          Ho messo anche l'indirizzo v6 del mio pihole locale

                          I dispositivi prendono un IPv4 e un IPv6 da DHCP e ho scoperto che quelli che hanno uno static lease in v4 questo di default viene assegnato anche in v6

                          Esempio: il raspi è 10.0.0.250 e in IPv6 gli viene assegnato PREFIX::250/128, ottimo direi 👌

                          Inoltre tutti i dispositivi hanno un indirizzo del tipo fe80::46b9:70fc:818b:2973/64 che ho capito cos'è ma non ne capisco l'utilità.

                          Con mia grande sorpresa pure netflix funziona senza aver toccato il pihole, ma non riesco a capire perchè

                          C'è un modo per capire se sta usando v4 o v6? I siti v6 only funzionano

                          Sinceramente, pensavo fosse peggio la faccenda

                              • [cancellato]

                              • Messaggio #9

                              edofullo ma non ne capisco l'utilità.

                              L'indirizzo link-local è indispensabile per il funzionamento di IPv6, i dispositivi devono avere almeno un indirizzo valido perché alcuni protocolli come NDP non funzionerebbero altrimenti (non c'è ad esempio ARP in IPv6). Uno degli obbiettivi di IPv6 è quello di eliminare i broadcast perché sono un problema in reti di certe dimensioni (non tanto nelle piccole LAN). L'indirizzo link-local assicura che il dispositivo possa comunicare nella sua subnet finché non ottiene gli indirizzi definitivi.

                                Ho appena scoperto che tutti i dispositivi Android non supportano DHCPv6 😑😑😑😑😑

                                Quindi ho messo DHCPv6 mode a "stateful+stateless" e ora anche gli android prendono gli IPv6

                                Peccato che ora tutti i dispositivi prendono sia l'IPv6 di DHCPv6 sia un altro (di SLAAC?), è normale nelle reti v6 avere la bellezza di 3 indirizzi per dipositivo (di cui una /64) ?

                                
[edoardo@edoardo-pc ~]$ ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 44:8a:5b:cc:5f:f0 brd ff:ff:ff:ff:ff:ff
    inet 10.0.0.235/24 brd 10.0.0.255 scope global dynamic noprefixroute enp3s0
       valid_lft 18700sec preferred_lft 18700sec
    inet6 2001:470:xxxx::9cd/128 scope global noprefixroute 
       valid_lft forever preferred_lft forever
    inet6 2001:470:xxxx:0:b48b:be7c:4366:2d/64 scope global noprefixroute 
       valid_lft forever preferred_lft forever
    inet6 fe80::46b9:70fc:818b:2973/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever

                                Lettura interessante: https://www.techrepublic.com/article/androids-lack-of-dhcpv6-support-frustrates-enterprise-network-admins/

                                Non c'è nemmeno da stupirsi troppo se non andiamo avanti...

                                  • [cancellato]

                                  • Messaggio #11

                                  edofullo Ho appena scoperto che tutti i dispositivi Android non supportano DHCPv6

                                  Sì, è un annoso problema. Ci andò a sbattere anche Microsoft quando tentò di rendere il suo campus tutto IPv6. La mia umile opinione è che Google ne stia approfittando per motivi tutti suoi. Io credo che se DHCP fosse stato più maturo (è coetaneo di IPv6) quando hanno progettato IPv6, SLAAC non sarebbe mai esistito.

                                  Comunque in IPv6 è normale che una macchina abbia più indirizzi.

                                    • [cancellato]

                                    • Messaggio #13

                                    edofullo Secondo te fa riesce a far NAT a 1 Gbps?

                                    Buona domanda che richede un poema, per dire: non lo so...
                                    Spiego. Con i Mikrotik in IPv6 non si può usare il fasttrack, e i dati che ho visto danno l'hAP AC2 al pelo in natting su PPPoE gigabit in fasttrack. In questo caso il 'tik ti deve fare anche il tunnelling 6in4, con aggravio sulla CPU. Sarebbe da provare, ma l'alternativa di fascia superiore come performance è l'RB4011, con ben altri costi...

                                    edofullo Buona idea, ma c'è un problema: lo SLAAC mi genera degli IP completamente casuali senza zeri e quindi impossibili da ricordare 🤣

                                    Ed è per questo che hanno inventato il DNS... 😃

                                    Però il consiglio di [cancellato] è corretto... non ha senso una /48 se non per creare sottoreti da ruotare... lo SLAAC alla fine funziona al meglio entro una /64 che è per definizione non divisibile ulteriormente.

                                    stemax97 Non conosco il modello specifico ma normalmente NAT a 1Gbps con il software originale non è un problema. Se ci installi OpenWRT serve il Flow Offloading. Il problema è l'eventuale QoS.

                                    Affermazione purtroppo errata. CI son molti modelli Mikrotik che non tengono il routing in gigabit. E su queste serie non è installabile OpenWRT (perché poi uno lo voglia fare, non l'ho mai capito, dato che il "valore aggiunto" dei 'tik è proprio il software... e OpenWRT ne ha di strada da fare per essere quantomeno usabile in modo serio in reti estese).

                                    edofullo Esempio: il raspi è 10.0.0.250 e in IPv6 gli viene assegnato PREFIX::250/128, ottimo direi 👌

                                    Ok, ma quello non è SLAAC, hai semplicemente il DHCPv6 che assegna gli indirizzi ai client, esattamente come nel caso v4.

                                    edofullo Con mia grande sorpresa pure netflix funziona senza aver toccato il pihole, ma non riesco a capire perchè

                                    Perché i server DNS rispondono alle query AAAA anche quando interrogati da un indirizzo v4 (se non ci credi, prova con $ dig -t AAAA google.it \@8.8.8.8)

                                    edofullo Ho appena scoperto che tutti i dispositivi Android non supportano DHCPv6

                                    Benvenuto nel mondo dell'IPv6. 😉

                                    edofullo Peccato che ora tutti i dispositivi prendono sia l'IPv6 di DHCPv6 sia un altro (di SLAAC?), è normale nelle reti v6 avere la bellezza di 3 indirizzi per dipositivo (di cui una /64) ?

                                    Yes, tanto ce ne sono quanti ne vuoi.

                                                      [cancellato] Perché i server DNS rispondono alle query AAAA anche quando interrogati da un indirizzo v4 (se non ci credi, prova con $ dig -t AAAA google.it @8.8.8.8)

                                                      Il problema non era quello, il problema era che usando un tunnel netflix (giustamente?) ti bloccava perchè stai di fatto violando la georestizione dei contenuti

                                                      Avevo provato e mi usciva il messaggio di disattivare VPN o proxy e non potevo guardar nulla
                                                      ora sembra cambiata la faccenda

                                                      stemax97 Direi proprio che è in v6

                                                      Non solo: Alcuno film che trovo sul telefono (da 4G) non compaiono dal tunnel, quindi mi sa che sto scroccando netflix Inglese 😅

                                                      speriamo non se ne accorgano hihihi

                                                      Non sono però riuscito a trovare contenuti disponibili dal tunnel e non da quello italiano

                                                      Sidenote:

                                                      Vedo che il Forum è diponibile completamente in v6 🤩
                                                      Piccola curiosità @matteocontrini: si potrebbe sapere qual è la percentuale degli accessi da IPv6?
                                                      Giusto per buttarsi un po' giù il morale 😁

                                                      Altra curiosità: nessun sito web di nessun operatore telefonico è disponibile in v6

                                                      Ho guardato anche i siti dei maggiori giornali italiani: solo lastampa va in v6, però anche quelli esteri molti non vanno in v6 (di quelli che ho provato solo die welt e the guardian vanno in v6)

                                                      La starda è ancora mooolto lunga

                                                            [cancellato] Buona domanda che richede un poema, per dire: non lo so...
                                                            Spiego. Con i Mikrotik in IPv6 non si può usare il fasttrack, e i dati che ho visto danno l'hAP AC2 al pelo in natting su PPPoE gigabit in fasttrack. In questo caso il 'tik ti deve fare anche il tunnelling 6in4, con aggravio sulla CPU. Sarebbe da provare, ma l'alternativa di fascia superiore come performance è l'RB4011, con ben altri costi...

                                                            Beh, io cercherò di puntare su un operatore che abbia IPv6 se disponibile (Fastweb o Sky) in caso contrario anche se non andrà a 1 Gbps in v6 me ne farò una ragione 🙃

                                                                • [cancellato]

                                                                • Messaggio #16

                                                                edofullo Il problema non era quello, il problema era che usando un tunnel netflix (giustamente?) ti bloccava perchè stai di fatto violando la georestizione dei contenuti

                                                                Avevo provato e mi usciva il messaggio di disattivare VPN o proxy e non potevo guardar nulla
                                                                ora sembra cambiata la faccenda

                                                                Aaaahhhhnn sorry non avevo capito.

                                                                edofullo si potrebbe sapere qual è la percentuale degli accessi da IPv6?

                                                                Imho, <1%... e son stato generoso... Son tutti quelli di @matteocontrini 😃

                                                                edofullo Basta comprare più ciccia e via 🙂

                                                                      edofullo Piccola curiosità @matteocontrini: si potrebbe sapere qual è la percentuale degli accessi da IPv6?

                                                                      5%

                                                                      edofullo Altra curiosità: nessun sito web di nessun operatore telefonico è disponibile in v6

                                                                      Prova Amazon... 🙃

                                                                      edofullo Ho guardato anche i siti dei maggiori giornali italiani: solo lastampa va in v6, però anche quelli esteri molti non vanno in v6 (di quelli che ho provato solo die welt e the guardian vanno in v6)

                                                                      Quando c'è una CDN di mezzo è molto facile che abbiano IPv6. Chi va diretto al server non ce l'ha praticamente mai, ma ormai i siti grandi sono tutti dietro CDN. FibraClick ce l'aveva anche quando era diretto, ora c'è Cloudflare davanti.

                                                                      EDIT: per Firefox consiglio anche le estensioni "Flagfox" e "IP Address and Domain Information" (già guardato il sorgente e non fanno nulla di shady)

                                                                              • [cancellato]

                                                                              • Messaggio #18

                                                                              Avrei detto molto meno data la tiratura strettamente italica dei frequentatori (a parte @x_term che non si è capito di dove sia, è in giro per CDN anche lui 😃)

                                                                              matteocontrini Prova Amazon... 🙃

                                                                              Non è un operatore telefonico... o mi son perso qualcosa?

                                                                                    [cancellato] Avrei detto molto meno data la tiratura strettamente italica dei frequentatori

                                                                                    È anche poco considerando il mercato che ha Fastweb. Praticamente tutte le richieste IPv6 che vedo sono da IP Fastweb. Poi magari ho sbagliato la regex eh...

                                                                                    [cancellato] Non è un operatore telefonico... o mi son perso qualcosa?

                                                                                    Immagino stesse controllando siti che fanno capo ad aziende che dovrebbero essere abbastanza ferrate in campo di reti, quindi ho suggerito Amazon, che ha IPv6 su CloudFront ma non lo abilita sulla sua homepage

                                                                                          • [cancellato]

                                                                                          • Messaggio #20

                                                                                          matteocontrini È anche poco considerando il mercato che ha Fastweb. Praticamente tutte le richieste IPv6 che vedo sono da IP Fastweb

                                                                                          Sì ma Fastweb per le utenze dietro NAT (quindi diciamo gli utenti non smanettoni) assegna IPv6?
                                                                                          Poi bisogna anche vedere quanti dispositivi sono correttamente configurati per accettare gli indirizzi, cosa non banale come ha provato sulla sua pelle @edofullo, e che aveva un router OpenWRT... pensa a tutti i router Fastweb vecchi come il male o peggio i router liberi non configurati per il v6. 😉

                                                                                              [cancellato] Sì ma Fastweb per le utenze dietro NAT (quindi diciamo gli utenti non smanettoni) assegna IPv6?

                                                                                                [cancellato] da IPv6 può essere o la mia Sky di casa oppure la mia SIM personale su EE.

                                                                                                  [cancellato] pensa a tutti i router Fastweb vecchi come il male o peggio i router liberi non configurati per il v6.

                                                                                                  Se i FASTGate sulle 2 linee che gestisco smettessero di disattivare IPv6 totalmente a random sarebbe un buon punto di partenza.

                                                                                                    Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                                                                    P.I. IT16712091004 - info@fibraclick.it

                                                                                                    ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile