Configurazione tunnel IPv6

edofullo · 15 giu 2020

Salve ragazzi, oggi ho voluto provare a vedere se riuscivo a tirare su un tunnel v6 con HE visto che grazie a @stemax97 forse ho capito come risolvere il problema di Netflix che non caricava

Mi son fatto assegnare gratuitamente una /48, ottimo direi

Inoltre ho scelto come endpoint Londra perchè almeno i siti vengono caricati di default in inglese invece che in tedesco (i miei mi hanno fatto diverse domande...) e la differenza di ping tra i server di londra e francoforte era molto bassa (Frankfurt era 25-30 ms e Londra 32-33 ms)

Dovrei cambiare il router lo so ma volevo aspettare perchè volevo comprarmi un MikroTik perchè mi ci avete fatto incuriosire, il problema è che non ho voglia di mettere 2 dispositivi grossi attivi che fanno la stessa cosa (già c'è poco spazio) quindi quando arriverà la FTTH lo comprerò, per ora sono fermo col mio scolapasta nero sbloccato.

Ho configurato la nuova interfaccia in Luci e stranamente ha cominciato a funzionare tutto praticamente subito

Success!

Il problema viene ora: devo configurare i dispositivi della lan

Il computer ha preso in automatico una /64 con un indirizzo penso casuale (immagino SLAAC) e va bene così, ma sul raspberry vorrei mettergli un IP con DHCP, inoltre sul pi ho portainer con tanti container che fanno cose e vorrei date a ogni container un IPv6 diverso, visto che ne ho virtualmente infiniti.

Ho provato a girare un po' su Luci e l'unica config che ho trovato è quella che vi metto sotto solo che non riesco bene a capire cosa vogliono dire le varie cose

Le possibilità sono server mode, hybrid mode, relay mode.

Mi sembra di aver capito che stateful vuol dire che ci pensa il DHCP e stateless SLAAC

Il problema è che io vorrei il raspberry in stateful con assegnata una /64 da cui dare gli IP ai container, non una /128 e tutti gli altri dispositivi possono anche tenere SLAAC

Secondo voi si può fare?
Inoltre dovrei dare un occhio al firewall perchè mi sa che improvvisamente ho tutta la mia rete esposta a internet

Secondo problema: pingando google vedo che va in v6, ottimo.

Il problema è che prende il server di milano lo stesso, dandomi la bellezza di 60 ms di ping (andata+ritorno due volte), sapete se si può farlo andare sul server di londra?


[edoardo@edoardo-pc ~]$ ping google.com
PING google.com(mil07s07-in-x0e.1e100.net (2a00:1450:4002:800::200e)) 56 data bytes
64 bytes from mil04s22-in-x0e.1e100.net (2a00:1450:4002:800::200e): icmp_seq=1 ttl=114 time=60.6 ms
64 bytes from mil04s22-in-x0e.1e100.net (2a00:1450:4002:800::200e): icmp_seq=2 ttl=114 time=60.7 ms
64 bytes from mil04s22-in-x0e.1e100.net (2a00:1450:4002:800::200e): icmp_seq=3 ttl=114 time=60.2 ms
64 bytes from mil04s22-in-x0e.1e100.net (2a00:1450:4002:800::200e): icmp_seq=4 ttl=114 time=60.5 ms
64 bytes from mil04s22-in-x0e.1e100.net (2a00:1450:4002:800::200e): icmp_seq=5 ttl=114 time=61.0 ms
64 bytes from mil04s22-in-x0e.1e100.net (2a00:1450:4002:800::200e): icmp_seq=6 ttl=114 time=60.5 ms

[cancellato] · 15 giu 2020

edofullo non ho voglia di mettere 2 dispositivi grossi attivi che fanno la stessa cosa

L'hAP AC2 è grande 12x10cm... praticamente due pacchetti di sigarette.

Bella guida! Per i docker su raspberry potresti configurarli in bridge sull'interfaccia di rete, ognuno dovrebbe tirar su un'interfaccia con MAC autogenerato e quindi funzionare lo SLAAC.

edofullo · 15 giu 2020

[cancellato] L'hAP AC2 è grande 12x10cm... praticamente due pacchetti di sigarette

Secondo te fa riesce a far NAT a 1 Gbps?

[cancellato] Bella guida! Per i docker su raspberry potresti configurarli in bridge sull'interfaccia di rete, ognuno dovrebbe tirar su un'interfaccia con MAC autogenerato e quindi funzionare lo SLAAC.

Buona idea, ma c'è un problema: lo SLAAC mi genera degli IP completamente casuali senza zeri e quindi impossibili da ricordare

Invece se riuscissi a usare indirizzi del tipo 2001:470:aaaa::xxxx sarebbero anche ricordabili a memoria.
Posso disattivare SLAAC e far DHCP? In tal caso cosa devo mettere in Router Advertisement Service e in NDP Proxy?

[cancellato] · 15 giu 2020

edofullo Il problema è che io vorrei il raspberry in stateful con assegnata una /64 da cui dare gli IP ai container,

Essenzialmente vuoi una subnet. Però allora ti serve un server DHCP che supporti la subnet. Assegni il prefisso /64 alla subnet e quindi il DHCP rilascerà gl indirizzi per quella subnet.

Puoi anche configurare il Pi per fare da server per quella subnet (però lo metterei allora con IP statico), però poi devi evitare che il server DHCP a monte usi l'intero /48 senza subnettare.

Poi sinceramente con IPv6 consiglio caldamente un server DHCP integrato con il DNS che fa automaticamente il mapping fra indirizzi assegnati e nomi host. Così non c'è bisogno di ricordarsi gli IP e si può sempre cercare l'IP assegnato ad un host.

Poi devi fare routing fra le subnet da qualche parte, anche sul Pi stesso.

Sul FW comincia a fare se non c'è una un regola di default deny all in in ingresso. Poi apri solo le porte eventualmente necessarie.

edofullo · 15 giu 2020

[cancellato] Essenzialmente vuoi una subnet. Però allora ti serve un server DHCP che supporti la subnet. Assegni il prefisso /64 alla subnet e quindi il DHCP rilascerà gl indirizzi per quella subnet.

Puoi anche configurare il Pi per fare da server per quella subnet (però lo metterei allora con IP statico), però poi devi evitare che il server DHCP a monte usi l'intero /48 senza subnettare.

Poi devi fare routing fra le subnet da qualche parte, anche sul Pi stesso.

Ok no troppo sbatti, mi conviene mettere tutti sotto la /48 come ha detto ziomatt, alla fine comunque i container saranno raggiungibili singolarmente dall'esterno, quello è il mio scopo.

[cancellato] Sul FW comincia a fare se non c'è una un regola di default deny all in in ingresso. Poi apri solo le porte eventualmente necessarie.

Mah, in teoria la regola già ci dovrebbe essere perchè il router supporta IPv6 nativamente ed è fatto per essere usato su reti v6 da consumer, comunque ci guardo.

[cancellato] Poi apri solo le porte eventualmente necessarie.

Posso aprire direttamente il raspberry anche vero? Quello alla fine è l'unico dispositivo che vorrei accessibile da fuori (ma poi fuori dove, visto che v6 non c'è da nessuna parte, vabbè)

Vi faccio sapere più tardi se funziona la soluzione di netflix

Sstemax97 · 15 giu 2020

edofullo IP completamente casuali

SLAAC (in modalità EUI64) genera indirizzi IPV6 basati sul Mac Address. È stato poi realizzato un secondo meccanismo per risolvere la questione privacy e rendere casuale l'indirizzo.

edofullo Invece se riuscissi a usare indirizzi del tipo 2001:470:aaaa::1 sarebbero anche ricordabili a memoria.

L'idea è che tu non debba ricordarti quelli ma la /64 (gli ultimi 64 bit sono generati a caso e per così dire "sprecati").

edofullo Secondo te fa riesce a far NAT a 1 Gbps?

Non conosco il modello specifico ma normalmente NAT a 1Gbps con il software originale non è un problema. Se ci installi OpenWRT serve il Flow Offloading. Il problema è l'eventuale QoS.

[cancellato] · 15 giu 2020

edofullo Posso aprire direttamente il raspberry anche vero?

In IPv6 l'indirizzo è pubblico e quindi puoi aprire l'indirizzo che vuoi con le porte che vuoi. Però per fare regole con IP dinamici ci vuole un firewall che sappia risolverli ad esempio a partire dal nome host. Altrimenti ci vogliono IP "fissi", anche tramite reservation sul DHCP. Io sinceramente considero SLAAC una soluzione del 1996 - non adatta in qualsiasi situazione dove le macchine devono essere facilmente identificabili.

Poi sarebbe il caso di avere una DMZ per cercare di minimizzare i rischi. Dipende da cosa fa il Pi.

edofullo · 15 giu 2020

[cancellato] Io sinceramente considero SLAAC una soluzione del 1996 - non adatta in qualsiasi situazione dove le macchine devono essere facilmente identificabili.

Alla fine grazie a questa pagina sono riuscito a capire cosa sono le varie impostazioni e ho settato così (ditemi se vedete qualcosa di sbagliato):

Ho messo anche l'indirizzo v6 del mio pihole locale

I dispositivi prendono un IPv4 e un IPv6 da DHCP e ho scoperto che quelli che hanno uno static lease in v4 questo di default viene assegnato anche in v6

Esempio: il raspi è 10.0.0.250 e in IPv6 gli viene assegnato PREFIX::250/128, ottimo direi

Inoltre tutti i dispositivi hanno un indirizzo del tipo fe80::46b9:70fc:818b:2973/64 che ho capito cos'è ma non ne capisco l'utilità.

Con mia grande sorpresa pure netflix funziona senza aver toccato il pihole, ma non riesco a capire perchè

C'è un modo per capire se sta usando v4 o v6? I siti v6 only funzionano

Sinceramente, pensavo fosse peggio la faccenda

[cancellato] · 15 giu 2020

edofullo ma non ne capisco l'utilità.

L'indirizzo link-local è indispensabile per il funzionamento di IPv6, i dispositivi devono avere almeno un indirizzo valido perché alcuni protocolli come NDP non funzionerebbero altrimenti (non c'è ad esempio ARP in IPv6). Uno degli obbiettivi di IPv6 è quello di eliminare i broadcast perché sono un problema in reti di certe dimensioni (non tanto nelle piccole LAN). L'indirizzo link-local assicura che il dispositivo possa comunicare nella sua subnet finché non ottiene gli indirizzi definitivi.

edofullo · 15 giu 2020

Ho appena scoperto che tutti i dispositivi Android non supportano DHCPv6

Quindi ho messo DHCPv6 mode a "stateful+stateless" e ora anche gli android prendono gli IPv6

Peccato che ora tutti i dispositivi prendono sia l'IPv6 di DHCPv6 sia un altro (di SLAAC?), è normale nelle reti v6 avere la bellezza di 3 indirizzi per dipositivo (di cui una /64) ?


[edoardo@edoardo-pc ~]$ ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 44:8a:5b:cc:5f:f0 brd ff:ff:ff:ff:ff:ff
    inet 10.0.0.235/24 brd 10.0.0.255 scope global dynamic noprefixroute enp3s0
       valid_lft 18700sec preferred_lft 18700sec
    inet6 2001:470:xxxx::9cd/128 scope global noprefixroute 
       valid_lft forever preferred_lft forever
    inet6 2001:470:xxxx:0:b48b:be7c:4366:2d/64 scope global noprefixroute 
       valid_lft forever preferred_lft forever
    inet6 fe80::46b9:70fc:818b:2973/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever

Lettura interessante: https://www.techrepublic.com/article/androids-lack-of-dhcpv6-support-frustrates-enterprise-network-admins/

Non c'è nemmeno da stupirsi troppo se non andiamo avanti...

[cancellato] · 15 giu 2020

edofullo Ho appena scoperto che tutti i dispositivi Android non supportano DHCPv6

Sì, è un annoso problema. Ci andò a sbattere anche Microsoft quando tentò di rendere il suo campus tutto IPv6. La mia umile opinione è che Google ne stia approfittando per motivi tutti suoi. Io credo che se DHCP fosse stato più maturo (è coetaneo di IPv6) quando hanno progettato IPv6, SLAAC non sarebbe mai esistito.

Comunque in IPv6 è normale che una macchina abbia più indirizzi.

Sstemax97 · 15 giu 2020

edofullo C'è un modo per capire se sta usando v4 o v6?

https://chrome.google.com/webstore/detail/ipvfoo/ecanpcehffngcegjmadlcijfolapggal (se usi Chrome)

[cancellato] · 15 giu 2020

edofullo Secondo te fa riesce a far NAT a 1 Gbps?

Buona domanda che richede un poema, per dire: non lo so...
Spiego. Con i Mikrotik in IPv6 non si può usare il fasttrack, e i dati che ho visto danno l'hAP AC2 al pelo in natting su PPPoE gigabit in fasttrack. In questo caso il 'tik ti deve fare anche il tunnelling 6in4, con aggravio sulla CPU. Sarebbe da provare, ma l'alternativa di fascia superiore come performance è l'RB4011, con ben altri costi...

edofullo Buona idea, ma c'è un problema: lo SLAAC mi genera degli IP completamente casuali senza zeri e quindi impossibili da ricordare

Ed è per questo che hanno inventato il DNS...

Però il consiglio di [cancellato] è corretto... non ha senso una /48 se non per creare sottoreti da ruotare... lo SLAAC alla fine funziona al meglio entro una /64 che è per definizione non divisibile ulteriormente.

stemax97 Non conosco il modello specifico ma normalmente NAT a 1Gbps con il software originale non è un problema. Se ci installi OpenWRT serve il Flow Offloading. Il problema è l'eventuale QoS.

Affermazione purtroppo errata. CI son molti modelli Mikrotik che non tengono il routing in gigabit. E su queste serie non è installabile OpenWRT (perché poi uno lo voglia fare, non l'ho mai capito, dato che il "valore aggiunto" dei 'tik è proprio il software... e OpenWRT ne ha di strada da fare per essere quantomeno usabile in modo serio in reti estese).

edofullo Esempio: il raspi è 10.0.0.250 e in IPv6 gli viene assegnato PREFIX::250/128, ottimo direi

Ok, ma quello non è SLAAC, hai semplicemente il DHCPv6 che assegna gli indirizzi ai client, esattamente come nel caso v4.

edofullo Con mia grande sorpresa pure netflix funziona senza aver toccato il pihole, ma non riesco a capire perchè

Perché i server DNS rispondono alle query AAAA anche quando interrogati da un indirizzo v4 (se non ci credi, prova con $ dig -t AAAA google.it \@8.8.8.8)

edofullo Ho appena scoperto che tutti i dispositivi Android non supportano DHCPv6

Benvenuto nel mondo dell'IPv6.

edofullo Peccato che ora tutti i dispositivi prendono sia l'IPv6 di DHCPv6 sia un altro (di SLAAC?), è normale nelle reti v6 avere la bellezza di 3 indirizzi per dipositivo (di cui una /64) ?

Yes, tanto ce ne sono quanti ne vuoi.

edofullo · 15 giu 2020

[cancellato] Perché i server DNS rispondono alle query AAAA anche quando interrogati da un indirizzo v4 (se non ci credi, prova con $ dig -t AAAA google.it @8.8.8.8)

Il problema non era quello, il problema era che usando un tunnel netflix (giustamente?) ti bloccava perchè stai di fatto violando la georestizione dei contenuti

Avevo provato e mi usciva il messaggio di disattivare VPN o proxy e non potevo guardar nulla
ora sembra cambiata la faccenda

stemax97 Direi proprio che è in v6

Non solo: Alcuno film che trovo sul telefono (da 4G) non compaiono dal tunnel, quindi mi sa che sto scroccando netflix Inglese

speriamo non se ne accorgano hihihi

Non sono però riuscito a trovare contenuti disponibili dal tunnel e non da quello italiano

Sidenote:

Vedo che il Forum è diponibile completamente in v6
Piccola curiosità @matteocontrini: si potrebbe sapere qual è la percentuale degli accessi da IPv6?
Giusto per buttarsi un po' giù il morale

Altra curiosità: nessun sito web di nessun operatore telefonico è disponibile in v6

Ho guardato anche i siti dei maggiori giornali italiani: solo lastampa va in v6, però anche quelli esteri molti non vanno in v6 (di quelli che ho provato solo die welt e the guardian vanno in v6)

La starda è ancora mooolto lunga

edofullo · 15 giu 2020

[cancellato] Buona domanda che richede un poema, per dire: non lo so...
Spiego. Con i Mikrotik in IPv6 non si può usare il fasttrack, e i dati che ho visto danno l'hAP AC2 al pelo in natting su PPPoE gigabit in fasttrack. In questo caso il 'tik ti deve fare anche il tunnelling 6in4, con aggravio sulla CPU. Sarebbe da provare, ma l'alternativa di fascia superiore come performance è l'RB4011, con ben altri costi...

Beh, io cercherò di puntare su un operatore che abbia IPv6 se disponibile (Fastweb o Sky) in caso contrario anche se non andrà a 1 Gbps in v6 me ne farò una ragione

[cancellato] · 15 giu 2020

edofullo Il problema non era quello, il problema era che usando un tunnel netflix (giustamente?) ti bloccava perchè stai di fatto violando la georestizione dei contenuti

Avevo provato e mi usciva il messaggio di disattivare VPN o proxy e non potevo guardar nulla
ora sembra cambiata la faccenda

Aaaahhhhnn sorry non avevo capito.

edofullo si potrebbe sapere qual è la percentuale degli accessi da IPv6?

Imho, <1%... e son stato generoso... Son tutti quelli di @matteocontrini

edofullo Basta comprare più ciccia e via

Mmatteocontrini · 15 giu 2020

edofullo Piccola curiosità @matteocontrini: si potrebbe sapere qual è la percentuale degli accessi da IPv6?

5%

edofullo Altra curiosità: nessun sito web di nessun operatore telefonico è disponibile in v6

Prova Amazon...

edofullo Ho guardato anche i siti dei maggiori giornali italiani: solo lastampa va in v6, però anche quelli esteri molti non vanno in v6 (di quelli che ho provato solo die welt e the guardian vanno in v6)

Quando c'è una CDN di mezzo è molto facile che abbiano IPv6. Chi va diretto al server non ce l'ha praticamente mai, ma ormai i siti grandi sono tutti dietro CDN. FibraClick ce l'aveva anche quando era diretto, ora c'è Cloudflare davanti.

EDIT: per Firefox consiglio anche le estensioni "Flagfox" e "IP Address and Domain Information" (già guardato il sorgente e non fanno nulla di shady)

[cancellato] · 15 giu 2020

matteocontrini 5%

Avrei detto molto meno data la tiratura strettamente italica dei frequentatori (a parte @x_term che non si è capito di dove sia, è in giro per CDN anche lui )

matteocontrini Prova Amazon...

Non è un operatore telefonico... o mi son perso qualcosa?

Mmatteocontrini · 15 giu 2020

[cancellato] Avrei detto molto meno data la tiratura strettamente italica dei frequentatori

È anche poco considerando il mercato che ha Fastweb. Praticamente tutte le richieste IPv6 che vedo sono da IP Fastweb. Poi magari ho sbagliato la regex eh...

[cancellato] Non è un operatore telefonico... o mi son perso qualcosa?

Immagino stesse controllando siti che fanno capo ad aziende che dovrebbero essere abbastanza ferrate in campo di reti, quindi ho suggerito Amazon, che ha IPv6 su CloudFront ma non lo abilita sulla sua homepage

[cancellato] · 15 giu 2020

matteocontrini È anche poco considerando il mercato che ha Fastweb. Praticamente tutte le richieste IPv6 che vedo sono da IP Fastweb

Sì ma Fastweb per le utenze dietro NAT (quindi diciamo gli utenti non smanettoni) assegna IPv6?
Poi bisogna anche vedere quanti dispositivi sono correttamente configurati per accettare gli indirizzi, cosa non banale come ha provato sulla sua pelle @edofullo, e che aveva un router OpenWRT... pensa a tutti i router Fastweb vecchi come il male o peggio i router liberi non configurati per il v6.