rieges ora a me va in IPv6 da Firefox. Il ping ha sempre risposto in IPv6
Configurazione tunnel IPv6
matteocontrini
Gradualmente la wiki e il forum sono tornati in v6.
Il ping da linux è sempre andato in v6, da Windows non ti so dire in quanto il terminale non digerisce alcun indirizzo v6 per ping e traceroute.
rieges in che senso? Devi pingare l'hostname, e su Windows se c'è IPv6 pinga IPv6. Comunque boh, terrò d'occhio 
ping -4 forum.fibra.click
Esecuzione di Ping forum.fibra.click [172.67.155.248] con 32 byte di dati:
Risposta da 172.67.155.248: byte=32 durata=38ms TTL=56
Risposta da 172.67.155.248: byte=32 durata=36ms TTL=56
Risposta da 172.67.155.248: byte=32 durata=36ms TTL=56
Risposta da 172.67.155.248: byte=32 durata=36ms TTL=56
Statistiche Ping per 172.67.155.248:
Pacchetti: Trasmessi = 4, Ricevuti = 4,
Persi = 0 (0% persi),
Tempo approssimativo percorsi andata/ritorno in millisecondi:
Minimo = 36ms, Massimo = 38ms, Medio = 36ms
ping forum.fibra.click
Esecuzione di Ping forum.fibra.click [2606:4700:3031::ac43:9bf8] con 32 byte di dati:
Richiesta scaduta.
Richiesta scaduta.
Richiesta scaduta.
Richiesta scaduta.
Statistiche Ping per 2606:4700:3031::ac43:9bf8:
Pacchetti: Trasmessi = 4, Ricevuti = 0,
Persi = 4 (100% persi),Sto facendo qualcosa di sbagliato? Su linux va senza problemi.
rieges ahh avevo capito un'altra cosa. È strano, è un IPv6 di Cloudflare. A me pinga senza problemi, anche l'IPv6 del tuo messaggio
- Modificato
x_term
Immaginavo, è da un paio di mesi che cerco di sistemarlo. L'unica cosa che mi dice la diagnostica di rete è
La configurazione del computer risulta corretta, tuttavia il dispositivo o la risorsa (Server DNS) non risponde
(mi sembra strano che si lamenti dei DNS visto che ottiene correttamente l'indirizzo IP del target ).
L'unico passaggio che non ho ancora tentato è reinstallare windows da zero.
Aggiornamento: ho disinstallato Kaspersky e adesso va.
- Modificato
Allora, sono ancora dietro.
Sinceramente mi sembra che gli indirizzi vengano assegnati ad-cazzum:
Gli host che hanno DHCPv6 prendono l'indirizzo DHCPv6 (fortunatamente corto) /128 + 1 indirizzo /64 da SLAAC
Esempio:
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
link/ether dc:a6:32:4c:1b:f2 brd ff:ff:ff:ff:ff:ff
inet 10.0.0.250/24 brd 10.0.0.255 scope global noprefixroute eth0
valid_lft forever preferred_lft forever
inet6 2001:470:xxxx::250/128 scope global noprefixroute
valid_lft forever preferred_lft forever
inet6 2001:470:xxxx:0:e3f6:a420:e2:8355/64 scope global mngtmpaddr noprefixroute
valid_lft forever preferred_lft forever
inet6 fe80::1889:6973:bd2f:137d/64 scope link
valid_lft forever preferred_lft foreverVa bene tutto ma perchè l'indirizzo SLAAC è /64 mentre quello DHCP è /128? Cosa vuol dire?
Come faccio ad avere degli indirizzi /64 e /128 nella "stessa rete"?
Android prende 2 indirizzi da SLAAC, perchè 2 e non 1?
Funziona tutto, però non ho la più pallida idea di che IP dare ai vari container, ho paura di beccare indirizzi dentro il range di SLAAC
Edit: qualcuno che ne sappia più di me (magari che ha IPv6 da router preconfigurati) mi può dire che IP vede assegnati su un dispositivo android e su un PC che supporti DHCPv6?
Grazie mille in anticipo
[cancellato]
- Modificato
edofullo mentre quello DHCP è /128? Cosa vuol dire?
Mi sa che hai qualche errore sulla subnet configurata sul DHCPv6. Una /128 significa assegnare un indirizzo punto-punto, che non vedrà nessun altro dispositivo sullo stesso segmento.
edofullo Funziona tutto, però non ho la più pallida idea di che IP dare ai vari container, ho paura di beccare indirizzi dentro il range di SLAAC
Se fai una subnet (spezzando il /48, ma poi devi impostare le rotte e quant'altro) non avrai mai problemi.
Se unisci le reti in bridge, IMHO problemi non ce ne sono perché lo SLAAC deriva l'indirizzo dal MAC Address, che viene generato random per ogni container ed avrà sempre il secondo bit del primo byte a 1 (non-global unique ID).
edofullo Android prende 2 indirizzi da SLAAC, perchè 2 e non 1?
Credo per questioni di privacy address o simili.. boh, questo non lo so.. non ho mai provato 
rieges Aggiornamento: ho disinstallato Kaspersky e adesso va.
Volevo solo segnalare che ogni tanto gli antivirus hanno qualche problema con IPv6.
Quando avevo testato il tunnel di Hurricane Electric, non riuscivo a far andare l'Happy Eyeballs per il fallback a IPv4 nel caso il sito IPv6 non rispondesse. Era colpa dell'antivirus.
[cancellato] Mi sa che hai qualche errore sulla subnet configurata sul DHCPv6. Una /128 significa assegnare un indirizzo punto-punto, che non vedrà nessun altro dispositivo sullo stesso segmento.
Hai ragione, ora è più chiaro.
Guarderà nei file di impostazioni di OpenWRT perchè da Luci non si capisce una bega
[cancellato] Se fai una subnet (spezzando il /48, ma poi devi impostare le rotte e quant'altro) non avrai mai problemi.
Sinceramente lascerei perdere il subnetting per ora, rischio di complicare cose già non semplicissime.
E lo scolapasta sbloccato della TIM meno gli tocco le config interne meglio è
[cancellato] IMHO problemi non ce ne sono perché lo SLAAC deriva l'indirizzo dal MAC Address, che viene generato random per ogni container ed avrà sempre il secondo bit del primo byte a 1 (non-global unique ID)
Mi stai dicendo che negli statici quel bit lo metto a zero ho risolto, vero?
stemax97 Volevo solo segnalare che ogni tanto gli antivirus hanno qualche problema con IPv6.
Ci sono tanate cose con cui hanno problemi gli antivirus..
Passato a Linux 3 anni fa, mi trovo benissimo 
Edit: alla fine ho fatto le cose "come andrebbero fatte"
Messo DHCPv6 in modalità stateless in modo che non dia l'indirizzo IP, il raspberry mi prende ora con SLAAC indirizzo basato sul suo mac.
Ho aggiunto al pihole la risoluzione per quei 2 host che mi serve accedere con'IP in modo da non dovermi ricordare l'IPv6 per intero tute le volte.
Aggiunto al mio dominio il record AAAA per la risoluzione del nome in IPv6 e aggiunto a nginx di ascoltare anche su IPv6; ora il mio sistema di domotica è raggiungibile in v6
Sistemato anche il firewall, ora è su reject tranne sul raspberry.
Il tutto per che cosa? Assolutamente per nulla, visto che tanto non ho IPv6 da nessun' altra parte, però è stato "divertente" ed ho imparato molte cose nuove 
Prossimo passo: dare un IPv6 ai dispositivi che si connettono con OpenVPN 
[cancellato] Credo per questioni di privacy address o simili.. boh, questo non lo so.. non ho mai provato
Era proprio per quello: un indirizzo (totalmente randomico) viene usato per navigare, mentre il PC si mette in ascolto sull'altro. Anche windows lo fa
Wireless LAN adapter Wi-Fi:
Connection-specific DNS Suffix . : homenet.local
IPv6 Address. . . . . . . . . . . : 2001:470:xxxx:0:11ad:c920:b37f:4791
Temporary IPv6 Address. . . . . . : 2001:470:xxxx:0:5c92:6ec5:cfa:83c0
Link-local IPv6 Address . . . . . : fe80::11ad:c920:b37f:4791%18
IPv4 Address. . . . . . . . . . . : 10.0.0.13
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : fe80::1213:31ff:fe6f:a276%18Per ora funziona tutto alla perfezione, sto aspettando che mi blocchino netflix
PS: ora è tutto in /64 quindi teoricamente dovrei avere 216 subnet disponibili
[cancellato]
- Modificato
edofullo Mi stai dicendo che negli statici quel bit lo metto a zero ho risolto, vero?
No, che essendo forzatamente diverso da quelli assegnati regolarmente agli apparati fisici le chances di conflitto si riducono moltissimo... E poi cribbio... Son 47 bit, ne hai di combinazioni 
edofullo Prossimo passo: dare un IPv6 ai dispositivi che si connettono con OpenVPN
A logica non dovrebbe essere un problema, però qui si devi giocoforza spezzare una parte del /48, perché non stai facendo un bridge TAP (vero? vero? 
) e quindi devi ruotare per forza. Lato compatibilità software, temo sia divertente
edofullo ora è tutto in /64 quindi teoricamente dovrei avere 216 subnet disponibili
216 + 1 perché puoi chiedere un /48 e un /64...
- Modificato
[cancellato] No, che essendo forzatamente diverso da quelli assegnati regolarmente agli apparati fisici le chances di conflitto si riducono moltissimo... E poi cribbio... Son 47 bit, ne hai di combinazioni
Ok grazie, alla fine ho risolto lasciando fare tutto a SLAAC, alla fine l'IP è come se fosse statico.
Ho aggiunto il record sul pihole e buonanotte
[cancellato] non stai facendo un bridge TAP (vero? vero?
Ci avevo pensato tempo fa ma non ci ero riuscito
Quindi no, tunnel normale L3
Comunque penso di esserci riuscito ma ho dovuto bestemmiare un po' con il file config del server.
Non è così facile come c'è scritto sul sito.
Lascio qua sotto il file di config se qualcuno vuole fare la stessa cosa, evita un po' di bestemmie.
# MAIN SECTION
dev tun
proto udp6
port 1194
mode server
# CRYPTO
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/milkyway_8cdbb9e1-d27f-441b-a6e8-8e5e6774b54c.crt
key /etc/openvpn/easy-rsa/pki/private/milkyway_8cdbb9e1-d27f-441b-a6e8-8e5e6774b54c.key
dh none
# SERVER CONFIG
topology subnet
tls-server
ifconfig 10.0.8.1 255.255.255.0
ifconfig-pool 10.0.8.10 10.0.8.254
route-gateway 10.0.8.1
push "topology subnet"
push "route-gateway 10.0.8.1"
push "redirect-gateway def1 bypass-dhcp"
# IPv6 CONFIG
tun-ipv6
push tun-ipv6
ifconfig-ipv6 2001:470:xxxx:1::1/64 2001:470:xxxx:1::2
ifconfig-ipv6-pool 2001:470:xxxx:1::1000/64
push "redirect-gateway ipv6 def1 bypass-dhcp"
# CLIENT CONFIG
client-config-dir /etc/openvpn/ccd
route 192.168.10.0 255.255.255.0 10.0.8.2
push "dhcp-option DNS 10.0.0.250"
push "dhcp-option DNS 1.0.0.1"
push "route 192.168.10.0 255.255.255.0"
push "route 10.0.0.0 255.255.255.0"
push "route-ipv6 2001:470:xxxx::/48"
push "route-ipv6 2000::/3"
# OTHERS
client-to-client
keepalive 10 120
remote-cert-tls client
tls-version-min 1.2
tls-crypt /etc/openvpn/easy-rsa/pki/ta.key
cipher AES-256-CBC
auth SHA256
user nobody
group nogroup
persist-key
persist-tun
crl-verify /etc/openvpn/crl.pem
status /var/log/openvpn-status.log 20
status-version 3
syslog
verb 6Assegna indirizzi sequenzialmente nella subnet 2001:470:xxxx:1::/64 a partire da :1000
Ovviamente l'interfaccia di Technicolor non permetteva di aggiungere delle route IPv6, però Luci si ed è stata semplice da aggiungere, spero solo che non si resetti quando spengo/riaccendo il modem.
Comunque per il momento funziona tutto: anche scaricando da siti IPv6 riesco a maxare la mia velocità di download, il ping è aumentato di 10-15 ms quindi direi che è accettabile, anche a giocare nessun problema.
edofullo Messo DHCPv6 in modalità stateless in modo che non dia l'indirizzo IP, il raspberry mi prende ora con SLAAC indirizzo basato sul suo mac.
Mi sono perso un pezzo, perché non ti piaceva la soluzione con DHCPv6?
matteocontrini perché non ti piaceva la soluzione con DHCPv6?
La ragione principale è Android
Con solo DHCPv6 gli Android non navigavano in v6
Con DHCPv6 + SLAAC i computer che supportano DHCPv6 mi prendevano 2 indirizzi IP di SLAAC + quello di DHCPv6 (+ link-local) e alcuni uscivano con quello preso da SLAAC mentre altri con quello preso da DHCP, un macello.
La ragione principale per cui mi piaceva DHCP era che potevo mettermi gli indirizzi corti, ma ho messo sul PiHole la risoluzione hostname -> IPv6 e uso quella.
- Modificato
edofullo ci sarà un modo per disabilitare SLAAC o per dare la priorità all'indirizzo assegnato dal DHCP, se no che senso ha? 
Almeno tu puoi scegliere, il Fastgate ho come l'impressione che il DHCPv6 neanche ce l'abbia ahah in più per sé stesso usa SLAAC EUI-64, quindi non si può neanche pingare il router senza andare a fare un copia incolla dell'indirizzo... (bastava che impostavano FE80::1 ed erano tutti contenti)
EDIT: DHCPv6 ce l'ha, ma li assegna completamente a caso. Well done
- Modificato
matteocontrini ci sarà un modo per disabilitare SLAAC
C'è, ma addio ad Android
matteocontrini per dare la priorità all'indirizzo assegnato dal DHCP, se no che senso ha?
Non lo so, ma il fatto che i device prendano entrambi gli indirizzi penso implichi che andrebbe settato per dispositivo, non proprio il massimo.
matteocontrini per sé stesso usa SLAAC EUI-64, quindi non si può neanche pingare il router senza andare a fare un copia incolla dell'indirizzo...
hahaha, io posso sceglierlo ma solo perchè è sbloccato.
Sarei curioso di vedere cosa succederebbe se venisse collegato a una vera Dual Stack con le impostazioni di fabbrica.
Penso si metta sul prefisso::1 di default
Pensa che senza l'accesso a Luci non puoi dire al firewall di permettere l'accesso dall'esterno ad un host (con IP pubblico...) quindi di fatto la LAN è bloccata e perde tutti i vantaggi di IPv6....
[cancellato] Se non ti serve veicolare tutto il "rumore" L2, tun va benissimo. Alla fine al 99,9999% delle applicazioni basta una rete ruotata P2P.
stemax97
All'inizio volevo farla per il discovery di Plex e DLNA per la TV ma poi ho lasciato perdere e fatto manualmente.
[cancellato] Povero Zanichelli...
[cancellato] edofullo Ci avevo pensato tempo fa ma non ci ero riuscito
Se non ti serve veicolare tutto il "rumore" L2, tun va benissimo. Alla fine al 99,9999% delle applicazioni basta una rete ruotata P2P.
Aggiungo anche che OpenVPN tap non è supportato né da Android né da IOS.
Le uniche applicazioni che necessitano di un tunnel L2 sono quelle che sfruttano il discovery dei devices nella subnet. Ad esempio, ho dei condizionatori con il wifi che vengono visti solo se si è collegati alla stessa rete; usando la VPN verso casa (routed) non compaiono