я поэтому сколько мог оттягивал понимание ipv6, а сейчас похоже очень надо.

зачем?

автоконфиг чего?

автоконфиг чего?

Предполагается, что ты получаешь префикс через анонс а адрес строишь из префикса и MAC'а.

автоконфиг чего?

там по дефолту нижняя часть адреса равна маку

оказалось, что в некоторых странах по ipv6 сеть работает быстрее

потому что в IPv6 дохуя архитектурного гонева, "так вышло"

О, о нас ждёт вечер охуительных историй

Б - Безопасноть

О, о нас ждёт вечер охуительных историй

читайте нетча сами

пойду вот настрою IPv6-туннель между VDS'ками в России и Германии, кстати. А то скоро все облака за рубежом будут забанены и даже VPN себе просто так будет не сделать

А дома с IPv6 я вообще ни одного заблокированного сайта не видел :-) Наверняка есть, но всё, что *мне* нужно работает по IPv6 просто без дополнительных усилий.

Включая рутрекер

Предполагается, что ты получаешь префикс через анонс а адрес строишь из префикса и MAC'а.

погоди, а как мне своему демону сказать, на каком адресе слушать?

А дома с IPv6 я вообще ни одного заблокированного сайта не видел :-) Наверняка есть, но всё, что *мне* нужно работает по IPv6 просто без дополнительных усилий.

некоторые провайдеры уже блочат в6

с ipv4 я в конфиге адрес писал и всё

погоди, а как мне своему демону сказать, на каком адресе слушать?

А зачем? На том, что есть. А DNS динамически апдейтить. Да, я н еговорю, что это хорошо и правильно и я согласен с этим решением. я просто поясняю логику авторов.

не, вообще-то есть решение для этого

некоторые провайдеры уже блочат в6

У меня HE'шный туннель в Лондон, а не родной.

но изъеб через жопу

А зачем? На том, что есть. А DNS динамически апдейтить. Да, я н еговорю, что это хорошо и правильно и я согласен с этим решением. я просто поясняю логику авторов.

у меня на одном сервере крутятся разные проекты. на одном ip на 80 порту nginx, на другом ip на 80 порту - мой демон.

у меня на одном сервере крутятся разные проекты. на одном ip на 80 порту nginx, на другом ip на 80 порту - мой демон.

Вот тогда писать руками, да. Но тогда тебе тем более хорошо что много адресов!

а что именно руками писать? любой адрес из выданной подсети?

а что именно руками писать? любой адрес из выданной подсети?

Да. Какой нравится.

Мне вот домашний мой провайдер даёт /64 а мне мало — потому что /64 меньше резать нельзя, а дома три сети. Так что я рад, что HE для своих туннелей даёт /48 сразу :-)

ага, спасибо. а как понять фразу "настройки (IP-шлюза, IP-адреса) получаете автоматом по NDP" ? точнее, как её перевести в строчки в rc-скрипте?

ага, спасибо. а как понять фразу "настройки (IP-шлюза, IP-адреса) получаете автоматом по NDP" ? точнее, как её перевести в строчки в rc-скрипте?

https://www.freebsd.org/doc/en/books/handbook/network-ipv6.html уже прочитан?

в процесе как раз

ага, спасибо. а как понять фразу "настройки (IP-шлюза, IP-адреса) получаете автоматом по NDP" ? точнее, как её перевести в строчки в rc-скрипте?

30.9.2 отвечает на этот вопрос

https://sites.google.com/site/yartikhiy/home/ipv6book

я верно понимаю, что fe80::200:21ff:fe03:8e1%rl0 превращается в адрес и маком сетевухи rl0 на конце? А если надо иметь два ipv6 на одном интерфейсе, то второй надо прописывать иначе. мак - 48 бит, так что можно написать вот такие адреса: fe80::200:21ff:fe03:8e1:%rl0 fe80::200:21ff:fe03:8e2:%rl0

fe80-адреса — служебные. Они работают только в пределах домена коллизий практически. Именно по этому у них есть scope (%rl0)

я верно понимаю, что fe80::200:21ff:fe03:8e1%rl0 превращается в адрес и маком сетевухи rl0 на конце? А если надо иметь два ipv6 на одном интерфейсе, то второй надо прописывать иначе. мак - 48 бит, так что можно написать вот такие адреса: fe80::200:21ff:fe03:8e1:%rl0 fe80::200:21ff:fe03:8e2:%rl0

что там два, при SE у тебя будет постоянно целая пачка светится, вплоть до по адресу на запрос :)

что там два, при SE у тебя будет постоянно целая пачка светится, вплоть до по адресу на запрос :)

SE - это что?

секьюрити экстеншены

А что бы такое почитать про ipv6? А то оказывается оно очень нужно, а я вообще ничего про него не знаю. Уровень чтива: полный лох.

я начинал с этой книжки: https://sites.google.com/site/yartikhiy/home/ipv6book но она объемная, есть книжки с более кратким введением.

ага, спасибо. а как понять фразу "настройки (IP-шлюза, IP-адреса) получаете автоматом по NDP" ? точнее, как её перевести в строчки в rc-скрипте?

фраза не совсем точноая - адрес шлюза и префикс из которого брать ip прилетают в RA - router advertisment (но RA описаны в том же RFC что и NDP). Чтобы фря принимала эти сообщения нужно в rc.conf написать rtsold_enable="YES" и rtsold_flags добавить по вкусу. Но надо учитывать что не в любой сети есть RA. У хецнера (как и у большинства других хостеров) нет RA и нужно руками прописывать статический ip и шлюз.

а ещё RA может рассылать вася :)

да, кто угодно имеющий доступ к L2 сети. Точно так же как ARP в IPv4 но через ARP хотя бы шлюз нельзя менять.

мне прислали такое: выделил 2A00:1C48:7:11::/64 С нашей стороны настроен 2A00:1C48:7:11::1/64 если я верно понял, то адрес шлюза - это 2A00:1C48:7:11::1 , а я могу себе выделять любые ipv6 из 2A00:1C48:7:11::/64

но на умных свитчах есть костыль под названием RA-guard чтобы фильтровать входящие RA на всех портах кроме указанных

мне прислали такое: выделил 2A00:1C48:7:11::/64 С нашей стороны настроен 2A00:1C48:7:11::1/64 если я верно понял, то адрес шлюза - это 2A00:1C48:7:11::1 , а я могу себе выделять любые ipv6 из 2A00:1C48:7:11::/64

да, можно прописать любой IP кроме того что уже занят шлюзом. rtsold и accept_rtadv в таком случае не нужны.

кстати, не все (совсем чтобы) потеряно

мне прислали такое: выделил 2A00:1C48:7:11::/64 С нашей стороны настроен 2A00:1C48:7:11::1/64 если я верно понял, то адрес шлюза - это 2A00:1C48:7:11::1 , а я могу себе выделять любые ipv6 из 2A00:1C48:7:11::/64

конфиг фри в таком случаем может выглядеть как: ifconfig_em0_ipv6="inet6 2a00:1c48:7:11::2/64" ipv6_defaultrouter="2a00:1c48:7:11::1"

конфиг фри в таком случаем может выглядеть как: ifconfig_em0_ipv6="inet6 2a00:1c48:7:11::2/64" ipv6_defaultrouter="2a00:1c48:7:11::1"

спасибо. у меня перед серверами джунипер ex4800 стоит с настроенными правилами фаервола. пока я только роутинг ему смог прописать, а с остальным разбираюсь...

если у тебя на colo стоит свой роутер перед серваками, то у провайдера лучше попросить /127 для связи с провайдером и отдельно на твой адрес из /127 чтобы они зароутили /64 которую можно поднять на внутреннем интерфейсе роутера. Если есть только одна /64 с шлюзом на стороне провайдера, то пробросить через роутер её будет сложно. Хотя если ex4800 работает просто как свитч без роутинга, то ничего этого не нужно кончно...

да, colo . изначально планировал использовать чтобы в него сетевые кабели втыкать и агрегировать интерфейсы через lacp, а потом там появились правила фильтрации, которые вроде бы только для ipv4. А что с ipv6, не понял пока.

а /64 уже дальше не разбивается между устройствами?

теоретически этому ничто особо не мешает, но практически, лучше не надо

пока не догоняю, почему провайдерами серверу выделяется не один ipv6, а подсетка.

иначе ты не сможешь нормально присвоить их

адвертайзить

во-первых в ipv6 не принято использовать что то меньше /64 (исключение /127 на point-to-point) хотя без SLAAC технически можно и /64 дальше дробить. Во вторых как и в IPv4 чтобы сеть поднять внутри она должна быть зароучена тебе, а не быть поднятой снаружи. --- ну и правила фильтрации на джунипере насколько понимаю можно и без роутинга сделать - продолжать использовать его как L2 свитч добавив новые ACL для IPv6

мне прислали такое: выделил 2A00:1C48:7:11::/64 С нашей стороны настроен 2A00:1C48:7:11::1/64 если я верно понял, то адрес шлюза - это 2A00:1C48:7:11::1 , а я могу себе выделять любые ipv6 из 2A00:1C48:7:11::/64

адрес шлюза fe80::1 по умолчанию в ipv6 сетях

если тебе не дали его конкретно то указываешь его

прописал пока вот такое: + filter v6 { + term acceptAll { + from { + protocol ipv6; + } + then accept; + } + }

да, для IPv6 очень важен ICMPv6 но не весь он одиноково полезен :)

адрес шлюза fe80::1 по умолчанию в ipv6 сетях

нет такого умолчания - это просто некоторые провайдеры руками прописывают для удобства. Т. е. это хорошая практика, но она не повсеместна и не стандартизирована.

нет такого умолчания - это просто некоторые провайдеры руками прописывают для удобства. Т. е. это хорошая практика, но она не повсеместна и не стандартизирована.

как нет

так вот нет - железки без ручной настройки такой адрес не используют, в rfc про него ничего не написано насколько знаю.

а вот так, кто сказал что царь горы, тот и царь ;)

zrouter, правда проект заброшен

Живее всех живых. См irc, github

перефигачил на + term accept_icmpv6 { + from { + protocol icmp6; + } + then accept; + } + term accept_ipv6 { + from { + protocol ipv6; + } + then accept; + } глубже настраивать оно не даёт.

у хецнера в одной из старых инструкций есть fe80::1 но в том сегменте сети где живет мой сервер этого fe80::1 нету, не прописали на роутере. А есть fe80::76d0:2bff:fe99:a0b2

Живее всех живых. См irc, github

да чего там живее, кстати а они научились уже по IPv6 не чужой сайт отдавать :)

адрес шлюза fe80::1 по умолчанию в ipv6 сетях

и да, раз уж у нас канал про freeBSD расскажите как fe80::1 через rc.conf прописать на заданном интерфейсе в качестве link-local адреса (заменив при этом автоматически сгенерированный на основе mac-адреса link-local адрес).

сек

ERROR: S client not available

ifconfig_vtnet0="DHCP" ipv6_default_interface="vtnet0" # ifconfig_vtnet0_ipv6="inet6 accept_rtadv" ifconfig_vtnet0_ipv6="inet6 2a01:xx:xxx:7a4b:: prefixlen 64" ipv6_defaultrouter="fe80::1%vtnet0"

DHCP это кусок ipv4 настройки захватилось

да чего там живее, кстати а они научились уже по IPv6 не чужой сайт отдавать :)

Сайт да, печалька. Сейчас используется в основном github, buildbot и irc.

Живее всех живых. См irc, github

его для x86 нужно собрать тогда больше народа о нем узнает на самом деле

ifconfig_vtnet0="DHCP" ipv6_default_interface="vtnet0" # ifconfig_vtnet0_ipv6="inet6 accept_rtadv" ifconfig_vtnet0_ipv6="inet6 2a01:xx:xxx:7a4b:: prefixlen 64" ipv6_defaultrouter="fe80::1%vtnet0"

это как использовать fe80::1 в качестве шлюза, у меня вопрос про то как саму Фрю в качестве такого шлюза с fe80::1 настроить

его для x86 нужно собрать тогда больше народа о нем узнает на самом деле

На прошлой недели как раз обсудалось сделать образ для bhyve

это как использовать fe80::1 в качестве шлюза, у меня вопрос про то как саму Фрю в качестве такого шлюза с fe80::1 настроить

вот тут я не подскажу, сам пытаюсь одну штуку провернуть

с линк-локал адресами, всё в общем тоже не сильно гладко и без особой нужды я бы не рекомендовал

На прошлой недели как раз обсудалось сделать образ для bhyve

а что-нибудь менее экзотичное? но всецело огонь ?

ну так это значит образ почти подо всё, так как нынче почти все виртуализации, для образа это почти одно и то же

ну так это значит образ почти подо всё, так как нынче почти все виртуализации, для образа это почти одно и то же

это понятно, я имею ввиду поддержку эмулируемых девайсов

его для x86 нужно собрать тогда больше народа о нем узнает на самом деле

а зачем? его фишка вроде на soho ротуеры вкорячиваться

для х86 наверно pfsense поинтересней будет

а зачем? его фишка вроде на soho ротуеры вкорячиваться

например развернуть по быстрому на ведре с болтами

для х86 наверно pfsense поинтересней будет

а этого мы не узнаем пока не попробуем

например развернуть по быстрому на ведре с болтами

просто такая прошивка актуальна когда у тебя мегабайты флеша, а на ведро с болтами хватит и pfsense с его гигом минимум

о кстати был же еще проект, я его юзал лет 10 назад. Там фишка была в том что он на дискету влезал

ооо m0n0wall

озарение нашло прям =)

просто такая прошивка актуальна когда у тебя мегабайты флеша, а на ведро с болтами хватит и pfsense с его гигом минимум

ну x86 имеет большее распространение, больше тестеров больше коммитов, больше народу меньше кислороду

для теста мб

написал вот такое: ifconfig_lagg0_ipv6="inet6 2a00:1c48:7:11::11/64" ipv6_static_routes="defaultv6" ipv6_route_defaultv6="default 2a00:1c48:7:11::1" net.inet6.ip6.fw.enable=0 заработал ping6 2a00:1c48:7:11::11 а до 2a00:1c48:7:11::1 пинг не работает.

есть ли в ndp -an запись для 2a00:1c48:7:11::1?

>ndp -an Neighbor Linklayer Address Netif Expire S Flags 2a00:1c48:7:11::11 00:15:17:a7:18:3c lagg0 permanent R fe80::215:17ff:fea7:183c%lagg0 00:15:17:a7:18:3c lagg0 permanent R

ну выглядит так как будто трафик совсем не проходит или с той стой стороны нет 2a00:1c48:7:11::1

т.е. видимо джунипер не пущает почему-то

можно смотреть tcpdump -i lagg0 -ptnv icmp6 в процессе пинга

может джунипер, а может со стороны провайдера что то забилы настроить

>sudo tcpdump -i lagg0 -ptnv icmp6 tcpdump: listening on lagg0, link-type EN10MB (Ethernet), capture size 65535 bytes IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) 2a00:1c48:7:11::11 > ff02::1:ff00:1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2a00:1c48:7:11::1 source link-address option (1), length 8 (1): 00:15:17:a7:18:3c и далее эта строчка много раз.

можно попробовать mtu прижать до 1200 с чем то, бывают фокусы

ну твой хост шлед запросы а в ответ тишина, либо файрвол не пропускает либо с той стороны не настроен 2a00:1c48:7:11::1

можно попробовать mtu прижать до 1200 с чем то, бывают фокусы

neighbor solicitation мелкий и поля mtu в нем нету, так что 99.99% дело не в mtu