» »

IPv6

IPv6

Daniel ::

Pregledal že oba dokumenta in enostavno nisem dovolj pameten za konfiguriranje te zadeve. Saj enkrat mi bo uspelo, ker sem doslej še vse na OpenWRT spravil skupaj a to traja kar nekaj časa, preden preverim vse možne kombinacije nastavitev. Prav neverjetno mi je, kako enostavna zadeva je bil Tomato, kjer si samo podal parameter /64 in tip IPv6 in je zadeva delala povsod.

Pesimist ::

jaz osebno na siolu nebi vklaplal ipv6 dokler nisi prisiljen. Oni so znani po polovičarskih rešitvah o čemer koli pomisliš. Vse izpeljejo drugače kot je vsesplošna praksa, samo nekaj primerov.
-pppoe na broadbandu
-forsirana menjava IPja na 26ur
-trunk port
-1x optično vlakno
- slaba slika na optiki (zdaj so izklopli 70% mpeg2 kanalov)
-tvin slika zanič (zdaj so sicer izboljšali).

Me prav nič nebi čudlo če imajo spet kake super finte tu in bo posledično tudi ping time povečan, čeprav bi praviloma naj bi bpljši. Ziher ampak siol zna drugače.

Zgodovina sprememb…

  • spremenilo: Pesimist ()

Bakunin ::

Pesimist je izjavil:


-pppoe na broadbandu


pppoe je cisto ok za kontrolo AAA.
verjetno zaradi slabe L2 varnosti omrezij preko katerih ponujajo storitev in niso v njihovi lasti. [glej OŠO]

Pesimist je izjavil:


-forsirana menjava IPja na 26ur


za menjavo IP mi ni jasno zakaj to delajo...


Pesimist je izjavil:


-trunk port
-1x optično vlakno


trunk port (tagged vlan?) je fajn, da ti kaksen buksl ne naredi loop. :)
eno opticno vlakno imajo za data drugo pa za catv?
ali pa je enostavno ceneje vlecti samo eno vlako namesto parice ?

pegasus ::

Eno vlakno je vrh glave dovolj. Po njem lahko pelješ več različnih barv svetlobe (kot da bi imel več žic) in v vsaki več vlanov. Ni potrebe po več vlaknih.

SeMiNeSanja ::

Lonsarg je izjavil:

Za enako varnost kot sedaj, moraš pa pač enako kot na ipv4 tudi na ipv6 vklopi firewall. Ampak firewall je drugostopenjska zaščita, že brez si drugače varen, drugastopenjska je pač zato, ker lahko kaka naprava na prvi stopnji v teoriji kdaj kaj zajebe, je izjemno, izjemno redko na napravah, ki podpirajo ipv6. Namreč v 99.9% je zajeb take vrste, da ti noben dodatni firewall ne pomaga, ampak dobro cirka kak promil dodatne varnosti pa le dobiš.

Že brez firewall-a si varen? To je pa huda trditev!
Popolnoma nobene razlike v varnosti ni, če uporabljaš IPv4 ali IPv6 - razen da traja skeniranje tvojega IP prostora celo večnost in zato ni najbolj atraktiven pristop. Bo pa zlikovec tvoj IPv6 naslov dobil na drug način (npr. te bodo zvabili, da boš nekam kliknil na nek njihov link). Ko enkrat imajo tvoj IP naslov, pa si na popolnoma istem nivoju (ne)varnosti, kot pod IPv4.

'kak promil daodatne varnosti' morda velja za home grade rešitve, če te ne omogočajo nobenega filtriranja outgoing prometa, oz. če si preveč len, da bi definiral filtre in narediš 'allow all'. Res da se s tem lahko zaščitiš samo pred prometom, ki bi odhajal v svet po nestandardnih portih, definitivno pa lahko zablokiraš dostop do interneta vsem napravam, za katere nočeš, da bi jim bil dosegljiv (oz. jim dovoliš dostop samo do update-ov).
Najbolj problematičen je 'sodobni malware', ki za komunikacijo s svetom uporablja http ali celo https port, ki ga redko kdo 'pripira'. Rešitve za domačo rabo so tu res dokaj nemočne. Si pa lahko vsaj na računalnikih pomagamo z lokalnim sistemskim firewall-om, tako da omejujemo programe, ki jim dovoljujemo komuniciranje z internetom.

Zgodovina sprememb…

MrStein ::

SeMiNeSanja je izjavil:


'kak promil daodatne varnosti' morda velja za home grade rešitve, če te ne omogočajo nobenega filtriranja outgoing prometa, oz. če si preveč len, da bi definiral filtre in narediš 'allow all'.

Nonnsens.
Največji doprinos je blokiranje incoming povezav, ker Windows pač še vendo po defoltu ima vklopljen "Virus Import Service".
Drugo je larifari. Kot sam praviš, outgoing HTTP(S) ni blokiran. In malware, ki uporablja kaj drugega za komunikacijo je itak irelevanten.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

SeMiNeSanja ::

@MrStein - Ko ti bo hladilnik pošiljal spam v svet, se boš pa čudil.....!

Še kako pomembno je zapirati nepotrebne outgoing porte za naprave, ki tega ne potrebujejo - samo do nekaterih to spoznanje še ni prišlo.

Blokiranje incoming povezav je pa takointako toliko osnovna zadeva, da bi pričakoval, da jo ni treba posebej poudarjati.
Kljub temu, pa to ne koristi za današnji malware, ki se obnaša kot trojanec, se poveže 'domov' in tam svojemu 'gospodarju' reče 'tu sem - kaj želiš, da naredim zate?'.
Nekateri malware-i uporabljajo TOR omrežja, da se 'povežejo domov'. V tem primeru še kako koristi, če imaš te porte zaprte.
Ravno tako ti pomaga lokalni firewall na računalniku - če malware.exe nima dovoljenja za komuniciranje na portu 80, pač ne bo prišel nikamor in ne bo mogel vprašati 'gospodarja', kakšno sranje naj dela.

Lonsarg ::

SeMiNeSanja je izjavil:

@MrStein - Ko ti bo hladilnik pošiljal spam v svet, se boš pa čudil.....!

Še kako pomembno je zapirati nepotrebne outgoing porte za naprave, ki tega ne potrebujejo - samo do nekaterih to spoznanje še ni prišlo.

Blokiranje incoming povezav je pa takointako toliko osnovna zadeva, da bi pričakoval, da jo ni treba posebej poudarjati.
Kljub temu, pa to ne koristi za današnji malware, ki se obnaša kot trojanec, se poveže 'domov' in tam svojemu 'gospodarju' reče 'tu sem - kaj želiš, da naredim zate?'.
Nekateri malware-i uporabljajo TOR omrežja, da se 'povežejo domov'. V tem primeru še kako koristi, če imaš te porte zaprte.
Ravno tako ti pomaga lokalni firewall na računalniku - če malware.exe nima dovoljenja za komuniciranje na portu 80, pač ne bo prišel nikamor in ne bo mogel vprašati 'gospodarja', kakšno sranje naj dela.


Vsak spodoben malware zna VSAJ to kar znajo torrent programi in ti se brez problema povežejo kamorkoli pri defult nastavitvah firewalla v routerju. Defult nastavljen firewall na home routerjih(to kar se tako rado priporoča laičnim ali delno laičnim uporabnikom) je nič drugega kot ta promil dodatne varnosti na ipv6.

Tisti promil o katerem govorim so pa varnostne luknje v raznih programih, ki sprejemajo incoming povezave. Samo promil pa zato, ker razen dokaj redkih vgrajenih takih programov v operacijski sistem take programe ponavadi zavestno nameščamo in jim tudi forwardiramo porte, torej nam firewall ne pomaga, pomaga nam torej izključno pred varnostnimi luknjami po defult odprtih incoming listenerjev, gre za dokaj majhen seznam, vsaj pri odobnih operacijskih sistemih, Windows XP je druga zgodba:)

Na ipv4 je pa to komot več kot promil. Imaš namreč kake butasto skonfigurirane naprave kot so webkamere, ki po defulti nimajo gesel, ker kao bojo itak za NATom, tega je/bo v ipv6 svetu precej manj, ker tega pričakovanja v glavah razvijalcev softwerja naj ne bi bilo.

SeMiNeSanja ::

Kateri del od "še kako pomembno je zapirati outgoing porte" ni jasen? Jaz pišem, da bo treba vse zapreti in odpirati zgolj tisto kar nujno potrebujemo, ti pa o nekih defaultih, za katere sem jasno povedal, da odpadejo kot opcija, če hočeš imeti nekaj varnosti.

Ne razumem, a se res niste naučili branja v prvem razredu, ali je preteško razumeti, če je napisano več kot tri vrstice....

Torrent programi, pa so tako zelo 'pametni' ker imate vključen Upnp na routerjih, ki tem programom dovoljuje, da se potem nemoteno povezujejo v svet. Izklopite Upnp, pa boste videli, da se bo torrentom zakolcalo!

Ne razumem, zakaj je po tvoje kriv firewall, da 'ne more ščititi', če sam vrtaš vanj luknje in forwardaš porte za nevem kakšen sumljiv software. Tu firewall ni nič kriv, ampak tisti, ki namešča rizičen software. NAT tu ne igra čisto nobene vloge, ker je tistemu, ki bo zlorabil tak program, čisto vseeno, ali je vmes NAT ali ne.

Gapi ::

UPNP anyone?

Torej malware program si lahko odpre porte na routerju...Kako pa je z firewalli?
No person is rich enough,to buy back his past.

SeMiNeSanja ::

Gapi je izjavil:

UPNP anyone?

Torej malware program si lahko odpre porte na routerju...Kako pa je z firewalli?

Kaj ni jasno, če se napiše 'IZKLOPITE' ?!?
Kakšno vezo ima ali imaš router ali firewall - izklop pomeni eno in isto, ne glede na to, kaj za eno rešitev imaš. Če podpira UPNP, ga izklopiš in porte ročno konfiguriraš. UPNP je itak samo potuha za lenobe in neznalce.

pegasus ::

MrStein ::

UPNP for-the-win.

(če imaš malware že na PC-ju je za preventivo že prepozno)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Bakunin ::

pegasus je izjavil:

Število uporabnikov v Sloveniji z IPv6 raste


ce gledam zadnjih 5dni so ocitno "krivci" TS uporabniki: 8-)

http://gronggrong.rand.apnic.net/cgi-bi...

Lonsarg ::

SeMiNeSanja je izjavil:

Kateri del od "še kako pomembno je zapirati outgoing porte" ni jasen? Jaz pišem, da bo treba vse zapreti in odpirati zgolj tisto kar nujno potrebujemo, ti pa o nekih defaultih, za katere sem jasno povedal, da odpadejo kot opcija, če hočeš imeti nekaj varnosti.

No ja tu te res nisem podrobno bral... Jaz sem pač govoril malo bolj splošno, ne v smislu naprednih uporabnikov in firm. Za to dvoje se da dodatni router firewall kot si povedal čisto fajn uporabit za second tier varnost.

Osnovni nivo dodatne varnosti se da že zgolj z osnovnima dvama ukrepama, ki si jih naštel:
izklop Upnpja na routerju z firewallom
ter drugi ukrep prepovedat izhodne povezave z izjemo tistih, za katere klikneš "allow", ko se hočejo povedat.

Ampak to sta ukrepa, ki ne prideta za v upoštev, če niso doma sami vešči uporabniki oziroma imajo veščega na 24/7, Upnp jim bo snedel živce, ko bodo klicali vešče uporabnike, allow za vsak program se bodo pa naučili ignorirati... Nasprotno pa nekateri uporabniki klikajo allow za internet in podobne dostope aplikacij celo na svojih Android telefonih, pač če imaš voljo.

SeMiNeSanja je izjavil:

Ne razumem, zakaj je po tvoje kriv firewall, da 'ne more ščititi', če sam vrtaš vanj luknje in forwardaš porte za nevem kakšen sumljiv software. Tu firewall ni nič kriv, ampak tisti, ki namešča rizičen software.

Saj sem rekel samo da je v tem primeru dodatni firewall na ruterju neuporaben, na da je kriv.

Brane22 ::

pegasus je izjavil:

Število uporabnikov v Sloveniji z IPv6 raste.


Mogoče bi morali voditi evidenco dodeljenih statičnih IP naslovov namesto uporabnikov.

Takrat bi šele IPv6 raztrgal... >:D

arjan_t ::

pri amisu vklopil in nastavil prefix deleagtion naa routerju (pustil na 64). Stvar je delala samo na zadnjem archu, ubuntu/win in android pa niso uspeli pridobiti ipv6 naslova.
Ko sem prefix nastavil na 56 (kot napisano v mailu od podpore) stvar dela vsepovsod. Zakaj zadeva ni delal z daljsim prefixom?

Malajlo ::

Si mislil krajšim prefixom? Najbrž ravno zato. 56 je izjema, kot /31 pri ip4.

Lonsarg ::

Ne, njemu je 56 delalo in 64 ni delalo.

Moram pa priznati da ne razumem ravno te nastavitve. Kater prefix dobiš je odvisno od ISPja, router ga pač dobi in shendla, ne razumem zakaj bi ročno to karkoli nastavljal...

Pravila za dodelevanje pa pravzaprav puščajo svobodo ISPjem da karkoli od 56 do 64 dajejo naokoli, čeprav najbolj striktno gledano naj bi bil za navadne home uporabnike samo 64, za poslovne pa serijsko 56 in izjemoma več. Najbržje lažje tehnično izvest zadevo, če kr vsem potalaš isto.

Brane22 ::

Dela. /64 je čez glavo dost.

Je kar nekaj glavobola ampak to je zaradi iskanja po nastavitvah orodij, ki so relativno sveža in howtojev itd še ni.

Mam /64 in potem to delim na /112, na vsakem pa DHCPv4/v6 potem dalje uštima zadeve.

arjan_t ::

Sploh mi ni jasno kje je ta prefix length (tomato firmware) uporabljen

Gapi ::

Koliko subnetov /64 dobiš ven iz /56....

 IPv6

IPv6



Pv6 Relative Network Sizes
/128
1 IPv6 address
A network interface
/64
1 IPv6 subnet
18,446,744,073,709,551,616 IPv6 addresses
/56
256 LAN segments
Popular prefix size for one subscriber site
/48
65,536 LAN segments
Popular prefix size for one subscriber site
/32
65,536 /48 subscriber sites
Minimum IPv6 allocation
/24
16,777,216 subscriber sites
256 times larger than the minimum IPv6 allocation
No person is rich enough,to buy back his past.

Zgodovina sprememb…

  • spremenil: Gapi ()

arjan_t ::

Gapi to je odgovor na kaj?

Gapi ::

To sam poste nabijam........
No person is rich enough,to buy back his past.

MrStein ::

Brane22 je izjavil:


Mam /64 in potem to delim na /112, na vsakem pa DHCPv4/v6 potem dalje uštima zadeve.

/112 je precej nestandardno, a ne?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Bakunin ::

MrStein je izjavil:

/112 je precej nestandardno, a ne?


karkoli manj ali več od /64 je "nestandardno". Samo na /64 deluje "autoconfig".

ponavadi uporabiš /112 striktno za Point2Point povezave, a na koncu imaš (in želiš) /64

MrStein ::

Odvisno o čem govorimo. Routing prefix je lahko različen (manjši) od 64.
Host address pa je načeloma vedno 64 bitov.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Lonsarg ::

Manj od /64 je lahko problem, če se raznorazni programi odločijo, da je vse kar je manjše od /64 en subnet in je vredno vsaj delnega zaupanja(pač LAN diski). Namreč IPv6 je namenil /64 za subnete.

Seveda če se router gre talanja navideznih /64 subnetov okoli na enem /112, potem tega problema ni, sam to je kar zabaven če.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

arjan_t ::

Sploh daje kdo manj kot /56?

Gapi ::

/48 dobiš če si veliko podjetje.
No person is rich enough,to buy back his past.

arjan_t ::

manj je v tem primeru /57-64 ne /48

Malajlo ::

Manjša maska očitno. /56 je večji subnet kot /64. So me že prej popravili, da nimam prav, čeprav:
Similar to /24 and smaller subnets, we keep referring to octets when working with /23 or larger subnets

Zgodovina sprememb…

  • spremenil: Malajlo ()

Gapi ::

Z prvim julijem je začel Telekom vklapljat IPv6 novim naročnikom po defaultu. Torej opt-out varjanta. Če bo tko šlo naprej bo naslednje leto vsem naročnikom vklopil IPv6.
No person is rich enough,to buy back his past.

Bakunin ::

na go6 summitu so rekli, da se bo to zgodilo kmalu (še letos).

Gapi ::

IPv6Buddy

Je kdo zainteresiran. Da se deli poštnina in druge zadeve. Sem iz Ljubljane.
No person is rich enough,to buy back his past.

čuhalev ::

Se lahko nekako rešim RA, ki hostu predpiše GW v obliki link-local? Rad bi namreč zapisal GW naslov v konfiguracijo hosta. Host ima ipv6 naslov izpeljan iz njegovega EUI-64, kar lahko fiksiram v konfiguracijo.

AndrejO ::

Kateri del te moti? To, da preko RA dobiš GW ali to, da preko RA dobiš global naslov v obliki 64-bit prefix + 64-bit EUI-64?

Kateri OS? Če Linux, kateri distro?

Za Linux v splošnem onemogočiš procesiranje RA s pomočjo sysctl -w net.ipv6.conf.<vmesnik>.accept_ra=0. Če narediš to, potem moraš ročno nastaviti poln IPv6 naslov, privzet GW in MTU.

Če želiš nastaviti lasten IPv6 naslov in še vedno izkoristiti RA, potem imaš dve možnosti:
- Uporabiš "ip token set ::aaaa:bbbb:cccc:dddd", kar ti za naslov vzame 64-bit prefix iz RA + naveden ::aaaa:bbbb:cccc:dddd, privzet GW in MTU.
- Uporabiš net.ipv6.conf.<vmesnik>.accept_ra_pinfo=0, pri čemer iz RA dobiš GW in MTU, IPv6 naslov pa moraš nastaviti ročno.

Preostala zanimiva pa sta še:
- accept_ra_defrtr: kar ti dodeli MTU in naslov iz RA, ne doda pa privzetega GW.
- accept_ra_MTU: kar ti dodeli naslov in privzet GW iz RA, ne ponastavi pa MTU-ja.

Različni distroji imajo potem različne možnosti kako jim to pojasniš v kofiguraciji.

Za BSD-je bo moral pa kdo drug pomagati...

Zgodovina sprememb…

  • spremenil: AndrejO ()

čuhalev ::

Moti me še to, da preko RA dobim GW v obliki FE80:, medtem ko je dobljen ipv6 naslov globalen in ga lahko brez skrbi vnesem v konfiguracijo. Problem vidim v tem, da je GW naslov link-local in ping6 (utemeljeno) ne deluje, če mu ne povem vmesnika. Sedajle vidim, da ima routing vrstica dev eth0, kar ovrže zgornji problem, da računalnik ne bi vedel vmesnika, na katerem se L-L naslov nahaja.

Po drugi strani traceroute6 do nekega poljubnega ipv6 naslova ne vrne GW naslova v obliki FF80:, temveč nekaj globalnega. Vendar tega naslova ne morem uporabiti za GW, saj gre za naslov, ki ni del omrežja v katerem sem.

Dejanski problem ... navajen sem na ipv4, kjer je GW v istem omrežju kot host.

AndrejO ::

čuhalev je izjavil:

Moti me še to, da preko RA dobim GW v obliki FE80:, medtem ko je dobljen ipv6 naslov globalen in ga lahko brez skrbi vnesem v konfiguracijo.

Če te to moti, lahko kot naslov prehoda ročno nastaviš tudi globalen naslov. To sicer ni potrebno, ne bo pa s tem nič narobe.

čuhalev je izjavil:

Problem vidim v tem, da je GW naslov link-local in ping6 (utemeljeno) ne deluje, če mu ne povem vmesnika. Sedajle vidim, da ima routing vrstica dev eth0, kar ovrže zgornji problem, da računalnik ne bi vedel vmesnika, na katerem se L-L naslov nahaja.

ping6 deluje, če mu pravilno poveš vmesnik na katerem naj deluje. IPv6 naslov tako potrebuje navedeno cono za katero je veljaven, lahko pa se jo izpusti, kadar je govora o privzeti coni. Splošna oblika je <naslov>%<zone id> (RFC 4007). Ker se za LL naslove običajno uporabi ime vmesnika, je tako pravilen naslov za ping6 nekaj v obliki fe80::aaaa:bbbb:cccc:dddd%ethN.

čuhalev je izjavil:

Po drugi strani traceroute6 do nekega poljubnega ipv6 naslova ne vrne GW naslova v obliki FF80:, temveč nekaj globalnega. Vendar tega naslova ne morem uporabiti za GW, saj gre za naslov, ki ni del omrežja v katerem sem.

Dejanski problem ... navajen sem na ipv4, kjer je GW v istem omrežju kot host.

IPv6 ti omogoča, da to še vedno storiš, če si to želiš, ni pa ti privzet ali optimalen način kako urediti IPv6 omrežje. Razlike med v4 in v6 niso samo kozmetične.

Res pa je, da je vedno manj verjetno, da boš lahko iz IPv6 naslova "pogruntal" na katerem vmesniku je bil paket prejet ali pa na katerem je bil poslan.

Tudi pri IPv4 to več ni tako zelo ensotavno... predstavljaj si, da paket prispe v usmerjevalnik na xe-0/0, ta pa pošlje odgovor iz xe-1/0. Kateri naslov IPv4 boš videl? Tistega, ki je na vmensiku xe-0/0 ali xe-1/0? Ali bo temu vedno tako? Ali vsi proizvajalci usmerjevalnikov to delajo na isti način? V lokalnem omrežju imaš podatke običajno vedno na voljo. Pri proučevanju poti skozi internet, pa je stvar vedno manj določljiva, hkrati pa tudi manj pomembna, če nisi ravno skrbnik nekje na Level3.

Lonsarg ::

V bistvu je najboljša logika glede link-local in global ipv6 naslovov sledeča:
1. V primeru je logika aplikacije/posega mišljena za ipv4 in ne boš logike spreminjal uporabiš global naslov, link-lokal pa ignoriraš
2. V primeru da logika nima posebne privat omrežje funkcije, link-local ignoriraš
3. V primeru da ima aplikacija ločeno logiko za privat omrežje jo striktno omejiš na link-local, vso ostalo logiko pa na global. Oziroma v primeru bolj kompleksnega privat omrežja uporabiš global + IP filtre.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

čuhalev ::

AndrejO je izjavil:

Kateri naslov IPv4 boš videl? Tistega, ki je na vmensiku xe-0/0 ali xe-1/0? Ali bo temu vedno tako? Ali vsi proizvajalci usmerjevalnikov to delajo na isti način? V lokalnem omrežju imaš podatke običajno vedno na voljo. Pri proučevanju poti skozi internet, pa je stvar vedno manj določljiva, hkrati pa tudi manj pomembna, če nisi ravno skrbnik nekje na Level3.

Jasno je, da lahko pričakujem le en IP iz nekega vmesnika naprave.

Nad omrežjem nimam vpliva, je urejeno tako kot je, zato na GW ne morem dodajati naslovov.

AndrejO ::

čuhalev je izjavil:

AndrejO je izjavil:

Kateri naslov IPv4 boš videl? Tistega, ki je na vmensiku xe-0/0 ali xe-1/0? Ali bo temu vedno tako? Ali vsi proizvajalci usmerjevalnikov to delajo na isti način? V lokalnem omrežju imaš podatke običajno vedno na voljo. Pri proučevanju poti skozi internet, pa je stvar vedno manj določljiva, hkrati pa tudi manj pomembna, če nisi ravno skrbnik nekje na Level3.

Jasno je, da lahko pričakujem le en IP iz nekega vmesnika naprave.

Mislim, da se nisva čisto razumela.

Če imaš napravo, ki ima dva vmesnika:
xe-0/0: 192.168.0.1/30
xe-1/0: 192.168.0.5/30

Paket s TTL=1 prispe na vmesnik xe-0/0.
ICMP "TTL exceeded in Transit" (type 11, code 0) se pošlje iz vmesnika xe-1/0.

Ali upaš reči kateri src naslov bo imel vrnjen ICMP paket?


Imaš pa tudi bolj "zabavne" primere. Kaj pa, če je paket dejansko znotraj MPLS, ko se mu TTL zmanjša na 0, vmesnik na katerem se to zgodi, pa sploh nima IP naslova? Nekaj bi seveda moral dobiti, ali lahko napoveš kaj? Loopback naslov? "Najmanjši" naslov na napravi? "Največji" naslov na napravi?

V tem pogledu obnašanje usmerjevalnika, ki ima samo en globalni naslov, ostalo pa se vse "zmeni" z LL naslovi, ni čudno, je pa res, da se pri IPv4 tega v domačih in manjših poslovnih omrežjih ni srečevalo, temveč so se takšne stvari pojavljale zgolj na hrbteničnih omrežjih.

čuhalev je izjavil:

Nad omrežjem nimam vpliva, je urejeno tako kot je, zato na GW ne morem dodajati naslovov.

Ne gre se za dodajanje, ampak RA ti v enostavnih omrežjih to enostavno reši. V malo večjih omrežjih, kjer gostuješ, ali pa na povezavah z drugimi omrežji (peering points), dobiš naslov usmerjevalnika kot del dokumentacije. Na srečo ta naslov ni nekaj, kar bi moral "ugibati". Res, da je delovanje za IPv6 drugačno, kot za IPv4, ampak stvari se navadiš. Včasih smo pa na veliko uporabljali kakšen IPX, v primerjavi s katerimi je IPv4 izgledal nekoliko čuden in nenavaden. Variabilna dolžina številke omrežja ... čisto čudna stvar. :)

čuhalev ::

AndrejO je izjavil:


Paket s TTL=1 prispe na vmesnik xe-0/0.
ICMP "TTL exceeded in Transit" (type 11, code 0) se pošlje iz vmesnika xe-1/0.

Ali upaš reči kateri src naslov bo imel vrnjen ICMP paket?

Tistega xe-0/0. Vsaj doma mi tako naredi.

AndrejO je izjavil:


Imaš pa tudi bolj "zabavne" primere. Kaj pa, če je paket dejansko znotraj MPLS, ko se mu TTL zmanjša na 0, vmesnik na katerem se to zgodi, pa sploh nima IP naslova? Nekaj bi seveda moral dobiti, ali lahko napoveš kaj? Loopback naslov? "Najmanjši" naslov na napravi? "Največji" naslov na napravi?

To je vprašanje za jasnovidko. :))

AndrejO je izjavil:


V tem pogledu obnašanje usmerjevalnika, ki ima samo en globalni naslov, ostalo pa se vse "zmeni" z LL naslovi, ni čudno, je pa res, da se pri IPv4 tega v domačih in manjših poslovnih omrežjih ni srečevalo, temveč so se takšne stvari pojavljale zgolj na hrbteničnih omrežjih.

Sem doživel tudi to, da se X in Y povežeta med seboj. OLSR mi je to naredil, vendar se takrat nisem poglobil, kako je naštrikal routing preko. Sumim, da je moral dodati omrežje soseda kot local.

AndrejO ::

čuhalev je izjavil:

AndrejO je izjavil:


Paket s TTL=1 prispe na vmesnik xe-0/0.
ICMP "TTL exceeded in Transit" (type 11, code 0) se pošlje iz vmesnika xe-1/0.

Ali upaš reči kateri src naslov bo imel vrnjen ICMP paket?

Tistega xe-0/0. Vsaj doma mi tako naredi.

No, pri meni doma pa Linux jedro 4.1 pošlje ICMP z naslovom drugega vmesnika - tistega, na katerem se paket vrača. Tako ne morem vedeti skozi katerega je bil paket prejet, temveč samo preko katerega je bil vrnjen.

No, sicer vem za Linux jedro vem kaj bo vrnilo (ker pač poznam ta del kode) in še za nekaj usmerjevalnikov vem, da bodo vrnili IP vhodnega vmesnika (ker pač poznam arhitekturo in delovanje nekaj modelov komercialnih usmerjevalnikov), pa so me takšne izkušnje že izučile, da pravila ni, tudi če bi bilo kje zapisano. Šele test mi tako pove kako se čisto določena naprava obnaša.

Ja, jasnovidke bi bile dobrodošle, ampak pri njihovem pomankanju je dobro vedeti, da stvari nekaj hopov stran niso vedno takšne, kot izgledajo.

čuhalev je izjavil:

Sem doživel tudi to, da se X in Y povežeta med seboj. OLSR mi je to naredil, vendar se takrat nisem poglobil, kako je naštrikal routing preko. Sumim, da je moral dodati omrežje soseda kot local.

Če imaš Linux, potem si poglej začasne vnose v usmerjevalni tabeli: "ip -6 route show cache". Pa boš verjetno videl, kaj se je zgodilo.

čuhalev ::

AndrejO je izjavil:


No, pri meni doma pa Linux jedro 4.1 pošlje ICMP z naslovom drugega vmesnika - tistega, na katerem se paket vrača. Tako ne morem vedeti skozi katerega je bil paket prejet, temveč samo preko katerega je bil vrnjen.

Moj je 3.18.1. Seveda delam na ipv4.

ping -t 1 193.2.1.66
PING 193.2.1.66 (193.2.1.66) 56(84) bytes of data.
From GW icmp_seq=1 Time to live exceeded
From GW icmp_seq=2 Time to live exceeded

IP H > 193.2.1.66: ICMP echo request, id 12141, seq 2, length 64
IP GW > H: ICMP time exceeded in-transit, length 92


Medtem, ko tam, kjer ne vem, kakšno infrastrukturo imajo, dobim tako za ipv4 kot za ipv6 IP zunaj omrežja.

AndrejO ::

čuhalev je izjavil:

AndrejO je izjavil:


No, pri meni doma pa Linux jedro 4.1 pošlje ICMP z naslovom drugega vmesnika - tistega, na katerem se paket vrača. Tako ne morem vedeti skozi katerega je bil paket prejet, temveč samo preko katerega je bil vrnjen.

Moj je 3.18.1. Seveda delam na ipv4.

Da, tudi to se lahko zgodi, če ne izvedeva enakega testa. Na izbiro IP naslova s katerim bo vrnjen ICMP vpliva kar nekaj dejavnikov.

Relevantna koda v jedru je za IPv4 tukaj in tukaj.

Na kratko:
- odvisno od tega, kaj imaš zapisano v routing tabeli (v FIB).
- odvisno od tega, kako imaš nastavljen net.ipv4.icmp_errors_use_inbound_ifaddr (v jedru je privzeto 0, distro lahko to tudi spremeni).
- odvisno od tega, če se ICMP vrača v direktno povezano omrežje ali kam dlje.

Pa še prepričan moraš biti, da je paket dejansko šel ven iz vmesnika za katerega meniš, da je šel ven.


čuhalev je izjavil:

ping -t 1 193.2.1.66
PING 193.2.1.66 (193.2.1.66) 56(84) bytes of data.
From GW icmp_seq=1 Time to live exceeded
From GW icmp_seq=2 Time to live exceeded

IP H > 193.2.1.66: ICMP echo request, id 12141, seq 2, length 64
IP GW > H: ICMP time exceeded in-transit, length 92


Medtem, ko tam, kjer ne vem, kakšno infrastrukturo imajo, dobim tako za ipv4 kot za ipv6 IP zunaj omrežja.

Se zgodi ... to lahko narediš tudi sam doma preprosto tako, da malo "pokvariš" usmerjevalno tabelo. Na lo (ali pa kakšen drug vmesnik) lahko dodaš nek /32 naslov, potem pa spremeniš lokalnen route tako, da za src uporabi ta dodaten naslov. Voila, pa imaš stvar pofedlano.

Podobne stvari lahko namenoma ali pa nevede (VRRP) narediš tudi na nekaterih komercialnih usmerjevalnikih tudi za IPv4.

TL;DR: ni za verjeti vsem podatkom, ki jih dobiš v ICMP paketkih.

boogie_xlr ::

Doma imam pfsense (bsd based router software). Imam tunel prek sixxs in SLAAC dela ok, statične in managed DHCPv6 addresse pa ne delajo: ne morejo pingat gatewaya, gateway pa jih lahko, računalniki med sabo lahko pingajo. Ima kdo kakšno idejo, kaj je narobe?

boogie_xlr ::

kriv je bil en "pozabljen" router, ki sem ga imel kot AP in je izvajal router advertisement
to sem sedaj rešil in dela tipi-topi

NoName ::

Malce offtopic... Slučajno sem reševal nek problemček, pa sm možakarju rekel, naj mi pošlje TCP traceroute na port 25 do serverja... In potem mi pošlje trace s šestimi hopi, od prvega pa do zadnjega je zapisan IP naslov mojega serverja... Ne, ne gre za mašini v istem omrežju, med mašinama je res ene toliko hopov, od tega pol njegovega AS, pol mojega... Torej ja... ICMP paketom ne morš zaupat :)
I can see dumb people...They're all around us... Look, they're even on this forum!

Daniel ::

A je tukaj kdo na Siolu, ki ima vklopljen IPv6 in OpenWRT router? Nikakor mi namreč ne uspe postaviti pridobiti IPv6 naslova. Na Mikrotiku, ki ga drugače uporabljam deluje samo od sebe, samo vklopil sem DHCPv6 klienta in nastavil Pool Prefix Lenght na 64 in dela, na OpenWRT pa ne pridobi IPv6 naslova neglede na to kaj počnem. Ostajam brez idej.

IPv4 naslov dobi OpenWRT preko PPPoE normalno in to dela, le IPv6 nikakor ne.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

OŠO Optika IPv6

Oddelek: Omrežja in internet
343610 (2241) Bakunin
»

Način povezave v internet na optiki

Oddelek: Omrežja in internet
174831 (4123) AndrejO
»

IPv6 najbolj razširjen v Švici, Slovenija ni slaba

Oddelek: Novice / Omrežja / internet
3112283 (9513) Bakunin
»

Jutri svetovni dan IPv6 (strani: 1 2 )

Oddelek: Novice / Omrežja / internet
9917696 (14692) Spock83
»

par osnovnih vprašanj o IPv6

Oddelek: Omrežja in internet
224853 (3872) x.sci

Več podobnih tem