A zase to IPv6 :-(

[ludvik]

mikrotik = linux.

On ti tedy možná vyhradil /64 segment. Ale přidělil ti ho na WAN stranu - gateway přeci není u tebe. Tedy segment není tvůj, ale jeho.

Je to naprosto stejné, jako s IPv4 ... když ti dá 192.168.66.0/24 a výchozí bránu 192.168.66.1, taky můžeš jednu IP vzít a použít na LAN straně? Ne ... použiješ NAT (a na LAN straně jinou síť). Jenže to s IPv6 nemůžeš.

Jak bys to řešil s IPv4? Před mikrotik (router) dal switch a jednu z IP dal mikrotiku a jinou tomu serveru. Ale to znamená, že ten server není za routerem, ale přímo na síti poskytovatele (byť za switchem, ale toho nějaké IP adresy nezajímají). Opět je to stejné i v tomto IPv6 případě.

Pokud bys chtěl doma routovat veřejné IPv4, tak jak by to šlo? ISP by ti musel také přidělit SEGMENT, který by nasměroval na tvoji WAN adresu. A tvůj router ať se s tím popere jak umí (samozřejmě to lze řešit i pomocí NAT). A v podstatě stejné je to s IPv6, potřebuješ samostatný segment, který může být na tvé LAN straně.
Router přehazuje pakety podle cílových adres, pokud bude mít na dvou stranách stejnou síť, tak z logiky věci bude dost zmatený a tedy nefunkční ...

Typicky se to dělá tak, že ISP na wan stranu nepřiděluje nic, ono to vlastně není potřeba. Nebo i přidělí, ale tobě to může být vlastně fuk. IPv6 na WAN straně tě zajímá jen z toho pohledu, abys to zabezpečil firewallem. Zapomeň na NAT!, zapomeň na NAT!
Ale v konfiguraci oznamování té sítě nastaví, co má tvůj router za možnosti. Pro domácí přípojky je to typicky DHCPv6-PD (prefix delegation). Teprve tam určí, co máš za segment pro svoje potřeby.
Tvůj router pak si pak o ten segment (prefix) za pomoci DHCPv6-client řekne a uloží do ipv6 poolu. Mikrotik umí i vytvořit default route.
Teprve z toho poolu pak ty přiděluješ adresy na svá LAN rozhraní (přesněji: sítě - už jako /64). Ty už pak fungují tak nějak samy, oznamují autokonfiguraci, stanice se samy nastaví, mají-li to povoleno. Ruční konfigurace ala tvůj server je také možná, to je jen tvůj boj, protože ten segment je opravdu jen tvůj.

Také ti místo dhcpv6-pd může nějaký segment naroutovat staticky. Ale opět - musí to být JINÝ segment, než je na wan. Ten pak jen nastavíš na LAN a je to (tvůj router zná jak LAN stranu, tak WAN stranu a má výchozí bránu - nic víc nepotřebuje).


Přečti si tu knihu, posílal jsem odkaz.


Pro jistotu: nemluvím o PPPoE.

[21let]

Děkuji za vyčerpávající vysvětlení, to je to co jsem potřeboval. Knihu jsem si přečetl z části, to je pak na pár nocí čtení Myslím si, že dost věcí už mi dochází. Nevěděl jsem jak se řeší právě to přidělování IPv6 na LAN straně, když je chci mít od poskytovatele. Myslel jsem si ke konci tvého komentáře, že to už chápu, ale je tam jedna část, která mi zase dloube v hlavě. Píšeš, že pokud na WAN nebudu mít nastavenu IPv6, pak ji můžu využít ve vnitřní síti. Když jsem na Mikrotiku nastavil DHCP Clienta a načítám address, tak mi nic nenačítá (asi poskytovatel "neposílá" DHCP), pokud by mi jej poslal, mohu to tak využít s tím, že adresu na WANu nebudu využívat a budu mít jen na LAN straně, je to tak?

Jen bych chtěl upřesnit, že PPPoE ani VDSL nemám

[ludvik]

Ne. To co ti dává on je pro WAN stranu. Nemůžeš to použít na LAN. (tedy krom věci jako NDP proxy, která v mikrotiku stejně není)

Já tím jen naznačoval, že je víc druhů IPv6 adres. V základu dvě - globální a lokální (link-local). Globální jsou ty, co tě zajímají, abys "měl internet". A lokální jsou jen a pouze pro jednu L2 síť (tedy switch) - žádný router je neforwarduje. Ale jinak to jsou adresy jako každé jiné, tedy na propoji mezi tebou a poskytovatelem jdou použít a nemusí tedy na tvé WAN straně žádná globální. Jelikož máš router, stačí to DHCPv6-PD, které umožní nastavit LAN stranu.

Já psal, že ji mít nemusíš, ne, že ji můžeš použít jinde ...

Zamysli se ještě nad jednou věcí. O každé síti musí mít povědomí i celý zbytek internetu. Pokud poskytovatel nastaví něco na svoji síť, tak to také tomu zbytku oznámí. Když ho ty použiješ jinde, tak se to celé rozsype ... poskytovatel na tu tvoji konfiguraci bude kašlat, protože o ní prostě neví (a mít jeden stejný segment na dvou částech sítě je nesmysl). Musíte spolu nějak komunikovat, aby to fungovalo - většinou právě pomocí PD které je standardem pro domácí přípojky.

Napiš svému ISP, že chceš přidělit IPv6 segment třeba /56 a ať ti napíše, jak to udělal ...

[21let]

Ludvíku, já mu napsal a napsal mi toto:

Dobry den,
IPv4 i IPv6 adresy si v nasi siti musite nastavovat staticky, pro serverove pouziti DHCPv6, pripadne DHCP neni zcela vhodne.

Vas /64 rozsah ma k dispozici tyto IPv6 adresy:

Prvni IP: 2a01:0028:0XXX:0XXX:0000:0000:0000:0000-
Posledni IP: 2a01:0028:0XXX:0XXX:ffff:ffff:ffff:ffff

Pro jistotu zasilam vsechny udaje znovu:
Prefix: 2a01:28:XXX:XXX::/64
Gateway: 2a01:28:XXX:XXX::1234
IPv6 adresy, ktere nelze pouzit a jsou pouzity pro nas ucel: 2a01:28:XXX:XXX::1231 a 2a01:28:XXX:XXX::1232


Tedy jakou IP adresu ze subnetu pouzijete, je zcela na Vas.

[ludvik]

Nemám slov. Už jsem všechno řekl.

[21let]

Já se s tím nějak zkusím poprat a zjistit kde mám tu menší šedou zónu. Píšu to a nastavuju ve spěchu, je to takový můj homelab a rád bych do toho pronikl se vším všudy. Znovu si projdu naše vlákna a myslím si, že mi to bude zcela jasné I tak moc díky!

[ludvik]

Prostě ROUTUJEŠ. Přehazuješ pakety z jedné strany na druhou. Na obou stranách potřebuješ nějakou síť. Ty máš jen stranu WAN, nikoliv LAN.

To, že to udělá staticky zase takový problém není (s tím se dá žít), ale on to prostě nedělá. Je pořád myšlenkově zaseknutý v IPv4, kde LAN stranu nemusí řešit, protože ty použiješ NAT.

[21let]

Ano, to mi právě z toho došlo. IPv4 s NATem a IPv6 bez NATu. A přitom jsem mu psal, že potřebuji na Mikrotiku IPv6 a pak za ním na Centosu Tady je má domněnka:

Myslel jsem si, že IPv6 protokol je udělán tak, že stačí, když mi poskytovatel bude na WAN routovat nějaký rozsah IPv6 sítě a já si pak mohu klidně za firewallem zadat IP adresu jako statiku na kterémkoli zařízení v síti i na Mikrotiku. Podle této konverzace to začínám chápat tak, že to tak nefunguje a i když mi dá rozsah /64 a tvrdí mi, že mám hromadu těchto statických IP, tak si nemohu některou z té hromady vyhradit pro sebe a mít jednu na Mikrotiku a další ve vnitřní síti i když routovacím pravidlem to posílám na bránu poskytovatele.

Ještě prosím tě, pokud bych přiměl poskytovatele, aby mi dal /56, znamená to, že díky tomuto prefixu mi rozdělí tyto IP na 256 subnetů a tudíž bych pak mohl z těchto 256 subnetů vybírat IP i pro vnitřní síť? Omlouvám se, že tě tak pořád zdržuju, ale snažím se to do detailu pochopit, abych než začnu dočítat knížku z nicu, abych už věděl o čem je přesně řeč

[ludvik]

To chápeš správně, ale prostě jen tak na půl. Mixuješ obě strany dohromady. Máš hromadu adres na WAN.
V podstatě by ti musel přidělit ještě jednu /64 (nebo jak říkám raději větší, třeba /56) a staticky naroutovat na tvoji IP z toho prvního rozsahu. Jen /64 je sice čuňárna, ale šlo by to.

Myslel jsem si, že IPv6 protokol je udělán tak, že stačí, když mi poskytovatel bude na WAN routovat nějaký rozsah IPv6 sítě a já si pak mohu klidně za firewallem zadat IP adresu jako statiku na kterémkoli zařízení v síti i na Mikrotiku. Podle této konverzace to začínám chápat tak, že to tak nefunguje a i když mi dá rozsah /64 a tvrdí mi, že mám hromadu těchto statických IP, tak si nemohu některou z té hromady vyhradit pro sebe a mít jednu na Mikrotiku a další ve vnitřní síti i když routovacím pravidlem to posílám na bránu poskytovatele.

On ti nic nerozdělí. Ty budeš mít celou tu síť a co s ní uděláš je tvoje věc. Rozděluješ si to sám, typicky /64 na každou vnitřní síť.

Ještě prosím tě, pokud bych přiměl poskytovatele, aby mi dal /56, znamená to, že díky tomuto prefixu mi rozdělí tyto IP na 256 subnetů a tudíž bych pak mohl z těchto 256 subnetů vybírat IP i pro vnitřní síť? Omlouvám se, že tě tak pořád zdržuju, ale snažím se to do detailu pochopit, abych než začnu dočítat knížku z nicu, abych už věděl o čem je přesně řeč

[21let]

Ludvíku,

už jsem doma Já blb, že jsem se dřív nepodíval na tu IP kalkulačku. To jsou ty Subnety. Jeden /64 nemohu využít na více místech. Takže buď několik /64 prefixů ("subnetů") nebo právě /56. Pokud by mi například dal /62, mohu využít 4 subnety, to by mi teoreticky mohlo i stačit, kdybych chtěl využít jeden na Mikrotiku a další na Linux serveru. Pochopil jsem správně nebo zase na půl?

[21let]

A ještě jeden dotaz, to se těma IPv6 tak plýtvá? Já nepotřebuji mít tak velké rozsahy. Stačí mi třeba 10 IPv6 adres Jak to pak řeší poskytovatelé? Dávat kvůli pár IPv6 rozsah /56 je asi docela plýtvání, ne?

[ludvik]

Ano, ale musí ti dát EXTRA segment.

---
Ono se zase tolik neplýtvá. Hlavní cíl bylo zvětšení prostoru. Teď to jsou 4 bajty. Zvětšení na 6 je nedostatečná blbost (i když MAC adrese na síťových kartách to stačí ...), takže se zvětšilo rovnou na 8, je to lepší násobek 2. To je tedy pojem "síť". (to, že v některých případech jde použít i třeba /126 teď pomíjím).
Tahle velikost také zjednoduše internet, v podstatě. Každý ISP má /32 segment (nebo větší) a jen to se objevuje po světě v routerech ...

Zbytek je už jen věcí vnitřních sítí, které globální routovací tabulky nezajímají. A jelikož počítače jedou na dvojkové soustavě, tak se použilo také 8 bajtů ... to je celá sranda. Zároveň taková velikost umožňuje autokonfiguraci ... vezmu MAC adresu, doprostřed vrazím bajty FFFE a mám adresu, která s pravděpodobností blízkou 100 % bude unikátní.
A jelikož je to fakt strašně velké, lze i MAC vynechat a prostě si vygenerovat náhodné číslo. To už sice nebude 100% unikátní, ale pravděpodobnost shody je opravdu minimální (a na řešení existuje mechanismus). To se používá pro tzv. Privacy extensions (někdo si všiml, že z MAC adresy tě pak všichni po světě poznají ...).

Pokud by to jelo stylem "stačí mi tři adresy", tak tvůj ISP by musel mít pro ty tři adresy samostatný záznam. Když ti naroutuje síť, má jen jeden. A do ostatních sítí se ani neoznamuje, bude schovaný v jeho "nadsíti" /32.
A jelikož dnes je na internetu kdeco, fungovat po jedné by byla děsná práce ... konfigurovat čidla, ledničky, světla, termostaty, mobily, tablety, počítače, přehrávače, STB. Pro každou takovou pitomost bys žádal o adresu! Což nemusíš, když máš vlastní segment ...

Pokud má ISP přidělený segment /32, tak má kolik sítí? Je to stejný počet sítí, jako je CELKEM IPv4 adres. A v každé síti pak může být 2^64 různých zařízení.
A takových ISP může být na světě přesně tolik, kolik existuje CELKEM IPv4 adres. Příští nebo přespříští rok bude možnost, aby každý druhý člověk na světě (vč. dětí a politiků) dělal internetového providera pro JEDNOHO člověka a dal mu 2 miliardy sítí (a druhé dvě si nechal).

A fakt je pro ISP takový nehorázný problém ti darovat 256 sítí, když jich má 4 miliardy??? Uznávám, že mě ten myšlenkový posun také chvilku trval ... Ale v dnešní době už to nechápu, prostě přidělím a jdu od toho.

[21let]

Ludvíku, moc Ti děkuji za upřesnění a osvěžení, já věděl, že jsem nepochopil jen jednu věc a to byl ten prefix /64 a na něm jsem se zasekl. Moc díky za detailní vysvětlení (i toho přidělování "více subnetů"). Hezký den