IPv6 Routování

[Majklik]

Ne, co APčko, ale všechny routery, kde je puštěné OSPFv3, musíš mít na ROS6.2+. Kde bude starší ROS, tak se nedostanou prefixy z těch dalších areí, bohužel.
Ale jinak ano, pokud budeš mít celou síť na ROS6.2+ a uděláš sektory jako další area typu stub, tak to bude u klientů fungovat tak, že budou mít routy na ostatní klienty v dané místní arei (takže dle toho, kolik tam bude klientů), plus pouze default routa ukazující k backbone arei (základní chování stub arei). A opačně, pokud všichni klienti v arei budou mít ty /64 nasekány z jedné /56, tak můžeš zase udělat agregaci směrem do backbone a celé AP se bude dál šířit jako jedna /56 a ne tuna /64 bloků.

K tomu mě ještě napadlo, že se do udělat i jinak. Předpokládám, že idea hromadného upgradu celé sítě na ROS6.2+ je děsivá. Takže místo vícero areí, jde použít dvě instance OSPFv3. To bude fungovat i v případě, že dál v síti budeš mít stále ROS5. V tomto případě nejde jen udělat agregace rout klientů dohromady do jedné sumární.
Na APčku budou dvě instance OSPF, jedna jako default, ta bude komunikovat přes uplinky se zbytkem sítě a druhá např jméno sektory, ta bude komunkovat jen s klienty. Povolíš redistribuci rout z instance sektory do instance default a máš vystaráno. V celé síti budeš mít naimportované routy na klienty (jako externí) a v rámci sektoru budou mít klienti jen defualt routu a seznam přímých rout na sousední klienty na tom AP.
Takže cca na AP:

Kód: Vybrat vše

/routing ospf-v3 instance
set name=default redistribute-other-ospf=as-type-1 router-id=6.6.6.6
add name=ospf-sektory distribute-default=always-as-type-1 router-id=6.6.6.6
/routing ospf-v3 area
add instance=ospf-sektory name=sektory
/routing ospf-v3 interface
add area=backbone interface=wlan1-uplink
add area=backbone interface=wlan2-uplink
add area=sektory interface=wlan3-sektorA
add area=sektory interface=wlan4-sektorB
add area=sektory interface=wlan5-sektorC


Na klientovi se nic nemění:

Kód: Vybrat vše

/routing ospf-v3 instance
set name=defualt router-id=6.7.8.9
/routing ospf-v3 interface
add area=backbone interface=wlan1
add area=backbone interface=bridge-ether1 passive=yes


Technicky místo druhé instance OSPF jde použít třeba i RIPng. Jen se pak na APčku musí říci, že místo z other OSPF má ta defualt instalce importovat routy z RIPu... Možná by byl RIPng i v tomto případě vhodnější a na téposlední míli pro pár oruterů na AP nbych s eho nebál. I s ohledme na tvoji oblíbenou strategii sekat SXT jedno jako druhé. Konfigurace klienta je všude stejná a nemusíš se ani srát s router ID. Konfigurace klienta pekelná:

Kód: Vybrat vše

/routing ripng interface
add interface=wlan1
add interface=bridge-ether1 passive=yes


APčko pak:

Kód: Vybrat vše

/routing ospf-v3 instance
set name=default redistribute-rip=as-type-1 router-id=6.6.6.6
add area=backbone interface=wlan1-uplink
add area=backbone interface=wlan2-uplink
/routing ripng
set distribute-default=if-installed
/routing ripng interface
add interface=wlan3-sektorA
add interface=wlan4-sektorB
add interface=wlan5-sektorC


Jinak, proč jsi zkoušel tahat až na klientské jednotky OSPFv2? Přijde mi to zbytečné. Předpokládám, že klientské SXTčko dělá NAT na IPčko na wlan1 iface, takže stačí OSPF končící na AP, kde interfejsy sektorů dám do OSPF jako pasivní a nemusím mít tuny dalších routerů motajících se v OSPF. Chápal bych tam, kde su u klientů neNATuje, ale jen routuje (ať už proto, že mají veřejky na LAN nebo děláš jen jeden CGN aq nechceš mít řetězené NATy).

Trošku jsme to, chudáku EFovi, tady zaspamovali.

[Majklik]

Hapi - ještě k tomu jak dostat ke klientovi DNS IPv6 adresy:

Teoreticky by mohlo jít použít DHCPv6 relay agenta, která v ROSu už je, takže pustit si někde klasický DHCPv6 server na linuxu, v klientských krabicích udělat relay na ten server a ten by možná dokázal na ty požadavky odpovídat.

ROS6.4 stále neumí odpovědět na statelesss DHCPv6 info dotaz, takže smolík.
DHCPv6 relay použít jde, jsem si to před chvíli zkusil.
Takže v tom SXTtéčku je třeba zapnot to other-config a nastavit relay agenta:

Kód: Vybrat vše

/ipv6 nd
add interface=bridge-ether1 other-configuration=yes
/ipv6 dhcp-relay
add dhcp-server=fd49:2990:4616:1001::9 interface=bridge-ether1 name=DR1


A na komplu s IP fd49:2990:4616:1001::9 se pustí ISC DHCP server verze 4.1 s konfigurací v dhcp.conf:

Kód: Vybrat vše

authoritative;
option dhcp6.name-servers 2001:1488:800:400::130, 2001:678:1::206;
#option dhcp6.domain-search "bla.com","neco.porn";
option dhcp6.info-refresh-time 21600;

subnet6 fd49:2990:4616:1001::/64 {
}
subnet6 ff02::1:2/128 {
}
subnet6 fd49:2990:4616::/48 {
}


A šlape to, Wokna7 za tím klientem dostanou patřičné IPv6 pro DNS.
Ten subnet6 fd49:2990:4616:1001::/64 odpovídá tomu, jaký subnet je na síťovce, kde má DHCP server poslouchat. Druhý subnet6 ff02::1:2/128 je úlitba pro ROS6.3 a nižší, kde se chybně vkládá link address do relay zprávy. ROS6.4 to dělá také blbě, ale chytí se to pod tu první definici. Poslední subnet6 fd49:2990:4616::/48 představuje zápis pro korektní DHCPv6 relay agenty, ať odpovíme svým klientům, to se třeba ROS časem naučí správně vkládat.

Takže tímto se dá dosáhnout plná IPv6 konfigurace klienta a nabízet IPv6 only linky.

[Majklik]

Už lze dělat statické DHCP příděly dle MAC, nebo stále jen dle GUID? A obecně: ono jim to už funguje? Před nějakým časem jsem tu dával k dobru zjištění, že je to u MK zatím k ničemu ... nešlo dát /64, muselo se víc. A ještě k tomu jsem nepřišel na to, jak mu říct, na jaké rozhraní to přiřadit. GUID vyžadoval v přesném formátu (na rozdíl od RFC, kde je to vcelku libovolné). Neuměl nakonfigurovat defaultu klientovi (nevzal routu přes RA) a leccos dalšího, kdybych si tak vzpomněl ...

Tak jsem se díval na to, jak je to s tím DUID, co jde zadat do MKčka. Takže už je to relaitvně "volné". Zrada je, že nejde změnit velikost DUID už zadaného záznamu. U nového jde dát cokoliv. A funguje to s určitou úlitbou Mikrotiku. Zadávaný DUID se udává bez prvních dvou bajtů (tam je normálně typ DUIDu). Dále pro DUID-LLT (0001) a DUID-LL (0003) se nedávají aní další dva bajty, které udávají hardwarový typ MAC adresy (pro Ethernet 0001). Sežere jinak už cokoliv jako hardwarový typ (dřívě tupě bral jen Ethernet), včetněnapř. Arcnetu.
Nevadí mu ani DUID-UUID (0004). Takže se dá říci, že tam může být už cokoliv, ani délku neřeší, jen vyhazuje první 2, ve dvou případech 4 bajty.

Také jsem se díval na ISC DHCP, jak třeba funguje u něj to přidělování IPv6 ná základě MAC adresy, takže je to tak, že na MAC na linkové vrstvě kašle. Vezme DUID, když je typu DUID-LLT nebo DUID-LL, tak z něj zpětně vypreparuje vecpanou MAC a přiděluje dle ní (takže ignoruje timestamp u DUID-LLT).

[hapi]

takže abychom to shrnuly.

aktuální stav na ipv4 je ten, že na klientský jednotce běží DHCP server pro klienta a dává mu ip adresu, dns do jeho počítačů. Důležitý je abych viděl kdy, komu a jaká se přidělila adresa. To v ipv4 neni problém. V dhcp server se kouknu na záložku leases a pořešeno. Je možné toto udělat na ipv6? zaráží mě že takovej základ nejspíš nejde.

[Majklik]

Proč potřebuješ vědět adresu koncového zařízen zákazníkaí?Zákazníka ti identifikuje jendoznačně prefix /64, který jsi přidělil na ten ether1. Kolik tam toho je, ti může být ukradeno. Samozřejmě za předpokladu, že na tom ether1 je jedna koncová přípojka-jeden zákazník. Pokud tam máš switch a celý barák, tak jsi v rejží.
Klasické DHCPv6 v ROSu není. Možno ojebat použitím DHCPv6 relay, přeposlat to na třeba ISC DHCP server na linux a tam přidělovat. Ale aktuální stav je takový, že pro chybu v relay nerozlišíš odkud to příchází. Další stav je takový, že velká část zřízení s podporou IPv6 nepodporuje stavové DHCPv6 a nebudeou fungovat. Podporují pouze bezestavovou autokonfiguraci, jak vyžaduje IPv6 specifikace (plus bezestavové DHCPv6 pro získání seznamu DNS serverů případně - tohl ejde nyní obsloužit i s tím chybným relay v MK).

[hapi]

klientská jednotka je SXT u klienta. Je za tim jeden klient. Kvůli servisu potřebuju prostě vidět jestli se přidělili ipčka nebo ne. To je základ. Ve většině případů nepotřebuju ke klientova ject, dokážu zjistit spoustu věcí pomocí mkčka. Jednou z nich je jestli si jeho pc vzalo adresu. Dá se tím i poznat jestli se na SXT neodpálilo TX. Pokud nevim kolik počítačů si u něj vzalo ip adresu tak třeba nepoznám při servisu že je něco v nepořádku nebo jestli se třeba nepřipojujou u něj na wifi nějaký černoši atd.. prostě to považujeme za hlavní nástroj při servisu. Což u ipv6 jak tak koukám neni možné což teda vůbec nechápu. To budu totálně slepej protože v ND po chvíli adresy zmizí. Je sice pěkný že zákazník má /64 ale k čemu mi to je když nezjistim jestli si vůbec nějakou adresu z toho vzal? To je docela na hlavu.

No nicméně i kdyby jsme jeli pouze advertise tak předpokládám že dns nepošle... je to problem mkčka nebo windowsu? koho mám jebat?

[ludvik]

... je to problem mkčka nebo windowsu? koho mám jebat?

Manželku, to ti alespoň pomůže.

[Majklik]

Manželku, to ti alespoň pomůže.

Manželka se zásadně nejede, ale chválí! Jinak člověk za pár minut může mt nějaký dobrej lektvar v kafi a telefonát s okresním patologem, že to bude v papírech infarkt, to jistí.

klientská jednotka je SXT u klienta. Je za tim jeden klient. Kvůli servisu potřebuju prostě vidět jestli se přidělili ipčka nebo ne. To je základ. Ve většině případů nepotřebuju ke klientova ject, dokážu zjistit spoustu věcí pomocí mkčka. Jednou z nich je jestli si jeho pc vzalo adresu. Dá se tím i poznat jestli se na SXT neodpálilo TX. Pokud nevim kolik počítačů si u něj vzalo ip adresu tak třeba nepoznám při servisu že je něco v nepořádku nebo jestli se třeba nepřipojujou u něj na wifi nějaký černoši atd.. prostě to považujeme za hlavní nástroj při servisu. Což u ipv6 jak tak koukám neni možné což teda vůbec nechápu. To budu totálně slepej protože v ND po chvíli adresy zmizí. Je sice pěkný že zákazník má /64 ale k čemu mi to je když nezjistim jestli si vůbec nějakou adresu z toho vzal? To je docela na hlavu.

No nicméně i kdyby jsme jeli pouze advertise tak předpokládám že dns nepošle... je to problem mkčka nebo windowsu? koho mám jebat?

OK, varianta telefonát, co vám ukazuje ipconfig je neprůchozí.

Takže odzadu. Advertise umí DNS servery poslat - ale 99% zařízení to neumí přijmout (moc horká novinka):
/ip dns set servers=8.8.8.8,8.8.4.4,2001:4860:4860::8888,2001:4860:4860::8844
/ipv6 nd add advertise-dns=yes interface=bridge-ether1
Toto zajistí, že v advertise na tne bridge bude posílat RRDNS položka s IPčkama 2001:4860:4860::8888,2001:4860:4860::8844.

Pokud chceš vědět, zda zákošovi se kompl konfiguruje IPv6 a zároveň mu dodat IPv6 DNS (což je hodně podstatné, bez toho bude problém, pokud zákoš bude mít noťas s kterým poleze i jinam, kde by bylo IPv6), tak použit ten DHCP relay spolu s ISC DHCP pro posílání adres DNS serverů. Zabijš tím 2 mouchy jednou ranou:
a) lidi dostanou IPv6 adresy pro DNS,
b) v logu na serveur budeš mít záznam, že si šáhli pro DNS, z troho záznamu budeš vědět i jakou IPv6 autokonfigurvoanou adresu mají, dáš jim platnost 1 den a pěkně budou čmuchat opakovaně.
Jen v asdvertise s emusí nastavit, že si mají šahnout na bezestavové DHCPv6:
/ipv6 nd add advertise-dns=yes other-configuration=yes interface=bridge-ether1
Samotřejmě musí koncové zařízneí to bezestavové DHCPv6 podporovat. Ale Windows Visa až 8 to umí, takže od nich info mít budeš.

[hapi]

hmm, koukám že si člověk nevybere.

jak krássné by bylo kdyby to uměl dhcp server na mikrotiku. Takže předpokládám že dotlačení mikrotiků k tomu aby jejich bezestavové DHCPv6 posílalo DNS by problem řešilo, že?

tohle sem u sebe na mkčku nenašel (aha, je to pouze v MKv6)

Kód: Vybrat vše

/ipv6 dhcp-relay
add dhcp-server=fd49:2990:4616:1001::9 interface=bridge-ether1 name=DR1

[Majklik]

Ano, na půl. Vyřeší to předání DNS serverů klientovému krámu. Ale bezestavové znamená, že si nic nepamatuje a neukládá - nebudeš mít záznam, že se něco děje, pokud si nezapneš debug log pro DHCP, pak to bude apoň v logu MKčka.
Po implementaci úplného stavového DHCPv6 serveru, pak by jsi měl leasy i tam. Ale opět, stavové DHCPv6 umí ještě míň věcí, než bezestavové (Windows Vista a výše to umí, nové linuxy obvykle také, Apple od 10.7 žere DHCPv6 i RRDNS v RA).
Aktuálně nejde korektně udělat stavové DHCPv6 jednoduše ani s použitím toho dhcpv6 relay v MKčku plus externího serveru, ale to snad opraví v dohledné verzi.

Nicméně prskání na MKčka v daném duchu (prvně bezestavovém), by byla velmi záslužná práce. Naposledy jsem jim to připomínal v sobotu, když jsem reklamoval chyby v tom relay.

Jo, relay je až v ROS6.

[hapi]

no ale jestli to dobře chápu, tak si klient natahne bezestavově ipv6ku. Tam vidí že si má načíst DNS což probíhá až ve druhém kroku. Dál jsem pochopil že mikrotik sice umí poslat DNSka ale windows je takhle přijmout neumí proto se to řeší DHCP relayem na server který to umí. Ok, chápu, takže proč mikrotik tedy neudělá tu věc, že nepostaví vlastí bezestavový DHCPv6 server který bude dopovat bezestavové klienty DNS informací a nezapíše si do listu kdy a jaký klient si to vzal? To by asi dávalo smysl ne? V advertise si nastavim čas bezestavového přidělení což je jako leases time u DHCPv4 a máme timeout, nebo ne?

[Majklik]

Konfigurace bezestavově IPv6 adresa dle RA a k tomu přéípadně bezestavové DHCPv6 pro DNS severy je definována od pravěku IPv6 (stejně jako stavové DHCPv6). RDNSS rozšíření do RA se experiemntálně objevilo 2007 a standartizováno bylo v listopadu 2010 (RFC6106), takže je to echt horká novinka.

Mikrotik toho nemá implementováno ohledně IPv6 mnohem víc, co dost chybí.. Už jen blbá priorita routeru vysílaná v RA by se víc než hodila a jde jen o nastavení dvou bitů v RA.
Když MK zavede bezestavový DHCPv6 server, tak pochybuji, že bude si pamaovat, komu poskytnul odpověď, protože to vůbec k ničemu nepotřebuje... Pokud je neukecáš, aby to tam zavedli....
Už jen jak má to RDNSS implementováno humpolácky MK teď - žere to z /ip dns a vůbec neřeší, že bych třeba potřeboval posílat na každém interface jiný seznam DNS serverů, nejlépe i se search listem domén (jak jde v DHCPv4).
Stjeně tak DHCPv6-PD server si natvrdo bere DNS servery posílané v odpovědi (i NTP) z /ip dns a opět neřeší per server/iface konfiguraci. Přilepeno s co nejmenší prací, ať lidi dají pokoj.
Dokud nebude řvát dostatečný počet lidí, tak se nic dít/měnit nebude.

[hapi]

aktuálně tedy proti samotnému mikrotik routeru není možné ject bez berliček na IPv6 only na windows, je to tak? to by mohl být pádný argument pro to, aby dodělaly bezestavové DHCPv6 aspoň v nějaké podobě kdy mi přidělí DNS.

[disk]

Jen tak mezi řečí.
Při obnovení konfigurace (backup) na jiném zařízení (jina MAC) mi zůstane DUID pro IPv6 z původního a nelze ho změnit.
Jak resetnu DUID nebo MK donutím k opětovnému výpočtu z MAC adresy? Nechci všechny MK co už mám nastavené
resetovat.

[admin@mr-test] > ipv6 dhcp-client print detail
Flags: D - dynamic, X - disabled, I - invalid
0 interface=ether1 pool-name="suas" pool-prefix-length=64 status=boun
prefix=2a00:e140::3a42:0:0:0:0/64 expires-after=54m48s
duid="00030001d4ca6d7d682e" add-default-route=yes use-peer-dns=yes

[hapi]

tak bys asi neměl dělat restore. Napiš si scripty a spouštěj je.