Внедрение протокола IPv6

[paparazzi]

Уважаемые абоненты!

На Алексеевке запущена поддержка IPv6 протокола дополнительно к IPv4 на скорости 2/1 мбит/с. Любой желающий может включить поддержку.

Полезные команды (выполняются под правами администратора) в командной строке (Пуск -> Выполнить -> cmd):

Выключаем Тередо: netsh int teredo set state disable store=persistent

Выключаем временный адрес IPv6: netsh interface ipv6 set privacy state=disabled store=persistent

Включаем статический адрес IPv6: netsh int ipv6 set global randomizeidentifiers=disabled store=persistent

С уважением,

администрация Макснет.

На Салтовке похоже уже тоже включили. Обнаружил случайно- в Transmission появились IPv6 пиры. Зашел на шлюз, посмотрел, таки да, на внешнем интерфейсе IPv6 адресов добавилось.

Причем адресов обнаружилось целых три. Во-первых адрес из Макснетовской подсети (2a00:1210::/32). Во-вторых link-local адрес, что тоже ожидаемо. Но помимо этих двух адресов обнаружился еще и 6to4 адрес- 2002:b2a5:2b08:4:x:x:x:x, причем соответствующий ему IPv4 адрес (178.165.43.8)- не мой. WTF?

[shandy]

На Салтовке похоже уже тоже включили. Обнаружил случайно- в Transmission появились IPv6 пиры. Зашел на шлюз, посмотрел, таки да, на внешнем интерфейсе IPv6 адресов добавилось.

Причем адресов обнаружилось целых три. Во-первых адрес из Макснетовской подсети (2a00:1210::/32). Во-вторых link-local адрес, что тоже ожидаемо. Но помимо этих двух адресов обнаружился еще и 6to4 адрес- 2002:b2a5:2b08:4:x:x:x:x, причем соответствующий ему IPv4 адрес (178.165.43.8)- не мой. WTF?

Ну у меня на компе только 2 адреса: макснета и link-local адрес, так что хз чего так....

Мабуть на шлюзе тунель 6to4 запущен.... правда это не обьясняет почему соответсвующий IPv4 адрес не такой....

З.Ы. Делимся своими IPv6 адресами, чтобы вычислить номера сегментов сети )

З.З.Ы 2a00:1210:3:1:595c:3176:27d4:572c - Песочин

З.З.З.Ы http://www.whatismyipv6.net/

[Maxim]

Эти команды решат проблемы с кучей адресов:

netsh int teredo set state disable store=persistent

netsh interface ipv6 set privacy state=disabled store=persistent

netsh int ipv6 set global randomizeidentifiers=disabled store=persistent

На Салтовке похоже уже тоже включили. Обнаружил случайно- в Transmission появились IPv6 пиры. Зашел на шлюз, посмотрел, таки да, на внешнем интерфейсе IPv6 адресов добавилось.

Причем адресов обнаружилось целых три. Во-первых адрес из Макснетовской подсети (2a00:1210::/32). Во-вторых link-local адрес, что тоже ожидаемо. Но помимо этих двух адресов обнаружился еще и 6to4 адрес- 2002:b2a5:2b08:4:x:x:x:x, причем соответствующий ему IPv4 адрес (178.165.43.8)- не мой. WTF?

[paparazzi]

Эти команды решат проблемы с кучей адресов:

netsh int teredo set state disable store=persistent

netsh interface ipv6 set privacy state=disabled store=persistent

netsh int ipv6 set global randomizeidentifiers=disabled store=persistent

Не угадали. На FreeBSD это не работает.

ЗЫ. Максим, а нельзя ли обучить ваше оборудование отвечать еще и на prefix delegation запросы?

[dexter]

А как на салтовке настроить , объясните чайнику ??

[paparazzi]

О! Еще один адрес добавился, это уже 4й! На этот раз site-local адрес (fec0::4:x:x:x:x), при том что site-local адреса еще в далеком 2004 году были объявлены устаревшими, и в настоящее время вообще не должны использоваться.

[paparazzi]

Еще два адреса добавилось- один site-local и один 6to4. Итого уже 6 IPv6 адресов! Новые адреса:

fec0::8:x:x:x:x

2002:b2a5:2ac8:8:x:x:x:x

Что характерно, иногда с опозданием, но на "лишние" префиксы похоже исправно приходят router advertisement сообщения.

[kirt]

Да что ты нервничаешь? У админа новая игрушка.

[paparazzi]

Проблема с "лишними" адресами неожиданно сама по себе "рассосалась". Причем именно тогда, когда я наконец-то смог отследить причину...

В результате длительного курения разнообразные RFC, вчера уровень знаний наконец-то достиг некоторого критического уровня, при котором проблема с "лишними" адресами была осмыслена и локализована. Оказалось, что в сегменте сети, к которому я подключен, работало сразу три! устройства, которые рекламировали (advertise) себя как IPv6-маршрутизаторы, причем два из них анонсировали сразу по два префикса- один 6to4, и один site-local.

А сегодня с самого утра никакой активности "левых маршрутизаторов" больше не наблюдается.

[paparazzi]

Радость была преждевременной. Один из "левых" IPv6-роутеров вернулся.

-bash-4.1# tcpdump -vvv -p -e -s 0 -i re1 icmp6 and dst ff02::1
tcpdump: listening on re1, link-type EN10MB (Ethernet), capture size 65535 bytes
21:48:40.169601 00:1d:60:bc:49:c9 (oui Unknown) > 33:33:00:00:00:01 (oui Unknown), ethertype IPv6 (0x86dd), length 166: (hlim 255, next-header ICMPv6 (58) payload length: 112) fe80::dddc:312f:1707:5d6 > ff02::1: [icmp6 sum ok] ICMP6, router advertisement, length 112
hop limit 0, Flags [other stateful], pref low, router lifetime 7200s, reachable time 0s, retrans time 0s
source link-address option (1), length 8 (1): 00:1d:60:bc:49:c9
0x0000: 001d 60bc 49c9
mtu option (5), length 8 (1): 1500
0x0000: 0000 0000 05dc
unknown option (24), length 16 (2): 
0x0000: 109a 0000 1c20 2002 0000 0000 0000
prefix info option (3), length 32 (4): 2002:b2a5:2ac8:8::/64, Flags [onlink, auto], valid time 7200s, pref. time 1800s
0x0000: 40c0 0000 1c20 0000 0708 0000 0000 2002
0x0010: b2a5 2ac8 0008 0000 0000 0000 0000
prefix info option (3), length 32 (4): fec0:0:0:8::/64, Flags [onlink, auto], valid time 7200s, pref. time 1800s
0x0000: 40c0 0000 1c20 0000 0708 0000 0000 fec0
0x0010: 0000 0000 0008 0000 0000 0000 0000

Наиболее интересные детали:

MAC-адрес: 00:1d:60:bc:49:c9

Link-local адрес: fe80::dddc:312f:1707:5d6

Анонсируемые префиксы: 2002:b2a5:2ac8:8::/64 и fec0:0:0:8::/64

Первый из префиксов- это 6to4 префикс, соответствующий ему IPv4 адрес - 178.165.42.200.

Осталось удостовериться, что найденные MAC-адрес и IPv4 адрес соответствуют друг-другу. Поскольку у меня адрес из другой IP-подсети (из "старого" блока адресов Макснета), придется удостоверится в этом по косвенным признакам. Запустим tcpdump, и дождемся широковещательного пакета (например ARP-запрос) от нашего "подозреваемого":

-bash-4.1# tcpdump -vvv -e -s 0 -i re1 host 178.165.42.200
tcpdump: listening on re1, link-type EN10MB (Ethernet), capture size 65535 bytes
22:02:31.819483 00:1e:4a:2c:2e:7f (oui Unknown) > 00:1d:60:bc:49:c9 (oui Unknown), ethertype IPv4 (0x0800), length 86: (tos 0x0, ttl 54, id 13069, offset 0, flags [none], proto IPv6 (41), length 72)
94.245.121.203 > 178.165.42.200: (hlim 20, next-header ICMPv6 (58) payload length: 12) 2001:0:5ef5:79fd:2c75:368d:a470:d1f1 > 2002:b2a5:2ac8:8:bd6d:8006:a780:1583: [icmp6 sum ok] ICMP6, echo request, length 12, seq 2835

А теперь внимание вопрос: 178.165.42.200 - это железяка Макснета, или нерадивого абонента, который решил прикинуться провайдером?

ЗЫ. Обратил внимание, что во второй врезке tcpdump поймал обычный (unicast) пакет, хотя этот пакет вообще не должен был быть виден на моему порту на свиче...

Змінено 2 листопада 2010 користувачем paparazzi

[paparazzi]

Сегодня повторяется вчерашняя история. В течение дня все было нормально, но вечером в сети снова появился еще один узел (тот же, что и вчера), который шлет RA. Его отсутствие днем, и активность в вечернее время, по всей видимости, говорят о том, что это какой-то абонент шалит.

[paparazzi]

Если верить nmap-у, шалун использует Microsoft Windows Vista SP0 или SP1, Server 2008 SP1, или Windows 7, что еще больше укрепляет меня в уверенности, что это абонент. Макснетовский IPv6-роутер- это Циска, судя по MAC-адресу.

Кажется пора звонить в ТП. Интересно, они что-нибудь уже знают об IPv6?

[kirt]

Бамп.

Домучал таки 6ту4 на своем микротике, и даже работает. Но вот от Макснет по ипв6 ничего не слышно. Может быть я что-то делаю не так, но раздачи адресов я не вижу, пинг ff02::2 молчит. Можно узнать где это счастье работает, а где нет?

[flm]

Эти команды решат проблемы с кучей адресов:

netsh int teredo set state disable store=persistent

Команда int teredo set state disable store=persistent не найдена.

netsh interface ipv6 set privacy state=disabled store=persistent

ОК.

netsh int ipv6 set global randomizeidentifiers=disabled store=persistent

"randomizeidentifiers" не является правильным аргументом для этой команды.

Недопустимый синтаксис использованной команды. Воспользуйтесь справкой для этой

команды.

winxp sp3

[standarvet]

Аналогично.

[paparazzi]

Но вот от Макснет по ипв6 ничего не слышно.

А как слушаете, и что ожидаете услышать?

[kirt]

А как слушаете, и что ожидаете услышать?

Да хрен его знает честно говоря. Хотелось бы router advertisement и что всякий stateless configuration. Но с микротиком довольно сложно слушать, он немногословен.

С другой стороны моя локальная венда от моего же микротика тоже не слышит предложения дружбы. Чешу репу и думаю что еще покрутить.

[paparazzi]

Да хрен его знает честно говоря. Хотелось бы router advertisement и что всякий stateless configuration.

Ну, по крайней мере в моем сегменте router advertisement бегает. Причем не только от Макснета, но и еще от пары абонентов с поднятыми на Windows Server туннелями (а Макснет либо не хочет на это обращать внимания, либо не знает что с этим делать).

Но с микротиком довольно сложно слушать, он немногословен.

Если поднять log-level, то он становится чуть более чем многословным.

[kirt]

Логи помогли немного.

В общем судя по всему баг в микротике не дает рассылать router advertisement на switched или bridged портах, похоже что это лечится странным ударом в бубен, но проверить сейчас не могу.

Другой вопрос, что в упор нету RA от макснет, зато есть RA от системы с адресом fe80::213:46ff:feec:e7b4 и MAC 00:15:E9:3D:CD:CC чего не должно быть вообще в принципе.

PS Случайно на 15 секунд стал адвертайзить свой 2002:... в макснет. Такая толпа ломанулась

[shandy]

Проблема с "лишними" адресами неожиданно сама по себе "рассосалась". Причем именно тогда, когда я наконец-то смог отследить причину...

В результате длительного курения разнообразные RFC, вчера уровень знаний наконец-то достиг некоторого критического уровня, при котором проблема с "лишними" адресами была осмыслена и локализована. Оказалось, что в сегменте сети, к которому я подключен, работало сразу три! устройства, которые рекламировали (advertise) себя как IPv6-маршрутизаторы, причем два из них анонсировали сразу по два префикса- один 6to4, и один site-local.

А сегодня с самого утра никакой активности "левых маршрутизаторов" больше не наблюдается.

Вот и у меня в сегменте выявились "левые маршрутизаторы" как у paparazzi.

Смотрю сегодня с утра восклицательный знак стоит на подключении - проверяю - инет есть все есть, глянул в подробнее и увидел 2 IPv6

Вот дамп

C:\Users\Shandy>WinDump -i 1 -vvv -p -e -s 0 icmp6 and dst ff02::1
WinDump: listening on \Device\NPF_{6AF24EDB-1AD3-4CD1-AAD9-E3DE9733370D}
11:23:12.119716 00:1f:9e:d2:9d:00 (oui Unknown) > 33:33:00:00:00:01 (oui Unknown), ethertype IPv6 (0x86dd), length 118: (class 0xe0, hlim 255, next-header: ICMPv6 (5
8), length: 64) fe80:: > ff02::1: [icmp6 sum ok] ICMP6, router advertisement, length 64
hop limit 64, Flags [other stateful], pref medium, router lifetime 1800s, reachable time 0s, retrans time 0s
source link-address option (1), length 8 (1): 00:1f:9e:d2:9d:00
0x0000: 001f 9ed2 9d00
mtu option (5), length 8 (1): 1500
0x0000: 0000 0000 05dc
prefix info option (3), length 32 (4): 2a00:1210:3:1::/64, Flags [onlink, auto], valid time 2592000s, pref. time 604800s
0x0000: 40c0 0027 8d00 0009 3a80 0000 0000 2a00
0x0010: 1210 0003 0001 0000 0000 0000 0000
11:23:12.182970 1c:af:f7:83:82:4a (oui Unknown) > 33:33:00:00:00:01 (oui Unknown), ethertype IPv6 (0x86dd), length 166: (hlim 255, next-header: ICMPv6 (58), length:
112) fe80::cdca:a5cc:5ff4:3e4e > ff02::1: [icmp6 sum ok] ICMP6, router advertisement, length 112
hop limit 0, Flags [managed, other stateful], pref medium, router lifetime 1800s, reachable time 0s, retrans time 0s
source link-address option (1), length 8 (1): 1c:af:f7:83:82:4a
0x0000: 1caf f783 824a
mtu option (5), length 8 (1): 1500
0x0000: 0000 0000 05dc
unknown option (24), length 16 (2):
0x0000: 1018 0000 1c20 2002 0000 0000 0000
prefix info option (3), length 32 (4): 2002:b2a5:6290:b::/64, Flags [onlink, auto], valid time 2592000s, pref. time 604800s
0x0000: 40c0 0027 8d00 0009 3a80 0000 0000 2002
0x0010: b2a5 6290 000b 0000 0000 0000 0000
prefix info option (3), length 32 (4): fec0:0:0:b::/64, Flags [onlink, auto], valid time 2592000s, pref. time 604800s
0x0000: 40c0 0027 8d00 0009 3a80 0000 0000 fec0
0x0010: 0000 0000 000b 0000 0000 0000 0000

00:1f:9e:d2:9d:00 - это железяка макснета

а вот это 1c:af:f7:83:82:4a - не понятно кто...

Может стОит макснету как то резать на портах абонентов левые анонсы от "левых" маршрутизаторах?...

Вот его ip - 178.165.98.144

11:48:33.503606 00:40:ca:59:57:1a (oui Unknown) > 00:1d:e6:f3:72:4b (oui Unknown), ethertype IPv4 (0x0800), length 92: (tos 0x0, ttl 128, id 30890, offset 0, flags [
none], proto: UDP (17), length: 78, bad cksum 0 (->a817)!) HOMECOMP.137 > 178.165.98.144.137: [bad udp cksum 23fe!] UDP, length 50
11:48:38.038287 1c:af:f7:83:82:4a (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: arp who-has 178.165.98.177 tell 178.165.98.144
11:48:49.804174 1c:af:f7:83:82:4a (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: arp who-has 178.165.98.225 tell 178.165.98.144

[cyber]

Другой вопрос, что в упор нету RA от макснет, зато есть RA от системы с адресом fe80::213:46ff:feec:e7b4 и MAC 00:15:E9:3D:CD:CC чего не должно быть вообще в принципе.

/me мы не палимся!

[cyber]

Кстати, поздравляю товарищей из IANA за выдачу последних двух /8 сетей IPv4:

https://www.apnic.net/publications/news/2011/delegation

[kirt]

APNIC expects normal allocations to continue for a further three to six months. After this time, APNIC will continue to make small allocations from the last /8 block, guided by section 9.10 in "Policies for IPv4 address space management in the Asia Pacific region". This policy ensures that IPv4 address space is available for IPv6 transition.

It is expected that these allocations will continue for at least another five years.

APNIC reiterates that IPv6 is the only means available for the sustained ongoing growth of the Internet, and urges all Members of the Internet industry to move quickly towards its deployment.

А жаль. Хочется глобального п*здеца.

[shandy]

Переход на IPv6 будет начат во «Всемирный день IPv6» – 8 июня 2011 года, когда крупнейшие онлайн-ресурсы пропишут записи типа «AAAA» в своих доменах.

http://isoc.org/wp/worldipv6day/

(Тут можно протестировать вашу подготовленность к всемирному дню ipv6 - http://test-ipv6.com/#)

Блоки IPv6 в Украине - http://www.sixxs.net...all/?country=ua - всего блоков мало, работающих сейчас ещё меньше... )

P.S. Кстати ввел вместо автоматических, такие же ручные настройки IPv6 - сеть и инет работают!

P.P.S На NIC.UA появилась поддержка IPv6, домен настроил (ipv6.shandy.org.ua), а вот апач так и не сумел настроить на IPv6 - "could not resolve host name" (

[cyber]

P.P.S На NIC.UA появилась поддержка IPv6, домен настроил (ipv6.shandy.org.ua), а вот апач так и не сумел настроить на IPv6 - "could not resolve host name" (

у тебя на странице случайно не вот такая надпись? :

Ваш IPv6 - xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx