標題: [操作疑難] 一個頭痕咗好耐嘅 IPv6 問題 [打印本頁]

---

作者: fakeman    時間: 2021-11-1 15:19     標題: 一個頭痕咗好耐嘅 IPv6 問題

最近係屋企搞緊個 IPv6 上網，但好頭痕，我知未必會搵到答案，但想集思廣益睇吓有冇咩 work around

首先....唔使問咩 ISP，有留意我之前其他 post 嘅可能已經知我人不在香港，所以可以撇開大家認識嘅香港 ISP practice

好啦，是咁的，呢到嘅光纖上網，有 IPv4/IPv6 services，大部分 ISP 都有齊，但 IPv4 係 PPPoE 的，所以我個 1Gbps internet 而家都係 PPPoE。地大人多，peak hour 個個都隊埋去 PPPoE concentrator 到肯定慢啦（touchwood 我住呢區暫時未，但都要有 d 心理準備先）。於是 ISP 亦提供 IPv6（佢哋叫 IPoE啦），行 IPv6 上網嘅就直接係隻 ONU ethernet 駁就 OK，而且你插 switch 直接俾 IP 任你用（正常 IPv6 就係為咗咁而出現）。

上星期我 pat pat 痕走去試，諗住都係現有嘅 pfSense firewall 加返個 DHCPv6 就得啦，點知就出事。

呢度嘅 ISP 全部有一個共同做法，就係佢個 DHCPv6 只會派 /64 嘅 IP 俾我（我見到之後背脊已經涼一涼），咁都算....最重要係....no prefix delegation!!  大佬我真係噴血喎....pfSense 做咗 DHCPv6 relay 但係因為冇 prefix delegation 同埋冇 RA....我 firewall 後面嘅 client 係無 public v6 address 之前講過插 L2 switch 係可以拎幾多都得，即係因為 ND Proxy 問題（DHCPv6 relay 唔識轉 ND 俾 firewall 後面嘅 client）。pfSense 已知呢個問題係死症，所以我棄權.....聽人講話 Mikrotik 做到 IPv6 bridging 而後面嘅 client 會 work（但我 search 過 Mikrotik 應該都冇 ND Proxy，點解會得？？）

之後呢，就到 OpenWRT....呢個先係最驚喜嘅地方，OpenWRT 有先見之明，個 repo 係有 ndproxy package，用咗佢之後，後面既 client 全部都收到 public v6 address（但每個 client 都有 2 個 same subnet 嘅 public v6....why???），我估唔到俾我排係後面嘅 OpenWRT 先係黑馬....

我以為咁樣就掂啦（大不了將個 pfSense box 改成 OpenWRT x86 之嘛。實夠快），原來我雖然已經唔係少年但仍然太天真.....我唔記得咗咁樣係無 IPv4 access....Google search 果 d 當然用到，但係原來仲有好多 common sites 根本未 implement v6.....

ISP 當然唔會咁樣做野就算啦，其實佢哋推 IPoE 就係仲有個 4-to-6 配套，可以 tunnel traffic 去 IPv4 only endpoint，呢到嘅 ISP 有 2 種做法：MAP-E or DS-Lite (transix)，我個 ISP 係行 MAP-E。好啦，OpenWRT 其實同時有齊 MAP-E + DS-Lite support....但係似乎 ISP 個 MAP-E implementation 有 d 奇怪，點整都出現 MAP-E rule error，冇辦法拎到個 v4 IP。而呢到有 d 本土牌子 router 聲稱 support IPoE 嘅插上去真係識 auto detect（包括 ISP 俾我嘅野雞 Buffalo），隻華碩 AX82U 呢到都話新 firmware support 但插上去一樣拎唔到 v4....

再諗其他方法，我留意到，雖然 IPoE v6 直插 ONU 就得，但原有嘅 PPPoE 竟然仲 work....我諗緊，有冇可能 e.g. Mikrotik 做到係 WAN port bridge v6 俾 LAN，但同時 WAN dialup PPPoE 接收 v4 IP 然後行 v4/v6 policy routing?（我幾年無玩 Mikrotik 唔知而家個 ROS 改成點）。OpenWRT 上我都想咁做，我試過 WAN 可以 DHCPv6 + PPPoE same interface 同時使用（而家先覺得 OpenWRT 強大到咁），但可惜 OpenWRT 嘅 mwan3 multi-wan package 好似做唔到 v4/v6 分開 routing（我未試到，如果有高手知點玩請解說下）

又或者有冇其他 suggestion？

---

作者: KinChungE    時間: 2021-11-1 15:51

一般家用ISP不提供IPv6 Address, 亦唔俾你直接響ONT加Switch駁device而唔用NAT
最多只係俾你用IPv4然後用6to4上IPv6網站

---

作者: fakeman    時間: 2021-11-1 16:15




    我呢個已經係家用..... 佢而家就係想推用戶改 IPoE 去慳 IPv4...但感覺係 d ISP 玩到一劈屎咁，IPv6 咁 Q 多貨都咁孤寒

---

作者: 雯雯    時間: 2021-11-1 16:59



師兄去左泡菜國? IPV6 Mikrotik問題你去台灣mobile01搵gfx問問, 我條netvigator IPV6 Mikrotik問題都係搵佢幫手.

---

作者: fakeman    時間: 2021-11-1 17:14




    係櫻花國.....

Netvigator IPv6 係包埋 4-to-6?

---

作者: 雯雯    時間: 2021-11-1 17:27



Netvigator是DHCP派V6, 我反正是有IPV6問題就找gfx, 包括強國移不動的ipv6.

---

作者: fakeman    時間: 2021-11-1 19:05




    但齋 v6 你點上 v4 網站？

---

作者: 雯雯    時間: 2021-11-1 19:31



https://eonegh.com/mark/ipv6-NAT64-DNS64.html

---

作者: fakeman    時間: 2021-11-1 20:16




    原來都係 NAT64.....老電有 NAT64 server....?

---

作者: 雯雯    時間: 2021-11-2 10:19



無, 老電同移不動都係Dual stack.

---

作者: t101    時間: 2021-11-2 10:38

本帖最後由 t101 於 2021-11-2 10:45 編輯


你係wan口做個packet capture先啦。
DHCPv6同DHCPv6-PD係可以係PPPoE上面行，不過標準上可能有唔同做法。PD係可以分開request。
如果你用唔同router情況，可以分別攞到IPv4和IPv6，而PC/mobile phone用到，加多隻switch，然候倆個router，可能比較簡單。


你講得map-e，係邊個國家，日本？

---

作者: fakeman    時間: 2021-11-2 11:26




    係呀，樓上講咗我係櫻花國啦

Prefix delegation 係 confirm 咗冇（只要你唔 subscribe IP phone option 就係咁），睇日本本土嘅人都係咁講

---

作者: t101    時間: 2021-11-2 11:34



唔關ISP事，IPv6問題系長久以來標準同共容問題。
IPv4而家系有黑市價的。

---

作者: t101    時間: 2021-11-2 11:42

本帖最後由 t101 於 2021-11-2 11:53 編輯


PD呢個東西，系日本人當年搞出黎，其實個中問題唔少。
如果你可以分別IPv4 over PPPoE，同IPv6 over IPoE (dhcpv6), 就兩個router啦，用到的。check下乜叫做happy eyeball。

另一種DHCPv6/PD run系PPPoE之上，如果系呢個亦會唔同做法。

總之，IPv6難處理,系個歷史問題，多方面的failure所做成。但個人估計，IPv4仲會用好多年，IPv6要改D先會普及化，相信唔容易。

---

作者: fakeman    時間: 2021-11-2 12:40




    我上各大 forum，發現其實唔少國家 ISP deploy v6 都有 prefix delegation 問題，有時真係會諗，佢哋好似用緊 v4 有限 IP 嘅心態去 deploy，明明大把 v6 address 都唔俾個 prefix 我

而家我其實分得開 DHVPv6 + PPPoE v4（原文我有寫），問題在於我搵唔到一個合適嘅 equipment 去 handle.....ISP 無 prefix delegation 而 firewall 冇 ND Proxy，我只得 firewall WAN side 有 v6....手上唯一做到嘅 OpenWRT 又做唔到 v4 + v6 policy routing....真係血都嘔埋。

---

作者: t101    時間: 2021-11-2 14:10

本帖最後由 t101 於 2021-11-2 14:15 編輯


其實有好多原因，比如PC windows就唔需要PD。
而CPE router亦有眾多問題，係ISP方亦有其他問題。
總之，問題係多方面，RFC標準上的stupid，加埋好多“人”中間問題。

比如當年，如果PPP個IETF RFC writer願意將IPv6 public IP，DNS等加入PPP度，今日就唔會咁奇怪，PPPoE重要RA，又DHCPv6-PD先可以上網。日本仔又要搞PD，而唔用單一網段就算，結果咪麻麻煩煩。
完全唔user friendly，一般user點troubleshoot？你見到一串IPv6地址已經頭痕。

當有IPv6，又要做番而家NAT咁secure，又係攞黎搞，要搞番個firewall。

---

作者: 雯雯    時間: 2021-11-2 14:16



Mikrotik v7可能做到師兄你需要既.

---

作者: fakeman    時間: 2021-11-2 15:08




    ISP 依家就係想我插隻 switch 去俾幾部電腦拎 v6 address（係都唔俾 PD），L2 switch 係完全無問題，係 L3 就gg....我想有個 firewall manage 下都唔得

---

作者: fakeman    時間: 2021-11-2 15:09




    似乎真係要入隻 5009.....

---

作者: t101    時間: 2021-11-2 15:22

本帖最後由 t101 於 2021-11-2 15:24 編輯


如果係RA，可以將prefix收到比如/64，做細subnet，比如/80，然後用dhcpv6分俾其他PC。

但要自己寫script，做D development

---

作者: 雯雯    時間: 2021-11-2 15:27



師兄可以先用VM版試試

---

作者: fakeman    時間: 2021-11-2 15:29




    你嘅做法，我諗應該係我公司同事做緊嘅嘢，但 v6 最細都 /64，唔可以再割啦，要係 LAN side 玩 link local IP 再行 NAT（好 L 慘，用 IPv6 都要行 NAT 係咩世界）

---

作者: t101    時間: 2021-11-2 15:36



/128 先係最細

---

作者: t101    時間: 2021-11-2 16:11

本帖最後由 t101 於 2021-11-2 21:13 編輯

check this out.

https://serverfault.com/question ... ful-dhcpv6-on-linux

另外，查番D標準，原來dhcpv6係無放netmask，所有都/128，咁，逼人用RA或PD。
而PD就係subnet但無suggest個確實IP做gateway，變得自由發揮。
呢班IETF天才真玩死人。

---

作者: fakeman    時間: 2021-11-3 07:19



我又玩咗一晚，用 ISP 俾嘅廢 router 插上去做 tcpdump，同我用 OpenWRT connect 比較
我睇唔出 router 到底收到咩 option 係 work.....好神奇哋呢 d 嘢只係某期間國內 router 廠商先知道，佢地話 support 嘅 model 係插上去就識 detect

---

作者: 雯雯    時間: 2021-11-3 10:30



櫻花國router廠? YAMAHA? 係既話可能好似泡菜國咁係專有野!

---

作者: t101    時間: 2021-11-3 10:51

本帖最後由 t101 於 2021-11-3 10:53 編輯


可能係訂製版，好多CPE會改software，然後做ISP IPv6 certification。
另外，pm you。想睇個tcpdump file

---

作者: fakeman    時間: 2021-11-3 14:05




    Yamaha 都唔係部部有 support....而 ISP 俾我嘅係一隻舊嘅 Buffalo 家用 router.....我睇住佢個介面，插上->auto detect......然後有曬 DHCPv6 + MAP-E.....我好想講粗口