[操作疑難] 一個頭痕咗好耐嘅 IPv6 問題

最近係屋企搞緊個 IPv6 上網,但好頭痕,我知未必會搵到答案,但想集思廣益睇吓有冇咩 work around

首先....唔使問咩 ISP,有留意我之前其他 post 嘅可能已經知我人不在香港,所以可以撇開大家認識嘅香港 ISP practice

好啦,是咁的,呢到嘅光纖上網,有 IPv4/IPv6 services,大部分 ISP 都有齊,但 IPv4 係 PPPoE 的,所以我個 1Gbps internet 而家都係 PPPoE。地大人多,peak hour 個個都隊埋去 PPPoE concentrator 到肯定慢啦(touchwood 我住呢區暫時未,但都要有 d 心理準備先)。於是 ISP 亦提供 IPv6(佢哋叫 IPoE啦),行 IPv6 上網嘅就直接係隻 ONU ethernet 駁就 OK,而且你插 switch 直接俾 IP 任你用(正常 IPv6 就係為咗咁而出現)。

上星期我 pat pat 痕走去試,諗住都係現有嘅 pfSense firewall 加返個 DHCPv6 就得啦,點知就出事。

呢度嘅 ISP 全部有一個共同做法,就係佢個 DHCPv6 只會派 /64 嘅 IP 俾我(我見到之後背脊已經涼一涼),咁都算....最重要係....no prefix delegation!!  大佬我真係噴血喎....pfSense 做咗 DHCPv6 relay 但係因為冇 prefix delegation 同埋冇 RA....我 firewall 後面嘅 client 係無 public v6 address 之前講過插 L2 switch 係可以拎幾多都得,即係因為 ND Proxy 問題(DHCPv6 relay 唔識轉 ND 俾 firewall 後面嘅 client)。pfSense 已知呢個問題係死症,所以我棄權.....聽人講話 Mikrotik 做到 IPv6 bridging 而後面嘅 client 會 work(但我 search 過 Mikrotik 應該都冇 ND Proxy,點解會得??)

之後呢,就到 OpenWRT....呢個先係最驚喜嘅地方,OpenWRT 有先見之明,個 repo 係有 ndproxy package,用咗佢之後,後面既 client 全部都收到 public v6 address(但每個 client 都有 2 個 same subnet 嘅 public v6....why???),我估唔到俾我排係後面嘅 OpenWRT 先係黑馬....

我以為咁樣就掂啦(大不了將個 pfSense box 改成 OpenWRT x86 之嘛。實夠快),原來我雖然已經唔係少年但仍然太天真.....我唔記得咗咁樣係無 IPv4 access....Google search 果 d 當然用到,但係原來仲有好多 common sites 根本未 implement v6.....

ISP 當然唔會咁樣做野就算啦,其實佢哋推 IPoE 就係仲有個 4-to-6 配套,可以 tunnel traffic 去 IPv4 only endpoint,呢到嘅 ISP 有 2 種做法:MAP-E or DS-Lite (transix),我個 ISP 係行 MAP-E。好啦,OpenWRT 其實同時有齊 MAP-E + DS-Lite support....但係似乎 ISP 個 MAP-E implementation 有 d 奇怪,點整都出現 MAP-E rule error,冇辦法拎到個 v4 IP。而呢到有 d 本土牌子 router 聲稱 support IPoE 嘅插上去真係識 auto detect(包括 ISP 俾我嘅野雞 Buffalo),隻華碩 AX82U 呢到都話新 firmware support 但插上去一樣拎唔到 v4....

再諗其他方法,我留意到,雖然 IPoE v6 直插 ONU 就得,但原有嘅 PPPoE 竟然仲 work....我諗緊,有冇可能 e.g. Mikrotik 做到係 WAN port bridge v6 俾 LAN,但同時 WAN dialup PPPoE 接收 v4 IP 然後行 v4/v6 policy routing?(我幾年無玩 Mikrotik 唔知而家個 ROS 改成點)。OpenWRT 上我都想咁做,我試過 WAN 可以 DHCPv6 + PPPoE same interface 同時使用(而家先覺得 OpenWRT 強大到咁),但可惜 OpenWRT 嘅 mwan3 multi-wan package 好似做唔到 v4/v6 分開 routing(我未試到,如果有高手知點玩請解說下)

又或者有冇其他 suggestion?

櫻花國router廠? YAMAHA? 係既話可能好似泡菜國咁係專有野!
雯雯 發表於 2021-11-3 10:30



    Yamaha 都唔係部部有 support....而 ISP 俾我嘅係一隻舊嘅 Buffalo 家用 router.....我睇住佢個介面,插上->auto detect......然後有曬 DHCPv6 + MAP-E.....我好想講粗口

TOP

本帖最後由 t101 於 2021-11-3 10:53 編輯
我又玩咗一晚,用 ISP 俾嘅廢 router 插上去做 tcpdump,同我用 OpenWRT connect 比較
我睇唔出 router  ...
fakeman 發表於 2021-11-3 07:19


可能係訂製版,好多CPE會改software,然後做ISP IPv6 certification。
另外,pm you。想睇個tcpdump file

TOP

我又玩咗一晚,用 ISP 俾嘅廢 router 插上去做 tcpdump,同我用 OpenWRT connect 比較
我睇唔出 router  ...
fakeman 發表於 2021-11-3 07:19


櫻花國router廠? YAMAHA? 係既話可能好似泡菜國咁係專有野!

TOP

check this out.



另外,查番D標準,原來dhcpv6係無放netmask,所有都/128,咁,逼人用RA或PD。
而PD就係 ...
t101 發表於 2021-11-2 16:11


我又玩咗一晚,用 ISP 俾嘅廢 router 插上去做 tcpdump,同我用 OpenWRT connect 比較
我睇唔出 router 到底收到咩 option 係 work.....好神奇哋呢 d 嘢只係某期間國內 router 廠商先知道,佢地話 support 嘅 model 係插上去就識 detect

TOP

本帖最後由 t101 於 2021-11-2 21:13 編輯

check this out.

https://serverfault.com/question ... ful-dhcpv6-on-linux

另外,查番D標準,原來dhcpv6係無放netmask,所有都/128,咁,逼人用RA或PD。
而PD就係subnet但無suggest個確實IP做gateway,變得自由發揮。
呢班IETF天才真玩死人。

TOP

你嘅做法,我諗應該係我公司同事做緊嘅嘢,但 v6 最細都 /64,唔可以再割啦,要係 LAN side 玩 link ...
fakeman 發表於 2021-11-2 15:29


/128 先係最細

TOP

如果係RA,可以將prefix收到比如/64,做細subnet,比如/80,然後用dhcpv6分俾其他PC。

但要自己寫script ...
t101 發表於 2021-11-2 15:22



    你嘅做法,我諗應該係我公司同事做緊嘅嘢,但 v6 最細都 /64,唔可以再割啦,要係 LAN side 玩 link local IP 再行 NAT(好 L 慘,用 IPv6 都要行 NAT 係咩世界)

TOP

似乎真係要入隻 5009.....
fakeman 發表於 2021-11-2 15:09


師兄可以先用VM版試試

TOP

本帖最後由 t101 於 2021-11-2 15:24 編輯
ISP 依家就係想我插隻 switch 去俾幾部電腦拎 v6 address(係都唔俾 PD),L2 switch 係完全無問題 ...
fakeman 發表於 2021-11-2 15:08


如果係RA,可以將prefix收到比如/64,做細subnet,比如/80,然後用dhcpv6分俾其他PC。

但要自己寫script,做D development

TOP