From foss-sthlm-bounces@cool.haxx.se Thu Jun 12 17:33:06 2014 Return-Path: Received: from www.haxx.se (localhost.localdomain [127.0.0.1]) by giant.haxx.se (8.14.4/8.14.4/Debian-4.1) with ESMTP id s5CFWbVG003020; Thu, 12 Jun 2014 17:32:49 +0200 Received: from mail.solvare.se (ns1.solvare.se [178.16.217.67]) by giant.haxx.se (8.14.4/8.14.4/Debian-4.1) with ESMTP id s5CFWXI6003013 (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NOT) for ; Thu, 12 Jun 2014 17:32:35 +0200 Received: from [192.168.10.167] (90-229-134-131-no52.tbcn.telia.com [::ffff:90.229.134.131]) (AUTH: CRAM-MD5 christian@solvare.se, TLS: TLSv1/SSLv3,128bits,AES128-SHA) by mail.solvare.se with esmtp; Thu, 12 Jun 2014 17:35:33 +0200 id 00789666.5399C8C5.00000EAA Message-ID: <5399C7EF.7090205@solvare.se> Date: Thu, 12 Jun 2014 17:31:59 +0200 From: Christian Huldt User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:24.0) Gecko/20100101 Thunderbird/24.4.0 MIME-Version: 1.0 To: foss-sthlm Subject: IPv6 X-Enigmail-Version: 1.6 X-BeenThere: foss-sthlm@cool.haxx.se X-Mailman-Version: 2.1.16 Precedence: list Reply-To: FOSS-folk i Stockholm List-Id: FOSS-folk i Stockholm List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , Content-Type: text/plain; charset="utf-8" Errors-To: foss-sthlm-bounces@cool.haxx.se Sender: "foss-sthlm" Content-Transfer-Encoding: 8bit X-MIME-Autoconverted: from base64 to 8bit by giant.haxx.se id s5CFWbVG003020 Vi får ipv6 nu. Till kontoret. Som befolkas av ett antal olika småföretag (det största är 4 pers). Idag står en linuxburk med två nätverkskort som kör nat och iptables, plus några burkar utanför. Om jag behärskar mina primära cyberhippieimpulser och inte bara kör in linan i switchen direkt, hur ska jag tänka då? Min Google-fu^W ixquick.com-fu är tillräckligt dålig för att jag inte ska hitta något om en sån setup, dvs med linuxburken som single-point-of-failure, ip6tables etc. Bör det interna nätverket få ett eget subnät (ja förstås) men bör då det externa nätverkskortet ingå i detta nätverk eller ska det ha ett eget som routas? Ska jag planera olika om vi får ett /48 eller ett /56? Ja, jag är en noob på ipv6, men det kanske går över med tiden... _______________________________________________ http://www.foss-sthlm.se/ http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm From foss-sthlm-bounces@cool.haxx.se Thu Jun 12 22:21:31 2014 Return-Path: Received: from www.haxx.se (localhost.localdomain [127.0.0.1]) by giant.haxx.se (8.14.4/8.14.4/Debian-4.1) with ESMTP id s5CKLDU3024906; Thu, 12 Jun 2014 22:21:20 +0200 Received: from zeus.hemma (212-107-131-154.net.staertesjoen.se [212.107.131.154]) by giant.haxx.se (8.14.4/8.14.4/Debian-4.1) with ESMTP id s5CKLC1K024827 for ; Thu, 12 Jun 2014 22:21:12 +0200 Received: from [192.168.1.5] by zeus.hemma with esmtps (TLS1.0:DHE_RSA_AES_128_CBC_SHA1:128) (Exim 4.80) (envelope-from ) id 1WvBUc-0005Qs-Ef for foss-sthlm@cool.haxx.se; Thu, 12 Jun 2014 22:21:03 +0200 Message-ID: <539A0B8A.6080902@rosbacke.org> Date: Thu, 12 Jun 2014 22:20:26 +0200 From: Mikael Rosbacke User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20100101 Thunderbird/24.6.0 MIME-Version: 1.0 To: foss-sthlm@cool.haxx.se Subject: Re: IPv6 References: <5399C7EF.7090205@solvare.se> In-Reply-To: <5399C7EF.7090205@solvare.se> X-Spam-Score: -2.9 X-Spam-Report: Spam detection software, running on the system "zeus.hemma", has identified this incoming email as possible spam. The original message has been attached to this so you can view it (if it isn't spam) or label similar future email. If you have any questions, see the administrator of that system for details. Content preview: Har fått IPv6 hem till lägenheten och lyckats sätta upp det hela till en rätt trevlig uppsättning. Shuttle-DS47 som router/brandvägg/DHCP/DNS. Den har dubbla 1Gbps uttag + fläktlös. shorewall6 för brandvägg. dnsmasq för DNS/DHCP/router advertisement. Trevliga där är att man kan sätta upp lista med MAC/datornamn och sedan ger dnsmasq ut IPv4/IPv6 adresser och kopplar dessa automatiskt till dns namn. med IPv4 går det att leva utan DNS, med IPv6 skulle jag säga att det är riktigt,riktigt jobbigt utan... Så datorerna får automatiskt en IPv6 på insidan och ett namn i lokala domänen typ 'hemdatorn.hemma'. [...] Content analysis details: (-2.9 points, 5.0 required) pts rule name description ---- ---------------------- -------------------------------------------------- -1.0 ALL_TRUSTED Passed through trusted hosts only via SMTP -1.9 BAYES_00 BODY: Bayes spam probability is 0 to 1% [score: 0.0000] X-Spam_bar: -- X-BeenThere: foss-sthlm@cool.haxx.se X-Mailman-Version: 2.1.16 Precedence: list Reply-To: FOSS-folk i Stockholm List-Id: FOSS-folk i Stockholm List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , Content-Type: text/plain; charset="utf-8"; Format="flowed" Errors-To: foss-sthlm-bounces@cool.haxx.se Sender: "foss-sthlm" Content-Transfer-Encoding: 8bit X-MIME-Autoconverted: from base64 to 8bit by giant.haxx.se id s5CKLDU3024906 Har fått IPv6 hem till lägenheten och lyckats sätta upp det hela till en rätt trevlig uppsättning. Shuttle-DS47 som router/brandvägg/DHCP/DNS. Den har dubbla 1Gbps uttag + fläktlös. shorewall6 för brandvägg. dnsmasq för DNS/DHCP/router advertisement. Trevliga där är att man kan sätta upp lista med MAC/datornamn och sedan ger dnsmasq ut IPv4/IPv6 adresser och kopplar dessa automatiskt till dns namn. med IPv4 går det att leva utan DNS, med IPv6 skulle jag säga att det är riktigt,riktigt jobbigt utan... Så datorerna får automatiskt en IPv6 på insidan och ett namn i lokala domänen typ 'hemdatorn.hemma'. På baksidan satte jag upp VLAN till 2 olika interna subnät (/64) som sedan går ut till en netgear VLAN switch för distribution. Tog sin tid att få upp men blev riktigt nöjd i slutändan. 940/960Gbps mot bredbandskollen gör det värt det. :-) (Notera: testade IPv6 först med en ASUS hemmarouter. Fungerade bra, men hade nackdelen att brandväggen aldrig användes för IPv6. Utan NAT blir det raka rör så att säga... Aldrig satt i produktion som tur var.) / Mikael R Christian Huldt skrev 2014-06-12 17:31: > Vi får ipv6 nu. > Till kontoret. > Som befolkas av ett antal olika småföretag (det största är 4 pers). > > Idag står en linuxburk med två nätverkskort som kör nat och iptables, > plus några burkar utanför. > > Om jag behärskar mina primära cyberhippieimpulser och inte bara kör in > linan i switchen direkt, hur ska jag tänka då? > > Min Google-fu^W ixquick.com-fu är tillräckligt dålig för att jag inte > ska hitta något om en sån setup, dvs med linuxburken som > single-point-of-failure, ip6tables etc. > > Bör det interna nätverket få ett eget subnät (ja förstås) men bör då det > externa nätverkskortet ingå i detta nätverk eller ska det ha ett eget > som routas? > > Ska jag planera olika om vi får ett /48 eller ett /56? > > Ja, jag är en noob på ipv6, men det kanske går över med tiden... > _______________________________________________ > http://www.foss-sthlm.se/ > http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm > -- __________________________ Mikael Rosbacke Akaza AB tel: +46707925781 epost: mikael@rosbacke.org webb: http://www.rosbacke.org webb: http://www.akaza.se _______________________________________________ http://www.foss-sthlm.se/ http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm From foss-sthlm-bounces@cool.haxx.se Mon Jun 16 14:24:47 2014 Return-Path: Received: from www.haxx.se (list@localhost.localdomain [127.0.0.1]) by giant.haxx.se (8.14.4/8.14.4/Debian-7) with ESMTP id s5GCODpG003708; Mon, 16 Jun 2014 14:24:25 +0200 Received: from mail.netnod.se (mail.netnod.se [IPv6:2a01:3f0:1:3::100]) by giant.haxx.se (8.14.4/8.14.4/Debian-7) with ESMTP id s5GCOBVl003672 for ; Mon, 16 Jun 2014 14:24:11 +0200 Received: from [IPv6:2a01:3f0:1:0:2ed4:44ff:febc:aba3] (stilus.netnod.se [IPv6:2a01:3f0:1:0:2ed4:44ff:febc:aba3]) (Authenticated sender: mem) by mail.netnod.se (Postfix) with ESMTPSA id 2BA7D7C19F for ; Mon, 16 Jun 2014 14:24:12 +0200 (CEST) Message-ID: <539EE1EC.3000204@netnod.se> Date: Mon, 16 Jun 2014 14:24:12 +0200 From: Magnus Sandberg Organization: Netnod Internet Exchange i Sverige AB (AS8674) User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:24.0) Gecko/20100101 Icedove/24.5.0 MIME-Version: 1.0 To: FOSS-folk i Stockholm Subject: Re: IPv6 References: <5399C7EF.7090205@solvare.se> In-Reply-To: <5399C7EF.7090205@solvare.se> X-Enigmail-Version: 1.6 X-BeenThere: foss-sthlm@cool.haxx.se X-Mailman-Version: 2.1.16 Precedence: list Reply-To: FOSS-folk i Stockholm List-Id: FOSS-folk i Stockholm List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , Content-Type: text/plain; charset="utf-8" Errors-To: foss-sthlm-bounces@cool.haxx.se Sender: "foss-sthlm" Content-Transfer-Encoding: 8bit X-MIME-Autoconverted: from base64 to 8bit by giant.haxx.se id s5GCODpG003708 Hej! Först av allt skulle jag så klart inte köra NAT för IPv6 utan enbart filtrering av trafiken (men det är väl självklart). Vid /56 skulle jag göra följande: En /60 för interna länknät, typ från brandväggs router till respektive företags egen router. En /60 för management av routrar och switchar (helst på loopback adresser). Ge varje företag var sin /60 väl utspritt, så att om någon vill/behöver växa till /59 eller större kan det ske utan omnumrering eller kludder med en massa små /64:ro. Om ni får en /48 skulle jag ta /56 för alla kategorierna ovan. Genom att lägga länknäten och management separat kan man blockar dessa nät lite hårdare utifrån om man vill skydda routrar eller switchar extra noga. Att använda sista positionen i IPv4 som samma adress i IPv6 kan underlätta felsökning eftersom vår hjärna de senaste åren programmerats för IPv4-adresser. Typ 192.168.95.47 blir 2001:dead:cafe:1::47. Och som PS: /64 är inte de minsta näten man kan använda. Det går bra att ha ett länknät som är /126. Jag säker inte att det vare sig är smart eller vackert men det går. // Mem 2014-06-12 17:31, Christian Huldt skrev: > Vi får ipv6 nu. > Till kontoret. > Som befolkas av ett antal olika småföretag (det största är 4 pers). > > Idag står en linuxburk med två nätverkskort som kör nat och iptables, > plus några burkar utanför. > > Om jag behärskar mina primära cyberhippieimpulser och inte bara kör in > linan i switchen direkt, hur ska jag tänka då? > > Min Google-fu^W ixquick.com-fu är tillräckligt dålig för att jag inte > ska hitta något om en sån setup, dvs med linuxburken som > single-point-of-failure, ip6tables etc. > > Bör det interna nätverket få ett eget subnät (ja förstås) men bör då det > externa nätverkskortet ingå i detta nätverk eller ska det ha ett eget > som routas? > > Ska jag planera olika om vi får ett /48 eller ett /56? > > Ja, jag är en noob på ipv6, men det kanske går över med tiden... > _______________________________________________ > http://www.foss-sthlm.se/ > http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm > _______________________________________________ http://www.foss-sthlm.se/ http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm From foss-sthlm-bounces@cool.haxx.se Fri Jun 20 20:35:45 2014 Return-Path: Received: from www.haxx.se (localhost.localdomain [127.0.0.1]) by giant.haxx.se (8.14.4/8.14.4/Debian-7) with ESMTP id s5KIZ8S4019045; Fri, 20 Jun 2014 20:35:19 +0200 Received: from mail-prod-route03.it.su.se (mail-prod-route03.it.su.se [77.238.36.174]) by giant.haxx.se (8.14.4/8.14.4/Debian-7) with ESMTP id s5KIZ7Pb019028 for ; Fri, 20 Jun 2014 20:35:07 +0200 Received: from e-mailfilter02.sunet.se (e-mailfilter02.sunet.se [IPv6:2001:6b0:8:2::202]) by mail-prod-route03.it.su.se (Postfix) with ESMTP id 3gw7wr3kb1z14b9 for ; Fri, 20 Jun 2014 20:35:08 +0200 (CEST) Received: from smtp.su.se (mail-prod-smtp01.it.su.se [77.238.36.166]) by e-mailfilter02.sunet.se (8.14.4/8.14.4/Debian-4) with ESMTP id s5KIZ8Q1031781 for ; Fri, 20 Jun 2014 20:35:08 +0200 Received: from nyflapp.inet6.se (h78n2-sbg-a11.ias.bredband.telia.com [78.72.172.78]) (Authenticated sender: jj) by smtp.su.se (Postfix) with ESMTPSA id 3gw7wr0fvPz6y for ; Fri, 20 Jun 2014 20:35:08 +0200 (CEST) Message-ID: <53A47EDA.4010409@stacken.kth.se> Date: Fri, 20 Jun 2014 20:35:06 +0200 From: Janne Johansson User-Agent: Mozilla/5.0 (X11; OpenBSD amd64; rv:24.0) Gecko/20100101 Thunderbird/24.5.0 MIME-Version: 1.0 To: foss-sthlm@cool.haxx.se Subject: Re: IPv6 References: <5399C7EF.7090205@solvare.se> <539EE1EC.3000204@netnod.se> In-Reply-To: <539EE1EC.3000204@netnod.se> X-Bayes-Prob: 0.0001 (Score 0, tokens from: outbound, outbound-su-se:default, su-se:default, base:default, @@RPTN) X-Spam-Score: 0.00 () [Tag at 7.50] X-CanIt-Geo: ip=78.72.172.78; country=SE; region=Stockholm; city=Stockholm; latitude=59.3333; longitude=18.0500; http://maps.google.com/maps?q=59.3333,18.0500&z=6 X-CanItPRO-Stream: outbound-su-se:outbound (inherits from outbound-su-se:default, su-se:default, base:default) X-Canit-Stats-ID: 0aMgGz8Vg - 4d3e7101ad3c - 20140620 X-CanIt-Archive-Cluster: PfMRe/vJWMiXwM2YIH5BVExnUnw X-Scanned-By: CanIt (www . roaringpenguin . com) on 192.36.171.202 X-BeenThere: foss-sthlm@cool.haxx.se X-Mailman-Version: 2.1.16 Precedence: list Reply-To: FOSS-folk i Stockholm List-Id: FOSS-folk i Stockholm List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , Content-Type: text/plain; charset="utf-8"; Format="flowed" Errors-To: foss-sthlm-bounces@cool.haxx.se Sender: "foss-sthlm" Content-Transfer-Encoding: 8bit X-MIME-Autoconverted: from base64 to 8bit by giant.haxx.se id s5KIZ8S4019045 On 06/16/14 14:24, Magnus Sandberg wrote: > Hej! > > Och som PS: /64 är inte de minsta näten man kan använda. Det går bra att > ha ett länknät som är /126. Jag säker inte att det vare sig är smart > eller vackert men det går. Det fanns ju en "attack" mot ndp-tabellen på v6-routers/switchar ifall man floodpingar alla tänkbara v6-ip:n på ett ofiltrerat länknät (t.ex det mellan dig och din ISP) vilket ledde till att de rekommenderade att folk skulle be om en /120 som länknät (dvs ett subnät med ~256 ip:n på) vilket skulle se till att de ~256 möjliga ip:na skulle få plats fint i din cache oavsett om den cachar negativer eller inte. Om man sen har sedvanlig "block in all" som default policy så klarar sig dina interna nät fint med större subnät, t.ex en /64 per kollisionsdomän som verkar vara nån sorts default. _______________________________________________ http://www.foss-sthlm.se/ http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm