From foss-sthlm-bounces@cool.haxx.se Tue Jul 8 12:33:23 2014 Return-Path: Received: from www.haxx.se (localhost.localdomain [127.0.0.1]) by giant.haxx.se (8.14.4/8.14.4/Debian-7) with ESMTP id s68AWoss014160; Tue, 8 Jul 2014 12:33:02 +0200 Received: from mail.solvare.se (ns1.solvare.se [178.16.217.67]) by giant.haxx.se (8.14.4/8.14.4/Debian-7) with ESMTP id s68AWlJi014118 (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NOT) for ; Tue, 8 Jul 2014 12:32:48 +0200 Received: from [192.168.103.67] (37-46-166-66.customers.ownit.se [::ffff:37.46.166.66]) (AUTH: CRAM-MD5 christian@solvare.se, TLS: TLSv1/SSLv3,128bits,AES128-SHA) by mail.solvare.se with esmtp; Tue, 08 Jul 2014 12:35:50 +0200 id 00792F94.53BBC988.0000417E Message-ID: <53BBC8AB.9070005@solvare.se> Date: Tue, 08 Jul 2014 12:32:11 +0200 From: Christian Huldt User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:24.0) Gecko/20100101 Thunderbird/24.5.0 MIME-Version: 1.0 To: foss-sthlm@cool.haxx.se Subject: Re: IPv6 References: <5399C7EF.7090205@solvare.se> <539EE1EC.3000204@netnod.se> In-Reply-To: <539EE1EC.3000204@netnod.se> X-Enigmail-Version: 1.6 X-BeenThere: foss-sthlm@cool.haxx.se X-Mailman-Version: 2.1.16 Precedence: list Reply-To: FOSS-folk i Stockholm List-Id: FOSS-folk i Stockholm List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , Content-Type: text/plain; charset="utf-8" Errors-To: foss-sthlm-bounces@cool.haxx.se Sender: "foss-sthlm" Content-Transfer-Encoding: 8bit X-MIME-Autoconverted: from base64 to 8bit by giant.haxx.se id s68AWoss014160 Tack för alla svar! Det är en sak jag undrar - vilket iofs kan bero på att jag är ovan vid IPv6, bara har vana vid NATade nät, och/eller är lite för van vid arp - Hur delges externa enheter vad som finns innanför brandväggen? Ska man köra RA? (har gjort lite experiment i mindre skala, men de annalkande semestertiderna borde vara lämpliga för större skala...) 2014-06-16 14:24, Magnus Sandberg skrev: > Hej! > > Först av allt skulle jag så klart inte köra NAT för IPv6 utan enbart > filtrering av trafiken (men det är väl självklart). > > Vid /56 skulle jag göra följande: > > En /60 för interna länknät, typ från brandväggs router till respektive > företags egen router. > > En /60 för management av routrar och switchar (helst på loopback adresser). > > Ge varje företag var sin /60 väl utspritt, så att om någon vill/behöver > växa till /59 eller större kan det ske utan omnumrering eller kludder > med en massa små /64:ro. > > Om ni får en /48 skulle jag ta /56 för alla kategorierna ovan. > > > Genom att lägga länknäten och management separat kan man blockar dessa > nät lite hårdare utifrån om man vill skydda routrar eller switchar extra > noga. > > > Att använda sista positionen i IPv4 som samma adress i IPv6 kan > underlätta felsökning eftersom vår hjärna de senaste åren programmerats > för IPv4-adresser. Typ 192.168.95.47 blir 2001:dead:cafe:1::47. > > > Och som PS: /64 är inte de minsta näten man kan använda. Det går bra att > ha ett länknät som är /126. Jag säker inte att det vare sig är smart > eller vackert men det går. > > // Mem > > > > 2014-06-12 17:31, Christian Huldt skrev: >> Vi får ipv6 nu. >> Till kontoret. >> Som befolkas av ett antal olika småföretag (det största är 4 pers). >> >> Idag står en linuxburk med två nätverkskort som kör nat och iptables, >> plus några burkar utanför. >> >> Om jag behärskar mina primära cyberhippieimpulser och inte bara kör in >> linan i switchen direkt, hur ska jag tänka då? >> >> Min Google-fu^W ixquick.com-fu är tillräckligt dålig för att jag inte >> ska hitta något om en sån setup, dvs med linuxburken som >> single-point-of-failure, ip6tables etc. >> >> Bör det interna nätverket få ett eget subnät (ja förstås) men bör då det >> externa nätverkskortet ingå i detta nätverk eller ska det ha ett eget >> som routas? >> >> Ska jag planera olika om vi får ett /48 eller ett /56? >> >> Ja, jag är en noob på ipv6, men det kanske går över med tiden... >> _______________________________________________ >> http://www.foss-sthlm.se/ >> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm >> > _______________________________________________ > http://www.foss-sthlm.se/ > http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm _______________________________________________ http://www.foss-sthlm.se/ http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm From foss-sthlm-bounces@cool.haxx.se Thu Jul 10 09:18:00 2014 Return-Path: Received: from www.haxx.se (localhost.localdomain [127.0.0.1]) by giant.haxx.se (8.14.4/8.14.4/Debian-7) with ESMTP id s6A7HRdq031541; Thu, 10 Jul 2014 09:17:39 +0200 Received: from mail.netnod.se (mail.netnod.se [192.71.80.100]) by giant.haxx.se (8.14.4/8.14.4/Debian-7) with ESMTP id s6A7HQhd031425 for ; Thu, 10 Jul 2014 09:17:26 +0200 Received: from [IPv6:2a01:3f0:1:0:2ed4:44ff:febc:aba3] (stilus.netnod.se [IPv6:2a01:3f0:1:0:2ed4:44ff:febc:aba3]) (Authenticated sender: mem) by mail.netnod.se (Postfix) with ESMTPSA id 6DF5F7C189 for ; Thu, 10 Jul 2014 09:17:27 +0200 (CEST) Message-ID: <53BE3E07.4080206@netnod.se> Date: Thu, 10 Jul 2014 09:17:27 +0200 From: Magnus Sandberg Organization: Netnod Internet Exchange i Sverige AB (AS8674) User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:24.0) Gecko/20100101 Icedove/24.6.0 MIME-Version: 1.0 To: FOSS-folk i Stockholm Subject: Re: IPv6 References: <5399C7EF.7090205@solvare.se> <539EE1EC.3000204@netnod.se> <53BBC8AB.9070005@solvare.se> In-Reply-To: <53BBC8AB.9070005@solvare.se> X-Enigmail-Version: 1.6 X-BeenThere: foss-sthlm@cool.haxx.se X-Mailman-Version: 2.1.16 Precedence: list Reply-To: FOSS-folk i Stockholm List-Id: FOSS-folk i Stockholm List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , Content-Type: text/plain; charset="utf-8" Errors-To: foss-sthlm-bounces@cool.haxx.se Sender: "foss-sthlm" Content-Transfer-Encoding: 8bit X-MIME-Autoconverted: from base64 to 8bit by giant.haxx.se id s6A7HRdq031541 Hej! RA (router adverticement) är ett sätt för din router att tala om för dina klienter vad de ska använda för default-gateway. DHCPv6 fungerar inte som DHCP för IPv4. Man ska alltså INTE ha RA aktivt på sitt/sina externa nätverksportar. Hur du talar om för omvärlden vad som finns på insidan gär man via DNS, oftast med AAAA-records om det gäller hostnamn till IPv6-adress. // Mem 2014-07-08 12:32, Christian Huldt skrev: > Tack för alla svar! > > Det är en sak jag undrar - vilket iofs kan bero på att jag är ovan vid > IPv6, bara har vana vid NATade nät, och/eller är lite för van vid arp - > Hur delges externa enheter vad som finns innanför brandväggen? Ska man > köra RA? (har gjort lite experiment i mindre skala, men de annalkande > semestertiderna borde vara lämpliga för större skala...) > > > > 2014-06-16 14:24, Magnus Sandberg skrev: >> Hej! >> >> Först av allt skulle jag så klart inte köra NAT för IPv6 utan enbart >> filtrering av trafiken (men det är väl självklart). >> >> Vid /56 skulle jag göra följande: >> >> En /60 för interna länknät, typ från brandväggs router till respektive >> företags egen router. >> >> En /60 för management av routrar och switchar (helst på loopback adresser). >> >> Ge varje företag var sin /60 väl utspritt, så att om någon vill/behöver >> växa till /59 eller större kan det ske utan omnumrering eller kludder >> med en massa små /64:ro. >> >> Om ni får en /48 skulle jag ta /56 för alla kategorierna ovan. >> >> >> Genom att lägga länknäten och management separat kan man blockar dessa >> nät lite hårdare utifrån om man vill skydda routrar eller switchar extra >> noga. >> >> >> Att använda sista positionen i IPv4 som samma adress i IPv6 kan >> underlätta felsökning eftersom vår hjärna de senaste åren programmerats >> för IPv4-adresser. Typ 192.168.95.47 blir 2001:dead:cafe:1::47. >> >> >> Och som PS: /64 är inte de minsta näten man kan använda. Det går bra att >> ha ett länknät som är /126. Jag säker inte att det vare sig är smart >> eller vackert men det går. >> >> // Mem >> >> >> >> 2014-06-12 17:31, Christian Huldt skrev: >>> Vi får ipv6 nu. >>> Till kontoret. >>> Som befolkas av ett antal olika småföretag (det största är 4 pers). >>> >>> Idag står en linuxburk med två nätverkskort som kör nat och iptables, >>> plus några burkar utanför. >>> >>> Om jag behärskar mina primära cyberhippieimpulser och inte bara kör in >>> linan i switchen direkt, hur ska jag tänka då? >>> >>> Min Google-fu^W ixquick.com-fu är tillräckligt dålig för att jag inte >>> ska hitta något om en sån setup, dvs med linuxburken som >>> single-point-of-failure, ip6tables etc. >>> >>> Bör det interna nätverket få ett eget subnät (ja förstås) men bör då det >>> externa nätverkskortet ingå i detta nätverk eller ska det ha ett eget >>> som routas? >>> >>> Ska jag planera olika om vi får ett /48 eller ett /56? >>> >>> Ja, jag är en noob på ipv6, men det kanske går över med tiden... >>> _______________________________________________ >>> http://www.foss-sthlm.se/ >>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm >>> >> _______________________________________________ >> http://www.foss-sthlm.se/ >> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm > > _______________________________________________ > http://www.foss-sthlm.se/ > http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm > _______________________________________________ http://www.foss-sthlm.se/ http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm From foss-sthlm-bounces@cool.haxx.se Thu Jul 10 10:20:14 2014 Return-Path: Received: from www.haxx.se (localhost.localdomain [127.0.0.1]) by giant.haxx.se (8.14.4/8.14.4/Debian-7) with ESMTP id s6A8Jvf2022454; Thu, 10 Jul 2014 10:20:05 +0200 Received: from mail.solvare.se (ns1.solvare.se [178.16.217.67]) by giant.haxx.se (8.14.4/8.14.4/Debian-7) with ESMTP id s6A8JuMM022438 (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NOT) for ; Thu, 10 Jul 2014 10:19:56 +0200 Received: from [192.168.10.166] (90-229-134-131-no52.tbcn.telia.com [::ffff:90.229.134.131]) (AUTH: CRAM-MD5 christian@solvare.se, TLS: TLSv1/SSLv3,128bits,AES128-SHA) by mail.solvare.se with esmtp; Thu, 10 Jul 2014 10:23:00 +0200 id 00793C47.53BE4D64.000044C0 Message-ID: <53BE4C8D.5010409@solvare.se> Date: Thu, 10 Jul 2014 10:19:25 +0200 From: Christian Huldt User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:24.0) Gecko/20100101 Thunderbird/24.5.0 MIME-Version: 1.0 To: FOSS-folk i Stockholm Subject: Re: IPv6 References: <5399C7EF.7090205@solvare.se> <539EE1EC.3000204@netnod.se> <53BBC8AB.9070005@solvare.se> <53BE3E07.4080206@netnod.se> In-Reply-To: <53BE3E07.4080206@netnod.se> X-Enigmail-Version: 1.6 X-BeenThere: foss-sthlm@cool.haxx.se X-Mailman-Version: 2.1.16 Precedence: list Reply-To: FOSS-folk i Stockholm List-Id: FOSS-folk i Stockholm List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , Content-Type: text/plain; charset="utf-8" Errors-To: foss-sthlm-bounces@cool.haxx.se Sender: "foss-sthlm" Content-Transfer-Encoding: 8bit X-MIME-Autoconverted: from base64 to 8bit by giant.haxx.se id s6A8Jvf2022454 Hej! Det känns som att det är något väldigt grundläggande jag inte fattat alls... Vi har en ganska vanlig (? - har sett den på flera sätten...) setup för små kontor (1-15 pers typ), linan utifrån går in i en switch, tre burkar inkopplade på denna varav en är en NAT-gateway för vårt interna lan, de andra får sköta sina brandväggsregler själva. Utan att reta gallfeber på alla skulle jag vilja köra dualstack när vi får ipv6, men vi kommer att ha delnät både innanför och utanför brandväggen då, så något behöver göras åt routningen. Det verkar som jag behöver ett nätverkskort till och köra DMZ (eller åtminstone routning) för de andra burkarna? Alternativt konfa switchen? 2014-07-10 09:17, Magnus Sandberg skrev: > Hej! > > RA (router adverticement) är ett sätt för din router att tala om för > dina klienter vad de ska använda för default-gateway. DHCPv6 fungerar > inte som DHCP för IPv4. Man ska alltså INTE ha RA aktivt på sitt/sina > externa nätverksportar. Det var som jag trodde :-) > Hur du talar om för omvärlden vad som finns på insidan gär man via DNS, > oftast med AAAA-records om det gäller hostnamn till IPv6-adress. Men hur förstår omvärlden att subnäten innanför ska (måste) routas via brandväggen? > // Mem > > > > 2014-07-08 12:32, Christian Huldt skrev: >> Tack för alla svar! >> >> Det är en sak jag undrar - vilket iofs kan bero på att jag är ovan vid >> IPv6, bara har vana vid NATade nät, och/eller är lite för van vid arp - >> Hur delges externa enheter vad som finns innanför brandväggen? Ska man >> köra RA? (har gjort lite experiment i mindre skala, men de annalkande >> semestertiderna borde vara lämpliga för större skala...) >> >> >> >> 2014-06-16 14:24, Magnus Sandberg skrev: >>> Hej! >>> >>> Först av allt skulle jag så klart inte köra NAT för IPv6 utan enbart >>> filtrering av trafiken (men det är väl självklart). >>> >>> Vid /56 skulle jag göra följande: >>> >>> En /60 för interna länknät, typ från brandväggs router till respektive >>> företags egen router. >>> >>> En /60 för management av routrar och switchar (helst på loopback adresser). >>> >>> Ge varje företag var sin /60 väl utspritt, så att om någon vill/behöver >>> växa till /59 eller större kan det ske utan omnumrering eller kludder >>> med en massa små /64:ro. >>> >>> Om ni får en /48 skulle jag ta /56 för alla kategorierna ovan. >>> >>> >>> Genom att lägga länknäten och management separat kan man blockar dessa >>> nät lite hårdare utifrån om man vill skydda routrar eller switchar extra >>> noga. >>> >>> >>> Att använda sista positionen i IPv4 som samma adress i IPv6 kan >>> underlätta felsökning eftersom vår hjärna de senaste åren programmerats >>> för IPv4-adresser. Typ 192.168.95.47 blir 2001:dead:cafe:1::47. >>> >>> >>> Och som PS: /64 är inte de minsta näten man kan använda. Det går bra att >>> ha ett länknät som är /126. Jag säker inte att det vare sig är smart >>> eller vackert men det går. >>> >>> // Mem >>> >>> >>> >>> 2014-06-12 17:31, Christian Huldt skrev: >>>> Vi får ipv6 nu. >>>> Till kontoret. >>>> Som befolkas av ett antal olika småföretag (det största är 4 pers). >>>> >>>> Idag står en linuxburk med två nätverkskort som kör nat och iptables, >>>> plus några burkar utanför. >>>> >>>> Om jag behärskar mina primära cyberhippieimpulser och inte bara kör in >>>> linan i switchen direkt, hur ska jag tänka då? >>>> >>>> Min Google-fu^W ixquick.com-fu är tillräckligt dålig för att jag inte >>>> ska hitta något om en sån setup, dvs med linuxburken som >>>> single-point-of-failure, ip6tables etc. >>>> >>>> Bör det interna nätverket få ett eget subnät (ja förstås) men bör då det >>>> externa nätverkskortet ingå i detta nätverk eller ska det ha ett eget >>>> som routas? >>>> >>>> Ska jag planera olika om vi får ett /48 eller ett /56? >>>> >>>> Ja, jag är en noob på ipv6, men det kanske går över med tiden... >>>> _______________________________________________ >>>> http://www.foss-sthlm.se/ >>>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm >>>> >>> _______________________________________________ >>> http://www.foss-sthlm.se/ >>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm >> _______________________________________________ >> http://www.foss-sthlm.se/ >> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm >> > _______________________________________________ > http://www.foss-sthlm.se/ > http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm _______________________________________________ http://www.foss-sthlm.se/ http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm From foss-sthlm-bounces@cool.haxx.se Thu Jul 10 14:03:03 2014 Return-Path: Received: from www.haxx.se (localhost.localdomain [127.0.0.1]) by giant.haxx.se (8.14.4/8.14.4/Debian-7) with ESMTP id s6AC2cZC018675; Thu, 10 Jul 2014 14:02:47 +0200 Received: from mail.netnod.se (mail.netnod.se [IPv6:2a01:3f0:1:3::100]) by giant.haxx.se (8.14.4/8.14.4/Debian-7) with ESMTP id s6AC2bf5018670 for ; Thu, 10 Jul 2014 14:02:37 +0200 Received: from [IPv6:2a01:3f0:1:0:2ed4:44ff:febc:aba3] (stilus.netnod.se [IPv6:2a01:3f0:1:0:2ed4:44ff:febc:aba3]) (Authenticated sender: mem) by mail.netnod.se (Postfix) with ESMTPSA id 539AF7C189 for ; Thu, 10 Jul 2014 14:02:38 +0200 (CEST) Message-ID: <53BE80DE.9070009@netnod.se> Date: Thu, 10 Jul 2014 14:02:38 +0200 From: Magnus Sandberg Organization: Netnod Internet Exchange i Sverige AB (AS8674) User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:24.0) Gecko/20100101 Icedove/24.6.0 MIME-Version: 1.0 To: FOSS-folk i Stockholm Subject: Re: IPv6 References: <5399C7EF.7090205@solvare.se> <539EE1EC.3000204@netnod.se> <53BBC8AB.9070005@solvare.se> <53BE3E07.4080206@netnod.se> <53BE4C8D.5010409@solvare.se> In-Reply-To: <53BE4C8D.5010409@solvare.se> X-Enigmail-Version: 1.6 X-BeenThere: foss-sthlm@cool.haxx.se X-Mailman-Version: 2.1.16 Precedence: list Reply-To: FOSS-folk i Stockholm List-Id: FOSS-folk i Stockholm List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , Content-Type: text/plain; charset="utf-8" Errors-To: foss-sthlm-bounces@cool.haxx.se Sender: "foss-sthlm" Content-Transfer-Encoding: 8bit X-MIME-Autoconverted: from base64 to 8bit by giant.haxx.se id s6AC2cZC018675 Hej! Det går ju inte att säga så här bara med den lilla text du skrivit. Den där burken som är NAT-gateway är väl det jag skulle kalla router. Frågan är om denna bruk klarar IPv6. Hur får ni länknät idag? Kör denna NAT-gateway som DHCP-klient på utsidan för att få IPv4-adress från er ISP eller är länknätet statiskt konfigurerat? Hur kommer de leverera IPv6? Statisk routing? DHCPv6? Neighbur discovery? Om du/ni inte vet att du kommer få IPv6 så tror jag inte du ska hålla andan. Det är inte det lättaste att få IPv6 i Sverige idag. Om du/ni blivit lovade IPv6 då skulle jag som steg två oroa mig för NAT-gateway:en då de produkter som går under sådana benämningar i princip aldrig stödjer IPv6. Finns det management för IPv6 i gateway:en? // Mem 2014-07-10 10:19, Christian Huldt skrev: > Hej! > > Det känns som att det är något väldigt grundläggande jag inte fattat alls... > > Vi har en ganska vanlig (? - har sett den på flera sätten...) setup för > små kontor (1-15 pers typ), linan utifrån går in i en switch, tre burkar > inkopplade på denna varav en är en NAT-gateway för vårt interna lan, de > andra får sköta sina brandväggsregler själva. > > Utan att reta gallfeber på alla skulle jag vilja köra dualstack när vi > får ipv6, men vi kommer att ha delnät både innanför och utanför > brandväggen då, så något behöver göras åt routningen. > > Det verkar som jag behöver ett nätverkskort till och köra DMZ (eller > åtminstone routning) för de andra burkarna? Alternativt konfa switchen? > > 2014-07-10 09:17, Magnus Sandberg skrev: >> Hej! >> >> RA (router adverticement) är ett sätt för din router att tala om för >> dina klienter vad de ska använda för default-gateway. DHCPv6 fungerar >> inte som DHCP för IPv4. Man ska alltså INTE ha RA aktivt på sitt/sina >> externa nätverksportar. > Det var som jag trodde :-) > >> Hur du talar om för omvärlden vad som finns på insidan gär man via DNS, >> oftast med AAAA-records om det gäller hostnamn till IPv6-adress. > Men hur förstår omvärlden att subnäten innanför ska (måste) routas via > brandväggen? > >> // Mem >> >> >> >> 2014-07-08 12:32, Christian Huldt skrev: >>> Tack för alla svar! >>> >>> Det är en sak jag undrar - vilket iofs kan bero på att jag är ovan vid >>> IPv6, bara har vana vid NATade nät, och/eller är lite för van vid arp - >>> Hur delges externa enheter vad som finns innanför brandväggen? Ska man >>> köra RA? (har gjort lite experiment i mindre skala, men de annalkande >>> semestertiderna borde vara lämpliga för större skala...) >>> >>> >>> >>> 2014-06-16 14:24, Magnus Sandberg skrev: >>>> Hej! >>>> >>>> Först av allt skulle jag så klart inte köra NAT för IPv6 utan enbart >>>> filtrering av trafiken (men det är väl självklart). >>>> >>>> Vid /56 skulle jag göra följande: >>>> >>>> En /60 för interna länknät, typ från brandväggs router till respektive >>>> företags egen router. >>>> >>>> En /60 för management av routrar och switchar (helst på loopback adresser). >>>> >>>> Ge varje företag var sin /60 väl utspritt, så att om någon vill/behöver >>>> växa till /59 eller större kan det ske utan omnumrering eller kludder >>>> med en massa små /64:ro. >>>> >>>> Om ni får en /48 skulle jag ta /56 för alla kategorierna ovan. >>>> >>>> >>>> Genom att lägga länknäten och management separat kan man blockar dessa >>>> nät lite hårdare utifrån om man vill skydda routrar eller switchar extra >>>> noga. >>>> >>>> >>>> Att använda sista positionen i IPv4 som samma adress i IPv6 kan >>>> underlätta felsökning eftersom vår hjärna de senaste åren programmerats >>>> för IPv4-adresser. Typ 192.168.95.47 blir 2001:dead:cafe:1::47. >>>> >>>> >>>> Och som PS: /64 är inte de minsta näten man kan använda. Det går bra att >>>> ha ett länknät som är /126. Jag säker inte att det vare sig är smart >>>> eller vackert men det går. >>>> >>>> // Mem >>>> >>>> >>>> >>>> 2014-06-12 17:31, Christian Huldt skrev: >>>>> Vi får ipv6 nu. >>>>> Till kontoret. >>>>> Som befolkas av ett antal olika småföretag (det största är 4 pers). >>>>> >>>>> Idag står en linuxburk med två nätverkskort som kör nat och iptables, >>>>> plus några burkar utanför. >>>>> >>>>> Om jag behärskar mina primära cyberhippieimpulser och inte bara kör in >>>>> linan i switchen direkt, hur ska jag tänka då? >>>>> >>>>> Min Google-fu^W ixquick.com-fu är tillräckligt dålig för att jag inte >>>>> ska hitta något om en sån setup, dvs med linuxburken som >>>>> single-point-of-failure, ip6tables etc. >>>>> >>>>> Bör det interna nätverket få ett eget subnät (ja förstås) men bör då det >>>>> externa nätverkskortet ingå i detta nätverk eller ska det ha ett eget >>>>> som routas? >>>>> >>>>> Ska jag planera olika om vi får ett /48 eller ett /56? >>>>> >>>>> Ja, jag är en noob på ipv6, men det kanske går över med tiden... >>>>> _______________________________________________ >>>>> http://www.foss-sthlm.se/ >>>>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm >>>>> >>>> _______________________________________________ >>>> http://www.foss-sthlm.se/ >>>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm >>> _______________________________________________ >>> http://www.foss-sthlm.se/ >>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm >>> >> _______________________________________________ >> http://www.foss-sthlm.se/ >> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm > > _______________________________________________ > http://www.foss-sthlm.se/ > http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm > _______________________________________________ http://www.foss-sthlm.se/ http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm From foss-sthlm-bounces@cool.haxx.se Thu Jul 10 15:26:13 2014 Return-Path: Received: from www.haxx.se (localhost.localdomain [127.0.0.1]) by giant.haxx.se (8.14.4/8.14.4/Debian-7) with ESMTP id s6ADPuHv010646; Thu, 10 Jul 2014 15:26:05 +0200 Received: from mail.solvare.se (ns1.solvare.se [178.16.217.67]) by giant.haxx.se (8.14.4/8.14.4/Debian-7) with ESMTP id s6ADPs4R010641 (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NOT) for ; Thu, 10 Jul 2014 15:25:54 +0200 Received: from [192.168.10.166] (90-229-134-131-no52.tbcn.telia.com [::ffff:90.229.134.131]) (AUTH: CRAM-MD5 christian@solvare.se, TLS: TLSv1/SSLv3,128bits,AES128-SHA) by mail.solvare.se with esmtp; Thu, 10 Jul 2014 15:28:58 +0200 id 0078E910.53BE951C.00006D03 Message-ID: <53BE9442.9010602@solvare.se> Date: Thu, 10 Jul 2014 15:25:22 +0200 From: Christian Huldt User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:24.0) Gecko/20100101 Thunderbird/24.5.0 MIME-Version: 1.0 To: FOSS-folk i Stockholm Subject: Re: IPv6 References: <5399C7EF.7090205@solvare.se> <539EE1EC.3000204@netnod.se> <53BBC8AB.9070005@solvare.se> <53BE3E07.4080206@netnod.se> <53BE4C8D.5010409@solvare.se> <53BE80DE.9070009@netnod.se> In-Reply-To: <53BE80DE.9070009@netnod.se> X-Enigmail-Version: 1.6 X-BeenThere: foss-sthlm@cool.haxx.se X-Mailman-Version: 2.1.16 Precedence: list Reply-To: FOSS-folk i Stockholm List-Id: FOSS-folk i Stockholm List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , Content-Type: text/plain; charset="utf-8" Errors-To: foss-sthlm-bounces@cool.haxx.se Sender: "foss-sthlm" Content-Transfer-Encoding: 8bit X-MIME-Autoconverted: from base64 to 8bit by giant.haxx.se id s6ADPuHv010646 Hej! Routern är en standard-pc med linux (Gentoo) (och klarar ipv6...) (faktiskt två stycken som delar ut skilda dhcp-range inom samma nät inåt) Vi har idag statisk IPv4 och kommer att få statisk IPv6, /48 eller /56 under juli (Den som skulle berätta detaljerna är på semester...). Det krävdes lite tjat och hänvisningar till 6:e juni (inte i år, som sagt, lite tid tar det). Länknätet går via cat5 från leverantörens "fiberlåda" in i en liten switch - om denna vet jag föga, troligen en billig no-name... 2014-07-10 14:02, Magnus Sandberg skrev: > Hej! > > Det går ju inte att säga så här bara med den lilla text du skrivit. Den > där burken som är NAT-gateway är väl det jag skulle kalla router. > > Frågan är om denna bruk klarar IPv6. > > Hur får ni länknät idag? Kör denna NAT-gateway som DHCP-klient på > utsidan för att få IPv4-adress från er ISP eller är länknätet statiskt > konfigurerat? > > Hur kommer de leverera IPv6? Statisk routing? DHCPv6? Neighbur discovery? > > > Om du/ni inte vet att du kommer få IPv6 så tror jag inte du ska hålla > andan. Det är inte det lättaste att få IPv6 i Sverige idag. > > Om du/ni blivit lovade IPv6 då skulle jag som steg två oroa mig för > NAT-gateway:en då de produkter som går under sådana benämningar i > princip aldrig stödjer IPv6. Finns det management för IPv6 i gateway:en? > > > // Mem > > > > 2014-07-10 10:19, Christian Huldt skrev: >> Hej! >> >> Det känns som att det är något väldigt grundläggande jag inte fattat alls... >> >> Vi har en ganska vanlig (? - har sett den på flera sätten...) setup för >> små kontor (1-15 pers typ), linan utifrån går in i en switch, tre burkar >> inkopplade på denna varav en är en NAT-gateway för vårt interna lan, de >> andra får sköta sina brandväggsregler själva. >> >> Utan att reta gallfeber på alla skulle jag vilja köra dualstack när vi >> får ipv6, men vi kommer att ha delnät både innanför och utanför >> brandväggen då, så något behöver göras åt routningen. >> >> Det verkar som jag behöver ett nätverkskort till och köra DMZ (eller >> åtminstone routning) för de andra burkarna? Alternativt konfa switchen? >> >> 2014-07-10 09:17, Magnus Sandberg skrev: >>> Hej! >>> >>> RA (router adverticement) är ett sätt för din router att tala om för >>> dina klienter vad de ska använda för default-gateway. DHCPv6 fungerar >>> inte som DHCP för IPv4. Man ska alltså INTE ha RA aktivt på sitt/sina >>> externa nätverksportar. >> Det var som jag trodde :-) >> >>> Hur du talar om för omvärlden vad som finns på insidan gär man via DNS, >>> oftast med AAAA-records om det gäller hostnamn till IPv6-adress. >> Men hur förstår omvärlden att subnäten innanför ska (måste) routas via >> brandväggen? >> >>> // Mem >>> >>> >>> >>> 2014-07-08 12:32, Christian Huldt skrev: >>>> Tack för alla svar! >>>> >>>> Det är en sak jag undrar - vilket iofs kan bero på att jag är ovan vid >>>> IPv6, bara har vana vid NATade nät, och/eller är lite för van vid arp - >>>> Hur delges externa enheter vad som finns innanför brandväggen? Ska man >>>> köra RA? (har gjort lite experiment i mindre skala, men de annalkande >>>> semestertiderna borde vara lämpliga för större skala...) >>>> >>>> >>>> >>>> 2014-06-16 14:24, Magnus Sandberg skrev: >>>>> Hej! >>>>> >>>>> Först av allt skulle jag så klart inte köra NAT för IPv6 utan enbart >>>>> filtrering av trafiken (men det är väl självklart). >>>>> >>>>> Vid /56 skulle jag göra följande: >>>>> >>>>> En /60 för interna länknät, typ från brandväggs router till respektive >>>>> företags egen router. >>>>> >>>>> En /60 för management av routrar och switchar (helst på loopback adresser). >>>>> >>>>> Ge varje företag var sin /60 väl utspritt, så att om någon vill/behöver >>>>> växa till /59 eller större kan det ske utan omnumrering eller kludder >>>>> med en massa små /64:ro. >>>>> >>>>> Om ni får en /48 skulle jag ta /56 för alla kategorierna ovan. >>>>> >>>>> >>>>> Genom att lägga länknäten och management separat kan man blockar dessa >>>>> nät lite hårdare utifrån om man vill skydda routrar eller switchar extra >>>>> noga. >>>>> >>>>> >>>>> Att använda sista positionen i IPv4 som samma adress i IPv6 kan >>>>> underlätta felsökning eftersom vår hjärna de senaste åren programmerats >>>>> för IPv4-adresser. Typ 192.168.95.47 blir 2001:dead:cafe:1::47. >>>>> >>>>> >>>>> Och som PS: /64 är inte de minsta näten man kan använda. Det går bra att >>>>> ha ett länknät som är /126. Jag säker inte att det vare sig är smart >>>>> eller vackert men det går. >>>>> >>>>> // Mem >>>>> >>>>> >>>>> >>>>> 2014-06-12 17:31, Christian Huldt skrev: >>>>>> Vi får ipv6 nu. >>>>>> Till kontoret. >>>>>> Som befolkas av ett antal olika småföretag (det största är 4 pers). >>>>>> >>>>>> Idag står en linuxburk med två nätverkskort som kör nat och iptables, >>>>>> plus några burkar utanför. >>>>>> >>>>>> Om jag behärskar mina primära cyberhippieimpulser och inte bara kör in >>>>>> linan i switchen direkt, hur ska jag tänka då? >>>>>> >>>>>> Min Google-fu^W ixquick.com-fu är tillräckligt dålig för att jag inte >>>>>> ska hitta något om en sån setup, dvs med linuxburken som >>>>>> single-point-of-failure, ip6tables etc. >>>>>> >>>>>> Bör det interna nätverket få ett eget subnät (ja förstås) men bör då det >>>>>> externa nätverkskortet ingå i detta nätverk eller ska det ha ett eget >>>>>> som routas? >>>>>> >>>>>> Ska jag planera olika om vi får ett /48 eller ett /56? >>>>>> >>>>>> Ja, jag är en noob på ipv6, men det kanske går över med tiden... >>>>>> _______________________________________________ >>>>>> http://www.foss-sthlm.se/ >>>>>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm >>>>>> >>>>> _______________________________________________ >>>>> http://www.foss-sthlm.se/ >>>>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm >>>> _______________________________________________ >>>> http://www.foss-sthlm.se/ >>>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm >>>> >>> _______________________________________________ >>> http://www.foss-sthlm.se/ >>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm >> _______________________________________________ >> http://www.foss-sthlm.se/ >> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm >> > _______________________________________________ > http://www.foss-sthlm.se/ > http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm _______________________________________________ http://www.foss-sthlm.se/ http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm From foss-sthlm-bounces@cool.haxx.se Thu Jul 10 19:34:13 2014 Return-Path: Received: from www.haxx.se (localhost.localdomain [127.0.0.1]) by giant.haxx.se (8.14.4/8.14.4/Debian-7) with ESMTP id s6AHXpSP025109; Thu, 10 Jul 2014 19:33:59 +0200 Received: from zeus.hemma (212-107-131-154.net.staertesjoen.se [212.107.131.154]) by giant.haxx.se (8.14.4/8.14.4/Debian-7) with ESMTP id s6AHXoqU024517 for ; Thu, 10 Jul 2014 19:33:50 +0200 Received: from [192.168.1.5] by zeus.hemma with esmtps (TLS1.0:DHE_RSA_AES_128_CBC_SHA1:128) (Exim 4.80) (envelope-from ) id 1X5IE0-0002cF-Ol for foss-sthlm@cool.haxx.se; Thu, 10 Jul 2014 19:33:41 +0200 Message-ID: <53BECE67.2010507@rosbacke.org> Date: Thu, 10 Jul 2014 19:33:27 +0200 From: Mikael Rosbacke User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20100101 Thunderbird/24.6.0 MIME-Version: 1.0 To: FOSS-folk i Stockholm Subject: Re: IPv6 References: <5399C7EF.7090205@solvare.se> <539EE1EC.3000204@netnod.se> <53BBC8AB.9070005@solvare.se> <53BE3E07.4080206@netnod.se> <53BE4C8D.5010409@solvare.se> <53BE80DE.9070009@netnod.se> <53BE9442.9010602@solvare.se> In-Reply-To: <53BE9442.9010602@solvare.se> X-Spam-Score: -2.9 X-Spam-Report: Spam detection software, running on the system "zeus.hemma", has identified this incoming email as possible spam. The original message has been attached to this so you can view it (if it isn't spam) or label similar future email. If you have any questions, see the administrator of that system for details. Content preview: >>> Vi har en ganska vanlig (? - har sett den på flera sätten...) setup för >>> små kontor (1-15 pers typ), linan utifrån går in i en switch, tre burkar >>> inkopplade på denna varav en är en NAT-gateway för vårt interna lan, de >>> andra får sköta sina brandväggsregler själva. >>> >>> Utan att reta gallfeber på alla skulle jag vilja köra dualstack när vi >>> får ipv6, men vi kommer att ha delnät både innanför och utanför >>> brandväggen då, så något behöver göras åt routningen. [...] Content analysis details: (-2.9 points, 5.0 required) pts rule name description ---- ---------------------- -------------------------------------------------- -1.0 ALL_TRUSTED Passed through trusted hosts only via SMTP -1.9 BAYES_00 BODY: Bayes spam probability is 0 to 1% [score: 0.0000] X-Spam_bar: -- X-BeenThere: foss-sthlm@cool.haxx.se X-Mailman-Version: 2.1.16 Precedence: list Reply-To: FOSS-folk i Stockholm List-Id: FOSS-folk i Stockholm List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , Content-Type: text/plain; charset="utf-8"; Format="flowed" Errors-To: foss-sthlm-bounces@cool.haxx.se Sender: "foss-sthlm" Content-Transfer-Encoding: 8bit X-MIME-Autoconverted: from base64 to 8bit by giant.haxx.se id s6AHXpSP025109 >>> Vi har en ganska vanlig (? - har sett den på flera sätten...) setup för >>> små kontor (1-15 pers typ), linan utifrån går in i en switch, tre burkar >>> inkopplade på denna varav en är en NAT-gateway för vårt interna lan, de >>> andra får sköta sina brandväggsregler själva. >>> >>> Utan att reta gallfeber på alla skulle jag vilja köra dualstack när vi >>> får ipv6, men vi kommer att ha delnät både innanför och utanför >>> brandväggen då, så något behöver göras åt routningen. Kör själv dual-stack med linuxburk som router. Använder VLAN men uppsättning är ekvivalent med 1 nwkort utåt och 2 nätverkskort inåt, 1 per undernät. Har 1 IPv6 /56 range där jag skapat 2 /64 ranges för mina undernät. Där har min router adress ::1 i dessa nät. Hade jag haft en DMZ hade jag lagt denna i ytterligare en /64 adress range. Inkommande till min router finns en helt separat (annat nw prefix) /64 range där mitt externa routergränssnitt får en adress, och sedan är default gateway mot internet till providerns router på adress ::1. Har för stunden statisk adress här, men borde egentligen tilldelas från providerns router via RA. På insidan sker router advertisement (RA) med dnsmasq, som ger ut adresser till enheter på insidan i varje subnät. Dessa kan bli lite vad som helt (Windows 7 kör gärna slumpmässiga adresser, annars bygga på MAC). Trevligt nog så skapar dnsmasq DNS entries från datorer den känner till MAC adressen för, till dessa okända adresser. Så när min androidtelefon kopplar upp sig, får den en IPv6, men jag kan hitta den med 'nslookup nexus4.hemma'. Varje enhet får default gateway till routern och sedan får man se till att routingtabeller + brandväggsregler är bra i shorewall6, så funkar det bra. IPv4 är helt separat konfigurationsmässigt. vanliga shorewall, med NAT setup och undergrupper precis som vanligt. använder 192.168.0.0/24 för ena och 192.168.1.0/24 för andra. Portforwardering som det brukar vara. Dnsmasq stödjer att har man talat om MAC adress för en enhet, så skapar den 'A' record för IPv4 adressen och 'AAAA' record för IPv6 så båda går att komma åt. En nackdel var att för enheter som vandrar mellan subnäten, så gick det inte att få statisk adress beroende på inkommande nätverkskort, utan det får bli dynamisk där. Men det är ok, då DNS entries finns. En oväntat begränsning var att med IPv4 + NAT, så kan man portforwardera olika tjänster till olika burkar men fortfarande komma åt dom med samma DNS namn. Det funkar inte helt rent i IPv6. T.ex. en burk är SMTP host medan en annan har webmailen, så kan jag inte ha DNS namn 'mail.xxx.xx' för bägge. I IPv6 fallet måste de resolvas till 2 olika adresser beroende på port, så behöver 2 olika DNS namn. Går säkert att komma runt, men då bryter man den rena '1 dator/1 adress' som det var tänkt från början med IP. Hoppas beskrivningen gett något. / Mikael R -- __________________________ Mikael Rosbacke Akaza AB tel: +46707925781 epost: mikael@rosbacke.org webb: http://www.rosbacke.org webb: http://www.akaza.se _______________________________________________ http://www.foss-sthlm.se/ http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm From foss-sthlm-bounces@cool.haxx.se Thu Jul 10 20:07:37 2014 Return-Path: Received: from www.haxx.se (localhost.localdomain [127.0.0.1]) by giant.haxx.se (8.14.4/8.14.4/Debian-7) with ESMTP id s6AI7SLT024599; Thu, 10 Jul 2014 20:07:31 +0200 Received: from mail.solvare.se (ns1.solvare.se [178.16.217.67]) by giant.haxx.se (8.14.4/8.14.4/Debian-7) with ESMTP id s6AI7RVb024458 (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NOT) for ; Thu, 10 Jul 2014 20:07:27 +0200 Received: from [192.168.10.166] (90-229-134-131-no52.tbcn.telia.com [::ffff:90.229.134.131]) (AUTH: CRAM-MD5 christian@solvare.se, TLS: TLSv1/SSLv3,128bits,AES128-SHA) by mail.solvare.se with esmtp; Thu, 10 Jul 2014 20:10:30 +0200 id 00793EA9.53BED718.000013A4 Message-ID: <53BED63F.1040505@solvare.se> Date: Thu, 10 Jul 2014 20:06:55 +0200 From: Christian Huldt User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:24.0) Gecko/20100101 Thunderbird/24.5.0 MIME-Version: 1.0 To: FOSS-folk i Stockholm Subject: Re: IPv6 References: <5399C7EF.7090205@solvare.se> <539EE1EC.3000204@netnod.se> <53BBC8AB.9070005@solvare.se> <53BE3E07.4080206@netnod.se> <53BE4C8D.5010409@solvare.se> <53BE80DE.9070009@netnod.se> <53BE9442.9010602@solvare.se> <53BECE67.2010507@rosbacke.org> In-Reply-To: <53BECE67.2010507@rosbacke.org> X-Enigmail-Version: 1.6 X-BeenThere: foss-sthlm@cool.haxx.se X-Mailman-Version: 2.1.16 Precedence: list Reply-To: FOSS-folk i Stockholm List-Id: FOSS-folk i Stockholm List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , Content-Type: text/plain; charset="utf-8" Errors-To: foss-sthlm-bounces@cool.haxx.se Sender: "foss-sthlm" Content-Transfer-Encoding: 8bit X-MIME-Autoconverted: from base64 to 8bit by giant.haxx.se id s6AI7SLT024599 2014-07-10 19:33, Mikael Rosbacke skrev: >>>> Vi har en ganska vanlig (? - har sett den på flera sätten...) setup >>>> för >>>> små kontor (1-15 pers typ), linan utifrån går in i en switch, tre >>>> burkar >>>> inkopplade på denna varav en är en NAT-gateway för vårt interna >>>> lan, de >>>> andra får sköta sina brandväggsregler själva. >>>> >>>> Utan att reta gallfeber på alla skulle jag vilja köra dualstack när vi >>>> får ipv6, men vi kommer att ha delnät både innanför och utanför >>>> brandväggen då, så något behöver göras åt routningen. > > Kör själv dual-stack med linuxburk som router. Använder VLAN men > uppsättning är ekvivalent med 1 nwkort utåt och 2 nätverkskort inåt, 1 > per undernät. > Har 1 IPv6 /56 range där jag skapat 2 /64 ranges för mina undernät. > Där har min router adress ::1 i dessa nät. Hade jag haft en > DMZ hade jag lagt denna i ytterligare en /64 adress range. > Inkommande till min router finns en helt separat (annat nw prefix) /64 > range där mitt externa routergränssnitt får en adress, och sedan är > default gateway mot internet till providerns router på adress > ::1. Har för stunden statisk adress här, men borde > egentligen tilldelas från providerns router via RA. Vad jag undrar handlar om routingen, om jag får 2001:db8:1111:: och delar upp det på 2001:db8:1111:1111:: och 2001:db8:1111:2222:: osv. och ger min gateway 2001:db8:1111:1111::1 på utsidan och 2001:db8:1111:2222::1 på insidan, kommer extern trafik att hitta till 2001:db8:1111:2222::2 utan att jag specar detta på något sätt? Förutsatt att /proc/sys/net/ipv6/conf/*/forwarding är satt till 1... > På insidan sker router advertisement (RA) med dnsmasq, som ger ut > adresser till enheter på insidan i varje subnät. Dessa kan bli lite > vad som helt (Windows 7 kör gärna slumpmässiga adresser, annars bygga > på MAC). Trevligt nog så skapar dnsmasq DNS entries från datorer den > känner till MAC adressen för, till dessa okända adresser. Så när min > androidtelefon kopplar upp sig, får den en IPv6, men jag kan hitta den > med 'nslookup nexus4.hemma'. Varje enhet får default gateway till > routern och sedan får man se till att routingtabeller + > brandväggsregler är bra i shorewall6, så funkar det bra. > > IPv4 är helt separat konfigurationsmässigt. vanliga shorewall, med NAT > setup och undergrupper precis som vanligt. använder 192.168.0.0/24 för > ena och 192.168.1.0/24 för andra. Portforwardering som det brukar vara. > Dnsmasq stödjer att har man talat om MAC adress för en enhet, så > skapar den 'A' record för IPv4 adressen och 'AAAA' record för IPv6 så > båda går att komma åt. > En nackdel var att för enheter som vandrar mellan subnäten, så gick > det inte att få statisk adress beroende på inkommande nätverkskort, > utan det får bli dynamisk där. Men det är ok, då DNS entries finns. > En oväntat begränsning var att med IPv4 + NAT, så kan man > portforwardera olika tjänster till olika burkar men fortfarande komma > åt dom med samma DNS namn. Det funkar inte helt rent i IPv6. T.ex. en > burk är SMTP host medan en annan har webmailen, så kan jag inte ha DNS > namn 'mail.xxx.xx' för bägge. I IPv6 fallet måste de resolvas till 2 > olika adresser beroende på port, så behöver 2 olika DNS namn. Går > säkert att komma runt, men då bryter man den rena '1 dator/1 adress' > som det var tänkt från början med IP. > > Hoppas beskrivningen gett något. > > / Mikael R > > _______________________________________________ http://www.foss-sthlm.se/ http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm From foss-sthlm-bounces@cool.haxx.se Thu Jul 10 20:46:24 2014 Return-Path: Received: from www.haxx.se (localhost.localdomain [127.0.0.1]) by giant.haxx.se (8.14.4/8.14.4/Debian-7) with ESMTP id s6AIk6dg011088; Thu, 10 Jul 2014 20:46:16 +0200 Received: from zeus.hemma (212-107-131-154.net.staertesjoen.se [212.107.131.154]) by giant.haxx.se (8.14.4/8.14.4/Debian-7) with ESMTP id s6AIk5c8010907 for ; Thu, 10 Jul 2014 20:46:05 +0200 Received: from [192.168.1.5] by zeus.hemma with esmtps (TLS1.0:DHE_RSA_AES_128_CBC_SHA1:128) (Exim 4.80) (envelope-from ) id 1X5JLv-0002dZ-Dz for foss-sthlm@cool.haxx.se; Thu, 10 Jul 2014 20:45:56 +0200 Message-ID: <53BEDF56.9030803@rosbacke.org> Date: Thu, 10 Jul 2014 20:45:42 +0200 From: Mikael Rosbacke User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20100101 Thunderbird/24.6.0 MIME-Version: 1.0 To: FOSS-folk i Stockholm Subject: Re: IPv6 References: <5399C7EF.7090205@solvare.se> <539EE1EC.3000204@netnod.se> <53BBC8AB.9070005@solvare.se> <53BE3E07.4080206@netnod.se> <53BE4C8D.5010409@solvare.se> <53BE80DE.9070009@netnod.se> <53BE9442.9010602@solvare.se> <53BECE67.2010507@rosbacke.org> <53BED63F.1040505@solvare.se> In-Reply-To: <53BED63F.1040505@solvare.se> X-Spam-Score: -2.9 X-Spam-Report: Spam detection software, running on the system "zeus.hemma", has identified this incoming email as possible spam. The original message has been attached to this so you can view it (if it isn't spam) or label similar future email. If you have any questions, see the administrator of that system for details. Content preview: > Vad jag undrar handlar om routingen, om jag får > 2001:db8:1111:: > och delar upp det på > 2001:db8:1111:1111:: > > och > > 2001:db8:1111:2222:: > > osv. > > och ger min gateway 2001:db8:1111:1111::1 på utsidan och > 2001:db8:1111:2222::1 på insidan, kommer extern trafik att hitta till > 2001:db8:1111:2222::2 utan att jag specar detta på något sätt? [...] Content analysis details: (-2.9 points, 5.0 required) pts rule name description ---- ---------------------- -------------------------------------------------- -1.0 ALL_TRUSTED Passed through trusted hosts only via SMTP -1.9 BAYES_00 BODY: Bayes spam probability is 0 to 1% [score: 0.0000] X-Spam_bar: -- X-BeenThere: foss-sthlm@cool.haxx.se X-Mailman-Version: 2.1.16 Precedence: list Reply-To: FOSS-folk i Stockholm List-Id: FOSS-folk i Stockholm List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , Content-Type: text/plain; charset="utf-8"; Format="flowed" Errors-To: foss-sthlm-bounces@cool.haxx.se Sender: "foss-sthlm" Content-Transfer-Encoding: 8bit X-MIME-Autoconverted: from base64 to 8bit by giant.haxx.se id s6AIk6dg011088 > Vad jag undrar handlar om routingen, om jag får > 2001:db8:1111:: > och delar upp det på > 2001:db8:1111:1111:: > > och > > 2001:db8:1111:2222:: > > osv. > > och ger min gateway 2001:db8:1111:1111::1 på utsidan och > 2001:db8:1111:2222::1 på insidan, kommer extern trafik att hitta till > 2001:db8:1111:2222::2 utan att jag specar detta på något sätt? Någonstans måste din ISP fylla i sin routingtabell så att om trafik ska till någon adress i ditt subnät, så behöver ISP veta adressen till 'next hop' (din router) så paketen kan skickas dit. Jag har haft kontakt med personen som har hand om upstream, så det finns en regel som skickar alla paket in till min /56 till mitt externa nätverksgränssnitt. Det är här saker som prefix delegation etc kommer in så den regeln kan skapas automatisk hos leverantören när din router begär en adress genom RA. Har dock dålig koll på dom bitarna då min uppsättning är statisk. Din uppsättning känns lite udda. Om du fått en /56 (2001:db8:1111::) så borde du ha en router som har hand om hela adressrymden innanför. Antingen genom att skicka paket direkt till hostar, eller genom underroutrar som har hand om mindre adressrymder (t.ex /64). Känns som ditt yttre gränssnitt borde ha en adress i en adressrymd utanför /56:an. Troligtvis borde den tilldelas från din ISP genom t.ex. RA från dom. Sedan när paketen kommer in därifrån är det fritt att routa dom vidare innanför. > Förutsatt att /proc/sys/net/ipv6/conf/*/forwarding är satt till 1... > >> På insidan sker router advertisement (RA) med dnsmasq, som ger ut >> adresser till enheter på insidan i varje subnät. Dessa kan bli lite >> vad som helt (Windows 7 kör gärna slumpmässiga adresser, annars bygga >> på MAC). Trevligt nog så skapar dnsmasq DNS entries från datorer den >> känner till MAC adressen för, till dessa okända adresser. Så när min >> androidtelefon kopplar upp sig, får den en IPv6, men jag kan hitta den >> med 'nslookup nexus4.hemma'. Varje enhet får default gateway till >> routern och sedan får man se till att routingtabeller + >> brandväggsregler är bra i shorewall6, så funkar det bra. >> >> IPv4 är helt separat konfigurationsmässigt. vanliga shorewall, med NAT >> setup och undergrupper precis som vanligt. använder 192.168.0.0/24 för >> ena och 192.168.1.0/24 för andra. Portforwardering som det brukar vara. >> Dnsmasq stödjer att har man talat om MAC adress för en enhet, så >> skapar den 'A' record för IPv4 adressen och 'AAAA' record för IPv6 så >> båda går att komma åt. >> En nackdel var att för enheter som vandrar mellan subnäten, så gick >> det inte att få statisk adress beroende på inkommande nätverkskort, >> utan det får bli dynamisk där. Men det är ok, då DNS entries finns. >> En oväntat begränsning var att med IPv4 + NAT, så kan man >> portforwardera olika tjänster till olika burkar men fortfarande komma >> åt dom med samma DNS namn. Det funkar inte helt rent i IPv6. T.ex. en >> burk är SMTP host medan en annan har webmailen, så kan jag inte ha DNS >> namn 'mail.xxx.xx' för bägge. I IPv6 fallet måste de resolvas till 2 >> olika adresser beroende på port, så behöver 2 olika DNS namn. Går >> säkert att komma runt, men då bryter man den rena '1 dator/1 adress' >> som det var tänkt från början med IP. >> >> Hoppas beskrivningen gett något. >> >> / Mikael R >> >> > > _______________________________________________ > http://www.foss-sthlm.se/ > http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm > -- __________________________ Mikael Rosbacke Akaza AB tel: +46707925781 epost: mikael@rosbacke.org webb: http://www.rosbacke.org webb: http://www.akaza.se _______________________________________________ http://www.foss-sthlm.se/ http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm