Toon posts:

IPv6 prefix delgation en router advertisement relaying

Pagina: 1
Acties:

zaterdag 8 januari 2011 13:17

Acties:
  • 0 Henk 'm!
  • d.baars
  • Registratie: Mei 2010
  • Laatst online: 03-01-2023

d.baars

Topicstarter
Is het mogelijk om aan IPv6 prefix delegation en router advertisement relaying te doen? Ik zit in een netwerk dat native IPv6 adressen uitdeelt met behulp van PD en router advertisements. Zelf heb ik een firewall /router staan (Ubuntu met shorewall & shorewall6).
Voor IPv4 wordt er NAT en voor sommige computers One-to-one NAT gebruikt, voor IPv6 wil ik de firewall in feite "transparant" maken, dat alle inkomende verbindingen standaard geblokkeerd worden en dat router advertisements en prefix delegation wel doorkomen voor autoconfiguration. Dit lijkt me in theorie niet erg moeilijk, maar hoe kan ik dit realiseren? radvd heeft volgens mij niet zo'n mogelijkheid.

Wat ik zelf al heb gevonden
In de RFC2461 staat dat ICMPv6 type 134 de router advertisement is, maar hoe krijg ik die dan bij de rest van mijn lokale netwerk?
Bij 4.6.2. staat informatie over hoe prefix informatie doorgestuurd wordt maar daar staat verder niet hoe dit getransporteerd wordt.

[offtopic]
Oei, ik zie dat ik delegation fout heb geschreven in de titel, zou een modje dit kunnen aanpassen?

[ Voor 5% gewijzigd door d.baars op 08-01-2011 13:18 ]

zaterdag 8 januari 2011 17:25

Acties:
  • 0 Henk 'm!
  • zenith
  • Registratie: Juni 2001
  • Niet online

zenith

d.baars schreef op zaterdag 08 januari 2011 @ 13:17:
Is het mogelijk om aan IPv6 prefix delegation en router advertisement relaying te doen? Ik zit in een netwerk dat native IPv6 adressen uitdeelt met behulp van PD en router advertisements. Zelf heb ik een firewall /router staan (Ubuntu met shorewall & shorewall6).
Voor IPv4 wordt er NAT en voor sommige computers One-to-one NAT gebruikt, voor IPv6 wil ik de firewall in feite "transparant" maken, dat alle inkomende verbindingen standaard geblokkeerd worden en dat router advertisements en prefix delegation wel doorkomen voor autoconfiguration. Dit lijkt me in theorie niet erg moeilijk, maar hoe kan ik dit realiseren? radvd heeft volgens mij niet zo'n mogelijkheid.

Wat ik zelf al heb gevonden
In de RFC2461 staat dat ICMPv6 type 134 de router advertisement is, maar hoe krijg ik die dan bij de rest van mijn lokale netwerk?
Bij 4.6.2. staat informatie over hoe prefix informatie doorgestuurd wordt maar daar staat verder niet hoe dit getransporteerd wordt.

[offtopic]
Oei, ik zie dat ik delegation fout heb geschreven in de titel, zou een modje dit kunnen aanpassen?
Als ik je goed begrijp wil jeje firewall in transparant mode zetten (alleen voor v6??), als je dat doet wordt het een bridge en zou die RA's door moeten laten als je ICMPv6 toestaat van outside->inside. Ik ken zelf geen firewall die v4 routed doet en v6 bridged en volgens mij bestaan die ook niet. Of heb je nu ook al je firewall in transparant mode staan voor v4?

[ Voor 5% gewijzigd door zenith op 08-01-2011 17:31 ]

zaterdag 8 januari 2011 19:41

Acties:
  • 0 Henk 'm!
  • d.baars
  • Registratie: Mei 2010
  • Laatst online: 03-01-2023

d.baars

Topicstarter
Het mooie van shorewall is dat shorewall6 heel anders geconfigureerd kan worden dan shorewall voor ipv4.

v4 is nu routed met NAT. Ik heb meerdere publieke IPv4-adressen maar niet als subnet en niet genoeg om alle computers van een publiek IP te zien. 2 computers hebben daarom One-to-one NAT.

Ik zal eens kijken of bridgen een mogelijkheid is. Dit zou dan dus een bridge worden met alleen IPv6. Is dit mogelijk of moet ik hier een aparte interface voor gebruiken?

(edit)
Probeer nu een bridge aan te maken, maar ik krijg bij de bridge geen router advertisements binnen. Weet iemand hier een oplossing voor?

[ Voor 13% gewijzigd door d.baars op 08-01-2011 21:41 ]

zondag 9 januari 2011 00:05

Acties:
  • 0 Henk 'm!
  • d.baars
  • Registratie: Mei 2010
  • Laatst online: 03-01-2023

d.baars

Topicstarter
Goed, het is inmiddels gelukt om een bridge te maken door autoconfiguration op de gebridgde interfaces uit te zetten.
sysctl -w net.ipv6.conf.eth0.accept_ra=0
sysctl -w net.ipv6.conf.eth1.accept_ra=0

De computer waar de bridge opstaat kan naar buiten (internet) pingen, maar niet naar het lokale netwerk.
De computers in het lokale netwerk krijgen wel een adres en router toegewezen, alleen ze hebben er niks aan want pakketjes worden niet geforward. Ook niet als ik de sysctl waarde zet. tcpdump laat geen pakketjes zien...

maandag 10 januari 2011 12:52

Acties:
  • 0 Henk 'm!
  • d.baars
  • Registratie: Mei 2010
  • Laatst online: 03-01-2023

d.baars

Topicstarter
Het is gelukt! Na een hele hoop trial en error weliswaar.

Wat heb ik gedaan:
  • Interne en externe interface in promiscuous mode gezet
  • IPv4 adressen op 0.0.0.0 gezet
  • Router advertisements op de fysieke interfaces uit zetten
  • Bridge aangemaakt met brctl en interfaces toevoegen
  • Forwarding delays op de bridge uitzetten (brctl setfd br0 0)
Wat je vooral niet moet doen:
  • IP(v6) forwarding aanzetten, dan reageren je interfaces in het geheel niet meer op RA's
  • ethernet filtering uitzetten (in /proc/sys/net/bridge), dan werken ip6tables en ebfilter niet meer
  • Vergeten om promiscuous mode in te schakelen, dat heeft me vier uur gekost om daar achter te komen :P
Bronnen:
http://automatthias.wordp...d-ipv6-autoconfiguration/
http://www.linuxfoundatio...kgroups/networking/bridge

dinsdag 11 januari 2011 18:51

Acties:
  • 0 Henk 'm!
  • zenith
  • Registratie: Juni 2001
  • Niet online

zenith

mooi zo! :)
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq