/u/172597/crop5e1225c8b1011.png?f=community)
Ik ben bezig met het inrichten van onze nieuwe firewall/router. Dit is een gevirtualiseerde debian machine. Hiervoor zitten twee internet verbindingen. Een residential aansluiting van xs4all, en een glasvezelverbinding van kpn. Van allebij de verbindingen krijgen we een pppoe signaal binnen op de (gevirtualiseerde) firewall/router. Op geen van beide hebben we beschikking over iets als bgp. Aan de andere kant van de firewall/router zit een man of 30 te werken inclusief een shitload aan mobiele devices, vm's, etc.
Voor ipv4 is het verhaal makkelijk. Standaard gaat alles over de verbinding van kpn heen (geNAT), en op het moment dat deze verbinding wegvalt wordt alles geNAT over de andere uplink. Op dat moment verandert wel iedereen z'n externe ip, maar da's geen ramp; mensen kunnen in ieder geval verder werken.
Voor ipv6 ligt het iets anders, aangezien je standaard geen NAT doet (like d'oh!). Het idee is dat we standaard de xs4all verbinding gebruiken voor ipv6, en ook gewoon de prefix van die verbinding announcen naar de workstations. Als echter later kpn ook ipv6 gaat aanbieden willen we dit als failover kunnen gebruiken, waarbi het uitgangspunt is dat de internet connectiviteit min of meer bewaard blijf. Dat voor de buitenwereld ip adressen zouden veranderen is geen (groot) probleem.
Nu kwam ik toevallig RFC6296 tegen, welke feitelijk stateless nat beschrijft door de prefix te swappen. Nu is alleen mijn probleem hoe ik dit moet implementeren, en/of jullie nog betere oplossingen zien? De RFC is nog in beta, en ik kan vooralsnog geen tools vinden of iptables rules die dit implementeren.
Kortom, what do you think?
p.s. Een beetje twijfelend heb ik dit onder Pro networking gezet. Mocht dit niet professioneel genoeg zijn is er vast een modje aardig genoeg om deze thread te verplaatsen.
Voor ipv4 is het verhaal makkelijk. Standaard gaat alles over de verbinding van kpn heen (geNAT), en op het moment dat deze verbinding wegvalt wordt alles geNAT over de andere uplink. Op dat moment verandert wel iedereen z'n externe ip, maar da's geen ramp; mensen kunnen in ieder geval verder werken.
Voor ipv6 ligt het iets anders, aangezien je standaard geen NAT doet (like d'oh!). Het idee is dat we standaard de xs4all verbinding gebruiken voor ipv6, en ook gewoon de prefix van die verbinding announcen naar de workstations. Als echter later kpn ook ipv6 gaat aanbieden willen we dit als failover kunnen gebruiken, waarbi het uitgangspunt is dat de internet connectiviteit min of meer bewaard blijf. Dat voor de buitenwereld ip adressen zouden veranderen is geen (groot) probleem.
Nu kwam ik toevallig RFC6296 tegen, welke feitelijk stateless nat beschrijft door de prefix te swappen. Nu is alleen mijn probleem hoe ik dit moet implementeren, en/of jullie nog betere oplossingen zien? De RFC is nog in beta, en ik kan vooralsnog geen tools vinden of iptables rules die dit implementeren.
Kortom, what do you think?
p.s. Een beetje twijfelend heb ik dit onder Pro networking gezet. Mocht dit niet professioneel genoeg zijn is er vast een modje aardig genoeg om deze thread te verplaatsen.
[ Voor 12% gewijzigd door Freeaqingme op 09-12-2011 11:49 ]
No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.
...