PrASK 2017 - konsultacje

Przedmioty
#21

Ale oczywiście można mieć na tym samym interfejsie i WAN i LAN. Np. za pomocą VLANów:

config 'interface' 'wan'
        option 'proto' 'dhcp'
        # WAN na VLAN 1
        option 'ifname' 'eth0.1'

config 'interface' 'lan'
        option 'proto' 'static'
        option 'ipaddr' '...'
        option 'netmask' '[...]'
        # LAN na VLAN 2
        option 'ifname' 'eth0.2'
#22

Ja mam teraz tak:

config interface 'lan'
	option type 'bridge'
	option ifname 'wlan0'
	option proto 'static'
	option ipaddr '10.10.10.1'
	option netmask '255.255.255.0'
	option ip6assign '60'

config interface 'wan'
	option ifname 'eth0'
	option proto 'dhcp'

config interface 'vpn'
	option ifname 'tun0'
	option defaultroute '0'
	option peerdns '0'
	option proto 'none'
#23

Czyli Twój interfejs eth0 to wan i powinien sobie ustawić adres po DHCP o ile sieć do której jest wpięty daje. Na WiFi za to masz LAN i tam działa dhcp z routera (o ile jest włączone i firewall/nat jest aktywny).

#24

Ok, teraz działa. Wcześniej miałem tak:

config interface 'lan'
        option ifname 'eth0'
        [...]

config interface 'wan'
        option proto 'dhcp'

Co spowodowało, że teraz ten port to WAN a nie LAN jak wcześniej?

#25

Nie bardzo rozumiem pytanie… Ważne, że działa.

#26

No fajnie że działa, ale chciałbym wiedzieć czemu wcześniej nie działało :stuck_out_tongue:

#27

Jeżeli rozumiem to co wkleiłeś to interfejs eth0 był jako LAN a WAN nie miał przydzielonego interfesu w ogóle.

#28

Tak, było. To była konfiguracja, w której po wifi łączyłem się z [innym] routerem, a po kablu z komputerem.

#29

Czyli to był w zasadzie nie router a bridge (zadanie => co to jest bridge?).

#30

Lista 6 - IPv6

Zadanie 4
Po pracowni z DNS-em przepiąłem się na DNS z OVH. Czy zadanie 4 można oddać za full punktów z innym DNS-em?

Zadanie 5
Chciałem zrobić wg instrukcji z OpenVPN wiki.

  1. Czy ta metoda zastąpi Teredo / inne tunele ipv6?
  2. Czy podział na dwie podsieci /65 wystarczy do celów demonstracyjnych? Skoro SLAAC się sypie to może NDP też.
  3. Mogę pingać z klienta serwer, a z serwera zarówno klienta jak i świat. Problem w tym, że z klienta świata już nie mogę pingnąć. Mam net.inet6.ip6.forwarding=1. W ip6tables FORWARD ustawiony na ACCEPT.
#31

(4) Jak najbardziej. Nie ma znaczenia jaki będzie DNS.
(5)

  1. Jak najbardziej. Choć tunel, np. he.net też chciałbym u kogoś zobaczyć. :wink:
  2. Tak. Z tej samej strony OpenVpn:
    It is recommended to use a /64 for your OpenVPN subnet. While OpenVPN can happily use smaller networks (such as a /112) this is not compatible with the 2.2.x dev-patches that f.ex Debian uses. Thus a /64 is the preferred choice for an OpenVPN IPv6 allocation.
  3. Czy klient na pewno dostaje IPv6 po połączeniu z VPN? Czy ma bramę domyślną w stacku IPv6?
1 polubienie
#32

I jeszcze:

Splitting a single routable IPv6 netblock

Otherwise, there is a way out. Typically /64 IPv6 netblocks are assigned, leaving a large address space. For an OpenVPN setup, this address space can be broken in 2, /65-prefix parts, the first being assigned to the physical network interface, and the second to the VPN. Warning operating netblocks smaller than /64 might break some network features.

Avoid this setup if you are using any of:

    SLAAC. If you are using SLAAC and have no way around, ask your ISP for permission to use static address assignment on your VPN server.
    IPv6 Multicast - RFC3306
    Cryptographically Generated Address - CGA - RFC3972
    NAT64 - RFC6052
    IPv6-to-IPv6 Network Prefix Translation - NPTv6 - RFC6296
    Identifier-Locator Network Protocol - ILNP - RFC6741
    Multihoming Shim Protocol for IPv6 - shim6 - RFC5533 

See this ​Internet Draft for details.
#33

Po chwili namysłu: zapewne trzeba dodać ndp proxy w przypadku takiej konfiguracji na serwerze:

net.ipv6.conf.all.proxy_ndp = 1

“learn-address /etc/openvpn/ndp-proxy-ipv6” w konfiguracji OpenVpn

a w tym pliku (po wcześniejszym ustawieniu go jako wykonywalny) coś w stylu:

#!/bin/bash

action=${1}
addr=${2}

case "$action" in
    add)
        ip neigh add proxy ${addr} dev tun1
        ;;
    update)
        ip neigh replace proxy ${addr} dev tun1
        ;;
    delete)
        ip neigh del proxy ${addr} dev tun1
        ;;
esac

logger $*

Dodatkowo oczywiście push “redirect-gateway ipv6” w konfiguracji OpenVpn jeśli cały ruch ma iść przez serwer VPNa.

Dlaczego? Oczywiście problem z siecią mniejszą niż /64.

#34

Zadziałało. Okazało się, że wyrzucenie push “route-ipv6 2000::/3” w OpenVPN server.conf załatwiło sprawę.

#35

Brawo :]

2000::/3 to cała obecnie używana przestrzeń adresowa w IPv6. To powinno być zrobione dyrektywą “redirect-gateway ipv6”. Niestety bez całej konfiguracji ciężko mi powiedzieć dlaczego w Pana przypadku z tym nie chciało działać.

#36

Co w przypadku gdy osoba która administruje serwerem, który jest moim drugim DNSem przestała chodzić na zajęcia? Mam przenieść serwer do kogoś innego czy możemy pominąć tą część?

#37

Możemy pominąć tą część. Można też przenieść DNS np. do mnie. Albo na kolejnych zajęciach umówić się z inną osobą. Wedle uznania. W każdym razie można dostać max punktów tylko z jednym DNSem.

#38

@Bozydar też mam ten problem, więc proponuję żebym Cię do mnie wpisał, a ja do Ciebie. Po oddaniu tej listy będę przepinać się na własny DNS, więc dam Ci znać.

#39

@maronski Nasz problem jest tak podobny, że wręcz dotyczy tej samej osoby :stuck_out_tongue_winking_eye:

#40

Lista 7 - serwer email

  1. Czy mamy konfigurować rDNSy? Czy dobrze myślę, że trzeba w tej sprawie skontaktować się z Dataspace? Czy jest to bardziej problem z poniższą konfiguracją

  2. Czy GLUE recordy z https://www.mythic-beasts.com/ipv6/health-check mają być na zielono? Właśnie męczę o to support OVH :wink:

  3. Jak będzie wyglądało oddanie listy zdalnie?