← All posts tagged IPv6

OCTAGRAM

Enhanced IP
Если трезво смотреть на мир, то транспортная сеть состоит из кучи «костылей», чего только стоят такие технологии как nat (во всех его видах) или virtual links в ospf. Прочитав драфт rfc , посвященный EnIP, я понял, что это очередной костыль. Но честно говоря идея мне понравилась. Ну, начнём.

OCTAGRAM

Перешёл наконец–то на ТТК. Работающего IPv6 не наблюдаю ни в режиме 6to4, ни в 6rd. Туннели создавал на OpenWrt. Судя по давно заглохшей теме на форуме, проблема, скорее всего, не у меня. IP внешний, не 100/24

OCTAGRAM

FYI: пару месяцев назад подключался к ТТК ( @myttkru ), который наконец–то добрался до моего дома. IP, который у них выдался, начинался на 100. Быстро перевёл все DNS на этот новый адрес, который оказался серым, и в результате сайты какое–то время просто лежали. Через личный кабинет заказал сразу, как понял, внешний IP. Неделю ждал, Яндекс мне тИЦ подрезал с 275 до 240, пришлось вернуться на другого провайдера, так и не дождался в недельный срок. Пока куковал на сером, тщетно пытался завести хвалёный 6rd на OpenWrt. Скорее всего, оно просто тупо не работает, потому что ядро Linux 3.3 должно позволять ему работать без особого шаманства, по сравнению со старыми ядрами. На форуме пишут, что 6to4 режется, можно только через 6rd выйти, но с серым IP проверить это было невозможно. Где–то пару недель они мне всё же выделили внешний IP, может быть, на нём 6rd будет работать лучше, но проверить это уже тупо некогда. Плачу пока двум провайдерам, сижу на старом, будет время, разберусь.

OCTAGRAM

При использовании 6to4 надо использовать пониженные MTU. В PPPoE тоже надо MTU понижать. И такое чувство, что машины за роутером про эти понижения не в курсе, и, если каждую машину за роутером не настроить, сеть лажает. Как бы понять, где какие значения MTU, MRU ставить. Прошивка от Олега.

OCTAGRAM

kousec.com
Заметил, что появилась новая версия OrenOSP, почти единственного реверс прокси, умеющего IPv6, TLS и SNI одновременно. Уже ломанул, осталось проверить, снято ли дурацкое ограничение на 6 дополнительных профилей SSL

OCTAGRAM

cjdns.info

CJDNS представляет из себя IPv6 туннель в виртуальную сеть в частных адресах (адреса начинаются с FC). Выход в виртуальную сеть при этом может организовываться по IPv4 каналам или вообще не–TCP/IP каналам. Соединения шифруются. Сами адреса содержат в себе хеши ключей. От публичного ключа два раза берётся SHA и используется в качестве префикса подсети. Префикс должен начинаться на FC, поэтому при генерации асимметричных ключей процесс повторяется до тех пор, пока хеш от хеша не будет начинаться на FC. На сайты и другие сервисы можно заходить как по IP, так и по обычным доменным именам, если назначить на них виртуальный IPv6. В купе с Namecoin, CJDNS завершает построение независимого Интернета. CJDNS даёт адресное пространство и криптографию, Namecoin даёт домены. И всё это не требует значительных модификаций клиентского ПО, в отличие от I2P.

Недостаток текущей реализации: несмотря на значительное количество качественных переносимых библиотек, таких, как Core Foundation и OpenCFLite, GLib, Apache Portable Runtime, Mozilla и прочих, авторов CJDNS хлебом не корми, дай пописать так, чтобы некроссплатформенно получилось. Версия для Windows отсутствует.

OCTAGRAM

Похоже, это удобно — создать сокет типа TCP или UDP, потом резолвить имя, получить смешанные результаты, как в IPv6, так и в IPv4, пытаться к ним коннектиться в какой–то последовательности, используя один и тот же сокет. Вот только в 2003 и XP нельзя AF_INET6 сокет к IPv4 адресу коннектить. Чешу голову в раздумьях, как бы аккуратнее Inferno починить. Тут либо глобальную таблицу соответствий внутреннего id сокета и системного делать, либо внутренний интерфейс поменять так, чтобы so_socket возвращал int64 с двойным комплектом id сокетов

OCTAGRAM

Поддержка IPv6 в Inferno была реализована в июле 2009, однако, на Windows её по дефолту отключили, так как на Windows XP, 2003 и ниже собранная с IPv6 версия не работала с сетью совсем. Происходит это потому, что в исходном коде сделан полный переход на шестые сокеты, в том числе для IPv4. setsockopt(..., IPV6_V6ONLY, ..., 0) можно сделать только начиная с Windows 2008/Vista.

OCTAGRAM

delegate.org orenosv.com — два многофункциональных прокси, которые, в частности, умеют то, что мне нужно (reverse proxy, SSL, IPv6, Windows), и вдобавок, есть у них и свои многочисленные плюшки, такие, как WebDAV URL rewrite, который не работает, если просто менять URL, как в Squid. В википедии ( en.wikipedia.org ) ни тот, ни другой не были упомянуты, поэтому сходу не наткнулся на них.

OCTAGRAM

И правда, может, над Squid ещё один reverse прокси пока что навесить, а то с виртуалкой застрял пока. Apache Traffic Server — не вижу виндов. TinyProxy — туда же. Stone, похоже, не умеет X-Forwarded-For. Pound — не умеет виндов. Посмотрим, что умеет PortFusion

OCTAGRAM

Так просто IPv6 диапазоны, значит, не настроишь. Всё или ничего.
ICF allowed excepted traffic to come from any IPv4 address. With Windows Firewall in Windows Server 2003 with Service Pack 1, you can also configure an exception to allow incoming traffic only from addresses that are directly reachable by selecting the My network (subnet) only scope option (based on entries in the IPv4 and IPv6 routing table), *or from specific IPv4 address ranges* by selecting the Custom list scope option.

OCTAGRAM

Пытаюсь для своих небольших нужд настроить подсеть ipv6. От провайдера я получаю /48 (IIUC), надо как–то распилить. В инете полезной инфы мало. Если делать всё стандартными средствами (ICS), то подсетка выходит в инет через 6to4, хотя сам комп выходит нативно. Как выяснилось, Internet Connection Sharing так устроен by design.

Отключил нафиг 6to4, теперь внутренняя (виртуальная) тачка никакого IPv6 не получает. Очень много в Интернете мусора на тему, как настроить 6to4 шлюз. Ну, с этим–то как раз проблем не было, кроме фигового пинга. Как нативный IPv6 пилить на подсети? Мыкался с netsh interface ipv6, до работающего состояния пока не дошёл. IPv6 после IPv4 совершенно непривычный. Другая категория IPv6 мусора — это инструкции по настройке маршрутизации в замкнутой сети на site-local адресах. Опять не то. Например, там сказано включить advertise на обоих интерфейсах, но если я это делаю на провайдерском интерфейсе, доступ в шестой Интернет прекращается. Ну хоть бы где–нибудь от и до рабочий конфиг, чтоб все netsh набрать, и чтоб работало. Что теория, что практика пока что выносит мозг.