Re: [rlug] Webserver pe IPv6

Fri, 10 Jan 2020 15:27:26 -0800

  Nu cred sa fie ceva defect - toate chestiile non-IPv6 merg ok. Problema e undeva intre scaun si tastatura - configurez eu ceva gresit. Mai e si complicatia ca serverul e un jail FreeBSD (FreeNAS, mai exact), iar cunostintele mele de BSD is la fel de limitate ca si cele de IPv6. De aia intreb pe lista, poate imi da cineva vre-un hint :-). 

Chestii pe care nu le stiu:


1. Cum/daca e configurat de fapt firewallul pe serverul bsd. Daca rulez 
"ipfw" fie pe host fie in jail, zice acelasi lucru:


   root@freenas:~ # ipfw list
   65535 allow ip from any to any


Insa nu bag mana in foc ca asta acopera si ipv6. Pagina de man de la 
ipfw are vreo 20000 de linii de text, inca nu l-am descalcit.



2. Care e relatia intre host-ul bsd si jail (cum se trateaza/forwardeaza 
pachetele). Jailul are o tona de optiuni de configurare si pe unele nu 
le inteleg, de exemplu "ip6.saddrsel" (google "man jail freebsd 12").



3. Daca am facut bine punand static/de mana adresa de IPv6 a jailului. 
Poate ca jailul acum tace chitic in loc sa faca broadcast la adresa 
dumisale si ca urmare routerul nu afla de existenta lui (nu stiu, imi 
dau cu parerea). Poate exista vre-un mecanism (DHCP6 or something) prin 
care routerul sa asigneze adrese IPv6 statice, similar cu IPv4. Problema 
e ca interfata web a routerului meu nu are asemenea optiune - am de ales 
intre "disabled, native, static, passthrough, tunnel6to4, etc". Am 
incercat toate combinatiile, "native" pare cea mai promitatoare. Am 
uitat sa mentionez - pt ISP trebuie sa furnizez un "DUID" care 
bineinteles ca nu exista nicaieri in interfata web. Am depistat cum se 
face dupa vreo saptamana de sapat (detalii la cerere), insa nici aia nu 
merge decat din linia de comanda. Pe statia mea Linux am configurat tot 
un ipv6 static, si asta pare sa mearga. Zic "pare" pentru ca nu pot 
testa cu adevarat din exterior fara sa "activez" routerul (ok, as putea, 
insa e mai complicat).



Deci probleme pot fi multe, si ar putea fi legate de FreeBSD, nu de 
Linux. Mai citesc documentatii, dar deocamdata nici nu stiu sigur de 
unde sa incep.


Mihai


On 1/10/20 10:08 PM, Adrian Minta wrote:

Salut,


la ipv6 nu se foloseste ARP ci un alt mecanism ND (Neighbor 
Discovery), bazat pe multicast.


E posibil sa ai ceva probleme cu multicastul ?

Firewall pe server sau un switch de retea defect ?


On 1/10/20 10:27 PM, Mihai Osian wrote:



  Mi-am revenit dupa socul anului nou si am mai sapat in jurul 
problemei. Am aflat ca adresa MAC a serverului e pastrata in cache-ul 
ARP al routerului doar un timp limitat. Imediat dupa ping 
inregistrarea ARP apare ca "REACHABLE", in decurs de 20 de secunde se 
transforma in "STALE", iar dupa 1 minut dispare de tot. Ceve de genul:


   admin@RT-AC68U-68A8:/tmp/home/root# ping6 2a02:<cenzurat>::3
   PING 2a02:<cenzurat>::3 (2a02:<cenzurat>::3): 56 data bytes
   64 bytes from 2a02:<cenzurat>::3: seq=0 ttl=64 time=10.386 ms
   64 bytes from 2a02:<cenzurat>::3: seq=1 ttl=64 time=0.385 ms
   64 bytes from 2a02:<cenzurat>::3: seq=2 ttl=64 time=0.414 ms
   ^C
   --- 2a02:<cenzurat>::3 ping statistics ---
   3 packets transmitted, 3 packets received, 0% packet loss
   round-trip min/avg/max = 0.385/3.728/10.386 ms

   admin@RT-AC68U-68A8:/tmp/home/root# watch ip -6 neigh | grep '::3'
   2a02:<cenzurat>::3 dev br0 lladdr 08:62:66:2d:5e:24 REACHABLE
   2a02:<cenzurat>::3 dev br0 lladdr 08:62:66:2d:5e:24 REACHABLE
   2a02:<cenzurat>::3 dev br0 lladdr 08:62:66:2d:5e:24 REACHABLE
   2a02:<cenzurat>::3 dev br0 lladdr 08:62:66:2d:5e:24 REACHABLE
   2a02:<cenzurat>::3 dev br0 lladdr 08:62:66:2d:5e:24 REACHABLE
   2a02:<cenzurat>::3 dev br0 lladdr 08:62:66:2d:5e:24 REACHABLE
   2a02:<cenzurat>::3 dev br0 lladdr 08:62:66:2d:5e:24 REACHABLE
   2a02:<cenzurat>::3 dev br0 lladdr 08:62:66:2d:5e:24 REACHABLE
   2a02:<cenzurat>::3 dev br0 lladdr 08:62:66:2d:5e:24 REACHABLE
   2a02:<cenzurat>::3 dev br0 lladdr 08:62:66:2d:5e:24 REACHABLE
   2a02:<cenzurat>::3 dev br0 lladdr 08:62:66:2d:5e:24 REACHABLE
   2a02:<cenzurat>::3 dev br0 lladdr 08:62:66:2d:5e:24 STALE
   2a02:<cenzurat>::3 dev br0 lladdr 08:62:66:2d:5e:24 STALE
   2a02:<cenzurat>::3 dev br0 lladdr 08:62:66:2d:5e:24 STALE
   [...]
   2a02:<cenzurat>::3 dev br0 lladdr 08:62:66:2d:5e:24 STALE
   2a02:<cenzurat>::3 dev br0 lladdr 08:62:66:2d:5e:24 STALE
   2a02:<cenzurat>::3 dev br0 lladdr 08:62:66:2d:5e:24 STALE
   [~1 minut ==> dispare]
   ^C
   admin@RT-AC68U-68A8:/tmp/home/root#

Solutia pare a fi o inregistrare manuala:

   admin@RT-AC68U-68A8:/tmp/home/root# ip -6 neigh add
   2a02:<cenzurat>::3 dev br0 lladdr 08:62:66:2d:5e:24
   admin@RT-AC68U-68A8:/tmp/home/root# ip -6 neigh
   2a02:<cenzurat>:3df4 dev br0 lladdr b8:ae:ed:ea:5f:12 STALE
   2a02:<cenzurat>::4 dev br0 lladdr 70:85:c2:59:dc:19 REACHABLE
   2a02:<cenzurat>::3 dev br0 lladdr 08:62:66:2d:5e:24 *PERMANENT*
   [...]


Si serverul meu de web e acum vizibil pe IPv6. Cel putin pana cand se 
ia curentul sau rebootez routerul....


Mihai




_______________________________________________
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro






















					Raspunde prin e-mail lui