Re: [rlug] Webserver pe IPv6
Aha, mersi. Eu pe RDS nu am DUID așa că prefixul primit e dinamic... On Tue, Jan 21, 2020 at 7:51 PM Mihai Osian wrote: > Exista un singur prefix luat cu PD. Cata vreme ii trimit ISP-ului > asa-numitul DUID (DHCP Unique Id) - pe care l-am pomenit anterior, > dansul promite sa imi dea un prefix cunoscut si bine-stabilit. Iar > serverului meu i-am asignat o adresa in mod manual, formata din prefixul > cunoscut urmat de ::3 sau ce-am vrut eu. Firewallul din router l-am > configurat corespunzator. > > Si ca tot a reinviat discutia: am rezolvat problema insa nu stiu exact > ce a fost. Am observat ca forwardingul mergea perfect cu o alta mashina > virtuala de pe acelasi host FreeBSD, asa ca am copiat toate setarile > jailului de la unul la altul (minus adresa de IPv6, of course). > Ta-daa... acu' merge. Nu am mai avut timp si nervi sa investighez ce a > fost de fapt (PEBCAK, obviously). > > Mihai > > > > On 1/21/20 10:56 AM, Adrian Popa wrote: > > Scuze, am crezut că vrei să dai permit pentru http/https pe ipv6 dinspre > > WAN. Și nu știam cum o să faci managementul IP-ului dinamic v6 din LAN în > > firewall. > > > > On Tue, Jan 21, 2020 at 11:35 AM Adrian M > wrote: > > > >> Allow from LAN to WAN + track > >> Deny from WAN to LAN + log > >> > >> On Tue, Jan 21, 2020 at 9:39 AM Adrian Popa > >> wrote: > >> > >>> Vin și eu cu o întrebare - dacă prefixele în LAN le iei cu PD, și sunt > >>> relativ random (partea din IP dată de provider), cum faci cu regulile > de > >>> forward din firewall ASUS? Le rescrii la fiecare reboot când se schimbă > >>> IP-ul v6 din LAN? > >>> > >>> On Sat, Jan 11, 2020 at 11:54 PM Mihai Osian > >>> wrote: > >>> > Nu auzisem de OMV pana acum. Pare intersant - la prima vedere e cam > echivalent cu FreeNAS. > Dar am peste 3TB de date stocate sub ZFS si mai multe mashini virtuale > (unele pt business projects). Chestia cu IPv6 e un moft de al meu, nu > >> se > justifica... > > Mihai > > > > On 1/11/20 9:59 PM, Adrian Minta wrote: > > Da, OpenMediaVault. > > > > On 1/11/20 9:45 PM, Mihai Osian wrote: > >>Mersi, o sa ma uit. Ce e OMV ? OpenMediaVault ? > >> > >> Mihai > >> > >> > >> On 1/11/20 6:33 PM, Adrian Minta wrote: > >>> Vad ca sunt mai multi care au probleme cu FreeNAS și ipv6: > >>> > >>> https://www.google.com/search?q=freenas+ipv6 > >>> > >>> > >> https://gist.github.com/nightspotlight/1e2800de29efcfb68a3293b30a80a574 > >>> Vezi daca nu te descurci mai bine cu OMV. > >>> > >>> > >>> On 1/11/20 1:19 PM, Mihai Osian wrote: > Mersi de info. Pornind de la ce mi-ai zis anterior de > multicasting/neighbor discovery am pornit un wireshark pe > >> desktopul > linux si am inceput sa sniffuiesc icmpv6. Am facut asa: > > - am scos inregistrarea aia manuala "ip -6 neigh add " de > pe router > - asteptat un minut > - ping6 din exterior catre jail > ==> vad un Neighbor Solicitation broadcast venind de la router, > cautand adresa jailului. > - nu vad nici un raspuns (dar presupun ca Neighbor Advertisement > >> in > cazul asta e unicast si nu ajunge pana la desktopul meu Linux, > >> deci > nu inseamna nimic) > > Am incercat sa fac un "tcpdump icmp6" din jailul FreeBSD, insa > imi zice 'tcpdump: (there are no BPF devices)'. Aparent trebuie > mapate devfs si facut ceva voodoo in configuratia jail-ului. Am > gasit pe Google niste raspunsuri la intrebarea "tcpdump in iocage" > - ceva cu setat devfs.rules si bpf=yes, dar la mine nu > >> functioneaza > (sau nu inca), in sensul ca "iocage get -a " imi confirma ce > am setat, dar cand execut jailul nu vad nici un /dev/bpf. > Deocamdata cu tcpdump in jail m-am blocat. > > Am rulat tcpdump din host, si cand dau ping6 din exterior > (nl.traceroute6.net) catre jailul meu (2a02:::3) vad > >> asa: > root@freenas:~ # tcpdump -i bridge0 icmp6 > tcpdump: verbose output suppressed, use -v or -vv for full > >>> protocol > decode > listening on bridge0, link-type EN10MB (Ethernet), capture > size > 262144 bytes > 12:04:59.055588 IP6 fe80::e23f:49ff:fe24:68a8 > > ff02::1:ff00:3: > ICMP6, neighbor solicitation, who has 2a02:::3, > >> length > >>> 32 > 12:05:00.055630 IP6 fe80::e23f:49ff:fe24:68a8 > > ff02::1:ff00:3: > ICMP6, neighbor solicitation, who has 2a02:::3, > >> length > >>> 32 > 12:05:01.055500 IP6 fe80::e23f:49ff:fe24:68a8 > > ff02::1:ff00:3: > ICMP6, neighbor solicitation, who has 2a02:::3, > >> length > >>> 32 > 12:05:02.729031 IP6 fe80::e23f:49ff:fe24:68a8 > > ip6-allnodes..com: ICMP6, router advertisement, > >> length > >>
Re: [rlug] Webserver pe IPv6
Exista un singur prefix luat cu PD. Cata vreme ii trimit ISP-ului asa-numitul DUID (DHCP Unique Id) - pe care l-am pomenit anterior, dansul promite sa imi dea un prefix cunoscut si bine-stabilit. Iar serverului meu i-am asignat o adresa in mod manual, formata din prefixul cunoscut urmat de ::3 sau ce-am vrut eu. Firewallul din router l-am configurat corespunzator. Si ca tot a reinviat discutia: am rezolvat problema insa nu stiu exact ce a fost. Am observat ca forwardingul mergea perfect cu o alta mashina virtuala de pe acelasi host FreeBSD, asa ca am copiat toate setarile jailului de la unul la altul (minus adresa de IPv6, of course). Ta-daa... acu' merge. Nu am mai avut timp si nervi sa investighez ce a fost de fapt (PEBCAK, obviously). Mihai On 1/21/20 10:56 AM, Adrian Popa wrote: Scuze, am crezut că vrei să dai permit pentru http/https pe ipv6 dinspre WAN. Și nu știam cum o să faci managementul IP-ului dinamic v6 din LAN în firewall. On Tue, Jan 21, 2020 at 11:35 AM Adrian M wrote: Allow from LAN to WAN + track Deny from WAN to LAN + log On Tue, Jan 21, 2020 at 9:39 AM Adrian Popa wrote: Vin și eu cu o întrebare - dacă prefixele în LAN le iei cu PD, și sunt relativ random (partea din IP dată de provider), cum faci cu regulile de forward din firewall ASUS? Le rescrii la fiecare reboot când se schimbă IP-ul v6 din LAN? On Sat, Jan 11, 2020 at 11:54 PM Mihai Osian wrote: Nu auzisem de OMV pana acum. Pare intersant - la prima vedere e cam echivalent cu FreeNAS. Dar am peste 3TB de date stocate sub ZFS si mai multe mashini virtuale (unele pt business projects). Chestia cu IPv6 e un moft de al meu, nu se justifica... Mihai On 1/11/20 9:59 PM, Adrian Minta wrote: Da, OpenMediaVault. On 1/11/20 9:45 PM, Mihai Osian wrote: Mersi, o sa ma uit. Ce e OMV ? OpenMediaVault ? Mihai On 1/11/20 6:33 PM, Adrian Minta wrote: Vad ca sunt mai multi care au probleme cu FreeNAS și ipv6: https://www.google.com/search?q=freenas+ipv6 https://gist.github.com/nightspotlight/1e2800de29efcfb68a3293b30a80a574 Vezi daca nu te descurci mai bine cu OMV. On 1/11/20 1:19 PM, Mihai Osian wrote: Mersi de info. Pornind de la ce mi-ai zis anterior de multicasting/neighbor discovery am pornit un wireshark pe desktopul linux si am inceput sa sniffuiesc icmpv6. Am facut asa: - am scos inregistrarea aia manuala "ip -6 neigh add " de pe router - asteptat un minut - ping6 din exterior catre jail ==> vad un Neighbor Solicitation broadcast venind de la router, cautand adresa jailului. - nu vad nici un raspuns (dar presupun ca Neighbor Advertisement in cazul asta e unicast si nu ajunge pana la desktopul meu Linux, deci nu inseamna nimic) Am incercat sa fac un "tcpdump icmp6" din jailul FreeBSD, insa imi zice 'tcpdump: (there are no BPF devices)'. Aparent trebuie mapate devfs si facut ceva voodoo in configuratia jail-ului. Am gasit pe Google niste raspunsuri la intrebarea "tcpdump in iocage" - ceva cu setat devfs.rules si bpf=yes, dar la mine nu functioneaza (sau nu inca), in sensul ca "iocage get -a " imi confirma ce am setat, dar cand execut jailul nu vad nici un /dev/bpf. Deocamdata cu tcpdump in jail m-am blocat. Am rulat tcpdump din host, si cand dau ping6 din exterior (nl.traceroute6.net) catre jailul meu (2a02:::3) vad asa: root@freenas:~ # tcpdump -i bridge0 icmp6 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on bridge0, link-type EN10MB (Ethernet), capture size 262144 bytes 12:04:59.055588 IP6 fe80::e23f:49ff:fe24:68a8 > ff02::1:ff00:3: ICMP6, neighbor solicitation, who has 2a02:::3, length 32 12:05:00.055630 IP6 fe80::e23f:49ff:fe24:68a8 > ff02::1:ff00:3: ICMP6, neighbor solicitation, who has 2a02:::3, length 32 12:05:01.055500 IP6 fe80::e23f:49ff:fe24:68a8 > ff02::1:ff00:3: ICMP6, neighbor solicitation, who has 2a02:::3, length 32 12:05:02.729031 IP6 fe80::e23f:49ff:fe24:68a8 > ip6-allnodes..com: ICMP6, router advertisement, length 112 12:05:03.055592 IP6 fe80::e23f:49ff:fe24:68a8 > ff02::1:ff00:3: ICMP6, neighbor solicitation, who has 2a02:::3, length 32 12:05:04.055579 IP6 fe80::e23f:49ff:fe24:68a8 > ff02::1:ff00:3: ICMP6, neighbor solicitation, who has 2a02:::3, length 32 12:05:05.055507 IP6 fe80::e23f:49ff:fe24:68a8 > ff02::1:ff00:3: ICMP6, neighbor solicitation, who has 2a02:::3, length 32 12:05:06.428319 IP6 fe80::d6c4:2650:5902:a71b > ff02::1:ff00:0: ICMP6, neighbor solicitation, who has ::, length 32 (etc, more of the same) unde "fe80::e23f:49ff:fe24:68a8" e adresa LAN link-local a routerului. Nu vad nici un neighbor advertisement care sa mearga inapoi. Daca dau ping6 de la desktopul Linux (adresa cu ::4 in coada) la jail (adresa cu ::3): root@freenas:~ # tcpdump -i bridge0 icmp6 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on bridge0, link-type EN10MB
Re: [rlug] Webserver pe IPv6
Scuze, am crezut că vrei să dai permit pentru http/https pe ipv6 dinspre WAN. Și nu știam cum o să faci managementul IP-ului dinamic v6 din LAN în firewall. On Tue, Jan 21, 2020 at 11:35 AM Adrian M wrote: > Allow from LAN to WAN + track > Deny from WAN to LAN + log > > On Tue, Jan 21, 2020 at 9:39 AM Adrian Popa > wrote: > > > Vin și eu cu o întrebare - dacă prefixele în LAN le iei cu PD, și sunt > > relativ random (partea din IP dată de provider), cum faci cu regulile de > > forward din firewall ASUS? Le rescrii la fiecare reboot când se schimbă > > IP-ul v6 din LAN? > > > > On Sat, Jan 11, 2020 at 11:54 PM Mihai Osian > > wrote: > > > > > Nu auzisem de OMV pana acum. Pare intersant - la prima vedere e cam > > > echivalent cu FreeNAS. > > > Dar am peste 3TB de date stocate sub ZFS si mai multe mashini virtuale > > > (unele pt business projects). Chestia cu IPv6 e un moft de al meu, nu > se > > > justifica... > > > > > > Mihai > > > > > > > > > > > > On 1/11/20 9:59 PM, Adrian Minta wrote: > > > > Da, OpenMediaVault. > > > > > > > > On 1/11/20 9:45 PM, Mihai Osian wrote: > > > >> Mersi, o sa ma uit. Ce e OMV ? OpenMediaVault ? > > > >> > > > >> Mihai > > > >> > > > >> > > > >> On 1/11/20 6:33 PM, Adrian Minta wrote: > > > >>> Vad ca sunt mai multi care au probleme cu FreeNAS și ipv6: > > > >>> > > > >>> https://www.google.com/search?q=freenas+ipv6 > > > >>> > > > >>> > > > > https://gist.github.com/nightspotlight/1e2800de29efcfb68a3293b30a80a574 > > > >>> > > > >>> Vezi daca nu te descurci mai bine cu OMV. > > > >>> > > > >>> > > > >>> On 1/11/20 1:19 PM, Mihai Osian wrote: > > > Mersi de info. Pornind de la ce mi-ai zis anterior de > > > multicasting/neighbor discovery am pornit un wireshark pe > desktopul > > > linux si am inceput sa sniffuiesc icmpv6. Am facut asa: > > > > > > - am scos inregistrarea aia manuala "ip -6 neigh add " de > > > pe router > > > - asteptat un minut > > > - ping6 din exterior catre jail > > > ==> vad un Neighbor Solicitation broadcast venind de la router, > > > cautand adresa jailului. > > > - nu vad nici un raspuns (dar presupun ca Neighbor Advertisement > in > > > cazul asta e unicast si nu ajunge pana la desktopul meu Linux, > deci > > > nu inseamna nimic) > > > > > > Am incercat sa fac un "tcpdump icmp6" din jailul FreeBSD, insa > > > imi zice 'tcpdump: (there are no BPF devices)'. Aparent trebuie > > > mapate devfs si facut ceva voodoo in configuratia jail-ului. Am > > > gasit pe Google niste raspunsuri la intrebarea "tcpdump in iocage" > > > - ceva cu setat devfs.rules si bpf=yes, dar la mine nu > functioneaza > > > (sau nu inca), in sensul ca "iocage get -a " imi confirma ce > > > am setat, dar cand execut jailul nu vad nici un /dev/bpf. > > > Deocamdata cu tcpdump in jail m-am blocat. > > > > > > Am rulat tcpdump din host, si cand dau ping6 din exterior > > > (nl.traceroute6.net) catre jailul meu (2a02:::3) vad > asa: > > > > > > root@freenas:~ # tcpdump -i bridge0 icmp6 > > > tcpdump: verbose output suppressed, use -v or -vv for full > > protocol > > > decode > > > listening on bridge0, link-type EN10MB (Ethernet), capture size > > > 262144 bytes > > > 12:04:59.055588 IP6 fe80::e23f:49ff:fe24:68a8 > ff02::1:ff00:3: > > > ICMP6, neighbor solicitation, who has 2a02:::3, > length > > 32 > > > 12:05:00.055630 IP6 fe80::e23f:49ff:fe24:68a8 > ff02::1:ff00:3: > > > ICMP6, neighbor solicitation, who has 2a02:::3, > length > > 32 > > > 12:05:01.055500 IP6 fe80::e23f:49ff:fe24:68a8 > ff02::1:ff00:3: > > > ICMP6, neighbor solicitation, who has 2a02:::3, > length > > 32 > > > 12:05:02.729031 IP6 fe80::e23f:49ff:fe24:68a8 > > > > ip6-allnodes..com: ICMP6, router advertisement, > length > > > 112 > > > 12:05:03.055592 IP6 fe80::e23f:49ff:fe24:68a8 > ff02::1:ff00:3: > > > ICMP6, neighbor solicitation, who has 2a02:::3, > length > > 32 > > > 12:05:04.055579 IP6 fe80::e23f:49ff:fe24:68a8 > ff02::1:ff00:3: > > > ICMP6, neighbor solicitation, who has 2a02:::3, > length > > 32 > > > 12:05:05.055507 IP6 fe80::e23f:49ff:fe24:68a8 > ff02::1:ff00:3: > > > ICMP6, neighbor solicitation, who has 2a02:::3, > length > > 32 > > > 12:05:06.428319 IP6 fe80::d6c4:2650:5902:a71b > ff02::1:ff00:0: > > > ICMP6, neighbor solicitation, who has ::, length 32 > > > (etc, more of the same) > > > > > > unde "fe80::e23f:49ff:fe24:68a8" e adresa LAN link-local a > > > routerului. Nu vad nici un neighbor advertisement care sa mearga > > > inapoi. > > > > > > Daca dau ping6 de la desktopul Linux (adresa cu ::4 in coada) la > > > jail (adresa cu ::3): > > > > > > root@freenas:~ # tcpdump -i bridge0 icmp6 > > > tcpdump: verbose output suppres
Re: [rlug] Webserver pe IPv6
Allow from LAN to WAN + track Deny from WAN to LAN + log On Tue, Jan 21, 2020 at 9:39 AM Adrian Popa wrote: > Vin și eu cu o întrebare - dacă prefixele în LAN le iei cu PD, și sunt > relativ random (partea din IP dată de provider), cum faci cu regulile de > forward din firewall ASUS? Le rescrii la fiecare reboot când se schimbă > IP-ul v6 din LAN? > > On Sat, Jan 11, 2020 at 11:54 PM Mihai Osian > wrote: > > > Nu auzisem de OMV pana acum. Pare intersant - la prima vedere e cam > > echivalent cu FreeNAS. > > Dar am peste 3TB de date stocate sub ZFS si mai multe mashini virtuale > > (unele pt business projects). Chestia cu IPv6 e un moft de al meu, nu se > > justifica... > > > > Mihai > > > > > > > > On 1/11/20 9:59 PM, Adrian Minta wrote: > > > Da, OpenMediaVault. > > > > > > On 1/11/20 9:45 PM, Mihai Osian wrote: > > >> Mersi, o sa ma uit. Ce e OMV ? OpenMediaVault ? > > >> > > >> Mihai > > >> > > >> > > >> On 1/11/20 6:33 PM, Adrian Minta wrote: > > >>> Vad ca sunt mai multi care au probleme cu FreeNAS și ipv6: > > >>> > > >>> https://www.google.com/search?q=freenas+ipv6 > > >>> > > >>> > > https://gist.github.com/nightspotlight/1e2800de29efcfb68a3293b30a80a574 > > >>> > > >>> Vezi daca nu te descurci mai bine cu OMV. > > >>> > > >>> > > >>> On 1/11/20 1:19 PM, Mihai Osian wrote: > > Mersi de info. Pornind de la ce mi-ai zis anterior de > > multicasting/neighbor discovery am pornit un wireshark pe desktopul > > linux si am inceput sa sniffuiesc icmpv6. Am facut asa: > > > > - am scos inregistrarea aia manuala "ip -6 neigh add " de > > pe router > > - asteptat un minut > > - ping6 din exterior catre jail > > ==> vad un Neighbor Solicitation broadcast venind de la router, > > cautand adresa jailului. > > - nu vad nici un raspuns (dar presupun ca Neighbor Advertisement in > > cazul asta e unicast si nu ajunge pana la desktopul meu Linux, deci > > nu inseamna nimic) > > > > Am incercat sa fac un "tcpdump icmp6" din jailul FreeBSD, insa > > imi zice 'tcpdump: (there are no BPF devices)'. Aparent trebuie > > mapate devfs si facut ceva voodoo in configuratia jail-ului. Am > > gasit pe Google niste raspunsuri la intrebarea "tcpdump in iocage" > > - ceva cu setat devfs.rules si bpf=yes, dar la mine nu functioneaza > > (sau nu inca), in sensul ca "iocage get -a " imi confirma ce > > am setat, dar cand execut jailul nu vad nici un /dev/bpf. > > Deocamdata cu tcpdump in jail m-am blocat. > > > > Am rulat tcpdump din host, si cand dau ping6 din exterior > > (nl.traceroute6.net) catre jailul meu (2a02:::3) vad asa: > > > > root@freenas:~ # tcpdump -i bridge0 icmp6 > > tcpdump: verbose output suppressed, use -v or -vv for full > protocol > > decode > > listening on bridge0, link-type EN10MB (Ethernet), capture size > > 262144 bytes > > 12:04:59.055588 IP6 fe80::e23f:49ff:fe24:68a8 > ff02::1:ff00:3: > > ICMP6, neighbor solicitation, who has 2a02:::3, length > 32 > > 12:05:00.055630 IP6 fe80::e23f:49ff:fe24:68a8 > ff02::1:ff00:3: > > ICMP6, neighbor solicitation, who has 2a02:::3, length > 32 > > 12:05:01.055500 IP6 fe80::e23f:49ff:fe24:68a8 > ff02::1:ff00:3: > > ICMP6, neighbor solicitation, who has 2a02:::3, length > 32 > > 12:05:02.729031 IP6 fe80::e23f:49ff:fe24:68a8 > > > ip6-allnodes..com: ICMP6, router advertisement, length > > 112 > > 12:05:03.055592 IP6 fe80::e23f:49ff:fe24:68a8 > ff02::1:ff00:3: > > ICMP6, neighbor solicitation, who has 2a02:::3, length > 32 > > 12:05:04.055579 IP6 fe80::e23f:49ff:fe24:68a8 > ff02::1:ff00:3: > > ICMP6, neighbor solicitation, who has 2a02:::3, length > 32 > > 12:05:05.055507 IP6 fe80::e23f:49ff:fe24:68a8 > ff02::1:ff00:3: > > ICMP6, neighbor solicitation, who has 2a02:::3, length > 32 > > 12:05:06.428319 IP6 fe80::d6c4:2650:5902:a71b > ff02::1:ff00:0: > > ICMP6, neighbor solicitation, who has ::, length 32 > > (etc, more of the same) > > > > unde "fe80::e23f:49ff:fe24:68a8" e adresa LAN link-local a > > routerului. Nu vad nici un neighbor advertisement care sa mearga > > inapoi. > > > > Daca dau ping6 de la desktopul Linux (adresa cu ::4 in coada) la > > jail (adresa cu ::3): > > > > root@freenas:~ # tcpdump -i bridge0 icmp6 > > tcpdump: verbose output suppressed, use -v or -vv for full > protocol > > decode > > listening on bridge0, link-type EN10MB (Ethernet), capture size > > 262144 bytes > > 12:05:47.734743 IP6 fe80::e23f:49ff:fe24:68a8 > > > ip6-allnodes..com: ICMP6, router advertisement, length > > 112 > > 12:05:48.089230 IP6 *2a02:::4 > ff02::1:ff00:3: ICMP6, > > neighbor solicitation,* who has 2a02:::3, length 32 > > 12:05:48.089309