IPv6 v síti PODA

Pokud máte zájem o vlastní využívání zařízení s podporou GPON konektivity, není v tom případě žádný problém. Pro možné využívání je potřeba, aby router splňoval požadavky na technologii, které naleznete v tomto dokumentu, v části GPON - https://www.poda.cz/uploaded/dokumenty/podporovana-rozhrani-verejne-komunikacni-site-spolecnosti-PODA-220630-05.pdf
Následně bude potřeba nám nahlásit PON číslo daného routeru, na základě kterého Vám zašleme individuální konfiguraci pro správné zapojení do naší optické sítě.

toto jsem od nich dostal jako odpověď letos v červenci nic nemám vyzkoušeno…

něco nového ohledně zkušeností IPv6 u Pody (GPON) pánové? a využití pro připojení zvenku? mi odepsali na dotaz na IPv6 že “prozatím nemáme informaci, že by veřejná IPv6 měla fungovat.
Do budoucna je tato služba plánovaná.”

GPON na vlastnim ONT funguje.

IPv6 je problematicke - stale je to pouze /64 per customer

Což je stále lepší než žádné IPv6.

Nastavil jsem interfacy a DHCP podle návodu @Ondrej_Caletka a nejdřív to fungovalo, ale po pár hodinách jsem se zase připojil k Turrisu a v6 byla nefunkční (adresu zařízení dostanou, ale na v6 zdroje se nedá dostat). Zkoušel jsem spoustu věcí, až jsem udělal ping6 IP Turrise a najednou na tom zařízení, na kterém jsem ten ping udělal, v6 konektivita začala fungovat. Na ostatních zařízeních pořád nefunguje. Turris jsem samozřejmě zkusil otočit a byl jsem zase na začátku - v6 nefunkční, po v6 pingu na adresu gatewaye začala fungovat.

Klienti jsou Mac a iPhone. Podařilo se mi vygooglit, že by mohl být problém v tom, že na LAN rozhraní není v6 adresa, ale moc moudrý z toho nejsem a už tuplem nevím, jak to vyřešit.

Nesetkal jste se s tím někdo?

Neměnil jste nějak nastavení firewallu? Tohle vypadá na zablokovaný Neighbor Discovery Protocol, pokud se to opraví pingem na bránu, tak to vypadá na rozbitý multicast, který se používá pro hledání sousedů a občerstvování jejich živosti.

To, že na LAN rozhraní není veřejná IPv6 adresa žádný problém nepředstavuje, při relayingu je to běžný stav.
Používáte Wi-Fi přímo na Turrisu, nebo nějaké externí Wi-Fi řešení? Chová se to stejně při zapojení kabelu? Tyhle „optimalizace multicastu” často dělají L2 zařízení jako switche nebo AP.

WiFi mi běží přímo na Turrisu, jiné AP nemám (panelákový byt, jedno AP stačí). Na kabelu se to děje taky (ten má v cestě ještě unmanaged TP-Link switch za pár stovek). Zkusím sem hodit nějaký dump firewallu, až se dostanu k počítači, nějak jsem se v něm kdysi hrabal, ale z velké části by měl odpovídat defaultnímu stavu.

Je ještě něco, co bych měl postnout, kromě toho firewallu?

/etc/config/firewall:

config defaults
	option syn_flood '1'
	option input 'ACCEPT'
	option output 'ACCEPT'
	option forward 'REJECT'

config zone
	option name 'lan'
	option input 'ACCEPT'
	option output 'ACCEPT'
	option forward 'ACCEPT'
	list network 'lan'

config zone
	option name 'wan'
	option input 'REJECT'
	option output 'ACCEPT'
	option forward 'REJECT'
	option masq '1'
	option mtu_fix '1'
	option sentinel_dynfw '1'
	option sentinel_fwlogs '1'
	option sentinel_minipot '1'
	option haas_proxy '1'
	list network 'wan'
	list network 'wan6'

config forwarding
	option src 'lan'
	option dest 'wan'

config rule
	option name 'Allow-DHCP-Renew'
	option src 'wan'
	option proto 'udp'
	option dest_port '68'
	option target 'ACCEPT'
	option family 'ipv4'

config rule
	option name 'Allow-Ping'
	option src 'wan'
	option proto 'icmp'
	option icmp_type 'echo-request'
	option family 'ipv4'
	option target 'ACCEPT'

config rule
	option name 'Allow-IGMP'
	option src 'wan'
	option proto 'igmp'
	option family 'ipv4'
	option target 'ACCEPT'

config rule
	option name 'Allow-DHCPv6'
	option src 'wan'
	option proto 'udp'
	option src_ip 'fc00::/6'
	option dest_ip 'fc00::/6'
	option dest_port '546'
	option family 'ipv6'
	option target 'ACCEPT'

config rule
	option name 'Allow-MLD'
	option src 'wan'
	option proto 'icmp'
	option src_ip 'fe80::/10'
	list icmp_type '130/0'
	list icmp_type '131/0'
	list icmp_type '132/0'
	list icmp_type '143/0'
	option family 'ipv6'
	option target 'ACCEPT'

config rule
	option name 'Allow-ICMPv6-Input'
	option src 'wan'
	option proto 'icmp'
	list icmp_type 'echo-request'
	list icmp_type 'echo-reply'
	list icmp_type 'destination-unreachable'
	list icmp_type 'packet-too-big'
	list icmp_type 'time-exceeded'
	list icmp_type 'bad-header'
	list icmp_type 'unknown-header-type'
	list icmp_type 'router-solicitation'
	list icmp_type 'neighbour-solicitation'
	list icmp_type 'router-advertisement'
	list icmp_type 'neighbour-advertisement'
	option limit '1000/sec'
	option family 'ipv6'
	option target 'ACCEPT'

config rule
	option name 'Allow-ICMPv6-Forward'
	option src 'wan'
	option dest '*'
	option proto 'icmp'
	list icmp_type 'echo-request'
	list icmp_type 'echo-reply'
	list icmp_type 'destination-unreachable'
	list icmp_type 'packet-too-big'
	list icmp_type 'time-exceeded'
	list icmp_type 'bad-header'
	list icmp_type 'unknown-header-type'
	option limit '1000/sec'
	option family 'ipv6'
	option target 'ACCEPT'

config rule
	option name 'Allow-IPSec-ESP'
	option src 'wan'
	option dest 'lan'
	option proto 'esp'
	option target 'ACCEPT'

config rule
	option name 'Allow-ISAKMP'
	option src 'wan'
	option dest 'lan'
	option dest_port '500'
	option proto 'udp'
	option target 'ACCEPT'

config include
	option path '/etc/firewall.user'

config zone 'guest_turris'
	option enabled '1'
	option input 'REJECT'
	option forward 'REJECT'
	option output 'ACCEPT'
	option name 'tr_guest'
	list network 'guest_turris'

config forwarding 'guest_turris_forward_wan'
	option enabled '1'
	option name 'guest to wan forward'
	option dest 'wan'
	option src 'tr_guest'

config rule 'guest_turris_dns_rule'
	option name 'guest dns rule'
	option proto 'tcpudp'
	option dest_port '53'
	option target 'ACCEPT'
	option enabled '1'
	option src 'tr_guest'

config rule 'guest_turris_dhcp_rule'
	option name 'guest dhcp rule'
	option proto 'udp'
	option src_port '67-68'
	option dest_port '67-68'
	option target 'ACCEPT'
	option enabled '1'
	option src 'tr_guest'

config rule 'wan_ssh_turris_rule'
	option name 'wan_ssh_turris_rule'
	option enabled '0'
	option target 'ACCEPT'
	option dest_port '22'
	option proto 'tcp'
	option src 'wan'

config rule 'wan_http_turris_rule'
	option name 'wan_http_turris_rule'
	option target 'ACCEPT'
	option dest_port '80'
	option proto 'tcp'
	option src 'wan'
	option enabled '0'

config rule 'wan_https_turris_rule'
	option name 'wan_https_turris_rule'
	option enabled '0'
	option target 'ACCEPT'
	option dest_port '443'
	option proto 'tcp'
	option src 'wan'

config rule 'turris_wan_6in4_rule'
	option family 'ipv4'
	option proto '41'
	option target 'ACCEPT'
	option src 'wan'
	option src_ip '216.66.86.122'
	option enabled '0'

config zone 'turris_vpn_client'
	option name 'tr_vpn_cl'
	option input 'REJECT'
	option output 'ACCEPT'
	option forward 'REJECT'
	option masq '1'

config forwarding 'turris_vpn_client_forward'
	option src 'lan'
	option dest 'tr_vpn_cl'

config zone 'vpn_turris'
	option name 'vpn_turris'
	option input 'ACCEPT'
	option forward 'REJECT'
	option output 'ACCEPT'
	option masq '1'
	list network 'vpn_turris'
	option enabled '0'

config rule 'vpn_turris_rule'
	option name 'vpn_turris_rule'
	option target 'ACCEPT'
	option proto 'udp'
	option src 'wan'
	option dest_port '1194'
	option enabled '0'

config forwarding 'vpn_turris_forward_lan_in'
	option src 'vpn_turris'
	option dest 'lan'
	option enabled '0'

config forwarding 'vpn_turris_forward_lan_out'
	option src 'lan'
	option dest 'vpn_turris'
	option enabled '0'

config forwarding 'vpn_turris_forward_wan_out'
	option src 'vpn_turris'
	option dest 'wan'
	option enabled '0'

config redirect
	option dest_port '80'
	option src 'wan'
	option name 'http-web.lxc'
	option src_dport '80'
	option target 'DNAT'
	option dest 'lan'
	option dest_ip '172.16.0.243'

config redirect
	option dest_port '443'
	option src 'wan'
	option name 'https-web.lxc'
	option src_dport '443'
	option target 'DNAT'
	option dest 'lan'
	option dest_ip '172.16.0.243'

config rule
	option src_port '80'
	option src 'wan'
	option name 'Allow_HTTP'
	option dest '*'
	option target 'ACCEPT'
	option dest_port '80'

config rule
	option src_port '443'
	option src 'wan'
	option name 'Allow_HTTPS'
	option dest '*'
	option target 'ACCEPT'
	option dest_port '443'

config rule 'guest_turris_Allow_DHCPv6'
	option proto 'udp'
	option src_ip 'fe80::/10'
	option src_port '546-547'
	option dest_ip 'fe80::/10'
	option dest_port '546-547'
	option family 'ipv6'
	option target 'ACCEPT'
	option src 'tr_guest'

config rule 'guest_turris_Allow_MLD'
	option proto 'icmp'
	option src_ip 'fe80::/10'
	option family 'ipv6'
	option target 'ACCEPT'
	option src 'tr_guest'
	list icmp_type '130/0'
	list icmp_type '131/0'
	list icmp_type '132/0'
	list icmp_type '143/0'

config rule 'guest_turris_Allow_ICMPv6_Input'
	option proto 'icmp'
	option limit '1000/sec'
	option family 'ipv6'
	option target 'ACCEPT'
	option src 'tr_guest'
	list icmp_type 'echo-request'
	list icmp_type 'echo-reply'
	list icmp_type 'destination-unreachable'
	list icmp_type 'packet-too-big'
	list icmp_type 'time-exceeded'
	list icmp_type 'bad-header'
	list icmp_type 'unknown-header-type'
	list icmp_type 'router-solicitation'
	list icmp_type 'neighbour-solicitation'
	list icmp_type 'router-advertisement'
	list icmp_type 'neighbour-advertisement'

config redirect
	option src 'wan'
	option name 'icinga-web.lxc'
	option src_dport '5665'
	option target 'DNAT'
	option dest 'lan'
	option dest_port '5665'
	option dest_ip '172.16.0.243'

config include 'miniupnpd'
	option type 'script'
	option path '/usr/share/miniupnpd/firewall.include'
	option family 'any'
	option reload '1'

config include 'bcp38'
	option type 'script'
	option path '/usr/lib/bcp38/run.sh'
	option family 'IPv4'
	option reload '1'

config rule
	option src '*'
	option target 'ACCEPT'
	option proto 'udp'
	option dest_port '51820'
	option name 'Allow-Wireguard-Inbound'

config zone
	option name 'wg'
	option input 'ACCEPT'
	option forward 'ACCEPT'
	option output 'ACCEPT'
	option masq '1'
	option network 'wg0'

config forwarding
	option src 'wg'
	option dest 'wan'

config forwarding
	option src 'wg'
	option dest 'lan'

config forwarding
	option src 'lan'
	option dest 'wg'

config forwarding
	option src 'wan'
	option dest 'wg'

config include 'sentinel_firewall'
	option type 'script'
	option path '/usr/libexec/sentinel/firewall.sh'
	option family 'any'
	option reload '1'

EDIT: pomohlo zakomentovat v network configu ula_prefix, může za to Apple, viz https://github.com/openwrt/openwrt/issues/7561

Udělal jsem factory reset Turrisu, znovu to nastavil a pořád nic, v6 je do prvního pingu na bránu rozbitá, jak na kabelu, tak na WiFi. Začínám podezírat, že je něco špatně jinde než v mém opisování konfigurace.

/etc/config/network:

config interface 'lan'
        option device 'br-lan'
        option proto 'static'
        option ip6assign '60'
        option _turris_mode 'managed'
        list ipaddr '172.16.0.1/16'

config interface 'wan'
        option device 'eth2'
        option proto 'dhcp'
        option ipv6 '1'

config interface 'wan6'
        option device '@wan'
        option proto 'dhcpv6'
        option reqprefix 'no'

/etc/config/dhcp:

config dhcp 'lan'
        option interface 'lan'
        option limit '150'
        option dhcpv4 'server'
        option start '356'
        option leasetime '43200'
        list dhcp_option '6,172.16.0.1'
        option ra 'relay'
        option dhcpv6 'relay'
        option ndp 'relay'

config dhcp 'wan'
        option interface 'wan'
        option ignore '1'
        option ra 'relay'
        option ndp 'relay'
        option dhcpv6 'relay'
        option master '1'

Kdyby to někoho zajímalo, nechal jsem si teď u Pody zprovoznit vlastní ONT (SFP Huawei MA5671A, který se mi bohužel nepodařilo rozchodit přímo v Turrisu, ale v externím media convertoru ano) a sice mám stále pouze /64, ale mám ho k dispozici celý na svém routeru a nemusím používat ND proxy. Zároveň mám IPv6 i na WAN rozhraní, což s ONT od Pody není možné.