Pokud máte zájem o vlastní využívání zařízení s podporou GPON konektivity, není v tom případě žádný problém. Pro možné využívání je potřeba, aby router splňoval požadavky na technologii, které naleznete v tomto dokumentu, v části GPON - https://www.poda.cz/uploaded/dokumenty/podporovana-rozhrani-verejne-komunikacni-site-spolecnosti-PODA-220630-05.pdf
Následně bude potřeba nám nahlásit PON číslo daného routeru, na základě kterého Vám zašleme individuální konfiguraci pro správné zapojení do naší optické sítě.
toto jsem od nich dostal jako odpověď letos v červenci nic nemám vyzkoušeno…
něco nového ohledně zkušeností IPv6 u Pody (GPON) pánové? a využití pro připojení zvenku? mi odepsali na dotaz na IPv6 že “prozatím nemáme informaci, že by veřejná IPv6 měla fungovat.
Do budoucna je tato služba plánovaná.”
Nastavil jsem interfacy a DHCP podle návodu @Ondrej_Caletka a nejdřív to fungovalo, ale po pár hodinách jsem se zase připojil k Turrisu a v6 byla nefunkční (adresu zařízení dostanou, ale na v6 zdroje se nedá dostat). Zkoušel jsem spoustu věcí, až jsem udělal ping6 IP Turrise a najednou na tom zařízení, na kterém jsem ten ping udělal, v6 konektivita začala fungovat. Na ostatních zařízeních pořád nefunguje. Turris jsem samozřejmě zkusil otočit a byl jsem zase na začátku - v6 nefunkční, po v6 pingu na adresu gatewaye začala fungovat.
Klienti jsou Mac a iPhone. Podařilo se mi vygooglit, že by mohl být problém v tom, že na LAN rozhraní není v6 adresa, ale moc moudrý z toho nejsem a už tuplem nevím, jak to vyřešit.
Neměnil jste nějak nastavení firewallu? Tohle vypadá na zablokovaný Neighbor Discovery Protocol, pokud se to opraví pingem na bránu, tak to vypadá na rozbitý multicast, který se používá pro hledání sousedů a občerstvování jejich živosti.
To, že na LAN rozhraní není veřejná IPv6 adresa žádný problém nepředstavuje, při relayingu je to běžný stav.
Používáte Wi-Fi přímo na Turrisu, nebo nějaké externí Wi-Fi řešení? Chová se to stejně při zapojení kabelu? Tyhle „optimalizace multicastu” často dělají L2 zařízení jako switche nebo AP.
WiFi mi běží přímo na Turrisu, jiné AP nemám (panelákový byt, jedno AP stačí). Na kabelu se to děje taky (ten má v cestě ještě unmanaged TP-Link switch za pár stovek). Zkusím sem hodit nějaký dump firewallu, až se dostanu k počítači, nějak jsem se v něm kdysi hrabal, ale z velké části by měl odpovídat defaultnímu stavu.
Je ještě něco, co bych měl postnout, kromě toho firewallu?
/etc/config/firewall:
config defaults
option syn_flood '1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'
config zone
option name 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
list network 'lan'
config zone
option name 'wan'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
option sentinel_dynfw '1'
option sentinel_fwlogs '1'
option sentinel_minipot '1'
option haas_proxy '1'
list network 'wan'
list network 'wan6'
config forwarding
option src 'lan'
option dest 'wan'
config rule
option name 'Allow-DHCP-Renew'
option src 'wan'
option proto 'udp'
option dest_port '68'
option target 'ACCEPT'
option family 'ipv4'
config rule
option name 'Allow-Ping'
option src 'wan'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'
config rule
option name 'Allow-IGMP'
option src 'wan'
option proto 'igmp'
option family 'ipv4'
option target 'ACCEPT'
config rule
option name 'Allow-DHCPv6'
option src 'wan'
option proto 'udp'
option src_ip 'fc00::/6'
option dest_ip 'fc00::/6'
option dest_port '546'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-MLD'
option src 'wan'
option proto 'icmp'
option src_ip 'fe80::/10'
list icmp_type '130/0'
list icmp_type '131/0'
list icmp_type '132/0'
list icmp_type '143/0'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-ICMPv6-Input'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-ICMPv6-Forward'
option src 'wan'
option dest '*'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-IPSec-ESP'
option src 'wan'
option dest 'lan'
option proto 'esp'
option target 'ACCEPT'
config rule
option name 'Allow-ISAKMP'
option src 'wan'
option dest 'lan'
option dest_port '500'
option proto 'udp'
option target 'ACCEPT'
config include
option path '/etc/firewall.user'
config zone 'guest_turris'
option enabled '1'
option input 'REJECT'
option forward 'REJECT'
option output 'ACCEPT'
option name 'tr_guest'
list network 'guest_turris'
config forwarding 'guest_turris_forward_wan'
option enabled '1'
option name 'guest to wan forward'
option dest 'wan'
option src 'tr_guest'
config rule 'guest_turris_dns_rule'
option name 'guest dns rule'
option proto 'tcpudp'
option dest_port '53'
option target 'ACCEPT'
option enabled '1'
option src 'tr_guest'
config rule 'guest_turris_dhcp_rule'
option name 'guest dhcp rule'
option proto 'udp'
option src_port '67-68'
option dest_port '67-68'
option target 'ACCEPT'
option enabled '1'
option src 'tr_guest'
config rule 'wan_ssh_turris_rule'
option name 'wan_ssh_turris_rule'
option enabled '0'
option target 'ACCEPT'
option dest_port '22'
option proto 'tcp'
option src 'wan'
config rule 'wan_http_turris_rule'
option name 'wan_http_turris_rule'
option target 'ACCEPT'
option dest_port '80'
option proto 'tcp'
option src 'wan'
option enabled '0'
config rule 'wan_https_turris_rule'
option name 'wan_https_turris_rule'
option enabled '0'
option target 'ACCEPT'
option dest_port '443'
option proto 'tcp'
option src 'wan'
config rule 'turris_wan_6in4_rule'
option family 'ipv4'
option proto '41'
option target 'ACCEPT'
option src 'wan'
option src_ip '216.66.86.122'
option enabled '0'
config zone 'turris_vpn_client'
option name 'tr_vpn_cl'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
config forwarding 'turris_vpn_client_forward'
option src 'lan'
option dest 'tr_vpn_cl'
config zone 'vpn_turris'
option name 'vpn_turris'
option input 'ACCEPT'
option forward 'REJECT'
option output 'ACCEPT'
option masq '1'
list network 'vpn_turris'
option enabled '0'
config rule 'vpn_turris_rule'
option name 'vpn_turris_rule'
option target 'ACCEPT'
option proto 'udp'
option src 'wan'
option dest_port '1194'
option enabled '0'
config forwarding 'vpn_turris_forward_lan_in'
option src 'vpn_turris'
option dest 'lan'
option enabled '0'
config forwarding 'vpn_turris_forward_lan_out'
option src 'lan'
option dest 'vpn_turris'
option enabled '0'
config forwarding 'vpn_turris_forward_wan_out'
option src 'vpn_turris'
option dest 'wan'
option enabled '0'
config redirect
option dest_port '80'
option src 'wan'
option name 'http-web.lxc'
option src_dport '80'
option target 'DNAT'
option dest 'lan'
option dest_ip '172.16.0.243'
config redirect
option dest_port '443'
option src 'wan'
option name 'https-web.lxc'
option src_dport '443'
option target 'DNAT'
option dest 'lan'
option dest_ip '172.16.0.243'
config rule
option src_port '80'
option src 'wan'
option name 'Allow_HTTP'
option dest '*'
option target 'ACCEPT'
option dest_port '80'
config rule
option src_port '443'
option src 'wan'
option name 'Allow_HTTPS'
option dest '*'
option target 'ACCEPT'
option dest_port '443'
config rule 'guest_turris_Allow_DHCPv6'
option proto 'udp'
option src_ip 'fe80::/10'
option src_port '546-547'
option dest_ip 'fe80::/10'
option dest_port '546-547'
option family 'ipv6'
option target 'ACCEPT'
option src 'tr_guest'
config rule 'guest_turris_Allow_MLD'
option proto 'icmp'
option src_ip 'fe80::/10'
option family 'ipv6'
option target 'ACCEPT'
option src 'tr_guest'
list icmp_type '130/0'
list icmp_type '131/0'
list icmp_type '132/0'
list icmp_type '143/0'
config rule 'guest_turris_Allow_ICMPv6_Input'
option proto 'icmp'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'
option src 'tr_guest'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
config redirect
option src 'wan'
option name 'icinga-web.lxc'
option src_dport '5665'
option target 'DNAT'
option dest 'lan'
option dest_port '5665'
option dest_ip '172.16.0.243'
config include 'miniupnpd'
option type 'script'
option path '/usr/share/miniupnpd/firewall.include'
option family 'any'
option reload '1'
config include 'bcp38'
option type 'script'
option path '/usr/lib/bcp38/run.sh'
option family 'IPv4'
option reload '1'
config rule
option src '*'
option target 'ACCEPT'
option proto 'udp'
option dest_port '51820'
option name 'Allow-Wireguard-Inbound'
config zone
option name 'wg'
option input 'ACCEPT'
option forward 'ACCEPT'
option output 'ACCEPT'
option masq '1'
option network 'wg0'
config forwarding
option src 'wg'
option dest 'wan'
config forwarding
option src 'wg'
option dest 'lan'
config forwarding
option src 'lan'
option dest 'wg'
config forwarding
option src 'wan'
option dest 'wg'
config include 'sentinel_firewall'
option type 'script'
option path '/usr/libexec/sentinel/firewall.sh'
option family 'any'
option reload '1'
Udělal jsem factory reset Turrisu, znovu to nastavil a pořád nic, v6 je do prvního pingu na bránu rozbitá, jak na kabelu, tak na WiFi. Začínám podezírat, že je něco špatně jinde než v mém opisování konfigurace.
Kdyby to někoho zajímalo, nechal jsem si teď u Pody zprovoznit vlastní ONT (SFP Huawei MA5671A, který se mi bohužel nepodařilo rozchodit přímo v Turrisu, ale v externím media convertoru ano) a sice mám stále pouze /64, ale mám ho k dispozici celý na svém routeru a nemusím používat ND proxy. Zároveň mám IPv6 i na WAN rozhraní, což s ONT od Pody není možné.
modul Huawei MA5671A už funguje bez problému v routeru Turris Omnia (HBS, OS 7.0.0, kernel 5.15.148) v síti Pody.
Bylo jen potřeba přes reForris nastavit na WAN privátní IPv4 adresu, masku, bránu a DNS
obdržené po přidání GPON S/N do sítě Pody
a NENASTAVOVAT VLAN 2000.
VLAN zřejmě bude nastavená někde uvnitř modulu, ale nastavení v reForisu internet znefunkční.
Veřejnou IPv4 adresu, masku a bránu není třeba nikde nastavovat a příchozí spojení fungují také bez problému;
jen nefunguje NAT Loopback – vyřešeno přidáním pravidla pro přesměrování portů pro spojení z LAN na veřejnou IP ke každému pravidlu pro spojení z WAN.
Pro nastavení IPv6 je třeba přes reForis staticky nastavit adresu, bránu a prefix,
poté se budou adresy z prefixu přiřazovat zařízením v LAN;
odchozí spojení fungují bez problému,
příchozí po explicitním povolení ve Firewallu v Luci také.
Informace ke konfiguraci IPv6 ale nepřišly současně s těmi pro IPv4;
po dalším dotazu na prefix jsem dostal jen prefix bez brány
a tu mi z Pody neposlali ani po dalším dotazu.
Správnou konfiguraci jsem nakonec zjistil sledováním síťového provozu.
Konfiguraci pro IPv6 lze odvodit z té pro IPv4:
Řekněme, že budeme mít následující privátní konfiguraci IPv4
a její šestnáctkový zápis.
IP: 10.22.188.222 → a16:BCDE
Brána: 10.22.160.1 → a16:A001
Pak funguje následující konfigurace IPv6:
Veřejný prefix: 2a00:ca8:a16:BCDE::/64
WAN IP routeru: 2a00:ca8:a16:A000::a16:BCDE/64
Brána: 2a00:ca8:a16:A000::1
nic nemám vyzkoušeno…
