[uylug-varios] Quienes andan usando IPv6?

Nick Pais nick at nickserver.net
Tue Jun 20 10:04:13 PDT 2017 

>
> IPv6 en LTE anda, de hecho ya me ha pasado de comprar chips por ahí y que
> vengan con IPv6. ANTEL se que ha hecho pruebas, supongo que saldrán pronto
> también.


El APN es el mismo? Según recuerdo se usa "antel.lte" pero no he visto que
sea DualStack..

Si tu modem lo soporta (no todos lo soportan), y usas el modem en modo
> router, un día mágicamente tendrías que ver tus dispositivos toman IPv6.


Para los ONT que no lo soporten (de momento), habrá que pedir una
actualización de firmware supongo, porque hacer un recambio de miles y
miles de ONT no creo que sea muy factible, jajaja. Un firmware update por
TR-069 suena mejor.

 ¿Sabés cada cuánto te cambia la dirección?

¿te animás a fijarte cuanto es el lease time del PD? En casa es de 59
> minutos, y la verdad es un poco molesto, pierdo 15-20 seg de pings una vez
> x hora.


La dirección cambia cada 12hs seguro. Creo que anda ligado a la
duración/validez de la sesión PPPoE.
En cuanto al PD, a mi me lo da con un lifetime de 3 días (cosa que el
máximo tiempo usable son 12 horas, por ser dinámico, no tiene sentido que
tenga un lifetime de 3 días.., tengo un amigo que tiene un plan mas rápido
que el mío y a el también le da 60m.). Pero, eso puede ser por tus
intervalos de RA. Más abajo vi que también usas MikroTik, ya paso mis
configs.

[Nickmman at aphrodite.nickserver.net] > /ipv6 dhcp-client print
Flags: D - dynamic, X - disabled, I - invalid
 #    INTERFACE                     STATUS        REQUEST
 PREFIX                                                           ADDRESS
 0    Antel                         bound         prefix
  2800:a4:1630:fa00::/56, *2d23h16m51s*
[Nickmman at aphrodite.nickserver.net] >

Igual, capaz que preferiría un poquito menos de magia, o un anuncio por lo
> menos. No sé, de golpe hay equipos en la casa que van a quedar con
> una IPv6 pública, por ejemplo, la televisión. No vamos a discutir si NAT da
> seguridad ;) pero reconozco que hay cosas y servicios en casa que hoy no
> están listos para estar conectadas directamente a internet. Habrá que ir
> viendo eso con más atención y ajustando las interfaces de escucha. Por
> ejemplo, tengo un rygel como UPNP media server sin protección.


En mi caso, por ejemplo, me enteré de casualidad que andaba buscando "antel
IPv6" en twitter y justo vi algunos tweets sobre la presentación de Pablo
Cuello en LACNIC27. Si no hubiera sido por eso, ni siquiera me hubiera
enterado hasta andá a saber cuanto tiempo mas. En cuanto a seguridad, tengo
en mi firewall bloquear las conexiones nuevas pero permitir las conexiones
ya establecidas desde adentro. No es la mejor forma de hacerlo seguramente
pero prefiero seguir con el principio end-to-end y no empezar a tocar temas
como NAT. Mismo en AWS han desarrollado un sistema de Egress-Only
InternetGateWay (
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/egress-only-internet-gateway.html
).

Parece muy cortito ... La verdad, podrían prefijar con tu número de contrato
> o algo así y dejártela estática.


Eso o con el número del teléfono asociado, pero concuerdo! Con un prefijo
tan grande (/28), seguir las políticas de IPs/conexiones dinámicas cada
12hs ya es anticuado...

Si, es demasiado corto, pero no se si es un problema mío o del PD. Yo dí de
> baja el linksys (bah, solo uso las funciones inalámbricas) y me lo cambié
> por un router Mikrotik, que es más como un router en serio. Al ser más en
> serio, también es más complejo de configurar y quiero confirmar que no esté
> haciendo algo mal yo.


Tenía el mismo problema, hasta que me quedé haciendo troubleshooting hasta
las 8am un día!
Con MikroTik, la clave está en 2 partes:

   1. Los valores default del ND prefix
   2. Los valores manuales (o default) del ND para los RA

 En mi setup, capaz que el tema del RA es mucho mas "ruidoso" pero funciona
excelente. Terminé disabling el config default para el ND y puse el
lifetime para el ND prefix a 1m:

[Nickmman at aphrodite.nickserver.net] > /ipv6 nd export
# jun/20/2017 13:44:24 by RouterOS 6.39.2
# software id = ZZ3L-VCVH
#
/ipv6 nd
set [ find default=yes ] advertise-dns=yes disabled=yes
add advertise-dns=yes interface=HomeBridge ra-interval=5s-30s
ra-lifetime=3m retransmit-interval=20s
/ipv6 nd prefix default
set preferred-lifetime=1m valid-lifetime=1m
[Nickmman at aphrodite.nickserver.net] >

Con eso, no llega a pasar 30 segundos que ya se "refresca" la asignación
por SLAAC y nunca me quedo sin una dirección.

Al ser dinámica, tengo un script que corre cada 12hs (cuando se me cae la
sesión PPPoE) para hacer un release del PD (así no me quedo esperando 3
días...) :

[Nickmman at aphrodite.nickserver.net] > /system script export
# jun/20/2017 13:51:11 by RouterOS 6.39.2
# software id = ZZ3L-VCVH
#
/system script
add name=ResetInternet owner=nickmman policy=read,write source="/interface
disable Antel\
    \n\
    \ndelay 5\
    \n\
    \n/interface enable Antel\
    \n\
    \ndelay 10\
    \n\
    \n/ipv6 dhcp-client release [find interface=\"Antel\"]"
[Nickmman at aphrodite.nickserver.net] >

[Nickmman at aphrodite.nickserver.net] > /system scheduler export
# jun/20/2017 13:52:39 by RouterOS 6.39.2
# software id = ZZ3L-VCVH
#
/system scheduler
add interval=12h name=ResetInternet on-event="/system script run
ResetInternet policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive
start-date=dec/07/2016 start-time=13:00:00
[Nickmman at aphrodite.nickserver.net] >

Con eso llamo el script a ejecutarse todos los días a las 13hs, repite cada
12hs. Lo que hace es baja la interfaz, espera 5 segundos, la levanta,
espera 10 segundos y después hace un release al PD.

Conjuntamente con la configuración de ND, funciona excelente. Cuando se
reinicia la sesión, no pasan mas de 10-20 segundos que ya tengo dirección
nueva y funcionando:

[Nickmman at aphrodite.nickserver.net] > /ipv6 dhcp-client export
# jun/20/2017 13:56:09 by RouterOS 6.39.2
# software id = ZZ3L-VCVH
#
/ipv6 dhcp-client
add add-default-route=yes interface=Antel pool-name=Antelv6wan
prefix-hint=::/56 request=prefix use-peer-dns=no
[Nickmman at aphrodite.nickserver.net] >

[Nickmman at aphrodite.nickserver.net] > /ipv6 address export
# jun/20/2017 13:55:34 by RouterOS 6.39.2
# software id = ZZ3L-VCVH
#
/ipv6 address
add from-pool=Antelv6wan interface=HomeBridge
[Nickmman at aphrodite.nickserver.net] >

En cuanto a seguridad, tuve que agregar una regla para permitir la
comunicación link-local para poder bloquear todo lo demás a como quería
para poder bloquear entrante pero permitir ya existente (y de paso,
permitir ping siempre):

[Nickmman at aphrodite.nickserver.net] > /ipv6 firewall export
# jun/20/2017 13:58:44 by RouterOS 6.39.2
# software id = ZZ3L-VCVH
#
/ipv6 firewall filter
add action=accept chain=input in-interface=Antel src-address=fe80::/16
add action=accept chain=input protocol=icmpv6
add action=accept chain=forward protocol=icmpv6
add action=drop chain=forward connection-state=!established,related
in-interface=Antel protocol=!icmpv6
add action=drop chain=input connection-state=!established,related
[Nickmman at aphrodite.nickserver.net] >

Seguramente se pueda mejorar, pero de momento funciona sin problemas :D


Carlos, probá algunas de mis sugerencias, capaz que se arregla el tema de
los hiccups.

Saludos!

2017-06-20 12:10 GMT-03:00 Carlos M. Martinez <
carlosmarcelomartinez at gmail.com>:

> Si, es demasiado corto, pero no se si es un problema mío o del PD. Yo dí
> de baja el linksys (bah, solo uso las funciones inalámbricas) y me lo
> cambié por un router Mikrotik, que es más como un router en serio. Al ser
> más en serio, también es más complejo de configurar y quiero confirmar que
> no esté haciendo algo mal yo.
>
> s2
>
> C.
>
>
>
>
> On 20 Jun 2017, at 11:24, Eduardo Trápani wrote:
>
> ¿te animás a fijarte cuanto es el lease time del PD? En casa es de 59
>>> minutos, y la verdad es un poco molesto, pierdo 15-20 seg de pings una vez
>>> x hora.
>>>
>>
>>
>> O sea que si estás mirando algo, salvo que el buffer cubra esos 15-20
>> segundos, ¿vas a tener un "hipo" cada una hora? ¿Y toda tu red va a
>> tener que obtener una nueva IP?
>>
>> Parece muy cortito ... La verdad, podrían prefijar con tu número de
>> contrato o algo así y dejártela estática.
>>
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.uylug.org.uy/pipermail/uylug-varios-uylug.org.uy/attachments/20170620/5bd5f29d/attachment-0001.htm>

More information about the Uylug-varios mailing list