[uylug-varios] Quienes andan usando IPv6?
Cristian Menghi
cristian at menghi.biz
Tue Jun 20 14:26:04 PDT 2017
Por aca no me la habilitaron aun... :(
El 20/6/17 a las 14:19, Nick Pais escribió:
> Merece!
>
> Otra cosa que podrías hacer es hacer otra entrada en el scheduler, que
> cada 30m te haga un renew en el dhcpv6 client, por si te expira el lease:
>
> /ipv6 dhcp-client renew [find interface="Antel"]
>
> 2017-06-20 14:13 GMT-03:00 Carlos M. Martinez
> <carlosmarcelomartinez at gmail.com
> <mailto:carlosmarcelomartinez at gmail.com>>:
>
> Gracias! voy a probar tu config y por otro lado voy a seguir
> insistiendo a ver si pueden modificar el lifetime del lease
>
> On 20 Jun 2017, at 14:04, Nick Pais wrote:
>
> IPv6 en LTE anda, de hecho ya me ha pasado de comprar
> chips por ahí y que vengan con IPv6. ANTEL se que ha hecho
> pruebas, supongo que saldrán pronto también.
>
>
> El APN es el mismo? Según recuerdo se usa "antel.lte" pero no
> he visto que sea DualStack..
>
> Si tu modem lo soporta (no todos lo soportan), y usas el
> modem en modo router, un día mágicamente tendrías que ver
> tus dispositivos toman IPv6.
>
>
> Para los ONT que no lo soporten (de momento), habrá que pedir
> una actualización de firmware supongo, porque hacer un
> recambio de miles y miles de ONT no creo que sea muy factible,
> jajaja. Un firmware update por TR-069 suena mejor.
>
> ¿Sabés cada cuánto te cambia la dirección?
>
> ¿te animás a fijarte cuanto es el lease time del PD? En
> casa es de 59 minutos, y la verdad es un poco molesto,
> pierdo 15-20 seg de pings una vez x hora.
>
>
> La dirección cambia cada 12hs seguro. Creo que anda ligado a
> la duración/validez de la sesión PPPoE.
> En cuanto al PD, a mi me lo da con un lifetime de 3 días (cosa
> que el máximo tiempo usable son 12 horas, por ser dinámico, no
> tiene sentido que tenga un lifetime de 3 días.., tengo un
> amigo que tiene un plan mas rápido que el mío y a el también
> le da 60m.). Pero, eso puede ser por tus intervalos de RA. Más
> abajo vi que también usas MikroTik, ya paso mis configs.
>
> [Nickmman at aphrodite.nickserver.net
> <mailto:Nickmman at aphrodite.nickserver.net>] > /ipv6
> dhcp-client print
> Flags: D - dynamic, X - disabled, I - invalid
> # INTERFACE STATUS REQUEST
> PREFIX
> ADDRESS
> 0 Antel bound prefix
> 2800:a4:1630:fa00::/56, *2d23h16m51s*
> [Nickmman at aphrodite.nickserver.net
> <mailto:Nickmman at aphrodite.nickserver.net>] >
>
> Igual, capaz que preferiría un poquito menos de magia, o
> un anuncio por lo menos. No sé, de golpe hay equipos en la
> casa que van a quedar con
> una IPv6 pública, por ejemplo, la televisión. No vamos a
> discutir si NAT da seguridad ;) pero reconozco que hay
> cosas y servicios en casa que hoy no están listos para
> estar conectadas directamente a internet. Habrá que ir
> viendo eso con más atención y ajustando las interfaces de
> escucha. Por ejemplo, tengo un rygel como UPNP media
> server sin protección.
>
>
> En mi caso, por ejemplo, me enteré de casualidad que andaba
> buscando "antel IPv6" en twitter y justo vi algunos tweets
> sobre la presentación de Pablo Cuello en LACNIC27. Si no
> hubiera sido por eso, ni siquiera me hubiera enterado hasta
> andá a saber cuanto tiempo mas. En cuanto a seguridad, tengo
> en mi firewall bloquear las conexiones nuevas pero permitir
> las conexiones ya establecidas desde adentro. No es la mejor
> forma de hacerlo seguramente pero prefiero seguir con el
> principio end-to-end y no empezar a tocar temas como NAT.
> Mismo en AWS han desarrollado un sistema de Egress-Only
> InternetGateWay
> (http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/egress-only-internet-gateway.html
> <http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/egress-only-internet-gateway.html>).
>
> Parece muy cortito ... La verdad, podrían prefijar con tu
> número de contrato o algo así y dejártela estática.
>
>
> Eso o con el número del teléfono asociado, pero concuerdo! Con
> un prefijo tan grande (/28), seguir las políticas de
> IPs/conexiones dinámicas cada 12hs ya es anticuado...
>
> Si, es demasiado corto, pero no se si es un problema mío o
> del PD. Yo dí de baja el linksys (bah, solo uso las
> funciones inalámbricas) y me lo cambié por un router
> Mikrotik, que es más como un router en serio. Al ser más
> en serio, también es más complejo de configurar y quiero
> confirmar que no esté haciendo algo mal yo.
>
>
> Tenía el mismo problema, hasta que me quedé haciendo
> troubleshooting hasta las 8am un día!
> Con MikroTik, la clave está en 2 partes:
>
> 1. Los valores default del ND prefix
> 2. Los valores manuales (o default) del ND para los RA
>
> En mi setup, capaz que el tema del RA es mucho mas "ruidoso"
> pero funciona excelente. Terminé disabling el config default
> para el ND y puse el lifetime para el ND prefix a 1m:
>
> [Nickmman at aphrodite.nickserver.net
> <mailto:Nickmman at aphrodite.nickserver.net>] > /ipv6 nd export
> # jun/20/2017 13:44:24 by RouterOS 6.39.2
> # software id = ZZ3L-VCVH
> #
> /ipv6 nd
> set [ find default=yes ] advertise-dns=yes disabled=yes
> add advertise-dns=yes interface=HomeBridge ra-interval=5s-30s
> ra-lifetime=3m retransmit-interval=20s
> /ipv6 nd prefix default
> set preferred-lifetime=1m valid-lifetime=1m
> [Nickmman at aphrodite.nickserver.net
> <mailto:Nickmman at aphrodite.nickserver.net>] >
>
> Con eso, no llega a pasar 30 segundos que ya se "refresca" la
> asignación por SLAAC y nunca me quedo sin una dirección.
>
> Al ser dinámica, tengo un script que corre cada 12hs (cuando
> se me cae la sesión PPPoE) para hacer un release del PD (así
> no me quedo esperando 3 días...) :
>
> [Nickmman at aphrodite.nickserver.net
> <mailto:Nickmman at aphrodite.nickserver.net>] > /system script
> export
> # jun/20/2017 13:51:11 by RouterOS 6.39.2
> # software id = ZZ3L-VCVH
> #
> /system script
> add name=ResetInternet owner=nickmman policy=read,write
> source="/interface disable Antel\
> \n\
> \ndelay 5\
> \n\
> \n/interface enable Antel\
> \n\
> \ndelay 10\
> \n\
> \n/ipv6 dhcp-client release [find interface=\"Antel\"]"
> [Nickmman at aphrodite.nickserver.net
> <mailto:Nickmman at aphrodite.nickserver.net>] >
>
> [Nickmman at aphrodite.nickserver.net
> <mailto:Nickmman at aphrodite.nickserver.net>] > /system
> scheduler export
> # jun/20/2017 13:52:39 by RouterOS 6.39.2
> # software id = ZZ3L-VCVH
> #
> /system scheduler
> add interval=12h name=ResetInternet on-event="/system script
> run
> ResetInternet policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive
> start-date=dec/07/2016 start-time=13:00:00
> [Nickmman at aphrodite.nickserver.net
> <mailto:Nickmman at aphrodite.nickserver.net>] >
>
> Con eso llamo el script a ejecutarse todos los días a las
> 13hs, repite cada 12hs. Lo que hace es baja la interfaz,
> espera 5 segundos, la levanta, espera 10 segundos y después
> hace un release al PD.
>
> Conjuntamente con la configuración de ND, funciona excelente.
> Cuando se reinicia la sesión, no pasan mas de 10-20 segundos
> que ya tengo dirección nueva y funcionando:
>
> [Nickmman at aphrodite.nickserver.net
> <mailto:Nickmman at aphrodite.nickserver.net>] > /ipv6
> dhcp-client export
> # jun/20/2017 13:56:09 by RouterOS 6.39.2
> # software id = ZZ3L-VCVH
> #
> /ipv6 dhcp-client
> add add-default-route=yes interface=Antel pool-name=Antelv6wan
> prefix-hint=::/56 request=prefix use-peer-dns=no
> [Nickmman at aphrodite.nickserver.net
> <mailto:Nickmman at aphrodite.nickserver.net>] >
>
> [Nickmman at aphrodite.nickserver.net
> <mailto:Nickmman at aphrodite.nickserver.net>] > /ipv6 address export
> # jun/20/2017 13:55:34 by RouterOS 6.39.2
> # software id = ZZ3L-VCVH
> #
> /ipv6 address
> add from-pool=Antelv6wan interface=HomeBridge
> [Nickmman at aphrodite.nickserver.net
> <mailto:Nickmman at aphrodite.nickserver.net>] >
>
> En cuanto a seguridad, tuve que agregar una regla para
> permitir la comunicación link-local para poder bloquear todo
> lo demás a como quería para poder bloquear entrante pero
> permitir ya existente (y de paso, permitir ping siempre):
>
> [Nickmman at aphrodite.nickserver.net
> <mailto:Nickmman at aphrodite.nickserver.net>] > /ipv6 firewall
> export
> # jun/20/2017 13:58:44 by RouterOS 6.39.2
> # software id = ZZ3L-VCVH
> #
> /ipv6 firewall filter
> add action=accept chain=input in-interface=Antel
> src-address=fe80::/16
> add action=accept chain=input protocol=icmpv6
> add action=accept chain=forward protocol=icmpv6
> add action=drop chain=forward
> connection-state=!established,related in-interface=Antel
> protocol=!icmpv6
> add action=drop chain=input connection-state=!established,related
> [Nickmman at aphrodite.nickserver.net
> <mailto:Nickmman at aphrodite.nickserver.net>] >
>
> Seguramente se pueda mejorar, pero de momento funciona sin
> problemas :D
>
>
> Carlos, probá algunas de mis sugerencias, capaz que se arregla
> el tema de los hiccups.
>
> Saludos!
>
> 2017-06-20 12:10 GMT-03:00 Carlos M. Martinez
> <carlosmarcelomartinez at gmail.com
> <mailto:carlosmarcelomartinez at gmail.com>>:
>
> Si, es demasiado corto, pero no se si es un problema mío o
> del PD. Yo dí de baja el linksys (bah, solo uso las
> funciones inalámbricas) y me lo cambié por un router
> Mikrotik, que es más como un router en serio. Al ser más
> en serio, también es más complejo de configurar y quiero
> confirmar que no esté haciendo algo mal yo.
>
> s2
>
> C.
>
>
>
>
> On 20 Jun 2017, at 11:24, Eduardo Trápani wrote:
>
> ¿te animás a fijarte cuanto es el lease time del
> PD? En casa es de 59 minutos, y la verdad es un
> poco molesto, pierdo 15-20 seg de pings una vez x
> hora.
>
>
>
> O sea que si estás mirando algo, salvo que el buffer
> cubra esos 15-20
> segundos, ¿vas a tener un "hipo" cada una hora? ¿Y
> toda tu red va a
> tener que obtener una nueva IP?
>
> Parece muy cortito ... La verdad, podrían prefijar con
> tu número de
> contrato o algo así y dejártela estática.
>
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> <mailto:Uylug-varios at listas.uylug.org.uy>
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
> <http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy>
>
>
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> <mailto:Uylug-varios at listas.uylug.org.uy>
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
> <http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy>
>
>
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> <mailto:Uylug-varios at listas.uylug.org.uy>
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
> <http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy>
>
>
>
>
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.uylug.org.uy/pipermail/uylug-varios-uylug.org.uy/attachments/20170620/80f296cb/attachment-0001.htm>
More information about the Uylug-varios
mailing list