IPv6 Subnet Router Anycast

[Marco Moock]

Hallo zusammen,

über die IPv6 Subnet-Router-Anycast-Adressen hört man recht wenig.
Das ist einfach die 1. Adresse in einem on-Link-Präfix.

Das Override-Flag wird beim Neighbor-Advertisement nicht gesetzt, damit
die Antworten der anderen Router nicht überschrieben werden.

Wenn ich da aber als next-Hop in meiner Routingtabelle eintrage,
funktioniert es nicht.

Ist das dafür gar nicht vorgesehen oder ist was an meinem System/Router
faul?
Wenn nein, für was dann?

Pings auf die Anycast-Adresse meines Routers gehen nicht, NDP auf
diese Adresse samt Advertisement sehe ich aber bei einem Ping im
Wireshark.

ndisc6 kann das NDP-Adv für die Anycast-Adresse auch nicht verarbeiten
(Zeitüberschreitung). Ist das so gewünschtes Verhalten oder ein Bug?

--
Gruß
Marco

[Ignatios Souvatzis]

Marco Moock wrote:
> Hallo zusammen,
>
> über die IPv6 Subnet-Router-Anycast-Adressen hört man recht wenig.

...
> Ist das dafür gar nicht vorgesehen ...?

Sinn macht Verwendung dieser Adresse mUmn eigentlich nur, wenn
du von aussen den Router fuer subnet x ansprechen willst-- und
zwar den, auf dem DU das subnet x erreichen würdest (wobei das
subnet x auf mehreren Wegen mit unterschiedlichen Routern ver-
bunden ist).

z.B. (Netze klein-, Maschinen Großbuchstaben):

|
z
|
-x-------------Y-------------Z
|
y
|


Du gibts beiden Routern Y und Z die Subnet Anycast Adresse von
x zusätzlich - etwa als /128 auf einem inneren Interface - und
wer einen beliebigen Router von x erreichen will, spricht X an
und erreicht je nachdem Y oder Z.

Nur, warum will man das Leuten von aussen erlauben? Heutzutage
versucht man doch eher, seine Netztopologie zu verstecken, und
die Router ganz besonders.

Sinn macht das vielleicht in einem Organisations-internen Rou-
tingprotokoll.

-is

[Marco Moock]

Am 12.01.2023 um 18:25:42 Uhr schrieb Ignatios Souvatzis:

> Marco Moock wrote:
> > Hallo zusammen,
> >
> > über die IPv6 Subnet-Router-Anycast-Adressen hört man recht wenig.
> ...
> > Ist das dafür gar nicht vorgesehen ...?
>
> Sinn macht Verwendung dieser Adresse mUmn eigentlich nur, wenn
> du von aussen den Router fuer subnet x ansprechen willst-- und
> zwar den, auf dem DU das subnet x erreichen würdest (wobei das
> subnet x auf mehreren Wegen mit unterschiedlichen Routern ver-
> bunden ist).

Für mich machte es den Eindruck, dass das für Redundanz zu gebrauchen
wäre.
Ein PC hat Beispielsweise 2001:db8::/64.
Er weiß also, dass 2011:db8:: auf jeden Fall einer der Router ist.
Darauf muss min. ein Router antworten.

Ist das so korrekt oder mache ich einen Denkfehler?
Für was wäre der Teil des Standards dann gedacht?

> Heutzutage versucht man doch eher, seine Netztopologie zu verstecken,
> und die Router ganz besonders.

Mit welchem Ziel?
Einen Router zu verstecken macht wenig Sinn, denn inwiefern soll der
angreifbar sein, wenn da keine Serverdienste laufen?

[Ignatios Souvatzis]

Marco Moock wrote:

> Am 12.01.2023 um 18:25:42 Uhr schrieb Ignatios Souvatzis:
>
>> Marco Moock wrote:
>> > Hallo zusammen,
>> >
>> > über die IPv6 Subnet-Router-Anycast-Adressen hört man recht wenig.
>> ...
>> > Ist das dafür gar nicht vorgesehen ...?
>>
>> Sinn macht Verwendung dieser Adresse mUmn eigentlich nur, wenn
>> du von aussen den Router fuer subnet x ansprechen willst-- und
>> zwar den, auf dem DU das subnet x erreichen würdest (wobei das
>> subnet x auf mehreren Wegen mit unterschiedlichen Routern ver-
>> bunden ist).
>
> Für mich machte es den Eindruck, dass das für Redundanz zu gebrauchen
> wäre.
> Ein PC hat Beispielsweise 2001:db8::/64.
> Er weiß also, dass 2011:db8:: auf jeden Fall einer der Router ist.
> Darauf muss min. ein Router antworten.
>
> Ist das so korrekt oder mache ich einen Denkfehler?
> Für was wäre der Teil des Standards dann gedacht?

Nochmal: für die Verwendung *von außen her* (nicht aus dem Subnet
selbst), und zwar nicht nur meinem unmaßgeblichen Gedächtnis* nach,
diesmal habe ichs auch nachgelesen:

" The subnet-router anycast address is intended to be used for
applications where a node needs to communicate with one of a set of
routers on a remote subnet. For example when a mobile host needs to
communicate with one of the mobile agents on its "home" subnet."

(RFC 2373, "IPv6 Addressing Architecture ", Abschnitt 2.6.1)

Ja, in den NachfolgeRFCs 3513 und 4291 wurde das Example gestrichen,
das liegt aber daran, dass home agents inzwischen in einem eigenen
RFC hinreichend beschrieben und eine eigene Anycast-Adresse erhalten
haben ([RFC 6275, RFC 2526]), und auch die wird von außen angesprochen,
nicht auf dem enthaltenden Subnet.

Eine weitere berühmter Anycast-Adressensatz war*** das default-Relay für
6to4 - 192.88.99.1 bzw. auf IPv6-Ebene 2002:c058:6301:: - mehrfach im
Internet implementiert und nur fuer das eigene Netz oder global per BGP
mit Anycast-Semantik gekündigt; auch dieser wurde unter dieser
Adresse von außen erreicht!

Was du willst, ist das next-hop routing; und das wird im Zweifelsfall
durch Router Advertisements annonciert; gerade NICHT durch global
erreichbare Adressen (obwohl bei manueller Konfiguration prinzipiell
möglich). Wenn mehrere Router vorhanden sind, haben die verschiedene
link-lokale adressen und der Host sucht sich einen passenden (nach
Lebensdauer o.ae.) aus.

Grüße
Ignatios

*) implementiert in einem Kopf, auf dem u.a. der Hut eines
IETF-IPng**-WG-Mitglieds sitzt.

**) spaeter umbenannt zu ipv6-wg, spaeter ersetzt durch 6man-wg

***) [RFC 3068] ist HISTORIC.

[Marco Moock]

Am 08.01.2023 um 11:25:34 Uhr schrieb Marco Moock:

> ndisc6 kann das NDP-Adv für die Anycast-Adresse auch nicht verarbeiten
> (Zeitüberschreitung). Ist das so gewünschtes Verhalten oder ein Bug?

Laut dem Entwickler ein noch nicht behobener Bug.

[Ignatios Souvatzis]

Aendert nichts daran, dass zumindest subnet router anycast address nicht
fuer solches gedacht ist, sondern fuer zugriff von außen ("remote").

-is

[Bonita Montero]

Ich mein ich kann mir auch irgendwas zurechtphantasieren wozu das
gut sein soll, aber ist hier jemandem mal Anycast in der Realität
vorgekommen ?

[Ignatios Souvatzis]

Bonita Montero wrote:

> Ich mein ich kann mir auch irgendwas zurechtphantasieren wozu das
> gut sein soll, aber ist hier jemandem mal Anycast in der Realität
> vorgekommen ?

Ja.

Massenhaft.

Die meisten Internetnutzer bemerken es nicht einmal, deswegen weisst
du das vielleicht noch nicht.

Allerdings ist das dann kein subnet router anycast. (Netzwerkoperateure
moegen dafuer praktische Anwendungen haben - meine Netze, sowohl beruflich
als auch privat, sind dazu zu flach organisiert.)

Für den historischen Übergangsmechanismus 6to4 (siehe
https://de.wikipedia.org/wiki/6to4 ) waren sowohl für die IPv4-(also
Transport-) als auch für die IPv6- (also Netzwerk-)Seite Anycastadressen
definiert, die durch BGP implementiert waren.

Heutzutage benutzen große Contentdistributoren (mindestens
PybhqSyner[2]) gerne BGP[1]-Anycast, um die Webseiten ihrer Kunde
über ihr Netzwerkmäßig nächstes Rechenzentrum erreichbar zu machen.
(Da es um TCP-Verbindungen und teils höheren semipermanenten Zustand
geht, geht das grandios schief, wenn es zwei gleichwertige Wege
dorthin gibt - schwer zu diagnostizieren, nur durch Tricks, aber
immerhin, kundenseitig zu umgehen, und PybhqSyner selbst ist da
komplett uneinsichtig. Ja, ich war da seitens meines AG an der
Analyse beteiligt.)

Anycast für zustandslose Protokolle (DNS über UDP z.B. oder das oben
erwähnte 6to4) funktioniert natürlich problemlos. Deswegen habe ich
auch keine Ahnung, wie oft DAS eingesetzt wird.)

-is

[1] Sprich, die Erreichbarkeit ein und der selben Adresse wird an mehreren
Punkten der globalen Routingwolke angekündigt.

[2] rot13, um direkte Werbung zu vermeiden.
--
A medium apple... weighs 182 grams, yields 95 kcal, and contains no
caffeine, thus making it unsuitable for sysadmins. - Brian Kantor

[Bonita Montero]

Also technisch häufig, aber die die mit der Technik umgehen arbeiten
sehr selten damit.

[Marco Moock]

Am 02.03.2023 um 08:47:33 Uhr schrieb Ignatios Souvatzis:

> Anycast für zustandslose Protokolle (DNS über UDP z.B. oder das oben
> erwähnte 6to4) funktioniert natürlich problemlos. Deswegen habe ich
> auch keine Ahnung, wie oft DAS eingesetzt wird.)

Bei den großen autoritativen DNS-Servern soll es wohl genutzt werden.

[Ignatios Souvatzis]

Bonita Montero wrote:
> Am 02.03.2023 um 09:47 schrieb Ignatios Souvatzis:

Nebenbei: Das vollzitat haettest du dir sparen koennen.

> Also technisch häufig, aber die die mit der Technik umgehen arbeiten
> sehr selten damit.

Was sollen sie auch damit "arbeiten"? Es funktioniert einfach.

Arbeiten - im Sinne von bewusst aufsetzen - tut es z.B. der
Contentverbreiter. Der Nutzer soll es ja eben nicht merken,
das ist der Sinn des ganzen.

-is

[Bonita Montero]

Am 05.03.2023 um 21:01 schrieb Ignatios Souvatzis:

> Bonita Montero wrote:

>> Am 02.03.2023 um 09:47 schrieb Ignatios Souvatzis:

> Nebenbei: Das vollzitat haettest du dir sparen koennen.

Vorstellbar, dass das dich belastet.

>> Also technisch häufig, aber die die mit der Technik umgehen arbeiten
>> sehr selten damit.

> Was sollen sie auch damit "arbeiten"? Es funktioniert einfach.

Ne, es ging ja einfach darum wie "real" das in dem Sinne
ist, dass man selbst damit zu tun hat und es nicht einfach
nur transparent nutzt.

[Ignatios Souvatzis]

Ja und? Du musst jetzt ganz stark sein: auch mit sonstigen Aspekten
des Internet, des Usenet, der Briefpost, der Telefonie, der
Lebensmittelproduktion, des Flugverkehrs, der Paketpost, der
Literatur und des Filmtheaters haben die meisten nichts zu tun in
deinem Sinne; sie nutzen es jeweils bloss.

Ich versteh ja, dass es Leute gibt, die Dinge selbst machen wollen.
Ich gehör ja selbst dazu.

Dafür gibt es Schrebergärten, Segelflugvereine, Experimentierkästen,
Super-8-Kame^W^W^W^W^WVideoaufnahmeapps, auch programmierbare
Computer.

Aber man sollte sich bewusst sein, dass man zu einer Minderheit
gehört, wenn man ausser beim eignenen Brotberuf auch noch woanders
Dinge tut, also über das konsumieren hinaus.

Und neugierigen Leuten erklär ich gerne gelegentlich Aspekte der
Physik oder von TCP/IP - aber den Einwand hinterher, das sei nicht
real, bloss weil die meisten das nie über's "funktioniert einfach"
hinaus zu tun haben, den finde ich etwas seltsam.

Oder um aufs Anycast zurueckzukommen: das ist eine Methodik, um
ein unbestimmtes, fuer mich auf den ersten Blick ununterscheidbares
Objekt zu erreichenn. Die Art, wie das umgesetzt ist, fuehrt dazu,
dass das "einfach funktioniert" und die Leute, die damit zu tun haben,
es gar nicht merken. Genau wie flugphysik. Wenn das nicht so waere,
wuerde es nicht massenhaft eingesetzt. Sprich, wenn du sehen willst,
was passiert, brauchst du ein Dutzend verteilter tcpdumps bzw. einen
Windkanal.


-is

[Bonita Montero]

Am 06.03.2023 um 15:41 schrieb Ignatios Souvatzis:

> Ja und? Du musst jetzt ganz stark sein: auch mit sonstigen
> Aspekten des Internet, des Usenet, der Briefpost, der Telefonie,
> der Lebensmittelproduktion, des Flugverkehrs, der Paketpost, der
> Literatur und des Filmtheaters haben die meisten nichts zu tun
> in deinem Sinne; sie nutzen es jeweils bloss.

Ne, da verstehst Du was verkehrt. Ich wollte nur klarmachen, dass wenn
sicher keiner von hier damit in dem Sinne arbeitet das alles überflüssig
zu disktuieren ist. Aber Marco hat ja in dem Sinne echt ein Filter-Pro-
blem, dass der Themen aufbringt mit denen nahezu keiner zu tun hat.

[Laurenz Trossel]

On 2023-03-06, Ignatios Souvatzis <u50...@bnhb484.de> wrote:

> Oder um aufs Anycast zurueckzukommen:

Wer benutzt denn Subnet Router Anycast? War das nicht die Frage?

Nicht zu verwechseln mit generischem Anycast, das einzelne Unicast-Adressen
unterschiedlich terminiert.

[Bonita Montero]

Am 07.03.2023 um 21:30 schrieb Laurenz Trossel:

> Wer benutzt denn Subnet Router Anycast? War das nicht die Frage?
> Nicht zu verwechseln mit generischem Anycast, das einzelne
> Unicast-Adressen unterschiedlich terminiert.

Der Unterschied war mir nicht bewusst, aber jetzt wo Du es sagst schon.
Auf jeden Fall macht das die Frage von Marco schon sehr theoretisch.

[Ignatios Souvatzis]

Subnet Router Anycast ist halt nur ein spezieller Fall, sehr einfach
zu implementieren fuer den gedachten Zweck, nur vollkommen untauglich
fuer den vom OP ausprobierten Weg.

Als man damals darueber diskutierte, was man so alles in das neue
Protokoll reinschreiben will, war eine expliziten Erwaehnung von
Anycast wohl eins der Rosa Ponies, aber - ausser dem BGP-Kram, der
vorher schon ging - mehr als Subnet Router Anycast ist konkret nicht
dabei rausgekommen, und auch das hat einen eher theoretischen Wert.

(Hand aufs Herz - wenn ich der Netzadmin bin, kenne ich eine normale
Unicast-Adresse jedes Routers, der dorthin fuehrt. Was also will
ich mit SRA? Das will hoechstens ein Hacker, der sich in den Router
einhacken will, um von dort aus in das Netz zu kommen.

Man koennte jetzt Netzverwaltungs/managementsoftware fuer grosse,
verzweigte Netze schreiben, die auf die Router ueber SRA zugreift;
dann braucht man der zu einem Netz nicht noch die Router aufzuzaehlen.
Aber die braucht die Liste vermutlich sowieso.)