Maarten Carels <
mca...@xs4all.nl> wrote:
> Rob <
nom...@example.com> wrote:
>
>> Om een idee te krijgen waar dit ergens fout zou kunnen gaan:
>> Hoe werkt dat eigenlijk aan de XS4ALL kant met die DHCPv6 PD?
>> Als ik geen PD request do dan werkt de routing niet, dat is bekend.
>> Maar geldt dit voor de hele /48 in een klap, of wordt er alleen
>> gerouteerd (en wellicht source-adres-filtered) op de prefixen die
>> je daadwerkelijk aangevraagd hebt?
>
> Jouw hoofdmodem (laat ik het maar hoofdmodem noemen, het modem dat aan
> de lijn hangt) maakt verbinding via PPP, en als onderdeel van de dansjes
> die daarbij horen vraagt ie een prefix via DHCP-PD. Krijgt een /48.
> Wat de BRAS betreft is het dam simpel, die hele /48 gaat naar het PPP
> endpoint.
> Modem pakt er een paar voor zichzelf (.....:0::/64 voor zijn buitenkant,
> .....::1/128 is je modem, kan je pingen. .....:1::/64 is je LAN,
> .....:2::/64 je gasten net).
Ja ok het was me nog even niet duidelijk of dat een modem alleen de
/64 prefixen bij XS4ALL aanvraagt die het ook daadwerkelijk aan een
interface (of aan een downstream router) geeft of dat hij altijd de
hele /48 pakt. Dwz ik heb hier zelf een router op een PPPoE-relay
modem hangen en dan zie ik in de router wel dat ie een /48 pool gekregen
heeft en daaruit 4 /64's in gebruik genomen, maar in die andere installatie
kan ik dat niet zien en ik weet niet wat de Fritzbox in zo'n geval doet.
Maar kennelijk ook een /48 aanvragen dus.
> Van binnen naar buiten gaat dat allemaal vanzelf goed, van buiten naar
> binnen toen niet.
> Dat zou nu wel moeten, AVM heeft inmiddels in de Internet->Permit Access
> boel, per device een setting gemaakt ('Open firewall for delegated IPv6
> prefixes of this device).
> Als je op die plek (op je hoofdmodem) dat aanzet voor je submodem zou
> het moeten werken. De hele gedelegeerde prefix wordt dan ongefilterd
> doorgeschoven naar je submodem (met het idee dat je het daar verder moet
> regelen).
Ja dat schreef ik al, daarvan zie ik het effect wel omdat als dat dicht
staat de Fritzbox antwoord geeft dat het admin filtered is terwijl als
die setting open staat dan komt het binnen bij de 2e router, die antwoordt
er ook wel op maar dat komt dan nooit meer terug bij mij (buiten).
Het grappige is dat als ik bijv iets ping wat mijn 2e router niet meer
kan routeren, ik wel de "unreachable" zie want die stuurt die 2e router
vanaf het :1: adres (het adres op ethernet van de fritzbox dus) en dat
komt dan wel naar buiten, maar verkeer van dat :fc: subnet (wat de 2e
router heeft gekregen van de Fritzbox) dat zie ik niet.
$ ping 2001:983:xxxx:fc::1
PING 2001:983:xxxx:fc::1(2001:983:xxxx:fc::1) 56 data bytes
^C
--- 2001:983:xxxx:fc::1 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 34ms
$ ping 2001:983:xxxx:fd::1
PING 2001:983:xxxx:fd::1(2001:983:xxxx:fd::1) 56 data bytes
From 2001:983:xxxx:1:6e3b:6bff:fe5d:d2e8: icmp_seq=1 Destination unreachable: No route
From 2001:983:xxxx:1:6e3b:6bff:fe5d:d2e8: icmp_seq=2 Destination unreachable: No route
Maar die bovenste ping die zie ik als ik op de 2e router meekijk dus wel!
(in- en uitgaande packets)
> Ik heb dat alleen nog nooit geprobeerd.
> Setting is aanwezig in mijn 7590, met een 07.19-blabla betaversie (voor
> de komende 07.20), ik zie hem ook in 07.15 op een ander model (7583).
> Sinds welke versie dat erinzit, geen idee.
Ja die setting die ken ik maar het gaat er eigenlijk meer om of het hele
prefix delegeren wel werkt op de 7581 met versie 7.13 want ik weet zeker
dat het vroeger wel gewerkt heeft en het zou kunnen dat het fout gegaan is
bij die Fritzbox update naar 7.13 of wellicht zelfs al een eerdere update.
Dat filter is alleen relevant voor inkomend verkeer (volgens mij) maar
uitgaand (user op :fc: netwerk naar internet) werkt het dus ook niet.
Ik heb die boel ooit daar geinstalleerd en getest en toen was IPv6
in orde, nu krijgen we allerlei klachten van mensen die daar zitten en
na veel tobben (ik dacht eerst dat het een MTU issue was) ben ik er
achter dat IPv6 het daar gewoon helemaal niet doet. Terwijl de router
wel vrolijk zijn RA doet en de clients keurig hun config krijgen, dus
dat leidt dan tot problemen met apps die geen goede fallback doen.
> Het hele circus zit aan jouw kant, de BRAS heeft daar geen idee van (die
> routeert de hele /48 naar je toe, wat je daarmee doet moet je zelf
> weten..
Dat is in ieder geval goede info! En ik neem aan dat dat ook geldt
voor source adres filtering, die zal waarchijnlijk ook de hele /48
betreffen en niet een kleiner deel wat afhankelijk is van wat ie weet
of ziet dat er achter zit.
(kennelijk geeft die Fritzbox de gedelegeerde prefixen uit aan het eind
van de /56 range waar hij de LAN aan het begin zet)
> Hopelijk helpt dit je, laat even weten als het toch niet goed werkt (kan
> altijd een fout in de implementatie zitten, het is maar software)
Ik ben er nog steeds niet uit wat er fout is. Het kan natuurlijk ook
een config fout in mijn eigen router zijn, echter ik heb hier thuis
net zo'n ding maar dan zonder Fritzbox ertussen en dat werkt wel, en
ook ergens op een andere locatie waar ze glas hebben zit er een direct
op de NTU zonder problemen.
En het HEEFT gewerkt via de Fritzbox... vaag.