voorbeeld config pppoe/trunk/vlan6?

[Mark Huizer]

Hallo,

Ik meen me te herinneren dat er mensen waren hier die een Juniper
gebruikten om glasvezelverbindingen te termineren. Voorzover ik even al
gekeken heb, wordt het afgeleverd op een trunk, is vlan6 voor IP met
PPPoE (en ik neem aan ook ipv6) en maakt username/passwd niet zoveel uit
als je maar wat meestuurt.

Maar ik was nog even aan het pielen om een werkende configuratie te
krijgen, dus ik hoopte dat er iemand (ik meen me te herinneren dat
Miquel het wel eens had over Juniper thuis, of was dat DSL?) even een
paar regeltjes uit een configuratie kon laten zien (met name de trunk in
mijn geval fe-0/0/6 en pp0).
Ik wou al voor fe-0/0/6.6 encapsulation aanzetten maar dat kan
natuurlijk alleen voor het hele interface en dat gaat hem niet worden
gok ik.
Of moet ik het direct naar mijn switch sturen en daar vlan6 als access
poort naar mijn router sturen? Beetje zonde van de poorten.

Extra dank als er ook meteen het DHCPv6 stukje bijzit :)

Groeten

Mark

[Maarten Carels]

Glasvezel (en VDSL ook trouwens) gebruikt PPPoE over vlan 6. Daarnaast
zit ook vlan 4 voor de TV.
Je moet dus PPPoE doen met pakketten tagged met vlan6, in de PPP sessie
voer je zowel IPv4 als IPv6 (voor die laatste moet je met DHCP-PD een
prefix vragen, je krijgt dan een /48 toegewezen.
Username en password moeten inderdaad ingevuld zijn, als je dat niet
doet komt je sessie niet tot stand. Wat je invult maakt niet uit, de
username wordt alleen aan inze kant wel gelogd. Bij problemen is het
handig om er iets duidelijks en unieks in te zetten, dat zoekt handiger.

802.1q encapsulation aanzetten gaat inderdaad op een heel interface,
maar dat maakt niet uit, alles op dat interface is encapsulated.

Als je ook TV afneemt, die kan je gewoon bridgen van je tagged trunk
naar een intagged interface waar je de settopbox aan knoopt.

Staat allemaal onder Helpdesk & Klantenservice op de website:
https://www.xs4all.nl/klant/helpdesk/internet/modem/instellingen/

Heb zelf in ieder geval ooit een of ander Draytek mormel aan de
glasvezel gehad, op deze manier geconfigd.

--maarten

[Mark Huizer]

The wise Maarten Carels enlightened me with:

> Mark Huizer <xaa+news_xs...@dohd.org> wrote:
>
>
> 802.1q encapsulation aanzetten gaat inderdaad op een heel interface,
> maar dat maakt niet uit, alles op dat interface is encapsulated.

Ah, kijk, eens proberen

> Als je ook TV afneemt, die kan je gewoon bridgen van je tagged trunk
> naar een intagged interface waar je de settopbox aan knoopt.
>
> Staat allemaal onder Helpdesk & Klantenservice op de website:
> https://www.xs4all.nl/klant/helpdesk/internet/modem/instellingen/

I know :) Maar ik hoopte nou juist op een specifiek configvoorbeeldje
voor een Juniper.

Mark

[Miquel van Smoorenburg]

In article <slrnlagl7...@eeyore.local.dohd.org>,

Mark Huizer <xaa+news_xs...@dohd.org> wrote:
>I know :) Maar ik hoopte nou juist op een specifiek configvoorbeeldje
>voor een Juniper.

Ik heb geen SRX of iets anders om dit op te testen .. maar
het zal iets zoals dit zijn. Ik heb dit wat bij elkaar geraapt
van diverse router configs van onzelf (dus MX based), wat
switch config (EX based) en wat gegoogle op SRX. De syntax loopt
dus door elkaar en zal je afhankelijk van platform moeten
aanpassen.

IPv6 config is voor SRX, en deels, het hele verhaal staat hier:
http://lkhill.com/dhcpv6-client-srx/

Met een beetje mazzel krijg je ook netjes een MTU van 1500
ipv 1492.

Als je het aan de praat krijgt zien we graag een hele config
hier gepost, zodat anderen er ook wat aan hebben.


interfaces {
fe-0/0/6 {
description "xs4all fiber";
flexible-vlan-tagging;
/* set high mtu in case we support max-mtu-tag */
mtu 1522;
unit 4 {
encapsulation vlan-bridge;
vlan-id 4;
}
unit 6 {
encapsulation ppp-over-ether;
vlan-id 6;
}
}
fe-0/0/7 {
description "to settop box";
encapsulation ethernet-bridge;
unit 0 {
family bridge;
}
}
pp0 {
unit 0 {
ppp-options {
pap {
local-name "login";
local-password "password";
}
}
pppoe-options {
underlying-interface fe-0/0/6.6;
auto-reconnect 120;
client;
}
family inet {
negotiate-address;
}
family inet6 {
dhcpv6-client {
client-ia-type ia-pd;
rapid-commit;
client-identifier duid-type duid-ll;
}
}
}
}
}
routing-options {
rib inet6.0 {
static {
route ::/0 next-hop pp0.0;
}

}
}
bridge-domains {
tv {
vlan-id 4;
interface fe-0/0/6.4;
interface fe-0/0/7.0;
}
}

[Mark Huizer]

The wise Miquel van Smoorenburg enlightened me with:

> In article <slrnlagl7...@eeyore.local.dohd.org>,
> Mark Huizer <xaa+news_xs...@dohd.org> wrote:
>>I know :) Maar ik hoopte nou juist op een specifiek configvoorbeeldje
>>voor een Juniper.
>
> Ik heb geen SRX of iets anders om dit op te testen .. maar
> het zal iets zoals dit zijn. Ik heb dit wat bij elkaar geraapt
> van diverse router configs van onzelf (dus MX based), wat
> switch config (EX based) en wat gegoogle op SRX. De syntax loopt
> dus door elkaar en zal je afhankelijk van platform moeten
> aanpassen.

Ik ga er eens mee spelen

> Als je het aan de praat krijgt zien we graag een hele config
> hier gepost, zodat anderen er ook wat aan hebben.

Will do...

> interfaces {
> fe-0/0/6 {
> description "xs4all fiber";
> flexible-vlan-tagging;

Eens even kijken of ik het zonder TV kan bouwen (ik kan voor de lol er
wel eens een poort bij configureren als het werkt en dan kijken of ik er
wat op zie.

Maar goed... hier krijg ik al even een probleem:

[edit interfaces fe-0/0/6]
'flexible-vlan-tagging'
Only compatible with vpls vlan encapsulations

Eens zoeken of ik die nodig heb als ik die TV er niet bij heb... niet
dus helaas:

root@gw# commit
[edit interfaces fe-0/0/6]
'unit 6'
Only unit 0 is valid for this encapsulation
error: configuration check-out failed

Kortom, ik ga even verder lezen en zoeken hiermee.

Alvast bedankt voor het bij elkaar zoeken

Mark

[Miquel van Smoorenburg]

In article <slrnlahfa...@eeyore.local.dohd.org>,

Mark Huizer <xaa+news_xs...@dohd.org> wrote:
>Maar goed... hier krijg ik al even een probleem:
>
>[edit interfaces fe-0/0/6]
> 'flexible-vlan-tagging'
> Only compatible with vpls vlan encapsulations

flexible-vlan-tagging is om verschillende VLANs verschillende
encapsulaties te gebruiken - op 1 VLAN PPPoE en op de andere bridiging.
Op de MX althans. Misschien kan het op een SRX anders.

Probeer eens gewoon 'vlan-tagging' .

>Eens zoeken of ik die nodig heb als ik die TV er niet bij heb... niet
>dus helaas:
>
>root@gw# commit
>[edit interfaces fe-0/0/6]
> 'unit 6'
> Only unit 0 is valid for this encapsulation
> error: configuration check-out failed

Ja, precies, want je had helemaal geen encaps gezet.

Mike.

[Mark Huizer]

The wise Miquel van Smoorenburg enlightened me with:

> In article <slrnlahfa...@eeyore.local.dohd.org>,
> Mark Huizer <xaa+news_xs...@dohd.org> wrote:
>>Maar goed... hier krijg ik al even een probleem:
>>
>>[edit interfaces fe-0/0/6]
>> 'flexible-vlan-tagging'
>> Only compatible with vpls vlan encapsulations
>
> flexible-vlan-tagging is om verschillende VLANs verschillende
> encapsulaties te gebruiken - op 1 VLAN PPPoE en op de andere bridiging.
> Op de MX althans. Misschien kan het op een SRX anders.
>
> Probeer eens gewoon 'vlan-tagging' .

Dat was ik ook aan het doen, maar ik wilde meteen even de gelegenheid
misbruiken om even te upgraden. En ik zag dat dhcpv6 pas in 12.1x45 erin
zit.
Die heb ik er nu inzitten dus ik ga eens verder kijken.

root@gw# show interfaces fe-0/0/6
description "xs4all - glasvezel";
disable;
vlan-tagging;
mtu 1522;

unit 6 {
encapsulation ppp-over-ether;
vlan-id 6;
}

root@gw# show interfaces pp0
unit 0 {
ppp-options {
pap {
local-name user;
local-password "$9$t0G0p1hSyK8xdlKGi.56/lKMWLN"; ##
SECRET-DATA

}
}
pppoe-options {
underlying-interface fe-0/0/6.6;
auto-reconnect 120;
client;
}
family inet {
negotiate-address;
}

family inet6;
}

Dat pikt het in elk geval al, zoals je ziet heb ik interface nog even
down :) Ik had nog geen change window bij de vrouw aangevraagd.

Nu eens even kijken of ik meteen die dhcpv6 erbij kan jongen. En dan
eens kijken of ik dit iets wil doen.

Mark

[Mark Huizer]

> Als je het aan de praat krijgt zien we graag een hele config
> hier gepost, zodat anderen er ook wat aan hebben.

Ik ga binnenkort wel even verder kijken, morgen wil ik er hier in elk
geval bijkunnen dus zo maar even terug naar de kabel. In elk geval
bedankt voor de nuttige aanwijzigingen!

Ik moet zo te zien toch nog van alles regelen, zoals hostname en zo,
maar dan moet ik eerst eens account gegevens vinden en ik vrees dat als
ik die had, die bij een verbouwing "ergens" gebleven zijn :( Dus dat
wordt helpdeskbelwerk :)

Voor IPv6 moet ik nog even kijken dat ik dat soonish ook test, want dan
moet ik vermoedelijk even de bestaande radv config uitzetten.

Maar goed... een aantal dingen uit de config, sommige vrij standaard,
sommige specifiek hiervoor:

version 12.1X45.5;

interfaces {
fe-0/0/6 {
description "xs4all - glasvezel";

vlan-tagging;

unit 6 {
encapsulation ppp-over-ether;
vlan-id 6;
}
}

pp0 {
traceoptions {
flag all;
}
unit 0 {
ppp-options {
pap {

local-name user;
local-password "$9$t0G0p1hSyK8xdlKGi.56/lKMWLN"; ##
SECRET-DATA

passive;
}
}
pppoe-options {
underlying-interface fe-0/0/6.6;
idle-timeout 0;

auto-reconnect 120;
client;
}
family inet {

mtu 1492;
negotiate-address;
}
}
}
}

routing-options {
static {
route 0.0.0.0/0 next-hop pp0.0;
}
}

security {
nat {
source {
rule-set OutgoingNAT {
from zone trust;
to zone untrust;
rule Masquerade {
match {
source-address 10.0.0.0/16;
destination-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
zones {
security-zone untrust {
host-inbound-traffic {
system-services {
ping;
}
}
interfaces {
pp0.0 {
host-inbound-traffic {
system-services {
ping;
}
}
}
}
}
}

To Be Continued

[Miquel van Smoorenburg]

In article <slrnlahvu...@eeyore.local.dohd.org>,

Mark Huizer <xaa+news_xs...@dohd.org> wrote:
>Ik moet zo te zien toch nog van alles regelen, zoals hostname en zo,
>maar dan moet ik eerst eens account gegevens vinden en ik vrees dat als
>ik die had, die bij een verbouwing "ergens" gebleven zijn :( Dus dat
>wordt helpdeskbelwerk :)

Volgens mij heb je voor het configgen geen hostname/ip nodig,
maar als je mij mailt met je accountnaam kan ik dat zo opzoeken
(email adres uit de header maar dan at xs4all.net)

Loginnaam/wachtwoord heb je ook niet nodig, je mag alles
invullen wat je wilt.

>Maar goed... een aantal dingen uit de config, sommige vrij standaard,
>sommige specifiek hiervoor:

Ah ziet er goed uit.

Mike.

[Mark Huizer]

The wise Miquel van Smoorenburg enlightened me with:

> In article <slrnlahvu...@eeyore.local.dohd.org>,
> Mark Huizer <xaa+news_xs...@dohd.org> wrote:
>>Ik moet zo te zien toch nog van alles regelen, zoals hostname en zo,
>>maar dan moet ik eerst eens account gegevens vinden en ik vrees dat als
>>ik die had, die bij een verbouwing "ergens" gebleven zijn :( Dus dat
>>wordt helpdeskbelwerk :)
>
> Volgens mij heb je voor het configgen geen hostname/ip nodig,
> maar als je mij mailt met je accountnaam kan ik dat zo opzoeken
> (email adres uit de header maar dan at xs4all.net)

Klopt, maar ik moet de hostname nog laten aanpassen van de a83whatever
naar iets beters, al maakt het me weinig uit, heb er toch andere
domeinen voor

> Loginnaam/wachtwoord heb je ook niet nodig, je mag alles
> invullen wat je wilt.

Klopt :) Behalve wellicht voor reverse dns voor IPv6.

In het algemeen bedoelde ik ook meer dat ik die xs4all beheeraccount
gegevens eens moest zoeken. Wonder boven wonder heb ik in elk geval al
de username teruggevonden in een brief. Helaas niet meer degene die ik
een aantal jaar geleden voor ADSL had :(

Dus dat wachtwoord komt vanzelf, leve de helpdesk site.

>>Maar goed... een aantal dingen uit de config, sommige vrij standaard,
>>sommige specifiek hiervoor:
>
> Ah ziet er goed uit.
>

Yep. Ik probeer vanavond vermoedelijk even die mtu, en misschien kijk ik
nog even wat ik moet aanpassen voor ipv6, maar dan moet ik kijken wat
dat betekent voor een aantal dingen die ik via ipv6 gebruik en die
moeten blijven draaien. RA en DHCPv6 lijkt te botsen, en dan moet ik
eerst eens even kijken hoe dhcpv6 precies werkt

Mark

[Miquel van Smoorenburg]

In article <slrnlajpo...@eeyore.local.dohd.org>,

Mark Huizer <xaa+news_xs...@dohd.org> wrote:
>Klopt, maar ik moet de hostname nog laten aanpassen van de a83whatever
>naar iets beters, al maakt het me weinig uit, heb er toch andere
>domeinen voor

Dat doe je zelf op https://service.xs4all.nl/ . Als je een eigen
domein hebt en je hebt daar al een forward in staan (een A record)
dan kan je die daar ook opgeven, dan wordt alleen de reverse gezet.

>> Loginnaam/wachtwoord heb je ook niet nodig, je mag alles
>> invullen wat je wilt.
>
>Klopt :) Behalve wellicht voor reverse dns voor IPv6.

Die zou je ook op het service centre moeten kunnen aanpassen,
maar helaas wordt daar nog steeds aan gewerkt.

>Yep. Ik probeer vanavond vermoedelijk even die mtu, en misschien kijk ik
>nog even wat ik moet aanpassen voor ipv6, maar dan moet ik kijken wat
>dat betekent voor een aantal dingen die ik via ipv6 gebruik en die
>moeten blijven draaien. RA en DHCPv6 lijkt te botsen, en dan moet ik
>eerst eens even kijken hoe dhcpv6 precies werkt

Je hebt altijd RA nodig, maar je kan in je Router Advertisements
vlaggetjes aan/uit zetten die aangeven "kies zelf een adres uit
de /64 op het netwerk" (SLAAC) of "ga het aan de DHCPv6 server vragen".
Dat zijn de "Managed" en "Other" flags. M=0 betekent SLAAC, M=1
betekent "DHCPv6", O=1 bij M=0 betekent "SLAAC voor adres, maar ga
de DHCPv6 server vragen voor de rest zoals bv DNS servers".

Mike.

[Sylvester]

Mark Huizer schreef op 12-12-13 01:14:

>> Als je het aan de praat krijgt zien we graag een hele config
>> hier gepost, zodat anderen er ook wat aan hebben.
>
> Ik ga binnenkort wel even verder kijken, morgen wil ik er hier in elk
> geval bijkunnen dus zo maar even terug naar de kabel. In elk geval
> bedankt voor de nuttige aanwijzigingen!
>
> Ik moet zo te zien toch nog van alles regelen, zoals hostname en zo,
> maar dan moet ik eerst eens account gegevens vinden en ik vrees dat als
> ik die had, die bij een verbouwing "ergens" gebleven zijn :( Dus dat
> wordt helpdeskbelwerk :)

Als je de inlognaam en relatienummer weet dan kun je het wachtwoord ook
resetten via https://wachtwoord.xs4all.nl. Kan via SMS als je mobiele
telefoonnummer bekend is bij XS4ALL.

[Mark Huizer]

The wise Sylvester enlightened me with:

>
> Als je de inlognaam en relatienummer weet dan kun je het wachtwoord ook
> resetten via https://wachtwoord.xs4all.nl. Kan via SMS als je mobiele
> telefoonnummer bekend is bij XS4ALL.

Had ik al gevonden en nee, daar staat alleen huisadres. Maar goed, die
paar dagen zijn geen probleem. Druk genoeg met andere dingen.

Mark

[Mark Huizer]

The wise Miquel van Smoorenburg enlightened me with:
>

> Met een beetje mazzel krijg je ook netjes een MTU van 1500
> ipv 1492.

Hmm... dat lijkt nog niet ondersteund te worden, dus eens even kijken
hoe ik dat ga oplossen. Poging 1 leidde tot mtu problemen. Lijkt erop
alsof die SRX 4638 nog niet snapt :(

Vanavond wellicht poging 2. Gisteren maar even teruggedraaid omdat ik
echt weg moest

Mark

[Miquel van Smoorenburg]

In article <slrnlbd5l...@eeyore.local.dohd.org>,

MTU problemen met PPPoE worden op CPEs als volgt opgelost:

1. Voor IPv4: TCP MSS clamping
http://www.juniper.net/techpubs/en_US/junos12.1x45/topics/example/session-tcp-maximum-segment-size-for-srx-series-setting-cli.html

2. Voor IPv6: zorgen dat de Router-Advertisements een MTU van 1492 adverteren
(op je LAN interface onder family inet6 mtu 1492 zetten denk ik)

Of natuurlijk gewoon RFC4638 (PPPoE Max Payload Tag) support, maar
er zijn nog niet zo heel veel routers die dit doen. Ik hoorde trouwens
gisteren van een ex-collega dat hij het op glas met OpenWRT heeft werken.

Mike.

[Mark Huizer]

The wise Miquel van Smoorenburg enlightened me with:
> In article <slrnlbd5l...@eeyore.local.dohd.org>,
> Mark Huizer <xaa+news_xs...@dohd.org> wrote:
>>The wise Miquel van Smoorenburg enlightened me with:
>>>
>>> Met een beetje mazzel krijg je ook netjes een MTU van 1500
>>> ipv 1492.
>>
>>Hmm... dat lijkt nog niet ondersteund te worden, dus eens even kijken
>>hoe ik dat ga oplossen. Poging 1 leidde tot mtu problemen. Lijkt erop
>>alsof die SRX 4638 nog niet snapt :(
>>
>>Vanavond wellicht poging 2. Gisteren maar even teruggedraaid omdat ik
>>echt weg moest
>
> MTU problemen met PPPoE worden op CPEs als volgt opgelost:
>
> 1. Voor IPv4: TCP MSS clamping
> http://www.juniper.net/techpubs/en_US/junos12.1x45/topics/example/session-tcp-maximum-segment-size-for-srx-series-setting-cli.html

Hmm... dat is wel een beetje heel erg jammer op zich. Dat betekent dat
ook al het interne verkeer zich aan een lagere MTU moet gaan houden als
het van het ene naar het andere netwerk gaat (ik heb hier wifi, wired en
nog wat testnetwerkjes uit elkaar getrokken).
Eens kijken wat er gebeurt als ik dat in de huidige setup ga doen

> 2. Voor IPv6: zorgen dat de Router-Advertisements een MTU van 1492 adverteren
> (op je LAN interface onder family inet6 mtu 1492 zetten denk ik)
>
> Of natuurlijk gewoon RFC4638 (PPPoE Max Payload Tag) support, maar
> er zijn nog niet zo heel veel routers die dit doen. Ik hoorde trouwens
> gisteren van een ex-collega dat hij het op glas met OpenWRT heeft werken.

Mjah, maar je zou verwachten dat sommige partijen dat toch wel gewoon
hebben

Mark

[Rob]

Mark Huizer <xaa+news_xs...@dohd.org> wrote:
>> MTU problemen met PPPoE worden op CPEs als volgt opgelost:
>>
>> 1. Voor IPv4: TCP MSS clamping
>> http://www.juniper.net/techpubs/en_US/junos12.1x45/topics/example/session-tcp-maximum-segment-size-for-srx-series-setting-cli.html
>
> Hmm... dat is wel een beetje heel erg jammer op zich. Dat betekent dat
> ook al het interne verkeer zich aan een lagere MTU moet gaan houden als
> het van het ene naar het andere netwerk gaat (ik heb hier wifi, wired en
> nog wat testnetwerkjes uit elkaar getrokken).
> Eens kijken wat er gebeurt als ik dat in de huidige setup ga doen

Nee als je dit goed doet (dwz op de goede plek) dan is die invloed er
niet. De clamping moet natuurlijk alleen gebeuren met pakketjes die de
PPPoE link in gaan!

Overigens werkt het niet voor UDP. Dus een echte oplossing is het niet,
het verzacht alleen een beetje de ellende.
Ik gebruik het zelf wel voor IPsec en andere tunnels, die geven
vergelijkbare ellende.

[Mark Huizer]

The wise Rob enlightened me with:

> Mark Huizer <xaa+news_xs...@dohd.org> wrote:
>>> MTU problemen met PPPoE worden op CPEs als volgt opgelost:
>>>
>>> 1. Voor IPv4: TCP MSS clamping
>>> http://www.juniper.net/techpubs/en_US/junos12.1x45/topics/example/session-tcp-maximum-segment-size-for-srx-series-setting-cli.html
>>
>> Hmm... dat is wel een beetje heel erg jammer op zich. Dat betekent dat
>> ook al het interne verkeer zich aan een lagere MTU moet gaan houden als
>> het van het ene naar het andere netwerk gaat (ik heb hier wifi, wired en
>> nog wat testnetwerkjes uit elkaar getrokken).
>> Eens kijken wat er gebeurt als ik dat in de huidige setup ga doen
>
> Nee als je dit goed doet (dwz op de goede plek) dan is die invloed er
> niet. De clamping moet natuurlijk alleen gebeuren met pakketjes die de
> PPPoE link in gaan!

Dat snap ik, maar ik doelde even op het specifieke Juniper geval waar je
volgens mij die mss setting doet op alle flows, ook die van trusted naar
trusted zone

> Overigens werkt het niet voor UDP. Dus een echte oplossing is het niet,
> het verzacht alleen een beetje de ellende.
> Ik gebruik het zelf wel voor IPsec en andere tunnels, die geven
> vergelijkbare ellende.

Afschaffen dat hele IP... alleen maar ellende

Mark

[Pasq]

On 2013-12-22, Mark Huizer <xaa+news_xs...@dohd.org> wrote:

>> Overigens werkt het niet voor UDP. Dus een echte oplossing is het niet,
>> het verzacht alleen een beetje de ellende.
>> Ik gebruik het zelf wel voor IPsec en andere tunnels, die geven
>> vergelijkbare ellende.
> Afschaffen dat hele IP... alleen maar ellende

Owja.. En dan weer terug naar IPX/SPX..
Of nog beter.. Netbeui.. :-)

--
Groet,

Pasq

[Mark Huizer]

>>Vanavond wellicht poging 2. Gisteren maar even teruggedraaid omdat ik
>>echt weg moest
>
> MTU problemen met PPPoE worden op CPEs als volgt opgelost:

En dat lijkt dan in elk geval voor IPv4 opgelost te zijn. Nu dan echt
maar eens voor de v6. En meteen een upgrade naar 12.1X46-D10.2,
aangezien er in X45 een vervelend iets was dat je niet kon committen als
je wel ia-pd maar geen ia-na had. Lijkt me dat ik dat niet nodig heb.

Maar goed... voorlopig krijg ik die v6 PD nog niet helemaal werkend, dus dat
wordt nog even puzzelen

Voor hen die nog niet afgehaakt zijn dan maar een tussenstand. Mocht er iemand
meteen iets heel raars zien, dan houd ik me aanbevolen. Voorlopig zie ik nog niet
veel meer dan DHCPV6_CLIENT_STATE_SELECTING.

Groeten

Mark

root@gw> show dhcpv6 client binding detail

Client Interface: pp0.0
Hardware Address: 88:e0:f3:30:0e:c6
State: SELECTING(DHCPV6_CLIENT_STATE_SELECTING)
ClientType: STATEFULL
Bind Type: IA_PD
Client DUID: LL0x29-88:e0:f3:30:0e:c6
Rapid Commit: On
Server Ip Address: ::/0
Client IP Prefix: ::/0

=======================================================
Dhcpv6 Packets dropped:
Total 7
Bad Options 7

Messages received:
DHCPV6_ADVERTISE 0
DHCPV6_REPLY 0
DHCPV6_RECONFIGURE 0

Messages sent:
DHCPV6_DECLINE 0
DHCPV6_SOLICIT 42
DHCPV6_INFORMATION_REQUEST 0
DHCPV6_RELEASE 0
DHCPV6_REQUEST 0
DHCPV6_CONFIRM 0
DHCPV6_RENEW 0
DHCPV6_REBIND 0


[edit configuration interfaces pp0.0]

ppp-options {
pap {
local-name user;
local-password "$9$t0G0p1hSyK8xdlKGi.56/lKMWLN"; ## SECRET-DATA
passive;
}
}
pppoe-options {
underlying-interface fe-0/0/6.6;
idle-timeout 0;

auto-reconnect 120;
client;
}
family inet {

mtu 1492;
negotiate-address;
}
family inet6 {
dhcpv6-client {
client-type statefull;
client-ia-type ia-pd;
rapid-commit;
update-router-advertisement {
interface vlan.10;
interface vlan.20;
interface vlan.40;
}
client-identifier duid-type duid-ll;
}
}

[edit routing-options rib inet6.0]

static {
route ::/0 next-hop pp0.0;

inactive: route 1234:5678::/16 next-hop 2001:470:1f14:8b9::1;
}

[edit security zones security-zone untrust interfaces pp0.0]
host-inbound-traffic {
system-services {
ping;
dhcpv6;
}
}

[Mark Huizer]

Hmm...
Ik heb even wat debugging aangezet, en ik krijg dit te zien:

Dec 23 11:23:50 DHCPv6: Received packet from Client

Dec 23 11:23:50 DHCPv6: SNOOP : Recv pkt in default/default, ifindex
101, if pp0.0

Dec 23 11:23:50 [ERROR][default:default][N/A][INET6][pp0.0]
dhcpv6_packet_handle : dhcpv6_packet_handle: dhcpv6_validate_msgs
client failed: Invalid packet

Dat schiet nog niet zo heel hard op om daar meer aan te zien :(

Mark

[Mark Huizer]

Vandaag weer eens allerlei dingen geprobeerd. Met name een vast IP adres uit de goede range op een niet al te belangrijk interface gezet om mee te pingen, updaten vanuit dhcpv6 client maar uitgezet tijdelijk. En dan eens allerlei combinaties van wel of niet IA-NA, wel of niet rapid-commit. Maar ik kom nog steeds niet verder dan

root@gw> show dhcpv6 client statistics


=======================================================
Dhcpv6 Packets dropped:
Total 4
Bad Options 4

...

root@gw> show dhcpv6 client binding detail

Client Interface: pp0.0
Hardware Address: 88:e0:f3:30:0e:c6
State: SELECTING(DHCPV6_CLIENT_STATE_SELECTING)
ClientType: STATEFULL

Dus maar eens iets op juniper forum gepost. Hopelijk is daar iemand die het heel bekend voorkomt. Jammer dat er (nog) zo weinig over online te vinden is :(

Mark

[OnnoO]

Ik heb eind vorige week de laatste Junos versie 12.1X46-D15.3 geïnstalleerd op mijn SRX210HE2. Sindsdien werkt DHCPv6-PD prima:

> show dhcpv6 client binding

IP/prefix Expires State ClientType Interface Client DUID
2001:980:xxxx::/48 4589 BOUND STATEFUL pp0.0 LL0x29-xx:xx:xx:xx:xx:xx

> show dhcpv6 client binding detail

Client Interface: pp0.0

Hardware Address: xx:xx:xx:xx:xx:xx
State: BOUND(DHCPV6_CLIENT_STATE_BOUND)
ClientType: STATEFUL
Lease Expires: 2014-03-11 11:45:07 CET
Lease Expires in: 4551 seconds
Lease Start: 2014-03-11 09:45:07 CET
Bind Type: IA_PD
Client DUID: LL0x29-xx:xx:xx:xx:xx:xx
Rapid Commit: Off
Server Ip Address: fe80::2a0:a50f:fc78:5530
Update Server Yes
Client IP Prefix: 2001:980:xxxx::/48

DHCP options:
Name: server-identifier, Value: VENDOR0x00000583-0x4a4e3145
Name: dns-recursive-server, Value: 2001:888:0:6::66,2001:888:0:9::99

[onno.oss...@gmail.com]

O ja... rapid-commit moet uit, anders werkt het bij mij niet.

[Mark Huizer]

The wise OnnoO enlightened me with:

> Ik heb eind vorige week de laatste Junos versie 12.1X46-D15.3 geïnstalleerd op mijn SRX210HE2. Sindsdien werkt DHCPv6-PD prima:

--- JUNOS 12.1X46-D10.2 built 2013-12-18 02:03:20 UTC

Hmm... ik zie een upgrade aankomen...

>> show dhcpv6 client binding
>
> IP/prefix Expires State ClientType Interface Client DUID
> 2001:980:xxxx::/48 4589 BOUND STATEFUL pp0.0 LL0x29-xx:xx:xx:xx:xx:xx
>
>> show dhcpv6 client binding detail
>
> Client Interface: pp0.0
> Hardware Address: xx:xx:xx:xx:xx:xx
> State: BOUND(DHCPV6_CLIENT_STATE_BOUND)
> ClientType: STATEFUL
> Lease Expires: 2014-03-11 11:45:07 CET
> Lease Expires in: 4551 seconds
> Lease Start: 2014-03-11 09:45:07 CET
> Bind Type: IA_PD
> Client DUID: LL0x29-xx:xx:xx:xx:xx:xx
> Rapid Commit: Off
> Server Ip Address: fe80::2a0:a50f:fc78:5530
> Update Server Yes
> Client IP Prefix: 2001:980:xxxx::/48
>
> DHCP options:
> Name: server-identifier, Value: VENDOR0x00000583-0x4a4e3145
> Name: dns-recursive-server, Value: 2001:888:0:6::66,2001:888:0:9::99

OK... ik ga meteen eens een poging wagen. Nog geen max mtu spul voor PPP
neem ik aan?

Mark

[OnnoO]

> OK... ik ga meteen eens een poging wagen. Nog geen max mtu spul voor PPP
>
> neem ik aan?

Nee, helaas. Ik ben het in ieder geval nog niet tegengekomen.

[Mark Huizer]

En zoals beloofd aan Miquel... een redelijk complete configuratie die
het doet. Misschien moet ik nog eens bedenken hoe die update router
advertisements zou moeten werken. Ik zie niets om aan te geven hoe je je
prefix wil opsplitsen bijv.
Ook dhcpv6 server stuk moet ik nog kijken.

Je hebt er wel een vrij recente versie voor nodig op de SRX. Ik heb niet
gekeken of 12.1X45 het doet.

Het doet geen RFC4638 overigens. En het is misschien wat anders dan
mensen direct zouden willen toepassen, omdat ik er in de meterkast nog
een managed switch naast heb staan. Dus mijn "interne" VLAN's gaan
allemaal over ge0/0/0 naar die switch. fe0/0/6 gaat naar glas converter.

Zie http://www.dohd.org/~xaa/junipv6.txt voor een bijna complete config
waar vast allerlei experts van alles op aan te merken hebben :)
Commentaar altijd welkom, ik heb het als speelobject omdat ik meer van
de Cisco's ben

Groeten

Mark

[OnnoO]

Op dinsdag 11 maart 2014 19:45:01 UTC+1 schreef Mark Huizer:

> En zoals beloofd aan Miquel... een redelijk complete configuratie die
> het doet. Misschien moet ik nog eens bedenken hoe die update router
> advertisements zou moeten werken. Ik zie niets om aan te geven hoe je je
> prefix wil opsplitsen bijv.

Daar ben ik ook nog niet achter. Ik heb met de hand het subnet gesplitst en op diverse interfaces 'vast' geconfigureerd.

> Commentaar altijd welkom, ik heb het als speelobject omdat ik meer van
> de Cisco's ben

Wat zonde.. Juniper is zóó mooi qua CLI ;-)
Volgens mij moet je bij Cisco aardig in de buidel tasten wil je iets vergelijkbaars kopen qua prestaties en mogelijkheden als deze instap SRX modellen.

[Mark Huizer]

The wise OnnoO enlightened me with:

> Op dinsdag 11 maart 2014 19:45:01 UTC+1 schreef Mark Huizer:
>> En zoals beloofd aan Miquel... een redelijk complete configuratie die
>> het doet. Misschien moet ik nog eens bedenken hoe die update router
>> advertisements zou moeten werken. Ik zie niets om aan te geven hoe je je
>> prefix wil opsplitsen bijv.
>
> Daar ben ik ook nog niet achter. Ik heb met de hand het subnet gesplitst en op diverse interfaces 'vast' geconfigureerd.

Zie config :) ik dus ook

>
>> Commentaar altijd welkom, ik heb het als speelobject omdat ik meer van
>> de Cisco's ben
>
> Wat zonde.. Juniper is zóó mooi qua CLI ;-)

Klopt, ik klaag er ook niet over. Maar ik kan er zeker nog geen 80% van
de mogelijkheden uithalen. Maar goed, misschien had ik dan toch ook een
SRX210HE moeten pakken ipv een SRX210BE. Het beestje werkt hard, maar
komt misschien toch wat geheugen te kort.

> Volgens mij moet je bij Cisco aardig in de buidel tasten wil je iets vergelijkbaars kopen qua prestaties en mogelijkheden als deze instap SRX modellen.

Mjah, daarom ga je dan ook ergens zitten waar ze die spullen hebben
zodat je betaalt krijgt om er mee te werken. Moet ik toch binnenkort
weer eens doen. Al dat Solaris en Linux gedoe waar ik nu mee bezig ben,
ach ja...

[Mark Huizer]

The wise Mark Huizer enlightened me with:

> The wise OnnoO enlightened me with:
>> Op dinsdag 11 maart 2014 19:45:01 UTC+1 schreef Mark Huizer:
>>> En zoals beloofd aan Miquel... een redelijk complete configuratie die
>>> het doet. Misschien moet ik nog eens bedenken hoe die update router
>>> advertisements zou moeten werken. Ik zie niets om aan te geven hoe je je
>>> prefix wil opsplitsen bijv.
>>
>> Daar ben ik ook nog niet achter. Ik heb met de hand het subnet gesplitst en op diverse interfaces 'vast' geconfigureerd.
>
> Zie config :) ik dus ook

En toen hield het weer op en krijg ik het met geen mogelijkheid weer
werkend :( Vaag. En zo irritant weinig aan te zien qua debugging

Mark

[OnnoO]

Op donderdag 3 april 2014 20:49:20 UTC+2 schreef Mark Huizer:

> En toen hield het weer op en krijg ik het met geen mogelijkheid weer
>
> werkend :( Vaag. En zo irritant weinig aan te zien qua debugging

Het werkt hier nog steeds redelijk goed. Heb jij het alweer werkend?
Bij mij crasht de dhcp deamon sporadisch, volgens mij enkel als de PPPoE geklapperd is.

Verder zit ik nog steeds de wachten op RFC4638 ondersteuning. Ik heb voor de grap even de MTU van de WAN interface op 1600 gezet en gezorgd dat er geen MTU op de pp0.0 interface geconfigureerd stond.. De MTU blijft dan echter op 1492.
Handmatig de MTU op 1500 zetten mag niet.
Weet iemand wat de exacte MTU van de fysieke interface aan de ISP kant is?

Ik probeer in ieder geval de wens voor RFC4638 bij Juniper neer te leggen via mijn opdrachtgever (Ook een grote ISP met een boel Juniper routers). Misschien wil/kan iemand van XS4ALL dat ook doen ;)

[Miquel van Smoorenburg]

In article <ee845e60-2858-4390...@googlegroups.com>,

OnnoO <onno.oss...@gmail.com> wrote:
>Verder zit ik nog steeds de wachten op RFC4638 ondersteuning. Ik heb
>voor de grap even de MTU van de WAN interface op 1600 gezet en gezorgd
>dat er geen MTU op de pp0.0 interface geconfigureerd stond.. De MTU
>blijft dan echter op 1492.
>Handmatig de MTU op 1500 zetten mag niet.
>Weet iemand wat de exacte MTU van de fysieke interface aan de ISP kant is?

"genoeg". Aan de MX960 kant bij XS4ALL staat de MTU op 1600, ik
weet niet wat de MTU is in het Ethernet Transport Netwerk van
KPN dat tussen de XS4ALL routers en de DSLAMs zit, of de MTU
op de DSLAMs zelf. Maar minimaal 1508.

>Ik probeer in ieder geval de wens voor RFC4638 bij Juniper neer te
>leggen via mijn opdrachtgever (Ook een grote ISP met een boel Juniper
>routers). Misschien wil/kan iemand van XS4ALL dat ook doen ;)

Tsja, de spullen die wij gebruiken doen al RFC4638, en we nemen
geen SRXen af als CPEs. We nemen wel bij AVM Fritzboxen af
als CPEs, en daar ligt wel al het verzoek voor RFC4638 ondersteuning
(en het ziet er naar uit dat dat ook gaat komen, alhoewel ik
geen datum heb)

Mike.

[Mark Huizer]

The wise OnnoO enlightened me with:

> Op donderdag 3 april 2014 20:49:20 UTC+2 schreef Mark Huizer:
>
>> En toen hield het weer op en krijg ik het met geen mogelijkheid weer
>>
>> werkend :( Vaag. En zo irritant weinig aan te zien qua debugging
>
> Het werkt hier nog steeds redelijk goed. Heb jij het alweer werkend?

Nee, nog niet. Ik moet een keertje proberen te herstarten, wie weet
heeft dat enig nut

> Bij mij crasht de dhcp deamon sporadisch, volgens mij enkel als de PPPoE geklapperd is.

Hmm... dat kan ik eens zien of daar een issue is. Lijkt er niet op.
Misschien is het alternatief dat het dingetje wat weinig geheugen heeft
(het is maar een 210BE, geen 210HE)

> Verder zit ik nog steeds de wachten op RFC4638 ondersteuning. Ik heb voor de grap even de MTU van de WAN interface op 1600 gezet en gezorgd dat er geen MTU op de pp0.0 interface geconfigureerd stond.. De MTU blijft dan echter op 1492.
> Handmatig de MTU op 1500 zetten mag niet.
> Weet iemand wat de exacte MTU van de fysieke interface aan de ISP kant is?
>
> Ik probeer in ieder geval de wens voor RFC4638 bij Juniper neer te leggen via mijn opdrachtgever (Ook een grote ISP met een boel Juniper routers). Misschien wil/kan iemand van XS4ALL dat ook doen ;)

Tsja, ik kan ook wel een poging wagen, maar goed, ik heb maar een heel
klein service contract :)

Mark

[pap...@gmail.com]

Hi,

I encountered this post while searching for an issue resolution which has the same fingerprint as Mark's issue above:

(1) dhcpv6 client is not getting out of selecting state
(2) dhcpv6 client statistics have this "Bad Options" pegging
(3) the error log shows [ERROR][default:default][N/A][INET6][pp0.0]

dhcpv6_packet_handle : dhcpv6_packet_handle: dhcpv6_validate_msgs
client failed: Invalid packet

After enabling some additional log for the dhcp process, I found the issue at least in my configuration. My ISP does not support the rapid commit mechanism. Therefore, by removing the rapid commit option from the dhcpv6-client configuration, everything started to work immediately.

Just wanted to let you know, maybe you have the same issue!?

Patrick

[Mark Huizer]

The wise pap...@gmail.com enlightened me with:

Yes, that was mentioned before in a post. Somehow in my experiments I
re-added rapid-commit, but removing it helped a lot :)

Mark