Настройка подключения по протоколу IPv6 через туннельный брокер. Ростелеком ipv6


Проверка активности протокола интернета IPV6

На текущий момент интернет работает по двум независимым друг от друга протоколам: интернет протокол версии 4 (IPv4) и интернет протокол версии 6 (IPv6). 

  • Во всем мире происходит плавный переход на использование более совершенного протокола IPv6.
  • Протоколы IPv4 и IPv6 между собой несовместимы, большинство ресурсов в интернете до сих пор доступны только по IPv4, например mail.ru, rambler.ru. 
  • Многие сайты доступны параллельно как по IPv4, так и по IPv6, например vk.com. Некоторые сайты открываются только по протоколу IPv6 ,например сайт ipv6.google.com.

В Личном кабинете Дом.ru вы можете бесплатно включить использование протокола IPv6. В этом случае вам будет предоставляться доступ в интернет по обоим протоколам.

На текущий момент, использование IPv6 возможно только при использовании роутера. Для этого в роутере должна быть предусмотрена возможность получения IPv6-префикса по протоколу PPPoE.

Роутеры от Дом.ru поддерживают IPv6?

На текущий момент, протокол IPv6 поддерживается на роутерах ZTE 118, ZTE 218. Для того, чтобы убедиться, что IPv6 включился, необходимо зайти в настройки роутера по адресу http://192.168.0.1, в состоянии подключения должна быть информация о том, что префикс  IPv6 получен.

Как проверить работает ли IPv6?

Чтобы убедиться в активности IPv6, можно зайти на любой сайт, работающий по IPv6, например сайт http://ipv6.google.com откроется, только если IPv6 работает. Если сайт не открывается, нужно убедиться, что протокол IPv6 включен на самом компьютере: 

Включение IPv6 в Windows 7 и Windows 8.

Заходим в «Центр управления сетями и общим доступом» –> «Изменение параметров адаптера»

Далее, необходимо зайти в свойства того подключения, через которое ваш компьютер подключен к роутеру. Если по кабелю – необходимо выбрать подключение по локальной сети, если через беспроводное соединение, то нужно выбрать свойства беспроводного подключения. В свойствах должна стоять галка на протоколе IPv6. Необходимо открыть данный протокол и поставить галки напротив «Получить IPv6 автоматически»,  «Получить адрес DNS-сервера автоматически», после чего закрыть свойства, нажать правой кнопкой на подключение и выбрать состояние. Если получен IP, начинающийся с 2а02 – значит ваш ПК получил IPv6-адрес!

Включение IPv6 в Window XP:  

По умолчанию, IPv6 в Windows XP отключен, но его можно включить. В случае, если у вас нет пункта «Microsoft TCP/IP версии 6», необходимо открыть «Пуск» –> «Все программы» –> «Стандартные» –> «Командная строка».

В командной строке необходимо набрать команду: netsh int ipv6 install

После минуты ожидания, для проверки набираем команду: ipconfig. 

Если все успешно, то полученный IPv6 должен начинаться с 2а02.

Пример настройки IPv6 для роутеров Asus.

На большинстве последних роутеров Asus (например RT-AC66U, RT-N66U, RT-N65U, RTN56U, RT-N53, RT-N16, RT-N15U, RT-N12 (ревизий B1, C1, D1), RT- N10U) можно задействовать IPv6. Для этого необходимо зайти на веб-интерфейс роутера по адресу http://192.168.1.1, для входа: имя admin, пароль admin по умолчанию, далее указать все, как на картинке ниже.

Если веб-интерфейс роутера не такой, как на картинке, пожалуйста, скачайте последнюю прошивку здесь.

Для обновления микропрограммы, необходимо зайти на 192.168.1.1 –> Дополнительные настройки (Advanced Settings) –> Администрирование (Administration) –> Обновление микропрограммы (Firmware Upgrade).  Здесь необходимо посмотреть идентификатор устройства (точную модель с указанием аппаратной ревизии, например RT-N12C1) и выбрать предварительно скаченный для этой модели роутера файл микропрограммы, после чего нажать отправить/upload. Процесс обновления занимает до 3 минут. 

Пример настройки IPv6 для роутеров Zyxel. 

Роутеры Zyxel  Keenetic Ultra, Keenetic Giga II, Keenetic Giga, Keenetic II, Keenetic, Keenetic lite, Keenetic 4g, при использовании последней прошивки, поддерживают работу с IPV6 в рамках подключения к сети Дом.ru. По умолчанию, данный функционал не задействован.

Необходимо зайти в настройки роутера http://192.168.1.1 (для входа admin/admin или просто пароль 1234) , скачать файл конфигурации, как на картинке.

В открывшемся файле найти интерфейс PPPoE, и добавить записи, если их нет. Если они есть, но написано «no» – просто убираем «no».

Нужно выставить параметры

ipv6 address auto    

ipv6 prefix auto    

ipv6 name-serversauto   

ipv6cp

сохранить  файл и заменить старый конфигурационный файл на новый (отредактированный startup-config.txt ), после чего, обязательно необходимо перезагрузить роутер.

После этих действий роутер должен получить префикс IPv6, начинающийся с 2а02

help.domru.ru

Настройка подключения по протоколу IPv6 через туннельный брокер – Keenetic

Как настроить IPv6 в интернет-центре, если провайдер еще не поддерживает этот протокол?

Это можно сделать с помощью туннеля - виртуального подключения, работающего поверх обычных IPv4 сетей. Интернет-центры серии Keenetic имеют поддержку протокола IPv6 и могут устанавливать туннели типа 6to4 (для доступа к IPv6-Интернету из сетей IPv4) благодаря технологии двойного стека Dual-stack IPv4+iPv6.

Для создания туннеля 6in4 потребуется туннельный брокер - специальный сервис, предоставляющий "второй конец" туннеля. С помощью туннельного брокера оператор (провайдер) предоставляет (как правило, бесплатно) услугу перебрасывания трафика из IPv4-сетей в IPv6 и обратно. Каждый пользователь не только получает прямой доступ к IPv6-Интернету (даже находясь за провайдерским IPv4 NAT'ом!), но и имеет собственную подсеть IPv6, которая привязывается не к его текущему IPv4-адресу, а к его учетной записи (аккаунту) у брокера.

Далее покажем настройку туннеля 6in4 на примере туннельного брокера NetAssist. Для начала в нем необходимо зарегистрироваться, указав свой почтовый адрес (e-mail) и WAN IP-адрес IPv4 (в поле Client IPv4 address), который использует ваш интернет-центр. Внимание! В поле настроек NetAssist > Client IPv4 address должен быть вписан реальный (маршрутизируемый в Интернете) "белый" IP- адрес интернет-центра серии Keenetic и лучше, чтобы этот IP-адрес был постоянный статический (если на WAN-интерфейсе интернет-центра используется динамический IP-адрес, который каждый раз при включении устройства меняется, нужно будет в настройках NetAssist > Client IPv4 address каждый раз менять этот IP-адрес).

Посмотреть IP-адрес интернет-центра можно в веб-конфигураторе в меню Системный монитор > Система в поле Адрес IPv4.

После успешной регистрации вы увидите параметры туннеля 6in4.

Из них вам потребуются Server IPv4 address, Client IPv6 address и Routed /48 IPv6 network.

Подключитесь к веб-конфигуратору интернет-центра, зайдите в меню Интернет > IPv6 и создайте Cоединение IPv6 через IPv4, нажав кнопку Добавить соединение.

В окне Настройка соединения 6in4 установите галочки в полях Задействовать и Использовать для выхода в Интернет.Затем укажите выданные вам брокером параметры: Адрес сервера (Server IPv4 address), Адрес IPv6 (Client IPv6 address) и Префикс IPv6 (Routed /48 IPv6 network).Внимание! В поле Адрес IPv6 нужно скопировать IP-адрес из поля Client IPv6 address с сайта брокера без маски, т.е. без /64.

Нажмите кнопку Применить для сохранения настроек и включения туннеля.

С главной страницы веб-конфигуратора (Системный монитор) перейдите на вкладку IPv6. Здесь можно посмотреть дополнительные параметры IPv6-соединения.

Для проверки итоговых настроек подключитесь к интерфесу командной строки (CLI) интернет-центра и выполните команду show running-config для просмотра текущей конфигурации устройства.

В конфигурации должны присутствовать следующие пункты:

Если вы правильно указали все параметры при настройке туннеля 6in4, то компьютеры из локальной сети получат доступ к IPv6-ресурсам.Важно! Обращаем ваше внимание, что доступ к IPv6-ресурсам возможен только с компьютеров, имеющих поддержку протокола Интернета версии 6 (TCP/IPv6).

Компьютеры, подключенные к интернет-центру, должны автоматически получить IPv6-адрес. Посмотреть его можно в окне Сведения о сетевом подключении (щелкните по названию сетевого подключения  в разделе Центр управления сетями и общим доступом, и откроется окно с настройками данного подключения, в котором нажмите кнопку Сведения).

Для проверки работоспособности туннеля 6in4 можно выполнить команду пинг до сайта google.com (как показано на скриншоте ниже)

или через интернет-браузер зайти на сайт http://ipv6test.google.com

Также для проверки IPv6-соединения вы можете зайти на сайт http://ipv6-test.com или http://test-ipv6.com

 

Полезные ссылки:

 

KB-2331

help.keenetic.net

IPv6 для домашних сетей / Хабрахабр

В этой статье мы постараемся описать текущее состояние поддержки и варианты внедрения IPv6 в домашних сетях. Статья написана осенью 2012 года, вполне возможно, что уже через год она будет совершенно неактуальной, но всё-таки мы опишем статус IPv6 на сегодняшний день. Информация ориентирована в первую очередь на провайдеров домашних сетей, соответственно, под определение «провайдер» в данной статье магистралы не подпадают.

Не так давно закончилась свободная раздача IPv4 адресов, поэтому вопросов по IPv6 с каждым днём становится всё больше. Но сами вопросы чаще всего показывают разрыв между понятием IPv6 в головах вопрошающих и реальным положением вещей.

Из наиболее частых вопросов можно выделить: «А ваш биллинг поддерживает IPv6 адреса?». При этом ответ: «А всё ваше оборудование готово к его внедрению?» вызывает удивление: «А что там готовить надо?».

Не хочется заниматься переписыванием основ IPv6 из rfc (http://tools.ietf.org/html/rfc2460) или википедии (http://ru.wikipedia.org/wiki/Ipv6), поэтому на этот фундаментальный вопрос ответим двумя предложениями. IPv4 и IPv6 — это два разных протокола, совсем разных. Как, например, AppleTalk или IPX — совсем разные. Поэтому IPv6 — это не просто «другие адреса», это совершенно другой протокол.

Вышесказанное необходимо осознавать в первую очередь украинским провайдерам: никакого UA-IX в IPv6 сетях нет, протоколом заложены элементы маршрутизации уже в заголовке IPv6 пакета (http://tools.ietf.org/html/rfc3587), сети аггрегируются по умолчанию, IPv6 full-view не может превышать 8К префиксов. Соответственно, провайдерам прийдётся отвечать на волну вопросов абонентов: «А почему у меня нет 100М на UA-IX?».

Также, в настоящее время ни одна биллинговая система не поддерживает полноценное управление IPv6. Некоторые системы заявили о поддержке IPv6, но на практике эта «поддержка» представляет собой лишь модифицированное поле IP адреса. А по стандарту, конечному пользователю адрес не выделяется, конечному пользователю должна выделяться сеть, по старым рекомендациям — /48 сеть (http://tools.ietf.org/html/rfc6177), по новым рекомендациям RIPE — уже /56 сеть, т.е. 256 сетей по 18446744073709551616 адресов. Повторим — каждому абоненту. Ни один из известных биллингов в настоящее время не поддерживает данные стандарты.

Тем не менее, невозможность получить IPv4 адреса и неуклонное подорожание их аренды заставляет задумываться об использовании IPv6 протокола.

Мы рассмотрим два варианта внедрения IPv6: в Dual-Stack, и «чистого» IPv6.

Использование IPv6 в Dual-Stack

Dual-Stack — это параллельное использование IPv6 и IPv4. Пользователь получает оба варианта адресов. Очевидно, что выдавать реальный IPv4 адрес при этом никто не собирается, т.к. тогда смысла в IPv6 для провайдера нет, задача стоит экономить IPv4 адреса.

В настоящее время всё клиентское оборудование хорошо и качественно поддерживает получение адресов и маршрутов для обоих протоколов, со стороны пользователей Dual-Stack проблем не вызывает. Однако, со стороны провайдера всё несколько грустнее.

Начнём с коммутаторов доступа. Прекрасно показавшая себя связка dhcp snooping + opt82 имеется «из коробки» в IPv6 протоколе, только называется она opt37 (http://tools.ietf.org/html/rfc4649), но при этом сам коммутатор должен поддерживать IPv6 протокол, как минимум, уметь блокировать «чужие» RA, фильтровать ND, пр. Иначе ситуация будет подобна сети с DHCP на «тупых» свичах, где адреса раздаёт любой клиентский роутерчик.

На сегодняшний день подобная поддержка IPv6 известна только у последних D-Link, начиная с DES-3200, и более экстремальных вариантах типа коммутаторов SNR от уважаемого nag.ru, приобретая которые провайдер за собственные деньги подписывается в вечные бета-тестеры глюков прошивок. Но, надо отдать должное DCN (http://www.dcnglobal.com): а это и SNR, и Edge-Core, и многие другие торговые марки, — покупая коммутаторы D-Link, тоже немало времени будет потрачено администраторами на бета-тестирование и отлов багов.

Также, нельзя не отметить, что тестирование работы необходимого IPv6 функционала под реальной нагрузкой особо не проводилось, у подавляющего большинства провайдеров IPv6 существует только в тестовом виде, так что рискнувший на внедрение IPv6 в эксплуатацию, вполне может стать первопроходцем на этом поле.

Использование же VPN (PPTP, PPPoE) для выдачи адресов, несомненно, уменьшает запросы к коммутаторам доступа, однако увеличивает объём негатива среди абонентов.

Итого: в настоящее время поддержка необходимых функций защиты IPv6 сети имеется лишь у незначительного количества новых моделей коммутаторов «нестабильных» производителей.

Не лучше обстоят дела в центре сети. Мы не будем тщательно рассматривать вариант, где центром сети является сервер под FreeBSD/Linux, подобные сети обычно невелики, и имеющихся у них /22 или даже /23 IPv4 адресов с головой и надолго хватит на всех пользователей. Напомним только, что для FreeBSD dummynet пока ещё не научился использовать несколько ядер.

У «среднего» же провайдера в центре стоит какая-либо Cisco/Juniper/Extreme из среднего же диапазона оборудования. У нас для тестирования имелась Cisco 3750G, что является достаточно распространённым решением среди подобного размера провайдеров. Включаем поддержку IPv6, и видим, что ресурсы урезало даже не пополам:

  • number of unicast mac addresses: 1.5K
  • number of IPv4 unicast routes: 2.75K
  • number of directly-connected IPv4 hosts: 1.5K
  • number of indirect IPv4 routes: 1.25K
  • number of directly-connected IPv6 addresses: 1.5K
  • number of indirect IPv6 unicast routes: 1.25K
Напомним цифры для IPv4:
  • number of unicast mac addresses: 3K
  • number of IPv4 unicast routes: 11K
  • number of directly-connected IPv4 hosts: 3K
  • number of indirect IPv4 routes: 8K
Полторы тысячи абонентов — это уже мало кому подходит, но максимум в 1200 роутов — это совсем катастрофа, в настоящее время даже небольшие русские точки обмена трафиком присылают по 2000 префиксов, не говоря уже о точках типа DTEL-IX, UA-IX, или, тем более, MSK-IX.

Но самая главная проблема заключается в том, что пользователей необходимо NAT-ить под реальный IPv4. В условиях «средней» сети это совсем непростая задача. Необходимость прогонять пару гигабит через сервера приведёт к низкому качеству трафика, высоким задержкам, жалобам и оттоку абонентов.

Получается, что при объёме трафика в несколько гигабит возвращаться к «софтовым» шейперам на базе FreeBSD/Linux/Mikrotik уже невозможно, а приобретать оборудование уровня Cisco ASR1000 — нереально дорого.

Да и что делать с самим IPv6 трафиком, тоже вопрос. Отдавать аплинку? Почти все аплинки отдельно тарифицируют транзит IPv6 трафика. Заворачивать у себя IPv6 to IPv4? Тогда использование IPv6 вообще не имеет смысла. Поднять туннельный пиринг с кем-либо типа Hurricane Electric (http://www.tunnelbroker.net/new_tunnel.php?type=bgp)? Во-первых, трафик пойдёт через «мир» (у кого есть подобное разделение), во-вторых, при достижении определённых лимитов, Hurricane Electric тоже начнёт брать деньги за транзит. Получается, что кроме увеличения накладных расходов, внедрение IPv6 ничего положительного не даст. Если уж всё равно использовать NAT, то можно просто NAT-ить серые IPv4 адреса, и всё. Пользователи не заметят разницы.

Итого: типичное для «среднего» провайдера оборудование либо совсем невозможно использовать для работы пользователей в Dual-Stack, либо же оно будет нагружено сильнее в несколько раз (отдельная маршрутизация плюс NAT).

Использование «чистого» IPv6

С учётом нецелесообразности развёртывания Dual-Stack в домашних сетях, у провайдеров возникает вполне логичный вопрос: «А что, если мы только один сегмент сети переведём на «чистый» IPv6, а остальные пусть работают, как раньше?». В теории подобная схема выглядит неплохо: поставить отдельную железку под IPv6, раздать пользователям IPv6 адреса, докупить у аплинков IPv6 транзит — и пусть себе работают. Рассмотрим подробнее, как обстоят дела с поддержкой «чистого» IPv6 в настоящее время.

В этот раз опустим анализ коммутаторов доступа — всё аналогично описанному в разделе про Dual-Stack, разве что необходимо отметить, что коммутаторы D-Link при получении IPv6 по автоконфигурации не видят предлагаемых роутов, так что надо быть готовым к тому, что default gateway необходимо будет прописывать вручную.

В качестве примера «центра» сети мы опять использовали оборудование Cisco, IOS версии 15.1. К «настоящей» cisco претензий нет никаких: IPv6 адреса и маршруты как по автоконфигурации, так и по DHCPv6 получает корректно; сама в роли роутера выступает корректно; вариантов работы с RA, ND и пр. множество, всё функционирует согласно документации; адреса раздаёт как по автоконфигурации, так и по DHCPv6 тоже корректно. Тут провайдеры домашних сетей могут только позавидовать магистралам, у которых проблем с запуском IPv6 особо и нет.

Перейдём к клиентскому оборудованию. Об этом писалось много раз, например, самим IETF (http://tools.ietf.org/html/rfc6586), однако надежда на то, что поддержка IPv6 активно развивается производителями, заставила пробежаться по основным вариантам пользовательских подключений. А именно, мы проверили работоспособность «чистого» IPv6 подключения для Wi-Fi роутера Cisco (Linksys), а также компьютеров под управлением Debian/Ubuntu, Mac OS X, Windows 7. Всё вышеперечисленное имело последние версии ПО/обновлений/патчей/прошивок.

Wi-Fi роутер. Для тестирования мы использовали достаточно новый роутер Cisco SB RV110W. Это роутер уже не имеет маркировки Linksys, он выпущен Cisco Small Business подразделением. Заявлена полная поддержка IPv6, как на WAN, так и на LAN порту. Действительно, в меню имеется выбор различных комбинаций IPv4 и IPv6 для этих портов. Мы выбрали «чистый» IPv6 для обоих, роутер перезагрузился, попытались подключиться. К wi-fi сети компьютер подключился, получил «серый» IPv6 адрес из диапазона fc00:: (http://tools.ietf.org/html/rfc4193), и мы смогли зайти в админку роутера, но не далее — доступа в интернет на компьютере не было. На роутере мы увидели следующую картину:

  • На WAN порту роутер корректно получил IPv6 адрес и маршруты, однако не подхватил DNS. Вручную прописанный DNS корректно заработал.
  • Даже при отключенной поддержке IPv4 роутер пытается его использовать, так, например, ping на 2a00:1450:400d:804::1009 работает, а вот ping на google.com говорит, что не может найти А запись. Тоже относится к NTP: в поле ввода сервера прописать IPv6 адрес можно, но роутер пытается отрезолвить его А запись, и засыпает лог соответствующими ошибками.
  • Роутер не умеет делать IPv6 NAT. Никак не удалось настроить выход в интернет из локалки с использованием «серых» адресов. Единственное решение — это в настройках DHCPv6 на роутере прописать реальную IPv6 сеть для LAN и прописать соответствующие маршруты в разделе IPv6 роутинга.
Итого: заявленная производителем поддержка IPv6 существует, однако для её настройки необходимы знания, на два-три порядка превышающие уровень среднего пользователя, при этом возможность удачной настройки по телефону саппортом провайдера представляется весьма маловероятной. С оборудованием же менее известных брендов, можно быть уверенным, дело обстоит как минимум не лучше.

Debian/Ubuntu. Тестирование производилось с последними версиями ПО: Debian Wheezy и Ubuntu 12.10. С учётом одинакового поведения, в дальнейшем мы их объединим под определением Debian. Здесь ситуация получше:

  • При инсталяции Debian корректно получает IPv6 адрес по автоконфигурации, маршруты и DNS работают корректно, однако при переполучении адреса теряются все маршруты, включая default gateway. Соответственно, доступ в интернет пропадает, что может привести к остановке инсталляции при коротком таймауте DHCP lease.
  • При запуске установленной системы IPv6 адрес и DNS Debian получает корректно как по автоконфигурации, так и по DHCPv6, однако default gateway упорно отсутсвует, его необходимо прописывать вручную. Радует только то, что в дальнейшем он не затирается при переполучении адреса.
Итого: с одной стороны, полноценной безглючной поддержки «чистого» IPv6 в Debian пока нет, с другой стороны, уже сам выбор Debian как ОС подразумевает умение пользователя без особых проблем прописать вручную маршрут на шлюз.

Mac OS X. Несмотря на то, что мы ожидали полную поддержку IPv6, по факту мы получили следующее:

  • IPv6 адрес и маршруты получает корректно как по автоконфигурации, так и по DHCPv6, однако DNS не подхватывается. При прописывании DNS вручную всё работает корректно.
  • Несмотря на то, что сеть полностью функционирует, для сетевых подключений выводится значок ошибки с восклицательным знаком. Чтобы его убрать, необходимо зайти в настройки сети, выбрать получение адреса вручную, и прописать любой IPv4 адрес.
Итого: полноценной безглючной поддержки «чистого» IPv6 в Mac OS X пока нет, а с учётом полного отсутствия знания данной ОС типичной поддержкой провайдера, можно ожидать негатив и снижение лояльности со стороны пользователей продукции Apple.

Windows 7. К нашему удивлению, данная ОС, которая «из коробки» организует поддержку IPv6 через Teredo (http://technet.microsoft.com/en-us/network/cc917486.aspx), показала следующие особенности использования IPv6 протокола:

  • IPv6 адрес получает как по автоконфигурации, так и по DHCPv6, однако маска устанавливается /48, вне зависимости от того, какую выдаёт сервер. Вспомним рекомендации RIPE о выдаче /56 сетей, получается, что в случае Windows автоматическая раздача адресов невозможна.
  • DNS не подхватывается. При прописывании DNS вручную его параметры сохраняются.
  • Предложенные маршруты в таблицу маршрутизации заносятся, но с приоритетом меньшим, чем туннели Teredo. Для того, чтобы заработало IPv6 подключение, необходимо остановить и отключить связанные с туннелями службы и настройки, из которых бОльшая часть требует прав администратора. Более того, часть операций возможно осуществить только (!) через командную строку, используя утилиту netsh.
  • Даже после упомянутых выше операций «чистая» IPv6 в данной ОС не функционирует, выводится значок ошибки «Подключение ограничено или отсутствует». Необходимо прописать любой IPv4 адрес, без шлюза и DNS, после чего IPv6 сеть начинает полноценно функционировать.
Итого: полноценной безглючной поддержки «чистого» IPv6 в Windows 7 нет, настроить IPv6 возможно, однако это требует знаний уровня среднего Windows-администратора, что в условиях домашней сети не представляется возможным.

Однако, даже если преодолеть технические трудности в получении и настройке IPv6 пользователем, то что ожидает его сегодня в этой «сети будущего»? К сожалению, его там не ожидает почти ничего. Пробежавшись по популярным сайтам, видим, что:

  • по IPv6 работают: google, youtube, facebook, vkontakte
  • по IPv6 не работают: skype, icq, yandex, odnoklassniki, steam, ex.ua и почти все остальные, включая новостные, развлекательные и игровые ресурсы.
Даже microsoft.com не имеет АААА записи. Да и остальные сервисы Microsoft лишены поддержки IPv6, поэтому, например, ОС установить и запустить возможно, а вот обновить её — уже нет. Кроме того перестанет работать Microsoft Security Essentials, который не сможет обновить сигнатуры.

Да и заявленная работоспособность, например, youtube, тоже относительна: сам ресурс полностью поддерживает IPv6, однако для его использования нужен Adobe Flash Player, который скачать и установить невозможно, т.к. все ресурсы Adobe недоступны по IPv6.

Выходом остаётся всё тот же NAT, только уже в другом направлении, а единственным известным софтверным решением является TAYGA, NAT64 for Linux (http://www.litech.org/tayga), последние изменения в котором датированы 10.06.2011, и который не входит в состав ни одного распространённого дистрибутива. Да и очевидно, что более 90% клиентского трафика будет уходить в IPv4 сеть, а вопросы необходимых мощностей для Dual-Stack рассматривались выше.

Итоги

Подводя итоги, можно сделать следующие выводы:

  • В настоящее время провайдерам домашних сетей протокол IPv6 можно рассматривать как вспомогательный, ожидать скорого перехода на IPv6 в мире не имеет смысла по причине не очень широкого наполнения IPv6 сети пользовательскими ресурсами.
  • Не представляется практически возможным развернуть «чистую» IPv6 сеть: ни оборудование доступа, ни абонентское оборудование не поддерживает полноценную сеть без IPv4 протокола.
  • Использование Dual-Stack не имеет смысла, т.к. представляет из себя всё тот же NAT, но отягощённый необходимостью обновить всё оборудование доступа и центра на поддерживающее IPv6, а также отдельно приобретать полосу для транзита IPv6 трафика.
  • Фактически в настоящее время использовать IPv6 сеть будут только сервисы google и торренты, остальной трафик будет уходить в IPv4. Вопрос: менять ли всё оборудование доступа ради улучшенной поддержки торрентов? — надо полагать, для провайдеров имеет только один ответ.

UPD: Приношу извинения andrewsh, что не заметили собранного им пакета tayga для Debian Wheezy.

habrahabr.ru

IPv6 без доступа к интернету: что делать?

Хотя сегодня наиболее распространенным протоколом доступа ко Всемирной паутине и средством передачи данных является IPv4 (по крайней мере, для Windows-систем), новая разработка шестой версии с заявленной поддержкой в последних «операционках» Windows выглядит намного предпочтительнее. Но! Загвоздка в том, что частенько пользователь получает сообщение о том, что используется IPv6 без доступа к Интернету.

Что представляет собой протокол IPv6?

Рассмотрение самого вопроса, связанного с протоколом IPv6, начать следует с азов, то бишь с понимания того, что вообще он собой представляет.

Если говорить кратко и понятно, то это система, отвечающая за генерирование, присвоение и распределение уникальных статических и динамических IP-адресов компьютерным терминалам, разбросанным по всему миру, посредством DHCP-сервера, причем таким образом, чтобы ни один адрес никогда не повторялся. В принципе, все сегодня известные распределительные протоколы работают по этому принципу. Но самым перспективным из всех них считается IPv6. Без доступа к Интернету сегодня мало кто себя представляет, количество компьютеров или тех же мобильных девайсов возросло настолько, что существующая система просто не в состоянии генерировать новые адреса.

IPv6 vs IPv4: преимущества

Теперь немного копнем в историю. Изначально протокол этого типа создавался еще в 70-х годах прошлого столетия и получил аббревиатуру IPv4. При тогдашнем населении Земли (чуть более пяти миллиардов) никто всерьез не задумывался о том, что данная система способна создать всего четыре миллиарда адресов. Считалось, что этого хватит на все поколения.

Сам протокол подразумевал использование 32-битного адреса, состоящего из восьми цифр. Таким образом и можно было сгенерировать столько идентификаторов. Как оказалось, протокол IPv4 оказался неэффективным (хотя используется до сих пор). Дело в том, что увеличившееся в последние годы количество мобильной техники поставило разработчиков в тупик (каждому устройству нужно присваивать уникальный, ни разу не повторяющийся внешний и внутренний идентификатор).

Вот тогда-то и пришло понимание того, что систему нужно заменить. Сначала был создан протокол ST/ST2, который получил неофициальное название IPv5. На практике он распространения не получил. Разве что использовался в виде надстройки к IPv4, и то, только некоторыми компаниями, которые его тестировали.

Глобальным прорывом стала технология IPv6, предполагающая генерирование IP-адреса длиной в 128 бит. Если кто еще не понял, вариантов создания уникальных комбинаций здесь в миллионы раз больше. В целом, как считают многие ведущие эксперты, число генерируемых адресов практически не ограничено.

Заметьте, сам протокол, как ни удивительно это звучит, был разработан еще в начале 90-х, а распространение и программную поддержку получил только сейчас, и то не у всех провайдеров. Таким образом, если пользователь видит уведомление о том, что в системе установлен протокол IPv6 без доступа к Интернету, очень вероятной может оказаться ситуация, что сам провайдер такую технологию доступа к Сети не поддерживает. Иными словами, у него просто не установлен DHCPv6-сервер, который и отвечает за все адреса.

Активация протокола

Теперь приступим к практическим шагам. Начнем постановку задачи с условия того, что у нас имеется настройка IPv6 без доступа к Интернету. Windows 7 и выше позволяют задействовать эти настройки, но только при условии того, что поддержка доступа осуществляется на уровне провайдера. В противном случае все действия по настройке окажутся бессмысленными.

Для начала следует выполнить несколько простых действий, чтобы убедиться в том, что протокол действительно активирован. Для этого в командной строке (Win + R + cmd) прописываем ipconfig для единичного пользователя терминала или ipconfig /all для машин, находящихся в локальной сети и непосредственно соединенных с этим компьютером. Если протокол IPv6 на экране не отображается, переходим к настройке системы.

IPv6 без доступа к Интернету: что делать?

Во-первых, в свойствах сетевых подключений, выбираемых из стандартной панели управления, следует поставить «галочку» в строке задействования протокола (доступ можно осуществить намного проще, если ввести команду ncpa.cpl в меню «Выполнить»).

Теперь нужно использовать кнопку свойств, расположенную справа внизу. В открывшемся окне появятся наши искомые настройки.

Общепринятые настройки

Как правило, если провайдер имеет активный DHCPv6-сервер, работающий в собственной сети, проблем возникать не должно.

Настройки получения IP-адреса и DNS-сервера выставляются на автомат. Сам сервер будет распределять адреса машинам, подключенным к нему.

Ручное задание параметров

Если по каким-либо причинам это невозможно, можно попытаться использовать ручные настройки. При этом стоит обратить внимание, что адрес конкретного терминала не должен совпадать с адресом роутера. В роутере в качестве последней цифры выступает единица, но для компьютера можно задать, например, значение 10, 100 или 101 - как вам угодно. Все равно диапазон адресов находится в пределах от 0 до 256.

Тут стоит отметить еще и тот факт, что в ситуации, когда у нас имеется активное подключение через IPv6 без доступа к Интернету, Windows 8 или любая другая система может затребовать задание альтернативной конфигурации, настройки которой чаще всего связаны с введением корректных адресов DNS-серверов.

IPv6 без доступа к Интернету: как исправить ситуацию на разных ОС и для разных операторов

Что касается альтернативных настроек для любых операционных систем, тут следует знать несколько нюансов. Например, активировать протокол в «экспишке» желательно с использованием следующих команд:

Netsh (затем Enter) - Interface (затем Enter) - ipv6 (затем Enter) - install (еще раз Enter).

Но и это еще не все. В некоторых случаях может потребоваться задание адреса предпочитаемого и альтернативного DNS-сервера в ручном режиме. Сразу же стоит обратить внимание на то, что адрес будет состоять из шестнадцати цифр и настраиваться должен даже не по данным оператора провайдерских услуг.

Так, например, самой распространенной и, так сказать, рабочей конфигурацией считается настройка сервисов Google, в которой в задании адреса последние четыре цифры могут представлять собой либо четыре восьмерки, либо две восьмерки и две четверки. Для сервиса «Яндекс» - и того хуже. Там придется прописывать такие сочетания литер и цифр, что у пользователя, как говорится, голова кругом пойдет.

Теперь рассмотрим некоторые частные случаи. Итак, имеем активированный протокол IPv6 без доступа к Интернету. «Ростелеком» возьмем в качестве начального примера. В данном случае проблема, опять же, сводится только к тому, чтобы указать верные адреса серверов (о возможной перезагрузке роутера, ТВ-приставки или любого другого устройства речь сейчас не идет).

В строке адреса DNS можно прописать либо восьмерки и четверки, как это было указано выше, либо использовать настройки для «Яндекса», которые подразумевают ввод значения 77.88.8.8. Работает без проблем.

И еще несколько слов о протоколе IPv6 (без доступа к Интернету). ByFly, например, (белорусский оператор) имеет достаточно много проблем со связью. Как следует из отзывов пользователей, скорость соединения, как правило, ограничена лимитом 600 кбит/сек (если не установлено оптоволокно). Сами понимаете, что при таком качестве ни о каких настройках, которые бы могли существенно повлиять на пропускную способность, и говорить не приходится. Хотя и при заводе кабелей скорость редко превышает 50 Мбит/сек, что бы там не говорили.

Тем не менее, как вариант, можно использовать вышеуказанные параметры. Отдельно стоит отметить, что в некоторых случаях при создании подключения придется использовать незашифрованные протоколы и пароли, а именно PAP и CHAP. Увы, безопасность таких подключений вызывает законные сомнения.

Проверка работоспособности

Наконец, будем исходить из того, что все настройки выполнены правильно. Теперь остается проверить, работает ли протокол в действительности.

Для этого, опять же, используем командную строку с прописыванием ipconfig. После всех процедур на экране будет указан протокол с присвоенным адресом. Не нравится так? Можно зайти в центр управлениями общим доступом и сетями и посмотреть на состояние подключения. На крайний случай, можно просто кликнуть на иконке подключения в системном трее (например, если используется Wi-Fi) и перейти в нужное меню.

Вместо послесловия

Остается добавить, что IPv6 без доступа к Интернету (сети) – не самая большая проблема современных юзеров, у которых на домашних/офисных терминалах или локальных серверах используется протокол IPv4. Вообще-то, по умолчанию система IPv6, хоть и заявлена в поддержке теми же Windows-системами, тем не менее деактивирована, дабы не создавать пользователям лишние трудности.

Если уж на то пошло, вопрос активации и настройки данного протокола уместен исключительно в том случае, когда данная технология поддерживается оператором, предоставляющим провайдерские услуги. В противном случае что-то настроить можно даже не пытаться.

fb.ru

Протокол IPv6: зачем? - version6.ru

Оставив в стороне длинные описания теоретических и практических отличий IPv6 от IPv4, зададимся более простым вопросом:

Казалось бы, ничего. Однако, я обнаружил, что настроив у себя поддержку IPv6, можно получить несколько очень приятных «фишек», недоступных при использовании только IPv4.

1. Статические "белые" IP-адреса для всех ваших компьютеров (даже за провайдерским NAT)

На сегодня, если не считать прямого IPv6 (которого российские провайдеры пока не дают), наиболее привлекательным способом подключения к IPv6 является регистрация у так называемого туннельного брокера, т.е. компании, которая предоставляет (бесплатно) услугу «перебрасывания» трафика из IPv4 в IPv6 и обратно.

При использовании такого способа, каждый пользователь не только получает прямой доступ к IPv6-интернету (даже находясь за провайдерским IPv4 NAT'ом!), но и имеет собственную подсеть IPv6, которая привязывается не к его текущему IPv4-адресу, а к его эккаунту (имени и паролю) у брокера. Таким образом имеется возможность не только получить диапазон IPv6-адресов, но и сохранить его за собой даже при смене своего непосредственного провайдера IPv4.

Кроме того, пользователям в полное распоряжение выдаётся как минимум подсеть /64, которой достаточно, чтобы можно было подключить к сети 264 устройств, и дать им всем настоящие («белые»), статические Интернетовские адреса.

Таким образом, в случае, когда в вашей локальной сети – несколько компьютеров, и необходимо обеспечить доступ к сервисам некоторых из них снаружи, более не нужно изощряться с пробросом портов на NAT-шлюзе и их запоминанием («так, порт 20022 - это SSH на компьютер в спальне, а 20122 - на тот, что в гостинной»), достаточно просто подключиться к нужному компьютеру, указывая не адрес шлюза, а адрес этого компьютера напрямую.

Может возникнуть вопрос – а как быть с безопасностью? Отсутствие в IPv6-мире NAT, неверно воспринимаемого некоторыми как средство защиты сети от вторжений, на возможность обезопаситься от взломщиков никоим образом не влияет. Достаточно настроить файрвол таким образом, чтобы он не пропускал из Интернета в локальную сеть входящих соединений, кроме тех, которые вы специально хотите разрешить. В GNU/Linux для этих целей имеется инструмент ip6tables, являющийся аналогом используемого для настройки IPv4-файрвола iptables.

2. Более высокая скорость скачивания торрентов

Протокол BitTorrent построен таким образом, что находящиеся за провайдерским NAT и не имеющие возможности принимать входящие соединения пользователи могут «торрентить» файлы только с тех, кто за таким NAT'ом не находится (т.е имеет возможность принять входящее соединение). Это очень существенное ограничение даже сегодня, но вдвойне – в ближайшие годы, т.к. по мере исчерпания IPv4-адресов, всё больше провайдеров будут забирать у пользователей реальные IPv4 и «садить» их за NAT. Таким образом, количество торрентовских peer'ов и seed'ов, имеющих связность между собой, будет падать, вплоть до полной невозможности выкачать некоторые малопопулярные торренты.

Для тех, кто настроил IPv6, эта проблема становится полностью неактуальной. В мире IPv6, все компьютеры могут получить настоящие, «белые» IP-адреса – и благодаря технологиям «заворачивания» IPv6 в IPv4, сделать это можно даже находясь за IPv4 NAT'ом.

Чтобы задействовать новый протокол при скачивании/раздаче торрентов, необходима его поддержка со стороны трекера. IPv6 на сегодня поддерживают два из трёх крупнейших российских трекеров, и к примеру на форуме NoNaMe-Club обсуждение нового протокола развернулось уже более чем на 50 страниц.

Стоит отметить, что после включения IPv6, торренты могут работать быстрее не только у тех, кто находится за злобными провайдерскими NAT, а у всех, сделавших это. Всё дело в том, что имея настроенный доступ в IPv6-интернет, вы получаете возможность качать и с компьютеров тех пользователей Сети, у которых по разным причинам нет возможности раздавать файлы по IPv4. И в конечном итоге, видя больше seed'ов и больше peer'ов – получаете более высокую скорость.

Если вы пользуетесь GNU/Linux, и IPv6 вам интересен прежде всего для скачивания торрентов, вы можете установить себе поддержку IPv6 всего за минуту, без необходимости настраивать её вручную.

3. Более высокая скорость скачивания чего угодно

Если ваш провайдер внедрил IPv4 NAT и параллельно с ним нативный IPv6, вы вполне можете обнаружить, что доступ к интернет-ресурсам по IPv6 у вас работает гораздо быстрее, надёжнее и беспроблемней, чем по IPv4 через NAT.

Объяснение этому простое: Carrier-grade NAT, т.е. трансляция адресов для десятков тысяч абонентов (и хранение в памяти информации о сотнях тысяч установленных ими соединений) – задача крайне ресурсоёмкая даже для очень дорогих специализированных провайдерских роутеров. Неудивительно, что в часы пиковой нагрузки оборудование, отвечающее у вашего провайдера за NAT, может оказаться перегруженным.

В случае же доступа к какому-либо ресурсу по IPv6, никакой трансляции адресов не требуется, провайдером выполняется простая маршрутизация без какой-либо обработки пакетов или отслеживания открытых соединений, а для этого достаточно гораздо меньших вычислительных ресурсов и более дешёвого (а значит вполне вероятно установленного с достаточным запасом) оборудования.

Если какой-то (или все) из перечисленных пунктов вас заинтересовали, предлагаю проследовать ко второй части этой статьи, которая называется…

why.txt · Последние изменения: 2015-06-21 09:09 UTC От rm

version6.ru

ipv6 для чайников | Настройка оборудования

Ближайшие пару-тройку лет в глобальной сети Интернет грядут перемены. Революционные перемены. Всё дело в том, что дальнейшее развитие глобальной сети Интернет невозможно без расширения адресного пространства. А это возможно только в помощью перехода к протоколу IPv6 — основному протоколу будущего, призванному решить проблему масштабирования сетей и расширить функциональность современных сетевых устройств и приложений. Но, обо всем по порядку.

А зачем нам IPv6?

В первой половине 2011 года Европейским отделением RIPE NCC был продан последний свободный блок из 16 миллионов уже привычных нам IP-адресов 4-й версии — подсеть 185.0.0.0/8. То есть фактически глобальный пуль IP-адресов стал равен 0. Чем это грозит рядовому пользователю?! Начать думаю стоит с того, что сейчас сетевой модуль — LAN, Wi-Fi или 3G — присутствует практически в каждом компьютере, ноутбуке, планшете и смартфоне, число сетевых устройств в мире увеличивается в геометрической прогрессии. Даже если учитывать что подавляющее большинство этих устройств выходят в сеть Интернет через абонентские устройства доступа — роутеры, модемы, оптические терминалы используя технологию NAT либо прокси-серверы, то всё равно такой рост сетевых устройств приведет к тому, что у провайдеров закончатся (а у некоторых уже закончились) свободные IP-адреса. Что делать провайдерам? А провайдеры начнут применять различные ухищрения типа PG-NAT (NAT на уровне провайдера) с выдачей абонентам серых IP-адресов из внутренней локальной сети и т.п. И чем дальше — тем больше абонентов будут сидеть за NAT провайдера. После этого у абонентов могут начаться проблемы со скоростью (особенно через torrent-сети а силу их особенностей), с онлайн-играми и т.п.Как ни крути, выход один — переход на новый протокол IPv6. Конечно сразу одним махом перейти не получится при любом раскладе, но чем быстрее миграция начнется, тем быстрее проблема будет решаться, ведь по мере перехода будут освобождаться IPv4 адреса.Казалось бы — всё это проблемы провайдеров, а рядовому пользователю в чем польза?Конечно до конца ещё не известно в каком виде пользователю будет предоставляться IPv6 — в виде адреса или в виде целой подсети адресов (а подсетей в новом протоколе огромное количество). Но если будут предоставляться сразу подсети, то надобность в NAT’е на абонентских устройствах отпадет в принципе и пользователям не нужно будет в дальнейшем мучиться с пробросом портов на домашних роутерах — у всех компьютеров в домашней сети будут белые внешние адреса.Второй значительных плюс — увеличение скорости в файлообменных сетях, особенно через Torrent. Правда поддержка IPv6 обязательна и со стороны файлообменных серверов и трекеров.Третий значительные плюс — закрепление статически за пользователем определенной подсети адресов, которые не будут меняться динамически каждый раз при переподключении к провайдеру.

А разве IPv4 и IPv6 не похожи?

Нет. Совершенно не похожи. Уровень у протоколов один уровень — сетевой. На этом их сходство и заканчивается. IPv4 и IPv6 — это два совершенно разных протокола. Самое важное отличие протоколов, заметное даже визуально, заключается в длине адресного пространства. В то время как четвертая версия протокол использует 32-битные адреса в виде набора из четырех октетов, в шестой версии адрес имеет длину уже 128 бит. К тому же, IPv6 значительно более сложен и технологически сильно продвинут, вплоть до наличия элементов маршрутизации уже на уровне заголовков.

IP-адреса в IPv6.

IP-адрес в шестой версии имеет более сложную иерархическую структуру, нежели IPv4. Благодаря размеру адреса в 128 бит, для использования доступны 340.282.366.920.938.463.463.374.607.431.768.211.456 адресов. Согласитесь, огромная цифра.На текущий момент определены 3 формата IPv6-адресов:

1) Стандартный, основной формат IPv6-адреса.X:X:X:X:X:X:X:X, где каждое число X — это шестнадцатеричное 16-битное число, которое состоит из 4 символов в шестнадцатеричной системе. Пример IPv6 — адреса:21DA:7654:DE12:2F3B:02AA:EF98:FE28:9C5A

2) Сжатый формат IPv6-адреса.Если в адресе есть несколько групп, содержащие в себе только нулевые биты, то для удобства принят специальный тип сокращения вот такого вида «::». Выглядит это так:был EF98:3:0:0:0:0:2F3B:7654 стал EF98:3::2F3B:7654или был FF01:0:0:0:0:0:0:1 стал FF01::1При этом существует такое ограничение: через два двоеточия можно заменять только одну группу байт.Для наглядного примера пусть будет вот такой адрес: 1:0:0:0:1:0:0:1Вот так можно: 1::1:0:0:1И так можно: 1:0:0:0:1::1А вот так — нельзя: 1::1::1

3) Альтернативный (переходный) формат.Так как полный переход с IPv4 на IPv6 дело не двух дней, и займет оно весьма длительное время, то для удобство миграции существует 2 варианта переходных адресов — совместимые и отображенные.Совместимые адреса предусмотрены для узлов сети, которые осуществляют туннелирование трафика из IPv6 в IPv4. Они будут широко применяться по перву на стыках сетей. Совместимые адреса имеют префикс ::/96 и выглядят так:0:0:0:0:0:0:144.12.10.31 или сжато ::144.12.10.31То есть из 128 бит адреса — 96 бит (6 октетов) нулей плюс 32 бита — IPv4-адрес.Второй тип придуман специально для хостов, которые IPv6 не поддерживают. Таких тоже будет немало. Называются они «отображенные». Префикс отображенного IPv6-адреса — ::ffff:0:0/96 и выглядит вот так:0:0:0:0:0:ffff:88.147.129.15 или сжато ::ffff:88.147.129.15Здесь из 128 бит адреса первые 80 бит (5 октетов) занимают нули, затем 16 единичных бит, а затем 32 бита занимает IPv4-адрес.

Состав IP-адреса в IPv6

В IPv6 IP-адрес можно разделить на три составные части:— глобальный префикс,— идентификатор подсети,— идентификатор интерфейса.Рассмотрим для примера адрес:21DA:7654:DE12:2F3B:02AA:EF98:FE28:9C5A.В нем первые три поля в адресе протокола IPv6 указывают на префикс сайта — 21DA:7654:DE12. Глобальный префикс указывает в сети какого провайдера находится данный адрес. Четвертое поле — 2F3B — идентификатор подсети. Оставшиеся 4 поля — 02AA:EF98:FE28:9C5A — идентификатор интерфейса — аналогичен Host ID в IPv4 и определяет уникальный адрес хоста вашей сети.

А где в IPv6 маска подсети

В шестой версии протокола IP маска подсети не нужна как таковая. Её роль играет идентификатор подсети. Поля в 16 бит хватает для 65 535 подсетей.

Как работает IPv6

По умолчанию сетевой присваивается link-local адрес (fe80::/10), ну а затем хост используя этот адрес отправляет в сеть групповой ICMPv6-запрос — Router Solicitation — для поиска роутера.Если роутер в сети есть, то он ответит хосту ICMPv6-сообщением — Router Advertisement. В ответе помимо IPv6-префикса сети могут так же присутствовать адрес шлюза, адреса DNS-серверов, MTU и пр. Затем, если на роутере запущен DHCPv6-сервер, то далее все пройдет как в случае обычного DHCP-сервера — интерфейсу присвоется адрес, маска, шлюз и DNS-серверы.Если DHCP-сервера нет, то наш узел сам себе присвоит адрес с использованием этого префикса и своего физического MAC-адреса. Так же добавляется маршрут по умолчанию на найденный роутер.

Как использовать адреса IPv6 в URL

Каждому человеку, кто хотя бы раз настраивал роутер знакома ситуация, когда IP-адрес вводится в строке адреса браузера. Другой вариант, когда это приходится делать — в случае если кто-то запустил на компьютере веб-сервер без привязки доменного имени и Вам по какой-либо причине надо на него зайти. В случае IPv4 делается Вы просто пишете IP, например 192.168.0.1, в строке адреса и нажимаете кнопку Enter. Браузер преобразует IP-адрес в http, получаем такую строчку: http://192.168.0.1 По-умолчанию для Веб-сервера используется TCP-порт 80. Но иногда в настройках используют альтернативные порты, например 8080. В этом случае строка адреса будет выглядеть так: http://192.168.0.1:8080, т.е. порт указывается через двоеточие -:- после адреса.Но что же делать в случае, когда используется IPv6, ведь там все числа через двоеточие и браузер будет думать что это порт.Так вот в случае IPv6 IP-адрес в адресной строке браузера закрывается квадратными скобками. Выглядит это так:http://[21DA:7654:DE12:2F3B:02AA:EF98:FE28:9C5A]/Если надо указать ещё и порт, то так:http://[21DA:7654:DE12:2F3B:02AA:EF98:FE28:9C5A]:8080/

nastroisam.ru

Openstack. Детективная история или куда пропадает связь? Часть вторая. IPv6 и прочее

Давно не брал я в руки шашки… Проблема оказалась глубже и интересней, чем можно было себе представить. Попытаюсь изложить то, что найдено со времени предыдущей статьи.

Приключения с IPv6

Прежде всего скажу – ребята, я не понимаю, для чего нужен IPv6 на платформе, которая сама по себе никуда не привязана по этому самому протоколу и адреса она себе назначает какие хочет. Мы с коллегой решили – «нафига козе баян?» – и запретили IPv6. Основательно так запретили. В трёх местах, на уровне ядра и модулей. Заодно обновили софт до последней стабильной версии.

Как запретить IPv6
  • В файле /etc/default/grub к строке GRUB_CMDLINE_LINUX_DEFAULT добавили параметр ipv6.disable=1
  • В файле /etc/modprobe.d/aliases поставили alias net-pf-10 off и alias ipv6 off
  • В файле /etc/sysctl.conf назначили net.ipv6.conf.all.disable_ipv6 = 1 и net.ipv6.conf.default.disable_ipv6 = 1

И тут упала у нас раздача адресов по DHCP. При этом, естественно, и пароли в новые машины перестали заводиться.

Что поменялось? Похоже, не запускается dnsmasq. Тогда я нашёл в бэкапах старые версии софта и подложил их. Но боже ж ты мой – всё равно не работает!

Что за чудеса? В логах много всего, но никаких конкретных указаний, что происходит. Начал шерстить все логи подряд, в том числе и системные. Случайно увидел, что на самом деле есть логи, говорящие что произошло – но они лежат вовсе не в /var/log, как можно было бы ожидать. Нет, их почему-то прячут в /var/lib/neutron/ha_confs и далее – в названии каталога участвует имя подсети. Там лежат сгенерированный нейтроном конфиг и логи запуска для keepalived. У нас же «устойчивая» конфигурация. Автоматом сгенерированный конфиг содержит IPv6 адреса. Демон keepalived не стартует – от системы он получает отбой. Мы же запретили IPv6? После этого уже не стартует на нужном адресе dnsmasq – потому что адреса нет, его должен был поднять keepalived. Пришлось вернуть обратно.

Вывод: Если мы запрещаем IPv6 на уровне ядра, то dnsmasq перестаёт запускаться.Не запрещайте IPv6 в Openstack версии Mitaka!

Старая проблема

Но старая история продолжается.

В некоторых случаях проблема возникает сразу после создания виртуальной машины, в некоторых – нет. Напомню: периодически начинает пропадать часть пакетов. И иногда это выглядит даже так, как на представленном рисунке.

Мы нашли относительно простой способ эту проблему обходить. Сейчас это делается отрыванием внутреннего IP адреса и назначением его из другой подсети – нам при этом приходится часто добавлять новые подсети. Проблема на какое-то время уходит. Часть машин при этом работают замечательно. Самые настоящие «танцы с бубном».

Новые горизонты

Недавно я доказал себе, что эта проблема – в глубине OpenStack. Мы сооружали новую платформу по образу и подобию старой, при этом на тестовых диапазонах. Всё работало шикарно при заведении до 300 машин в ферме, и при этом никаких сбоев!

Обрадовались и стали готовить её в «продакшн». Это подразумевало введение «рваных» диапазонов ip адресов – так получилось. Мы очистили ферму, убрав эти самые триста машин. И вдруг на трёх тестовых виртуалках случилось то же, что и на старой ферме – стали пропадать пакеты, в большом количестве. Похоже, дело в самой сетевой настройке OpenStack.

Да, да! Всё дело в настройке виртуального роутера. К великому сожалению, примеров нормального построения сети более чем для 20 виртуальных машин, в сети не отыскать. Так что, похоже, продолжение следует…

habrahabr.ru


Смотрите также