o2 DSL und IPv6

minimike

Berufsrevolutionär
Hi

Ich war mal neugrierig. O2 kann auch Ipv6 mit DSL
Erst mal router advertisement erlauben. Soweit ich verstanden habe, erst mal Betreff ICMP das notwendige Erlauben damit das funktioniert
Code:
...
pass in log quick inet6 proto ipv6-icmp from {any} to {any} icmp6-type {1,2,135,136} keep state
pass out log quick inet6 proto ipv6-icmp from {fe80::/10} to {fe80::/10,ff02::/16} icmp6-type {129,133,134,135,136} keep state
pass in log quick inet6 proto ipv6-icmp from {fe80::/10} to {fe80::/10,ff02::/16} icmp6-type {128,133,134,135,136} keep state
pass in log quick inet6 proto ipv6-icmp from {ff02::/16} to {fe80::/10} icmp6-type {128,133,134,135,136} keep state
...

In der mpd5.conf
Code:
...
  set iface up-script /usr/local/etc/mpd5/ppp-linkup
  set bundle enable ipv6cp
...

Und in /usr/local/etc/mpd5/ppp-linkup steht

Code:
#!/bin/sh
/sbin/pfctl -Fa -e -f /usr/local/etc/pf.d/pf.conf
/sbin/ifconfig pppoe0 inet6 accept_rtadv

So nach einer gefühlten Ewigkeit kommt dann nach 5 - 30 min ein
Code:
sudo tcpdump -i pppoe0 ip6 and icmp6 and 'ip6[40] = 134'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on pppoe0, link-type NULL (BSD loopback), capture size 262144 bytes
17:28:35.297898 IP6 fe80::6a8f:84ff:fef4:adae > ff02::1: ICMP6, router advertisement, length 64

Die Adresse und das Subnet die ich erhalten habe wird bei der RIPE auch mit O2 als Inhaber geführt

Was unschön ist. Es ist immer ein anderes Subnet. Und ich bekomme nicht direkt ein router advertisement.

MIch würde Interessieren wie man das mit den router advertisements eleganter Lösen kann. Eventuell hat noch jemand einen technischen Kniff parat um das selbe subnet wieder zu Erhalten.
 
Soweit ich verstanden habe, erst mal Betreff ICMP das notwendige Erlauben damit das funktioniert
tu dir den gefallen und erlaube alles was ICMP ist. IPv6 nutzt das intensiv für verschiedene Dinge und es ist nun wirklich kein Angriffsvektor.

MIch würde Interessieren wie man das mit den router advertisements eleganter Lösen kann.
Du kannst explizit danach fragen. Wie das unter OpenBSD geht, müsst ich aber auch nachlesen.

Eventuell hat noch jemand einen technischen Kniff parat um das selbe subnet wieder zu Erhalten.
Da bleibt dir nur tunnelbroker.net. Leider hat sich dieser Security by Obscurity Wahnsinn den es schon bei IPv4 und NAT gab, dann doch wieder durchgesetzt. Eigentliche alle Provider "für Zuhause" geben dir nur dynamische Prefixes.

Übrigens kann ich nicht nur zum Thema IPv6 den RFCE Podcast wärmstens Empfehlen. Clemens Schrimpe hat ne sehr angenehme Art die Sachen zu Erklären und hat auch immer ein paar Anekdoten parat.
 
tu dir den gefallen und erlaube alles was ICMP ist. IPv6 nutzt das intensiv für verschiedene Dinge und es ist nun wirklich kein Angriffsvektor.
Du kannst explizit danach fragen. Wie das unter OpenBSD geht, müsst ich aber auch nachlesen.
Also ich finde das ich die ganze "Bandbreite" von icmp im Internet nicht haben möchte. Zudem benutze ich FreeBSD. Trotzdem Danke :)
 
Solch seltene Router Advertisments sind legitim, denn es gibt ja den Mechanismus der aktiven "Nachfrage" mit Hilfe von Router Solicitation, vgl. RFC4861.
Um das Aussenden kümmert sich der Router Solicitation Daemon, kurz rtsold(8), den du dafür anwerfen musst. Davon abgesehen vermute ich stark, dass Du Dich noch um DHCPv6 kümmern musst, zumindest, wenn Du ein Präfix per Prefix Delegation bekommen möchtest, um es in Deinem Netz zu verwenden.

Gruß
 
Für DHCPv6 prefix delegation nehme ich dhcpcd. Unter OpenBSD bringt der Port ein schönes README mit, in dem beschrieben wird, wie das eingerichtet werden sollte. Meine config ist noch nach einer älteren Version des READMEs erstellt:
Code:
~ $ more /etc/dhcpcd.conf                                                                        
noipv6rs                                                                                         
ipv6only                                                                                         
duid                                                                                             
persistent                                                                                       
option rapid_commit                                                                              
require dhcp_server_identifier                                                                   
nohook lookup-hostname, resolv.conf                                                              
allowinterfaces em1 em0                                                                          
                                                                                                 
interface em1                                                                                    
  iaid 1                                                                                         
  ia_pd 2 em0/1
Damit funktioniert es ganz gut an einem DS-Lite Anschluß.

EDIT: die ähnliche config (anstatt em1 dann pppoe0) hatte ich vorher bei der Telekom in Betrieb. Allerdings bekommt man dort auch jedesmal ein anderes Subnetz. Da hilft leider nur ein dyndns-Provider, der IPv6 Funktionalität hat.
 
Zurück
Oben