temat IPV6 - ręczne DS-Lite, szukam AFTR, ktokolwiek widział, ktokolwiek wie. w Internet domowy

IPV6 - ręczne DS-Lite, szukam AFTR, ktokolwiek widział, ktokolwiek wie.

otens — Wed, 24 Feb 2021 19:39:11 GMT

Witam - pytania na które może odpowiedzieć raczej ktoś z Tele... Orange znaczy, albo użytkownik który działa obecnie na IPv6 i wie jak działa DS-Lite - chyba.

Otóż sprzęt którego używam, "nie wspiera" DS-Lite. Wspiera główne komponenty, tj. samo IPv6 po A/VDSL i tunele 4in6, ale nie interpretuje i nie żąda opcji 64 DHCPv6 (AFTR-NAME, RFC6334) i sam nie stawia tunelu w który ma być wepchnięty ruch IPv4. Niestety sam nie mogę zrzucić pakietów i podejrzeć tego pola, bo raz, że klient DHCPv6 musi tej opcji zażądać, a dwa, jeśli nawet opcja zawsze jest pchnięta, mam tylko zdalny dostęp i jak przełączę się na v6, siądzie mi v4.

W każdym razie chodzi o to, żeby ominąć DHCP i ręcznie postawić tunel, tylko do czego?

Pytania są następujące:

1. Czy nazwa (domena) drugiej końcówki tunelu (AFTR) wysyłana przez DHCPv6 jest stała dla każdego klienta? Zakładam, że to domena a nie adres, bo tak mówi RFC.

2. Czy ta domena siedzi w publicznych DNSach, czy wymaga użycia DNS Orange?

2. Czy ktoś wie jak ta domena się nazywa? Czy można to jakoś podejrzeć na routerach które w pełni obsługują DS-Lite - albo chociaż adres AFTR?

3. Czy adres IPv6 AFTR, niezależnie gdzie AFTR mieszka, jest stały, czy lokalny AFTR może mieć różne adresy zależnie od lokalizacji?

Oczywiście mogę się mylić, że to w ogóle zadziała, bo AFTR może np. chcieć od CPE jakichś opcji w żądaniu DHCP żeby w ogóle pozwolić zestawić tunel - ale samo IPv6 wstaje.

Pozdrawiam, i z jednej strony gratuluję wdrożenia IPv6 wcześnie (jakby) i w taki sposób, że migracja jest właściwie gotowa i wystarczy odciąć IPv4 do klienta - inni operatorzy w kraju i za granicą migrację strony IPv4 mają dopiero przed sobą - a z drugiej strony ubolewam, bo wsparcie dla DS-Lite na urządzeniach klienckich, szczególnie takich blaszanych co siedzą w szafach, spotyka się tak rzadko jak zęby mądrości u kur.

IPV6 - ręczne DS-Lite, szukam AFTR, ktokolwiek widział, ktokolwiek wie.

MrSnrub — Mon, 01 Mar 2021 18:38:01 GMT

O ile pamiętam, w Orange adresy AFTR są dystrybuowane poprzez Anycast, zatem następuje dystrybucja adresów właściwych dla danego obszaru.

IPV6 - ręczne DS-Lite, szukam AFTR, ktokolwiek widział, ktokolwiek wie.

otensdwa — Mon, 27 May 2024 18:57:41 GMT

Dobra, widzę, że ten wątek wyskakuje w googlach, to uzupełnię go dla kompletności tym, czego się w końcu dowiedziałem. Aż założyłem nowe konto, bo nie mogłem się zalogować do starego...

1. DHCPv6 przypisuje AFTR / aftr-name po regionie, tj. po województwie

2. Tak, siedzi w publicznych DNSach

3. Domena AFTR to miasto01f.cgn.tpnet.pl, gdzie miasto to lokalny skrót miasta uzywany przez Orange, tak jak to jest np. w hostname routerów tranzytowych które widzi się przez traceroute: waw, kra, lub, gda, szcz, byd, itp. Adresy AFTR tych domen to: 2a01:1000:0:1::nn14, gdzie nn to... strefa numeracyjna miasta tj. ::2214 waw, ::5814 gda, etc. W sieci były starsze posty o hostach node0[1-7].cgn.tpnet.pl, ale to musiała być albo jakaś wczesna faza albo nie są używane dla ADSL, bo u mnie nie działały.

4. Adres AFTR jak widać nie jest stały - bo myślałem, że mógłby to być jeden adres anycastowy, ale nie jest. Natomiast AFTR akceptują połączenia z całej Polski, także jeśli tunel zestawia się ręcznie lub router ma pole do wpisania aftr-name, możecie sobie wybrać w jakiej lokacji "pojawia" się Wasz ruch IPv4 - czy to skutkuje innym adresem IP nie sprawdzałem, ale to możliwe i prawdopodobne, tak więc prawdopodobnie można sobie w ten sposób "zmieniać" publiczny adres IPv4.

Czyli podsumowując, tak, można bez problemu ręcznie "zrobić" DS-Lite na sprzęcie który go nie wspiera ale wspiera samo IPv6 i tunele 4in6, trzeba tylko:

1. Postawić tunel 4in6 / ipv6 gpt / czy jak to który producent nazywa (RFC 2473):

- Adres źródłowy tunelu: Wasz publiczny interfejs v6

- Adres docelowy tunelu (AFTR): jak wyżej, miasto01f.cgn.tpnet.pl lub 2a01:1000:0:1::nn14

- Adres v4 Waszej strony tunelu: ten sam dla każdego, 192.0.0.2 tak jak w specyfikacji DS-Lite (RFC 6333), maska obojętna bo to point to point, ale pewnie albo /30 żeby pokryć .1 i .2, albo /24 żeby pokryć całość bloku 192.0.0.0/24.

- Jeśli nie dzieje się to automatycznie, ustawić MTU tunelu na 1460 bajtów (lub MTU publicznego interfejsu v6 minus 40 bajtów), i pewnie TCP MSS clamping również, na 1420 bajtów (lub MTU tunelu minus 40 bajtów).

2. Dać domyślną trasę v4 (0.0.0.0) przez interfejs tunelu lub przez 192.0.0.1 (AFTR) - tylko wtedy maska tunelu musi zawierać .1, więc /30 = 255.255.255.252 i szerzej, ale nie szerzej niż /24.

3. Zrobić NAT / maskaradę Waszych lokalnych sieci z adresu tunelu (192.0.0.2).

Działa bez problemów, tylko oczywiście nie wiadomo czy na zawsze, bo nie zareaguje na sytuację kiedy np. obecny AFTR padnie lub zmieni adres a DHCPv6 wysłałoby nową nazwę - ale działa. Można to oskryptować / śledzić dostępność obecnego AFTR i przełączać się na inny.

Mam nadzieję, że komuś się to przyda.

Mała aktualizacja:

1. Tak, zmiana AFTR skutkuje zmianą końcowego, po-CGNATowego adresu IPv4, a efekt, w sensie geolokacji itp., jest ciekawy, bo jak możecie się domyślić, Wasz ruch v4 pojawia się w jednym z kilku centralnych punktów, i ten adres nie jest już rozpoznawany jako dość dokładna lokalizacja, więc pod tym względem jest się bardziej "anonimowym". Można więc np. zestawić sesję PPP w wersji IPv6, ale olać IPv6 i dalej chodzić po IPv4, tylko z mniej identyfikowalnym adresem, który w dodatku można zmieniać na jeden z kilkunastu dostępnych.

2. Można zestawić wiele tuneli na raz 🙂 i zrobić między nimi jakąś dystrybucję per flow, i wtedy w ogóle raz się jest z Rzeszowa a raz ze Szczecina. Taka ciekawostka...

________________
* Scaliłem wpisy – moderator Michał

IPV6 - ręczne DS-Lite, szukam AFTR, ktokolwiek widział, ktokolwiek wie.

j131 — Thu, 10 Jul 2025 12:57:37 GMT

Dzięki za podzielenie się cennymi szczegółami.

Od siebie dodam, że uzyskanie tego adresu nie jest trudne, w ramach tej samej sesji pppoe w której negocjuje się PD można też uzyskać adres serwera. Osobiście podoba mi się jak to robi dibbler-client. Ale te adresy się nie zmieniają. Jest ich dokładnie dziesięć i przynajmniej na razie można ich używać w ciemno. Oczywiście tunel trzeba zestawić z globalnego adresu przydzielonego prefixem.

Tu macie mapkę z aktywnymi AFTRami.