Продолжение / корректировка / дополнение
вот этого поста. Спойлер: там было гонево.
Зачесались у меня что-то шаловливые ручки поковыряться опять с IPv6. Не знаю зачем. Охота пуще неволи. Взял опять свой любимый Sierra AirCard 320U в режиме "Direct IP", роутер с OpenWRT, МТС-овскую SIMку с подключенной услугой IPv6, заперся в квартире, и давай дро
(
Read more... )
Имеет смысл проверить, и создать issue с упоминанием майнтейнера этой части.
Reply
Reply
Reply
Не так, по изначальной задумке /64 - это минимум который вообще раздаётся. /56 начали рекомендовать раздавать по двум разным причинам:
1 - разнести guest/owner/iot устройства по разным подсетям
2 - относительно недавно как раз начали рекомендовать /64 per device для того чтобы ломаный извне девайс не был link-local с остальной сетью.
В целом раздавать /64 провайдером на end-site это валидно, хоть и не соответствует RIPE полиси. Тем более что МТС считает что в общем случае за симкой у тебя телефон, а не подсеть.
Вот резать /64 на какие-нибудь /84 и с этим что-то делать - вот это уже как раз в целом нарушение полиси, хоть и допустимо в рамках _ТВОЕЙ_ сети, тем более что пока ты не BGP на то что за тобой всем насрать. Тебе дали префикс, как ты его раздербанишь - твои проблемы, ты знаешь на что идёшь.
Reply
> В целом раздавать /64 провайдером на end-site это валидно, хоть и не соответствует RIPE полиси
А как соответствует?
> чтобы ломаный извне девайс не был link-local с остальной сетью
Как он может быть НЕ link-local, простите? Куда ж он второй свой адрес-то денет?
> как ты его раздербанишь - твои проблемы
Так-то да. Просто это ломает SLAAC. Но по Stateful DHCP или статикой раздать вполне себе можно как угодно, да. Если бы тот же МТС всегда выдавал бы одну и ту же "/64" - не было бы вообще никаких проблем. Но она же ж, сцуко, всё время разная...
Reply
ЕМНИП по полиси /56 юзеру в зубы, но на это кладут все известные мне провайдеры. Обычно /64 и всё.
> Как он может быть НЕ link-local, простите? Куда ж он второй свой адрес-то денет?
А, чёрт, я тупанул. Да, link-local никуда не денется, но за счёт того что /64 префиксы у устройств разные, сканирование усложняется. Безопасность мать её. Я в голове почему-то vlan-per-device представил, что тоже можно, но совсем наркомания.
> Но она же ж, сцуко, всё время разная...
Там есть вариант как бороться, выдаётся RA с коротким временем жизни, при смене префикса раздаётся новый и он становится prefered как-то так, вроде можно ещё раздать старый префикс с 0 лайфтаймом, но надо проверять. Но в целом больно, да.
Reply
Leave a comment