Про OpenWRT, Sierra Wireless, IPv6 и нерадивых ISP-ов

[klink0v]

Продолжение / корректировка / дополнение вот этого поста. Спойлер: там было гонево.

Зачесались у меня что-то шаловливые ручки поковыряться опять с IPv6. Не знаю зачем. Охота пуще неволи. Взял опять свой любимый Sierra AirCard 320U в режиме "Direct IP", роутер с OpenWRT, МТС-овскую SIMку с подключенной услугой IPv6, заперся в квартире, и давай дро

Comments

[yalexey]

Видимо, что-то такое должно быть вставлено вот сюда
Имеет смысл проверить, и создать issue с упоминанием майнтейнера этой части.

[klink0v]

Возможно. Проблема только в том, что по сути мои извраты есть грубое нарушение стандартов RFC. То есть, вообще говоря, так работать и не должно. Это просто грязные хаки для таких вот странных ситуаций, когда ты хочешь "размазать" 64-ый префикс на пачку устройств, в то время как по изначальной задумке создателей протокола IPv6 он должен присваиваться одному девайсу.

[yalexey]

По изначальной задумке и все порты всех протоколов одного адреса v4 должны были присваиваться одному устройству. Идеологически этот финт от NAT не отличается. Другой вопрос, что он существенно менее безопасен и не даёт никаких средств контроля, выворачивая локалку наружу одним движением.

[ext_290844]

> по изначальной задумке создателей протокола IPv6 он должен присваиваться одному девайсу.

Не так, по изначальной задумке /64 - это минимум который вообще раздаётся. /56 начали рекомендовать раздавать по двум разным причинам:
1 - разнести guest/owner/iot устройства по разным подсетям
2 - относительно недавно как раз начали рекомендовать /64 per device для того чтобы ломаный извне девайс не был link-local с остальной сетью.

В целом раздавать /64 провайдером на end-site это валидно, хоть и не соответствует RIPE полиси. Тем более что МТС считает что в общем случае за симкой у тебя телефон, а не подсеть.

Вот резать /64 на какие-нибудь /84 и с этим что-то делать - вот это уже как раз в целом нарушение полиси, хоть и допустимо в рамках _ТВОЕЙ_ сети, тем более что пока ты не BGP на то что за тобой всем насрать. Тебе дали префикс, как ты его раздербанишь - твои проблемы, ты знаешь на что идёшь.

[klink0v]

О, полезный, годный комментарий по существу. Спасибо.

> В целом раздавать /64 провайдером на end-site это валидно, хоть и не соответствует RIPE полиси
А как соответствует?

> чтобы ломаный извне девайс не был link-local с остальной сетью
Как он может быть НЕ link-local, простите? Куда ж он второй свой адрес-то денет?

> как ты его раздербанишь - твои проблемы
Так-то да. Просто это ломает SLAAC. Но по Stateful DHCP или статикой раздать вполне себе можно как угодно, да. Если бы тот же МТС всегда выдавал бы одну и ту же "/64" - не было бы вообще никаких проблем. Но она же ж, сцуко, всё время разная...

[ext_290844]

> А как соответствует?

ЕМНИП по полиси /56 юзеру в зубы, но на это кладут все известные мне провайдеры. Обычно /64 и всё.

> Как он может быть НЕ link-local, простите? Куда ж он второй свой адрес-то денет?

А, чёрт, я тупанул. Да, link-local никуда не денется, но за счёт того что /64 префиксы у устройств разные, сканирование усложняется. Безопасность мать её. Я в голове почему-то vlan-per-device представил, что тоже можно, но совсем наркомания.

> Но она же ж, сцуко, всё время разная...

Там есть вариант как бороться, выдаётся RA с коротким временем жизни, при смене префикса раздаётся новый и он становится prefered как-то так, вроде можно ещё раздать старый префикс с 0 лайфтаймом, но надо проверять. Но в целом больно, да.