Засада с IPv6 split tunnel

[klink0v]

... Современный мир характеризуется каким-то лютым количеством мурзилок, которых хлебом не корми, только дай чего-нибудь заблокировать. Причём, это касается не только нашего родного привычного роскомпозора, но и вполне состоятельных облачных провайдеров типа CloudFlare, Amazon, Akamai и иже с ними. После начала известных_событий™ они взяли и по

Comments

[vanxant]

Ещё можно весь ipv6 гонять через vds. Довольно забавные спецэффекты, гугль например считает меня голландцем)

[jackindeed]

а такой изврат как просто натить внутренние IPv6 в IPv4 при выходе через маршруты на забугорной VDS? (не исключаю что я не врубился и это вообще не про то)

[klink0v]

Я так и делаю. Но мне не хочется весь трафик пропускать через VDS. Вдруг я торренты запущу?

[jackindeed]

а почему нельзя роутить на внешнюю VDS только то что нужно, и в случае когда нужно - транслировать IPv6 в IPv4 при обращении через VDS

а при работе напрямую - работать напрямую.

грубо говоря на VDS весь трафик IPv6 который пришел на VDS для доступа через нее заворачивать в IPv4 через маскарадинг

[klink0v]

> почему нельзя роутить на внешнюю VDS только то что нужно

Можно. Вот я и пытаюсь понять как это правильно делать. Точнее, уже понял.

> транслировать IPv6 в IPv4

Оно не имеет смысла и скорее вредно, чем полезно. К тому же, на VDS тоже есть IPv6 от хостера. И да, как такового маскаратинга 6 в 4 не существует (равно как и наоборот), ибо это разные стеки протоколов. Есть набор костылей, которые позволяют решать подобные задачи, но это именно что костыли.

[cae32]

Статика - нормальный хак с 92го года. Только реджект с большой дистанцией на агрегат надо не забыть, чтобы цикла не было, когда линк отвалится.

[nixxl]

про "мурзилок" и синдром вахтера.

сижу с одним админом далеко немелкой по местным меркам сети, да еще и с over-10-летней историей.

он меня посвящает в структуру типового файерволла узла (который был срочно-экстренно написан им день назад, потому как я мягко охренел от разнобоя на узлах сети).

ну и натыкаемся на правило, откомменченное как "torrents".

"а што это?" - спрашиваю я.

"а это я торренты подрезаю" - слышу в ответ.

ну то есть абонент, платящий деньги за (к примеру) 50 мбит трафика получает торренты со скоростью 20 мбит, и не выше.

и там вообще не только торренты. правило тупо резало всё подряд, что имело src&dst порты выше 1024 (что такое dpi - похоже, чел только слышал).

посмотрел на него сильно удивленными глазами, выразил свое мнение о мыслях абонентов от такой хуйни, заодно рассказал директорам, правило исчезло.

[klink0v]

Да. Я примерно про такое же писал вот здесь:

https://klink0v.livejournal.com/678328.html

[mnogo_hodovka]

> потом whois, потом инфу по AS. И добавляю целиком всю эту AS в список на сервере

Где посмотреть AS? Например, ваш блог в ЖЖ имеет IPv4 81.19.74.1. Нужно смотреть inetnum в ответе "whois 81.19.74.1"?
inetnum: 81.19.64.0 - 81.19.95.255

Я весь трафик заворачиваю в VPN в Лондоне по умолчанию, потому что Российска цензура теперь может замедлять любой ресурс типа Твиттера без предупреждения. А те российские сайты, которые не работают с лондонского IP, я пускаю напрямую на openwrt через российского провайдера, без VPN. Изначально я это решал так: например, если сайт Сбербанк-Онлайн не работает, то в Firefox в консоли смотрел, к каким хостам подключается веб-приложение, и именно эти IPv4 пускал через VPN, но только не с /32, а с /24, иначе слишком много маршрутов придётся в bash-скрипте писать в демоне на openwrt.

Оказывается, можно где-то глянуть, например, какие диапазоны IPv4 вообще принадлежат этому Сбербанк-Онлайну или, к примеру, видеохостингу ВКонтакте (он жутко медленный через зарубежный VPN)?

[klink0v]

> можно где-то глянуть, например, какие диапазоны IPv4 вообще принадлежат этому Сбербанк-Онлайну

Да, конечно. В базах данных RIPE, например.

https://who.is/
https://www.nic.ru/en/whois/

Это веб-обертки к утилите "whois", которая как раз и запрашивает упомянутые базы данных. Можно по IP-адресу узнать номер AS, а потом по номеру AS выяснить какие еще диапазоны ей принадлежат.