IPv6 im Aachener-Modell

paulinsche · 8. Februar 2016 um 21:43

Ach, hätte ich es menn eher gefunden. Rückfrage dazu:

Ich bastele was ähnliches, jedoch mit dem Tunneldigger und Segmentierung erstmal von Hand, aber ich bin wohl auch zu dem Schluss gekommen der site.conf prefix6 und next_node.ip6 ändern zu müssen, weil sonst der radvd der Knoten immer wieder eine (im Zweifel) nicht gerouteten prefix annonciert, und die Announcements der VPN-Server, zumindest kurzfristig, überschreibt. Hoffe, es nutzt da Unique local addresses zu verwenden?

MrMM · 8. Februar 2016 um 21:51

Ja, das funktioniert sehr gut. Die ULA Adresse wird laut RFC nur zum Routing verwendet, wenn keine Globale Adresse vorhanden ist. Als Next Node Adresse taugt sie 1A.

Auf den Supernodes sollten RA Lifetimes von nur wenigen Minuten konfiguriert werden um nach Kurzschlüssen die falschen Routen sicher schnell wieder aus den Segmenten zu haben.

paulinsche · 9. Februar 2016 um 16:29

Ah! Folgendes gelernt: wenn die lifetime mal größer als 2h ist, dann nützt es auch nicht kleinere Werte zu übermitteln. Deswegen immer gleich von Anfang an eine kleine „valid lifetime“. Hatte wahrscheinlich deswegen aber gerade das Problem mit meinem Handy, dass nur noch die ULA kannte, die andere aber nicht. Was sind aus Erfahrung gut Werte?

Ich hatte hier 600s bei der valid lifetime.

Um die falschen Routen auch sicher schnell wieder aus dem Netz zu bekommen, hatte ich daran gedacht auch immer eine deprecated Adresse konfiguriert zu lassen und eine lifetime 0 und „autonomous no“ zu schicken. Gute, oder gewagte Idee?

PS: Macht es Sinn diesen Teil zum Austausch über Technik aus dem Thread zu nehmen, oder störe ich nicht?

MrMM · 9. Februar 2016 um 16:57

Exakt, es ist zwar möglich Zeiträume kleiner 2h zu verbreiten, ein Client wird aber niemals seine Valid Lifetime auf einen Wert kleiner 2h reduzieren.

Wir verwenden derzeit:

        AdvValidLifetime 600;
        AdvPreferredLifetime 300;

Sobald die PrefferedLifetime auf 0 gesunken ist antwortet das Gerät zwar noch auf Verbindungen auf diese Adresse, verwendet sie aber nicht mehr für ausgehende Verbindungen.

Außerdem habe ich auf dem Monitoring Server einen radvd installiert den ich zum gezielten killen von falschen RA verwende, denn die PreferredLifetime kann herabgesetzt werden. Also für ein paar Sekunden einschalten kann.

        AdvValidLifetime 0;
        AdvPreferredLifetime 0;
       #DeprecatePrefix on;

So kann man also ein fehlerhaften Prefix sehr schnell aus dem Verkehr ziehen. Dafür gibt es auch spezialisierte Tools, auf eines davon wollen wir umsteigen. DeprecatePrefix ist ebenfalls eine Option das zu machen, aber überflüssig wenn man bereits 0 als Lifetime verteilt hat.