COSMOTE Fiber (FTTH)

[malakudi]

Δεν ξέρω αν είναι κάποια ιδιαιτερότητα του συγκεκριμένου mode
αλλά σε υλοποιήσεις που έχουμε στα ρούτερ με ν6 δεν το έχω δει να γίνεται στην διάρκεια της ημέρας.
Προφανώς και κάποια στιγμή συμβαίνει αλλά αν είναι στις 2-3 τα ξημερώματα, δεν με επηρεάζει.

Έχεις CPE με ipv6only; Σε αυτό αναφέρομαι και σε Cosmote.

[tolis13]

Σε τι γραμμή;
Με speedtest τερματίζει η γραμμή σου;
Με tor γενικά δεν μπορείς να βγάλεις συμπεράσματα.

speedtest ote 37.1 mb/s σταθερα σε kali linux update 36 mb/s σε ρωσικο tracker εχω δει και 29 mb/s οσο δηλαδη ειναι το οριο που εχω βαλει..Σε γραμμη 300 αρα

[BlueChris]

Τα port forward ανηκουν στο παρελθον. Απλα. Οποιος θελει hosted υπηρεσια θα παιζει ipv6 ONLY.
Απο κει και περα η μεγαλη μαζα θα παρει map-e, και οποιος διαμαρτυρεται θα τον αφηνουν σε ipv4, μεχρι να αρχισει και αυτο να χρεωνεται η να δινεται ΜΟΝΟ ως static.
Οποτε οι λυσεις θα ειναι μεσω καποιας μορφης vpn. Οι καμερες δουλευουν ετσι καιρο τωρα, και το λενε cloud.

με το ipv6 only που λες απλά μια συσκευή βγαίνει χύμα στο κύμα στο ίντερνετ και όχι μια πόρτα που θες? σωστά το καταλαβαίνω?

[deniSun]

Έχεις CPE με ipv6only; Σε αυτό αναφέρομαι και σε Cosmote.

Όχι δεν έχω.
Αυτό όμως έγραψα ότι ίσως είναι ιδιαιτερότητα της υλοποίησης από μεριάς cosmote.
Και πάλι όμως μου φαίνεται πολύ περίεργο να σου την αλλάζει την ώρα που έχεις ενεργό κάποιο connections.
Σε αυτή την περίπτωση θα έπρεπε να έχεις συνεχώς αποσυνδέσεις ακόμα και σε dw.

- - - Updated - - -

speedtest ote 37.1 mb/s σταθερα σε kali linux update 36 mb/s σε ρωσικο tracker εχω δει και 29 mb/s οσο δηλαδη ειναι το οριο που εχω βαλει..Σε γραμμη 300 αρα

ΜΒ θέλεις να πεις.
Οπότε δεν έχεις θέμα.
Με τα tor δεν μπορείς να βγάλεις άκρη.
Είναι πολλά που μπορεί να το επηρεάζουν.

[malakudi]

Όχι δεν έχω.
Αυτό όμως έγραψα ότι ίσως είναι ιδιαιτερότητα της υλοποίησης από μεριάς cosmote.
Και πάλι όμως μου φαίνεται πολύ περίεργο να σου την αλλάζει την ώρα που έχεις ενεργό κάποιο connections.
Σε αυτή την περίπτωση θα έπρεπε να έχεις συνεχώς αποσυνδέσεις ακόμα και σε dw.

Σίγουρα είναι ιδιαιτερότητα αλλά δε ξέρω αν άλλος εξοπλισμός σε map-e κάνει κάτι διαφορετικό, δεν έχω ξαναδεί κάτι αντίστοιχο. Τα active connections προφανώς και δεν αλλάζουν. Αν είσαι σε μια σελίδα και έχει κάνει authenticate το session σου με την IP σου και μετά από 4-5 λεπτά idle στη σελίδα πατήσεις κάποιο link, το επόμενο connection θα είναι από άλλη IP και θα σου βγάλει το login prompt.

[deniSun]

Σίγουρα είναι ιδιαιτερότητα αλλά δε ξέρω αν άλλος εξοπλισμός σε map-e κάνει κάτι διαφορετικό, δεν έχω ξαναδεί κάτι αντίστοιχο. Τα active connections προφανώς και δεν αλλάζουν. Αν είσαι σε μια σελίδα και έχει κάνει authenticate το session σου με την IP σου και μετά από 4-5 λεπτά idle στη σελίδα πατήσεις κάποιο link, το επόμενο connection θα είναι από άλλη IP και θα σου βγάλει το login prompt.

Εγώ για το χρονικό όριο έχω αντίρρηση.
Το να κάνει release/renew την διεύθυνση ανά 4-5' το θεωρώ εξωφρενικό.
Στο ΜΤ μου δίνει ο client prefix expire ~24ωρο αν θυμάμαι καλά.

[malakudi]

Εγώ για το χρονικό όριο έχω αντίρρηση.
Το να κάνει release/renew την διεύθυνση ανά 4-5' το θεωρώ εξωφρενικό.
Στο ΜΤ μου δίνει ο client prefix expire ~24ωρο αν θυμάμαι καλά.

Δε κάνει release/renew, δεν είναι dhcp ή κάτι τέτοιο.
Πχ έχει ένα pool /24, 256 ας πούμε IPS, 65535 ports για κάθε ip, στη πραγματικότητα 55000 περίπου. Αν δίνει σε κάθε CPE πάντα την ίδια εξωτερική ip (έστω για κάποιες ώρες) σημαίνει πως πρέπει να κάνει στατικό allocation πχ 10.000 ports της Χ.Χ.Χ.1 ip στο CPE του malakudi, άλλες 10.000 ports της Χ.Χ.Χ.1 ip στο CPE του deniSun κτλ. Οπότε με 256 ips εξυπηρετεί μόλις 1500 πελάτες. Αν έχει όμως δυναμικό allocation και ο malakudi έχει 500 connections μόνο κατά μέσο όρο ενώ ο deniSun 1000, θα δεσμεύσει μόνο 1500 πόρτες και τελικά θα μπορεί να υποστηρίζει πολύ περισσότερους πελάτες. Το δυναμικό allocation όμως δε σου εξασφαλίζει ότι θα βρει ελεύθερη πόρτα στην ίδια ip που είχες πριν, οπότε σου δίνει μία άλλη από το ίδιο class c για το επόμενο connection.

[deniSun]

Δε κάνει release/renew, δεν είναι dhcp ή κάτι τέτοιο.
Πχ έχει ένα pool /24, 256 ας πούμε IPS, 65535 ports για κάθε ip, στη πραγματικότητα 55000 περίπου. Αν δίνει σε κάθε CPE πάντα την ίδια εξωτερική ip (έστω για κάποιες ώρες) σημαίνει πως πρέπει να κάνει στατικό allocation πχ 10.000 ports της Χ.Χ.Χ.1 ip στο CPE του malakudi, άλλες 10.000 ports της Χ.Χ.Χ.1 ip στο CPE του deniSun κτλ. Οπότε με 256 ips εξυπηρετεί μόλις 1500 πελάτες. Αν έχει όμως δυναμικό allocation και ο malakudi έχει 500 connections μόνο κατά μέσο όρο ενώ ο deniSun 1000, θα δεσμεύσει μόνο 1500 πόρτες και τελικά θα μπορεί να υποστηρίζει πολύ περισσότερους πελάτες. Το δυναμικό allocation όμως δε σου εξασφαλίζει ότι θα βρει ελεύθερη πόρτα στην ίδια ip που είχες πριν, οπότε σου δίνει μία άλλη από το ίδιο class c για το επόμενο connection.

Σύμφωνα με αυτή την προσέγγιση δεν υπάρχει σταθερός χρόνος αλλαγής της διεύθυνσης.
Ναι έτσι θα ήταν πολύ προβληματικό.

[malakudi]

Σύμφωνα με αυτή την προσέγγιση δεν υπάρχει σταθερός χρόνος αλλαγής της διεύθυνσης.
Ναι έτσι θα ήταν πολύ προβληματικό.

Όχι σταθερός δεν είναι. Εγώ δεν έχω CPE της Cosmote, έχω το δικό μου, οπότε δε το έχω δει στη πράξη πόσο συχνό είναι το πρόβλημα. Απλώς μου το ανέφεραν πελάτες μου και στην αρχή μάλιστα δε τους πίστευα ότι έχουν μόνο ipv6 στο wan interface του CPE τους.

[tolis13]

Σε τι γραμμή;
Με speedtest τερματίζει η γραμμή σου;
Με tor γενικά δεν μπορείς να βγάλεις συμπεράσματα.

Τ προβλημα με τη ταχυτητα ομως ειναι σε private tracker..Σε ενα συγκεκριμενο..

[dpap76]

με το ipv6 only που λες απλά μια συσκευή βγαίνει χύμα στο κύμα στο ίντερνετ και όχι μια πόρτα που θες? σωστά το καταλαβαίνω?

σωστά, οι διευθύνσεις που έχουν πλέον οι συσκευές σου είναι "real" για να το πούμε απλά

Ο πάροχος δίνει στον ρουτερ/CPE σου ένα /56 αποκλειστικά για την σύνδεση σου και για όσο διαρκεί αυτή.

Ο IPv6 ρουτερ σου από το /56 που έλαβε, το οποίο ισοδυναμεί με 256 /64 LAN δίκτυα (το LAN πάντα είναι ένα /64 δίκτυο = 2^64 ipv6 διευθύνσεις), διαλέγει ένα από αυτά τα 256 subnets (το πρώτο συνήθως) και το κουμπώνει στο LAN σου και ο dhcp6 server που έχει το CPE σου μοιράζει IPv6 στους σταθμούς που τις ζητάνε.

Δεν υπάρχει πουθενά NAT και "ψεύτικες" διευθύνσεις και άρα δεν υπάρχει καμία ανάγκη για port forwarding που μάθαμε στο v4.
Η συσκευή σου στο LAN σου έχει την δικιά της Global Unicast IPv6 διεύθυνση. Ναι, αν μου την πείς ποια είναι μπορώ να στην κάνω ping και ναι αν σηκώσεις http server μπορώ να τον δώ αμέσως

Το firewall τώρα είναι αλλουνού παπά ευαγγέλιο. Πρέπει είτε η συσκευή σου να έχει κάποιου είδους hostbased firewall είτε το CPE που είναι μπροστά να την προστατεύει με το δικό του firewall και τα rules που πιθανώς θα ορίσεις.

Και για να μην πανικοβάλουμε τον κόσμο καθώς διαβάζοντας το παραπάνω κάποιος μπορεί να καταλάβει οτι έχω IPv6 σημαίνει οτι είμαι εκτεθειμένος, να πούμε οτι όλα τα οικιακά CPE των παρόχων -απο σαπάκια μέχρι fritz- by default έρχονται ρυθμισμένα να κόβουν την εισερχόμενη IPv6 κίνηση προς το LAN.


Περί map-e/map-t:

Είναι λυμένα τα θέματα αυτά. Το CPE κατά το map-e negotiation μαθαίνει (dhcpv6 options 94 & 95 αν θυμάμαι καλά) ποια θα είναι η IPv4 διεύθυνση που θα έχει στον v4 κόσμο καθώς και το επιτρεπόμενο port range που μπορεί να χρησιμοποιήσει. Με αυτά τα δεδομένα κάνει ΝΑΤ44 για τα v4 devices που έχει πίσω του και αντί να τα δώσει χύμα για προώθηση (forwading) στον BRAS όπως θα έκανε αν είχε dual-stack, τα χώνει σε IPv6 πακέτα και τα στέλνει στον map-e BR (Border Relay) router του παρόχου που μπορεί να βρίσκεται οπουδήποτε στο εσωτερικό δίκτυο του παρόχου όπως γίνεται και στο v4 CGNAT.

Στην επιστροφή των πακέτων συμβαίνει το ανάποδο. Ο map-e BR δέχεται το πακέτο και απο το DST_IP & port που του ήρθε ξέρει αμέσως ποιον συνδρομητή/CPE αφορά. Τα βάζει σε IPv6 πακέτο και τα ρουτάρει προς το CPE μας. To CPE μας τα παίρνει, τα ανοίγει, κοιτάει το NAT table του και ξέρει σε ποιο v4 device του LAN να τα δώσει.

Δεν είναι εύκολο να εξηγήσουμε τον αλγόριθμό του mapping στα γρήγορα. Ας κρατήσουμε οτι το ίδιο το CPE έχει όλες τις πληροφορίες που χρειάζονται για να κάνει την ΝΑΤ44 μετάφραση και για όσο διάστημα διαρκεί η σύνδεση μας, το v4 internet (και οι τράπεζες για τις οποίες γίνεται λόγος) θα βλέπουν πάντα την ίδια IPv4 από εμάς.

Θα είναι σαν να έχει *και* IPv4 διεύθυνση δηλαδή αλλά δεν θα έχει ένα πράμα
Δίκαια το χαρακτηρίζουν IPv4aaS ή carrier-grade UPnP.

To σετάκι IP διεύθυνση & port range δεσμεύονται αποκλειστικά για το CPE και κανένας άλλος χρήστης του παρόχου δεν μπορεί να τα χρησιμοποιήσει όσο διαρκεί η σύνδεση του CPE με τον BRAS.

Ξέρω, υπάρχουν απορίες τι γίνεται αν δεν φτάνει το port range, τι συμβαίνει με στριμμένα L4 πρωτόκολλα και άλλες λεπτομέρειες.

για όποιον θέλει να μάθει σε βάθος πώς λειτουργεί και έχει το κουράγιο, το παρακάτω video τα εξηγεί αρκετά καλά.


Ή ενναλακτικά να διαβάσει το RFC: https://datatracker.ietf.org/doc/html/rfc7597.
Στην τρίτη ανάγνωση κάπως αρχίζουμε και καταλαβαίνουμε τι παίζει

Δεν είναι τέλειο αλλά είναι οτι καλύτερο έχουν σκεφτεί μέχρι τώρα. Οι πάροχοι θεωρητικά μπορούν να ξηλώσουν όλο το IPv4 απο τους broadband χρήστες και να τερματίσουν το dual-stack ελευθερώνοντας πολύτιμα resources και πανάκριβες IPv4 διευθύνσεις. Kαι χωρίς να κάνουν αυτοί το NAT64 που έπρεπε να κάνουν μέχρι τώρα με το DS-Lite. To φορτίο αυτό πέφτει στο CPE.

Σαμπάνιες ανοίγουν οι πάροχοι στο όνομα της cisco που έγραψε το RFC του map-e

[BlueChris]

σωστά, οι διευθύνσεις που έχουν πλέον οι συσκευές σου είναι "real" για να το πούμε απλά

Ο πάροχος δίνει στον ρουτερ/CPE σου ένα /56 αποκλειστικά για την σύνδεση σου και για όσο διαρκεί αυτή.

Ο IPv6 ρουτερ σου από το /56 που έλαβε, το οποίο ισοδυναμεί με 256 /64 LAN δίκτυα (το LAN πάντα είναι ένα /64 δίκτυο = 2^64 ipv6 διευθύνσεις), διαλέγει ένα από αυτά τα 256 subnets (το πρώτο συνήθως) και το κουμπώνει στο LAN σου και ο dhcp6 server που έχει το CPE σου μοιράζει IPv6 στους σταθμούς που τις ζητάνε.

Δεν υπάρχει πουθενά NAT και "ψεύτικες" διευθύνσεις και άρα δεν υπάρχει καμία ανάγκη για port forwarding που μάθαμε στο v4.
Η συσκευή σου στο LAN σου έχει την δικιά της Global Unicast IPv6 διεύθυνση. Ναι, αν μου την πείς ποια είναι μπορώ να στην κάνω ping και ναι αν σηκώσεις http server μπορώ να τον δώ αμέσως

Το firewall τώρα είναι αλλουνού παπά ευαγγέλιο. Πρέπει είτε η συσκευή σου να έχει κάποιου είδους hostbased firewall είτε το CPE που είναι μπροστά να την προστατεύει με το δικό του firewall και τα rules που πιθανώς θα ορίσεις.

Και για να μην πανικοβάλουμε τον κόσμο καθώς διαβάζοντας το παραπάνω κάποιος μπορεί να καταλάβει οτι έχω IPv6 σημαίνει οτι είμαι εκτεθειμένος, να πούμε οτι όλα τα οικιακά CPE των παρόχων -απο σαπάκια μέχρι fritz- by default έρχονται ρυθμισμένα να κόβουν την εισερχόμενη IPv6 κίνηση προς το LAN.


Περί map-e/map-t:

Είναι λυμένα τα θέματα αυτά. Το CPE κατά το map-e negotiation μαθαίνει (dhcpv6 options 94 & 95 αν θυμάμαι καλά) ποια θα είναι η IPv4 διεύθυνση που θα έχει στον v4 κόσμο καθώς και το επιτρεπόμενο port range που μπορεί να χρησιμοποιήσει. Με αυτά τα δεδομένα κάνει ΝΑΤ44 για τα v4 devices που έχει πίσω του και αντί να τα δώσει χύμα για προώθηση (forwading) στον BRAS όπως θα έκανε αν είχε dual-stack, τα χώνει σε IPv6 πακέτα και τα στέλνει στον map-e BR (Border Relay) router του παρόχου που μπορεί να βρίσκεται οπουδήποτε στο εσωτερικό δίκτυο του παρόχου όπως γίνεται και στο v4 CGNAT.

Στην επιστροφή των πακέτων συμβαίνει το ανάποδο. Ο map-e BR δέχεται το πακέτο και απο το DST_IPort που του ήρθε ξέρει αμέσως ποιον συνδρομητή/CPE αφορά. Τα βάζει σε IPv6 πακέτο και τα ρουτάρει προς το CPE μας. To CPE μας τα παίρνει, τα ανοίγει, κοιτάει το NAT table του και ξέρει σε ποιο v4 device του LAN να τα δώσει.

Δεν είναι εύκολο να εξηγήσουμε τον αλγόριθμό του mapping στα γρήγορα. Ας κρατήσουμε οτι το ίδιο το CPE έχει όλες τις πληροφορίες που χρειάζονται για να κάνει την ΝΑΤ44 μετάφραση και για όσο διάστημα διαρκεί η σύνδεση μας, το v4 internet (και οι τράπεζες για τις οποίες γίνεται λόγος) θα βλέπουν πάντα την ίδια IPv4 από εμάς.

Θα είναι σαν να έχει *και* IPv4 διεύθυνση δηλαδή αλλά δεν θα έχει ένα πράμα
Δίκαια το χαρακτηρίζουν IPv4aaS ή carrier-grade UPnP.

To σετάκι IP διεύθυνση & port range δεσμεύονται αποκλειστικά για το CPE και κανένας άλλος χρήστης του παρόχου δεν μπορεί να τα χρησιμοποιήσει όσο διαρκεί η σύνδεση του CPE με τον BRAS.

Ξέρω, υπάρχουν απορίες τι γίνεται αν δεν φτάνει το port range, τι συμβαίνει με στριμμένα L4 πρωτόκολλα και άλλες λεπτομέρειες.

για όποιον θέλει να μάθει σε βάθος πώς λειτουργεί και έχει το κουράγιο, το παρακάτω video τα εξηγεί αρκετά καλά.


Ή ενναλακτικά να διαβάσει το RFC: https://datatracker.ietf.org/doc/html/rfc7597.
Στην τρίτη ανάγνωση κάπως αρχίζουμε και καταλαβαίνουμε τι παίζει

Δεν είναι τέλειο αλλά είναι οτι καλύτερο έχουν σκεφτεί μέχρι τώρα. Οι πάροχοι θεωρητικά μπορούν να ξηλώσουν όλο το IPv4 απο τους broadband χρήστες και να τερματίσουν το dual-stack ελευθερώνοντας πολύτιμα resources και πανάκριβες IPv4 διευθύνσεις. Kαι χωρίς να κάνουν αυτοί το NAT64 που έπρεπε να κάνουν μέχρι τώρα με το DS-Lite. To φορτίο αυτό πέφτει στο CPE.

Σαμπάνιες ανοίγουν οι πάροχοι στο όνομα της cisco που έγραψε το RFC του map-e :P

thx... οκ παίρνω τα βουνά...

[deniSun]

σωστά, οι διευθύνσεις που έχουν πλέον οι συσκευές σου είναι "real" για να το πούμε απλά

Ο πάροχος δίνει στον ρουτερ/CPE σου ένα /56 αποκλειστικά για την σύνδεση σου και για όσο διαρκεί αυτή.

Ο IPv6 ρουτερ σου από το /56 που έλαβε, το οποίο ισοδυναμεί με 256 /64 LAN δίκτυα (το LAN πάντα είναι ένα /64 δίκτυο = 2^64 ipv6 διευθύνσεις), διαλέγει ένα από αυτά τα 256 subnets (το πρώτο συνήθως) και το κουμπώνει στο LAN σου και ο dhcp6 server που έχει το CPE σου μοιράζει IPv6 στους σταθμούς που τις ζητάνε.

Δεν υπάρχει πουθενά NAT και "ψεύτικες" διευθύνσεις και άρα δεν υπάρχει καμία ανάγκη για port forwarding που μάθαμε στο v4.
Η συσκευή σου στο LAN σου έχει την δικιά της Global Unicast IPv6 διεύθυνση. Ναι, αν μου την πείς ποια είναι μπορώ να στην κάνω ping και ναι αν σηκώσεις http server μπορώ να τον δώ αμέσως

Το firewall τώρα είναι αλλουνού παπά ευαγγέλιο. Πρέπει είτε η συσκευή σου να έχει κάποιου είδους hostbased firewall είτε το CPE που είναι μπροστά να την προστατεύει με το δικό του firewall και τα rules που πιθανώς θα ορίσεις.

Και για να μην πανικοβάλουμε τον κόσμο καθώς διαβάζοντας το παραπάνω κάποιος μπορεί να καταλάβει οτι έχω IPv6 σημαίνει οτι είμαι εκτεθειμένος, να πούμε οτι όλα τα οικιακά CPE των παρόχων -απο σαπάκια μέχρι fritz- by default έρχονται ρυθμισμένα να κόβουν την εισερχόμενη IPv6 κίνηση προς το LAN.

Και για πανικοβάλλουμε όλους τους υπόλοιπους
αν έχεις δικό σου ρούτερ θα πρέπει εσύ να φροντίσεις να ορίσεις τους κανόνες για όλους τους λόγους που προ-ανέφερες.
Κάτι που δεν κάνουν οι περισσότεροι.
Αλλά ας επιστρέψουμε στο θέμα μας. Αρκετά με το ν6.

[netblues]

Στο δικο σου router, θα πρεπει επισης να κανεις administer διαφορα πραγματα για να μοιρασει ipv6 στο lan με dhcp. Αντιθετα, στα χαζοcpe routers που δινουν αυτοματα ipv6, το να παει να πει καποιος ααα firewall τι το θελω, αφου ειμαι πισω απο nat, ας το κλεισω.. και τσουπ!!!
Αλλα και παλι, ειναι πολυ δυσκολο να σε βρει καποιος σκαναροντας. Οι εσωτερικες ip's αλλαζουν μετα απο καποιες ωρες. Ελεγχομενος πανικος.

[dimitri_ns]

Στο δικο σου router, θα πρεπει επισης να κανεις administer διαφορα πραγματα για να μοιρασει ipv6 στο lan με dhcp. Αντιθετα, στα χαζοcpe routers που δινουν αυτοματα ipv6, το να παει να πει καποιος ααα firewall τι το θελω, αφου ειμαι πισω απο nat, ας το κλεισω.. και τσουπ!!!
Αλλα και παλι, ειναι πολυ δυσκολο να σε βρει καποιος σκαναροντας. Οι εσωτερικες ip's αλλαζουν μετα απο καποιες ωρες. Ελεγχομενος πανικος.

Και ότι γλυτώσεις
Εξαρτάται τι διαχειρίζεσαι

Πρίν από μερικά χρόνια, Κινέζοι εκτόξευσαν πύραυλο με κωδικούς ΝΑΤΟ
Το πήρανε πρέφα, σε μία μέρα τους αλλάξανε
Συμβαίνει ..

Η πληροφορία από φίλο που δούλευε στην ΕΕ, όχι στα media