Diverse probleme cu accesul la internet

Marius '95

troubleShooter
In incercarea de a optimiza viteza VPN-ului (vezi topicul celalalt) am ajuns sa ma confrunt pentru prima data cu o serie de probleme. Posibil sa fie ceva f. comun, dar eu ma intalnesc cu chestiie astea prima data si posibil sa pun si niste intrebari stupide.

1) Am trecut modemul UPC in mod bridge si am pus router-ul meu cu OpenWRT ca router principal. Aparent, se conecteaza la IPv6, dar nu pot verifica daca chiar merge. Vad o adresa asociata conexiunii WAN IPv6. WAN IPv4 nu primeste adresa. Ping google.com din interfata web nu merge. Nu stiu nici o adresa IPv6 la care sa dau ping.
Fac ceva gresit, dar nu-mi dau seama ce. Help?

2) Odata trecut in mod bridge, nu mai pot accesa interfata web a modemului. La modul teoretic, mi se pare logic, dar totusi imi vine greu sa cred ca nu s-a inventat si o metoda mai simpla de a reveni la modul router sau de a accesa interfata web fara sa fie nevoie de un hard reset. Sugestii?

3) VPN-ul este prin UDP. Ati observat cumva o de-prioritizare a traficului UDP comparativ cu TCP la UPC sau RDS?
 
2. Păi și eu de ce pot? :what:
Screenshot_20210116_122322_com.android.chrome.jpg
 
Dacă adresa v6 ce o vezi pe WAN începe cu fe80, e adresa generată automat de echipament și nu poate fi folosită pentru a trimite pachete mai departe de echipamentul direct conectat.

Pentru teste poți folosi 2606:4700:4700::1111.
 
Merge ping, merge internetul IPv6 de pe router. Probabil ar merge si de pe device-urile care au IPv6 instalat (nu-i cazul meu).
In continuare nu merge internetul IPv4 de nicaieri.

Cu modemul in mod router am asa:
Code:
WAN IP settings
Your current Connect Box internet settings are displayed below:
MAC address        :        <bla bla>
IPv6 address        :     2a04:241f:2412:8400:7db7:2c0b:4d49:ecd/128
fe80::5667:51ff:fe91:60bc/64
IPv6 default gateway        :        fe80::217:10ff:fe8d:3d20
IPv6 lease time     :        D:6 H:15 M:37 S:30
IPv6 lease expire     :        Sat Jan 23 11:09:21 2021
IPv6 DNS servers        :        2001:730:3ee2::11
2001:730:3ee2::10
IPv6 DS-Lite status        :        Enabled
DS-Lite-FQDN     :     aftr01.upc.ro
DS-Lite-address     :     2001:730:26ff::40

Cu modemul in mod bridge ("modem"), OpenWRT imi zice asa:
Code:
Protocol: DHCPv6 client
Uptime: 0h 19m 11s
MAC: B4:75:0E:5F:F0:EA
RX: 18.04 KB (345 Pkts.)
TX: 132.65 KB (409 Pkts.)
IPv6: 2a04:241f:2412:8400:a429:93c2:778e:86a7/128
IPv6-PD: 2a04:2412:8402:d100::/57

Observ ca nici modemul nu primeste adresa IPv4, dar cumva se intampla ca imi pot accesa routerul de acasa care are adresa doar IPv4.

LE:
Inteleg eu bine ca DS-Lite inseamna ca serverul UPC, aftr01.upc.ro, sa faca NAT pentru reteaua mea si practic sa poata "vedea" tot LAN-ul? De ce ar accepta cineva sa dea acces ISP-ului la reteaua privata?
 
Last edited:
Merge ping, merge internetul IPv6 de pe router. Probabil ar merge si de pe device-urile care au IPv6 instalat (nu-i cazul meu).
In continuare nu merge internetul IPv4 de nicaieri.
N-am mai avut tangențe cu OpenWRT de vreo 10 ani. Cum arată configurația de IPv4? Dacă UPC folosește DS-Lite, teoretic tot ce trebuie e ca routerul tău să fie server de DHCP și DNS, dar fără NAT. Nu mi-e clar ce se întâmplă dacă router-ul face și NAT (în RFC zice SHOULD NOT, deci nu pare a fi obligatoriu care router-ul să nu facă NAT).
Inteleg eu bine ca DS-Lite inseamna ca serverul UPC, aftr01.upc.ro, sa faca NAT pentru reteaua mea si practic sa poata "vedea" tot LAN-ul? De ce ar accepta cineva sa dea acces ISP-ului la reteaua privata?
Nu știu, ai firewall-ul dezactivat pe router și permiți incoming connections? :smile:
 
1) Nu inteleg principiul. Credeam ca DS-Lite face si DHCP. Adica setez routerul sa fie doar DNS si DHCP pentru LAN. Si la gateway ce-i setez? De unde iau adresa LAN pentru AFTR?

2) Pai mai exact ce inseamna "incoming connections"? Ca UDP spre exemplu n-are conceptul de "connections".
 
Vezi aici (ultimele paragrafe) cum ar trebui să arate config-ul.
N-am experiență cu DS-Lite, dar, din ce înțeleg, ideea e că CPE-ul (echipamentul tău - router, în cazul de față) acționează pe post de cap de tunel între tine și AFTR. Traficul v4 e tunelat via v6. CPE-ul tău decide adresarea v4 internă, deci trebuie să fie server de DHCP (+DNS). Traficul v4 inițiat din rețeaua ta locală e încapsulat într-un tunel și trimis AFTR-ului care va translata adresa sursă privată într-una publică și va trimite pachetul mai departe în internet. Traficul v6 curge nemodificat de la CPE spre internet.

Din ce-am citit rapid în link-ul de mai sus, dacă instalezi pachetul ds-lite, totul ar trebui să se întâmple automat. Adresa AFTR-ului îi va fi trimisă CPE-ului via DHCP(v6). Dacă ai tu un setup mai aparte, asigură-te că sunt îndeplinite condițiile menționate în link.

Ca poartă de intrare/ieșire în/din rețeaua ta, CPE-ul are și rol de firewall. Cea mai comună configurație e cea în care tot traficul inițiat din rețeaua ta internă (din "spatele" CPE-ului) e permis, iar tot ce vine din internet e interzis (cu excepția unor cazuri punctuale pe care le configurezi tu). Asta se întâmplă independent de NAT. Deci, dacă un angajat al ISP-ului vrea să-ți fure pozele (pentru că, așa cum ziceai, știe adresa NAS-ului tău dacă are acces la AFTR), degeaba inițiază o conexiune din rețeaua ISP-ului către IP-ul privat al NAS-ului. Cât timp accesul nu e permis de firewall, nu ajunge la NAS.

Iar conceptul de connections nu e limitat la TCP. Sigur, la TCP e mai ușor pentru că ai 3way handshake, dar, de exemplu, la UDP ai port sursă, iar la ICMP echo request/reply ai identifier și sequence number. Folosind informațiile astea, firewall-ul îți construiește o tabelă (state table) pe care o consultă când vede pachete venind "de afară" către rețeaua internă. Deci, când dai un ping, el salvează id-ul (printre altele) din pachetul echo request și, când vine înapoi echo reply-ul, va putea trece (deoarece va avea același id).
 
2) Odata trecut in mod bridge, nu mai pot accesa interfata web a modemului. La modul teoretic, mi se pare logic, dar totusi imi vine greu sa cred ca nu s-a inventat si o metoda mai simpla de a reveni la modul router sau de a accesa interfata web fara sa fie nevoie de un hard reset. Sugestii?

Vezi ca modemul poate fi accesat la adresa 192.168.0.1 in mod router si la 192.168.100.1 in mod bridge (dupa cum zicea si burebista).
 
Corect! Asta era informatia lipsa. 192.168.0.1 nu merge, dar 192.168.100.1 merge.

Am instalat DS-Lite. A creat imediat o interfata la care nu pot configura nimic, nici macar zona (wan / lan) de care apartine. Deci n-am nici cea mai mica idee ce reguli de firewall aplica routerul.
Interfata asta fantoma a primit inet addr:192.0.0.2 P-t-P:192.0.0.1. Am dezactivat masquerading din firewall conform instructiunilor si... merge.
I fuc*ing hate autoconfig! Chiar si cand merge. :mda:
 
O nelămurire legată de problemele de mai sus: și ai mei au modem UPC pus în bridge, dar merge perfect pe IPv4. Chestia asta se întâmplă când detectează că te-ai legat la cap cu IPv6? Router-ul meu nu are instalat pachetul de IPv6 și nici n-am planuri de așa ceva.
 
Cel mai sigur e să verifici configurația și IP-urile de pe CPE-ul din spatele modemului. Posibil ca totul să se fi autoconfigurat transparent și de aia just works. În cazul ăsta, ar trebui să vezi și un IP v6 pe interfața de WAN pentru că, din câte înțeleg io, când ai DS-Lite, pachetele sunt transportate de la CPE la AFTR prin tunelul v6, deci v6 nu e opțional. Cealaltă variantă e că în zona respectivă nu e implementat DS-Lite.
 
Mikrotik-ul meu nu negociază nimic IPv6, pachetul e disabled. Și nu mă mănâncă în fund să-i dau enable ca să văd ce se întâmplă, printr-o conexiune remote :smile:.
 
Io zic că nu, dar încearcă. :smile:
Mikrotik-ul meu nu negociază nimic IPv6, pachetul e disabled. Și nu mă mănâncă în fund să-i dau enable ca să văd ce se întâmplă, printr-o conexiune remote :smile:.
Atunci probabil nu e cu DS-Lite. Ai IP public pe interfața de wan?
 
Ah, ok, păi atunci n-ai treabă cu DS-Lite sau alte mecanisme de tranziție. Cel puțin momentan. :smile:

Pe viitor, depinde ce strategie va alege UPC/Vodafone. RDS a ales varianta dual-stack "curat", adică primeai în continuare un IPv4 public, iar pe lângă el un IPv6 (/128) pentru link-ul de wan și un prefix (/56) pe care să-l folosești în rețeaua internă. Și totul a fost ok o vreme până într-o zi când m-am trezit cu un IP din 100.64.0.0/10 (RFC6598) pe wan. :| Noroc că la ei ai posibilitatea să bifezi o chestie în contul de pe Digiromânia (e ceva complet neintuitiv, cred că treaba aia cu acces SMTP) și dup-aia primești tot timpul IP public, fără costuri adiționale. După părerea mea, au gândit-o destul de bine: pe marea majoritate nu îi afectează/interesează, iar cei care au nevoie (de obicei ăia ce vor să-și acceseze sistemele de supraveghere) rezolvă din cont sau sunând la suport.

În viitor, încet încet cred că toți vor trece la un mecanism de tranziție. Că e DS-Lite sau 6rd sau pur și simplu CGNAT/NAT444 contează mai puțin pentru end-user, dar la final IP-urile v4 publice pe interfața de wan vor fi tot mai rare. În funcție de câte IP-uri și câți bani mai au, se va întâmpla mai devreme sau mai târziu. Cât timp ISP-ul îți dă și IPv6 pe lângă, eu zic că nu e așa rău. Eu pe telefon primesc IPv6, la lucru am IPv6, deci teoretic aș putea să mă leg pe router-ul de acasă și fără IPv4. :smile:
 
M-am mutat la Brasov. RDS-ul de aici mi-a dat un IP gen 100.x.y.z (CGNAT). Cum fac sa obtin un IP public? Daca nu pot obtine un IP public, CGNAT de la RDS are vreun mecanism de port forward (UPNP, ceva)?
 
Și/sau încearcă să activezi DNS dinamic. Mă gândesc că dacă e activ, ar trebui să-ți dea automat IP public (altfel, nu prea are rost activarea :smile: ). Dacă tot nu primești, sună la suport sau deschide tichet din contul tău. Cred că-s plătiți în funcție de cât de repede închid tichetele. Am deschis tichet recent din interfața web. Era într-o sâmbătă/duminică seara târziu. În vreo 15 minute m-a sunat un băiat de la suport. :shocked: Bine, nu mi-a rezolvat problema, dar măcar și-a dat interesul. :smile:
 
Back
Top