Alice e IPV6

[DavideDaSerra]

Ciao, sto giocando con il supporto IPV6 di alice, ho creato la connessione pppoe, ho disabilitato il supporto a ipv4 (per vedere se ipv6 funziona veramente) ho lanciato la connessione e, meraviglia delle meraviglie, tutto sembra funzionare, per 20 o 30 secondi, poi non si naviga più ma continua a sembrare di essere connessi. Riavvio la connessione e altri per altri 30 secondi funziona poi basta. Sapete confermarmi se anche voi avete questo problema? ... Per notarlo è fondamentale disattivare il supporto ipv4, altrimenti fa il fallback e naviga normalmente su ipv4

[kimj]

provato con l'mtu a 1280?

[DavideDaSerra]

No, ora provo, ma a cosa servirebbe? non credo sia un problema di frammentazione, poi 1280 non è un tantino basso.

Edit:
Ho provato ma continua a fare come prima, carica i primi tre siti poi non funziona più

[kimj]

mi pare fosse un problema di frammentazione, forse dovuto al fatto che c'e' di mezzo un meccanismo di transizione (un tunnel), che aumenta pure la latenza di un buon 40ms se ricordo bene.

scusa per l'attesa, era un po' che non mi collegavo. Ho rivisto la mia configurazione:
in ipv4 l'mtu e' normale, 1492, con mss fix a 1400:
ip mtu 1492
ip tcp adjust-mss 1400

mentre per l'ipv6 viene forzato l'mtu 'standard' di 1280:
ipv6 mtu 1280

a me funzionava.

[kimj]

questa era all'incirca la configurazione che avevo usato sul mio modem (con un mikrotik invece, che non ha modem integrato, avevo sfruttato bridge pppoe da un netgear):

Codice: Seleziona tutto

no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service internal
!
hostname 887va
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 $1$censored
enable password censored
!
no aaa new-model
!
memory-size iomem 10
clock timezone met 1 0
crypto pki token default removal timeout 0
!
!
!
!
!
!
!
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool default
network 192.168.1.0 255.255.255.0
domain-name casa
dns-server 8.8.8.8
default-router 192.168.1.1
!
!
ip inspect WAAS flush-timeout 10
ip cef
ipv6 unicast-routing
ipv6 cef
!
!
multilink bundle-name authenticated
license udi pid CISCO887VA-SEC-K9 sn censored
!
!
!
!
!
!
!
controller VDSL 0
!
ip tcp ecn
!
!
!
!
!
!
!
!
!
interface Ethernet0
no ip address
shutdown
!
interface ATM0
no ip address
atm restart timer 90
no atm ilmi-keepalive
bundle enable
!
!
interface ATM0.1 point-to-point
pvc 8/35
  oam-pvc 0
  encapsulation aal5snap
  pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
ipv6 address NODE-PD ::1/64
ipv6 enable
!
interface Dialer0
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1400
dialer pool 1
dialer-group 1
ipv6 address FE80::1 link-local
ipv6 address autoconfig
ipv6 enable
ipv6 mtu 1280
ipv6 verify unicast reverse-path
ipv6 dhcp client pd NODE-PD rapid-commit
ipv6 virtual-reassembly
no cdp enable
ppp authentication chap callin
ppp chap hostname adsl@alice6.it
ppp chap password IPV6@alice6
ppp ipcp dns request
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat inside source list 9 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0
!
access-list 9 permit 192.168.1.0 0.0.0.255
ipv6 route 2000::/3 Dialer0
ipv6 route ::/0 Dialer0
!
!
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
password censored
login
transport input none
!
end

spero possa tornare utile per lumi.

nota pero' che il supporto ipv6 telecom lascia ancora a desiderare: non esattamente nativo, latenza piu' che raddoppiata, velocita', mi pare di ricordare, che non superava i 15mbit in ipv4 ed i 6 in ipv6.
quindi se ti capita di accedere ad uno dei pochi siti che supportano ipv6, che so, fb, ti ritrovi con performance letteralmente schifose, da far rimpiangere una connessione da cellulare.
oltretutto possono esserci siti che non lo implementano bene, non lasciandoti accedere alle risorse.
ti esponi a potenziali problemi di sicurezza non essendovi nat, i tuoi client sono direttamente accessibili su internet (e di default senza fw), se uno sviluppatore ha pensato male il suo software lasci al mondo accesso come in lan, molte vpn pensate male non funzionano e veicolano solo traffico ipv4, lasciandoti esposto con la reale identita' alle risorse ipv6, etc...

insomma, va bene solo per esperimenti al momento.

[DavideDaSerra]

Grazie della risposta, ho provato con mtu a 1280 e su xubuntu tutto ok, basta configurare bene il pppoe, su win7 non ho idea di come impostarlo. Comunque il fatto di essere totalmente aperto non mi da problemi perchè ho il firewall (kaspersky) settato come 'blocca tutte le connessioni in entrata, in uscita lascia solo http https ssh smtp ed imap' e così credo di essere in una botte di ferro. Comunque questo servizio è utile perchè ti viene rilasciato un'altro indirizzo ipv4 quindi puoi far andare più servizi sula stessa porta (es 2 server web tutto sulla 80).

[kimj]

ok, attento a che il firewall agisca anche su ipv6...

[kimj]

solo una curiosita': esiste altro modo (senza usare il pilota ipv6) per ottenere un secondo ip via bridge pppoe con telecom?

[kimj]

risposta: si possono avere piu' sessioni PPPoE su uno stesso PVC: http://www.cisco.com/c/en/us/td/docs/io ... ppoec.html

e' lo stesso meccanismo che si sfrutta quando si usa il programma pilota IPv6 su un client in lan, con un client PPPoE che sfrutta il modem/router come bridge PPPoE, solo che si puo' effettuare anche sul modem/router stesso.

fondalmentalmente, PPP e' incapsulato in PPPoE. PPPoE dentro frame ethernet, che viaggiano sul PVC atm.
I frame ethernet hanno indirizzi MAC di origine e destinazione, ma e' grazie al session id pppoe che si distinguono piu' sessioni sullo stesso pvc, cavo, rete, etc:

https://tools.ietf.org/html/rfc2516

Codice: Seleziona tutto

An Ethernet frame is as follows:

                                       1
                   0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5
                  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
                  |       DESTINATION_ADDR        |
                  |          (6 octets)           |
                  |                               |
                  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
                  |         SOURCE_ADDR           |
                  |          (6 octets)           |
                  |                               |
                  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
                  |    ETHER_TYPE  (2 octets)     |
                  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
                  ~                               ~
                  ~           payload             ~
                  ~                               ~
                  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
                  |           CHECKSUM            |
                  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

questo e' quanto viaggia sul circuito PVC.

il payload non e' direttamente la sessione PPP, ma e' un payload specifico di PPPoE, cosi' definito:

Codice: Seleziona tutto

                        1                   2                   3
    0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |  VER  | TYPE  |      CODE     |          SESSION_ID           |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |            LENGTH             |           payload             ~
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

dentro al 'secondo payload' sono incapsulati i vari strati PPP.
durante il 'discovery stage', viene assegnato un SESSION_ID univoco alla sessione PPPoE, ed e' grazie a questo che e' possibile distinguere, e quindi avere, piu' sessioni PPPoE sullo stesso link/pvc.

non e' grazie al diverso login PPP (adsl@alice6.it, etc) che telecom/il concatenatore di accesso/bras distingue una sessione separata e ti assegna un altro indirizzo ipv4, e' grazie al fatto che esiste una seconda sessione PPPoE con diverso session id.

Telecom, credo per abbassare i costi di supporto, e sintanto che dispone fisicamente dell'infrastruttura, autentica l'utente 'per porta' sul dslam. Niente login ppp, niente credenziali.

ti basta far partire un altro tunnel PPPoE con le classiche 'aliceadsl', o su un client in lan o sul router se lo permette, per ottenere almeno un altro indirizzo ipv4, e probabilmente piu' d'uno.
il dslam si limita a inoltrare al concatenatore d'accesso i frame ethernet della tua porta, e se quello vede piu' session id nel payload di questi frame, gestira' sessioni separate.

TL;DR: lascia stare il casino con ipv6 ed usa 'aliceadsl', 'aliceadsl'