DNS64 and NAT64

[pautina]

Добрый день!
В нашей компании решили развивать IPv6 в связи с окончанием IPv4, но вот стала проблема, что в сети IPv4 клиентов с IPv6 не так просто выпустить.
Отдельно выделен сервер где крутиться IPv6 и IPv4 все работает по OSPF. С v6 проблем нет. На клиентские vlanы выделяем подсети ::/64 и дальше по DHCPv6 выдаем каждому клиенту IPv6, пока, в динамике IP версии, объявление роутера происходит при помощи RADVD с портов, встроенные rtadv почему-то не всем выдавал шлюз, естественно не все пользователи получали IPv6. Так вот вопрос, кто сталкивался и настраивал уже DNS64 and NAT64 для доступа к сетям IPv4 клиентов у которых только IPv6.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[pautina]

Данные и некоторые настройки сервера

Код: Выделить всё

FreeBSD v6gate.* 9.1-STABLE FreeBSD 9.1-STABLE #0 r249796: Tue Apr 23 18:18:23 EEST 2013     root@v6gate:/usr/src/sys/amd64/compile/V6GATE  amd64

Настройки radvd.conf

Код: Выделить всё

interface vlan1500 {
        AdvManagedFlag on;
        AdvSendAdvert on;
        AdvOtherConfigFlag on;
        MinRtrAdvInterval 3;
        MaxRtrAdvInterval 60;
};

Конфиг dhcpd6.conf

Код: Выделить всё

authoritative;
default-lease-time 2592000;
preferred-lifetime 604800;
option dhcp-renewal-time 3600;
option dhcp-rebinding-time 7200;
# Enable RFC 5007 support (same than for DHCPv4)
allow leasequery;

# Global definitions for name server address(es) and domain search list
option dhcp6.name-servers 2001:*:*:1::9;
option dhcp6.domain-search "v6.*";
option dhcp6.info-refresh-time 21600;


# A third subnet behind a relay agent chain
subnet6 2001:*:*:b::/64 {
        range6 2001:*:*:b::10 2001:*:*:b::20;
        option dhcp6.name-servers 2001:*:*:1::9;
}

rc.conf

Код: Выделить всё

#########################################################################################################
# WORLD-CORE
#########################################################################################################
ifconfig_vlan780="inet 193.*.*.12 netmask 255.255.255.240 vlan 780 vlandev em0 description -=WORLD-CORE=-"
ifconfig_vlan780_ipv6="inet6 2001:*:*::12 prefixlen 64"
#########################################################################################################
# IXP-CORE
#########################################################################################################
ifconfig_vlan781="inet 193.*.*.44 netmask 255.255.255.240 vlan 781 vlandev em0 description -=IXP-CORE=-"
ifconfig_vlan781_ipv6="inet6 2001:*:*:1::11 prefixlen 64"
#######################################################################################################
# IPv6
#########################################################################################################
ifconfig_em1="up"
#########################################################################################################
# TEST-NET
#########################################################################################################
ifconfig_vlan1500="vlan 1500 vlandev em1 description -=TEST\ NETWORK=-"
ifconfig_vlan1500_ipv6="inet6 2001:*:*:b::1/64"
#########################################################################################################
quagga_enable="YES"
gateway_enable=="YES"
ipv6_gateway_enable="YES"
firewall_enable="YES"
firewall_type="OPEN"
dhcpd6_enable="YES"
radvd_enable="YES"

Кусок quagga show running-config

Код: Выделить всё

interface vlan780
 ipv6 nd suppress-ra
 ipv6 ospf6 cost 1
 ipv6 ospf6 dead-interval 40
 ipv6 ospf6 hello-interval 10
 ipv6 ospf6 instance-id 0
 ipv6 ospf6 passive
 ipv6 ospf6 priority 1
 ipv6 ospf6 retransmit-interval 5
 ipv6 ospf6 transmit-delay 1
!
interface vlan781
 ipv6 nd suppress-ra
 ipv6 ospf6 cost 1
 ipv6 ospf6 dead-interval 40
 ipv6 ospf6 hello-interval 10
 ipv6 ospf6 instance-id 0
 ipv6 ospf6 priority 1
 ipv6 ospf6 retransmit-interval 5
 ipv6 ospf6 transmit-delay 1
!
interface vlan1500
 ipv6 nd suppress-ra
 ipv6 ospf6 cost 1
 ipv6 ospf6 dead-interval 40
 ipv6 ospf6 hello-interval 10
 ipv6 ospf6 instance-id 0
 ipv6 ospf6 passive
 ipv6 ospf6 priority 1
 ipv6 ospf6 retransmit-interval 5
 ipv6 ospf6 transmit-delay 1
!
router ospf
 ospf router-id 193.*.*.44
 redistribute kernel route-map OSPF
 redistribute connected route-map OSPF
 redistribute static route-map OSPF
 passive-interface em0
 passive-interface em1
 passive-interface vlan780
 network 193.*.*.0/24 area 0.0.0.0
!
router ospf6
 router-id 193.*.*.44
 redistribute connected route-map OSPF-6
 interface vlan781 area 0.0.0.1
!
route-map OSPF-6 permit 10
!
ipv6 forwarding

Это все работает, разделение трафика на Мир и Украина происходит нормально как по IPv4 так и по IPv6

[SomeBody]

хм, тоже интересно бы узнать, что люди юзают, и вообше юзают ли NAT64...

Вроде для этого юзают tayga из портов, сам не пробовал

[pautina]

хм, тоже интересно бы узнать, что люди юзают, и вообше юзают ли NAT64...

Вроде для этого юзают tayga из портов, сам не пробовал

В ветке 9.1 Stable убрали с портов, но пакетом добавил и вроде установил, но вот правильно настроить не могу. Локальный адрес пингуется, а вот какие адреса выдавать клиентам я так и не понял и что натить, тоже не понял.
ifconfig nat64

Код: Выделить всё

nat64: flags=80d1<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST> metric 0 mtu 1500
        options=80000<LINKSTATE>
        inet6 fe80::219:d1ff:fea9:ac5e%nat64 prefixlen 64 scopeid 0x10
        inet 192.168.255.1 --> 192.168.255.1 netmask 0xffffff00
        inet6 2001:*:*:c::1 prefixlen 96
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
        Opened by PID 1545

netstat -rn |grep nat64

Код: Выделить всё

192.168.255.0/24   nat64              US          0        0  nat64
192.168.255.1      link#16            UH          0        3  nat64
2001:*:*:c::/96              nat64                         US        nat64
fe80::%nat64/64                   link#16                       U         nat64
fe80::219:d1ff:fea9:ac5e%nat64    link#16                       UHS         lo0
ff01::%nat64/32                   fe80::219:d1ff:fea9:ac5e%nat64 U         nat64
ff02::%nat64/32                   fe80::219:d1ff:fea9:ac5e%nat64 U         nat64

Сеть 2001:*:*:c::/96 на других роутерах видна и адрес 2001:*:*:c::192.168.255.1 (2001:*:*:c::c0a8:ff01) пингуется, а вот пропинговать внешний ipv4? типа:

ping6 2001:**:c::8.8.8.8 (2001:67c:13b8:c::808:808)

не получается.

Код: Выделить всё

[root@v6gate ~]# ping6 2001:*:*:c::8.8.8.8
PING6(56=40+8+8 bytes) 2001:*:*:c::1 --> 2001:*:*:c::808:808
^C
--- 2001:*:*:c::8.8.8.8 ping6 statistics ---
2 packets transmitted, 0 packets received, 100.0% packet loss

tayga.conf

Код: Выделить всё

tun-device nat64
ipv4-addr 192.168.255.1
#ipv6-addr 2001:*:*:c:1
prefix 2001:*:*:c::/96
dynamic-pool 192.168.255.0/24
data-dir /var/db/tayga

[lap]

У меня какие-то воспоминания остались про нат64, что все работало, но ицмп вроде не ходило. Настраивал на сиське (asr1k). А с тайгой тоже совладать не получилось =(

[SomeBody]

Кстати, а почему не дать ешё серый ipv4 адрес, с натом ? зачем извращаться с only ipv6 ?

[lap]

У нас на тестах были девайсы, которые на тот момент могли только ипв6 выдавать, и их как-то надо было в мир ипв4 выпускать.

[pautina]

Кстати, а почему не дать ешё серый ipv4 адрес, с натом ? зачем извращаться с only ipv6 ?

уже думали над этим вопросом, но есть надежда, что НАТ64 более эффективен и производителен.

[pautina]

Здравствуйте все.
Прошли праздники, а сдвига нет. У кого-то может есть идеи, как можно предоставить доступ с сетей ipv6 к ресурсам ipv4. На английском много информации, но вот на русском 0.
Читал про сети 2002::/16 но не могу понять, это только доступ к ipv6 через сети ipv4 или все-таки можно выпускать и в ipv4.
Пробавал делать такое:

Код: Выделить всё

 % ifconfig  stf0 create
 % ifconfig lo0 inet 192.88.99.1 netmask 255.255.255.255 alias
 % ifconfig stf0 inet6 2002:c058:6301::624 prefixlen 16 alias deprecated link0 up
 % route delete -inet6 2002:: -prefixlen 16
 % route add -inet6 2002:: -prefixlen 16 ::1
 % route change -inet6 2002:: -prefixlen 16 ::1 -ifp stf0

Но к сетям ipv4 так и не получил. Пробавал прямо с сервера

Код: Выделить всё

[root@v6gate /usr/ports/net/tayga]# ping6 2002::192.88.99.1
PING6(56=40+8+8 bytes) 2001:67c:13b8:a::1 --> 2002::c058:6301
^C
--- 2002::192.88.99.1 ping6 statistics ---
2 packets transmitted, 0 packets received, 100.0% packet loss

Код: Выделить всё

 ping6 2002::8.8.8.8
PING6(56=40+8+8 bytes) 2001:67c:13b8:a::1 --> 2002::808:808
^C
--- 2002::8.8.8.8 ping6 statistics ---
2 packets transmitted, 0 packets received, 100.0% packet loss

Код: Выделить всё

Internet6:
Destination                       Gateway                       Flags      Netif Expire
::/96                             ::1                           UGRS        lo0 =>
default                           fe80::215:17ff:fe94:153f%vlan781 UG1     vlan781
::1                               link#11                       UH          lo0
::ffff:0.0.0.0/96                 ::1                           UGRS        lo0
2002::/16                         ::1                           UGS        stf0
2002:c058:6301::624               link#16                       UHS         lo0

Код: Выделить всё

stf0: flags=1001<UP,LINK0> metric 0 mtu 1280
        inet6 2002:c058:6301::624 prefixlen 16 deprecated
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>

Код: Выделить всё

[root@v6gate ~]# tcpdump -n -vvv |grep 192
tcpdump: WARNING: em0: no IPv4 address assigned
tcpdump: listening on em0, link-type EN10MB (Ethernet), capture size 65535 bytes
    192.88.99.1 > 0.0.0.0: IP6 (hlim 64, next-header ICMPv6 (58) payload length: 16) 2001:67c:13b8:a::1 > 2002::808:808: [icmp6 sum ok] ICMP6, echo request, seq 74
    192.88.99.1 > 0.0.0.0: IP6 (hlim 64, next-header ICMPv6 (58) payload length: 16) 2001:67c:13b8:a::1 > 2002::808:808: [icmp6 sum ok] ICMP6, echo request, seq 75
16:33:28.662492 IP (tos 0xc0, ttl 1, id 26192, offset 0, flags [none], proto OSPF (89), length 84)
    192.88.99.1 > 0.0.0.0: IP6 (hlim 64, next-header ICMPv6 (58) payload length: 16) 2001:67c:13b8:a::1 > 2002::808:808: [icmp6 sum ok] ICMP6, echo request, seq 76
    192.88.99.1 > 0.0.0.0: IP6 (hlim 64, next-header ICMPv6 (58) payload length: 16) 2001:67c:13b8:a::1 > 2002::808:808: [icmp6 sum ok] ICMP6, echo request, seq 77
    192.88.99.1 > 0.0.0.0: IP6 (hlim 64, next-header ICMPv6 (58) payload length: 16) 2001:67c:13b8:a::1 > 2002::808:808: [icmp6 sum ok] ICMP6, echo request, seq 78
    192.88.99.1 > 0.0.0.0: IP6 (hlim 64, next-header ICMPv6 (58) payload length: 16) 2001:67c:13b8:a::1 > 2002::808:808: [icmp6 sum ok] ICMP6, echo request, seq 79
    192.88.99.1 > 0.0.0.0: IP6 (hlim 64, next-header ICMPv6 (58) payload length: 16) 2001:67c:13b8:a::1 > 2002::808:808: [icmp6 sum ok] ICMP6, echo request, seq 80
    192.88.99.1 > 0.0.0.0: IP6 (hlim 64, next-header ICMPv6 (58) payload length: 16) 2001:67c:13b8:a::1 > 2002::808:808: [icmp6 sum ok] ICMP6, echo request, seq 81
^C90 packets captured
92 packets received by filter
0 packets dropped by kernel

[lap]

Я сейчас пофтыкал про тайгу - и пришел к мнению что от ната 44 она не спасет:

What about stateful NAT?

TAYGA could never come close to offering the power and flexibility available in iptables and mature commercial NAT44 implementations, so instead TAYGA turns IPv6 into IPv4 in the most transparent manner possible, allowing existing IPv4-only tools to be used to further manipulate sessions flowing through it.

In other words, if you need stateful NAT64, route TAYGA's IPv4 path through a stateful NAT44.

как я из этого понял - тайга выплюнет на выходе "серый" ипв4, который еще надо будет пронатить в "белый". Она делает трансляцию один IPv6 в один IPv4.

[pautina]

От тайги отказался, так как она действительно делает NAT44 и еще сопоставляет серый ipv4 = ipv6 и тоже типа натит, двойной НАТ. ДУмаю будут большие потери качества.
А кто-то разбирался с интерфейсом faith?
Вот еще кое-что вычитал

faith(4) only works with TCP (so says the manpage anyway).