abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 15:55 | IT novinky

    První česká družice navržená a sestavená výhradně studenty se dostala na oběžnou dráhu Země. Družice KOSTKA, kterou vyvinul studentský tým YSpace z Vysokého učení technického v Brně (VUT), dnes odstartovala na palubě rakety Falcon 9 společnosti SpaceX v rámci mise Transporter-17 z kalifornské základny Vandenberg Space Force Base.

    Ladislav Hagara | Komentářů: 0
    dnes 05:00 | IT novinky

    Po nákresech ovladače Steam Controller a puku společnost Valve na svém GitLabu publikovala projekt Inkterface, tj. podrobný návod (PDF, video v mp4) na sestavení předního panelu s e-papírovým displejem pro Steam Machine pro zobrazování systémových informací. Použity jsou součástky od společnosti Adafruit.

    Ladislav Hagara | Komentářů: 0
    dnes 04:00 | Bezpečnostní upozornění

    V jádře Linux byla nalezena a v dubnu letošního roku v upstreamu opravena kritická zranitelnost Bad Epoll aneb CVE-2026-46242. Jedná se o zranitelnost typu "race-condition use-after-free", která běžnému uživateli umožňuje získat práva roota. Na distribucích Linuxu i na Androidu. Dokonce i zevnitř sandboxu prohlížeče Chrome. Chyba byla do Linuxu zavedena v dubnu 2023, tj. Linux 6.4.

    Ladislav Hagara | Komentářů: 0
    včera 23:22 | Nová verze

    Byla vydána nová verze 10.4 sady aplikací pro SSH komunikaci OpenSSH. Přináší řadu důležitých bezpečnostních oprav, vylepšení funkcí a oprav chyb. Vyzkoušet lze experimentální podporu postkvantového algoritmu mldsa44-ed25519.

    Ladislav Hagara | Komentářů: 0
    včera 16:33 | Zajímavý projekt

    Open Printer je otevřená kompaktní tiskárna od Open Tools. Brzy by měla být spuštěna kampaň na její podporu na Crowd Supply. Současně by měly být uvolněny zdrojové kódy. Postavena je na Raspberry Pi Zero W a STM32. Používá inkoustové kazety HP 302.

    Ladislav Hagara | Komentářů: 1
    včera 15:11 | Nová verze

    Byla vydána nová verze 3.28.0 FreeRDP, tj. svobodné implementace protokolu RDP (Remote Desktop Protocol). Opraveno bylo 8 zranitelností.

    Ladislav Hagara | Komentářů: 0
    4.7. 23:33 | IT novinky

    Čeští policisté společně se svými tureckými kolegy zadrželi 51 lidí, kteří se podle kriminalistů podíleli na provozu podvodného call centra v Istanbulu. Skupina je spojena s 1173 případy podvodů na českých občanech, při kterých vznikla škoda přes 553 milionů korun.

    Ladislav Hagara | Komentářů: 9
    3.7. 03:55 | Nová verze

    Immich byl vydán v nové verzi 3.0.0. Jedná se o alternativu k výchozím aplikacím od Googlu a Applu pro správu fotografií a videí umožňující vlastní hosting serveru Immich. K vyzkoušení je demo. Immich je součástí balíčků open source aplikací FUTO. Zdrojové kódy jsou k dispozici na GitHubu pod licencí AGPL-3.0.

    Ladislav Hagara | Komentářů: 5
    3.7. 02:55 | IT novinky

    Společnost Juno Computers prodávající počítače s předinstalovaným Linuxem má nově v nabídce linuxový tablet Juno Tab 4 - WiFi. Na výběr je Debian, Ubuntu a Kubuntu. Předobjednat jej lze za 949 liber (26 500 korun).

    Ladislav Hagara | Komentářů: 0
    3.7. 01:22 | Nová verze

    Podman (Pod Manager), nástroj umožňující vytvářet a provozovat kontejnery, aniž by uživatel potřeboval práva roota, byl vydán v nové major verzi 6.0.0. Přehled novinek v poznámkách k vydání. Řešena je i vážná bezpečnostní chyba CVE-2026-57231.

    Ladislav Hagara | Komentářů: 0
    Které desktopové prostředí na Linuxu používáte?
     (10%)
     (8%)
     (2%)
     (17%)
     (31%)
     (4%)
     (6%)
     (2%)
     (16%)
     (25%)
    Celkem 2072 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník


    Dotaz: tunnelbroker.net (IPv6) s radvd

    Petr Maleček avatar 17.8.2022 20:12 Petr Maleček | skóre: 29 | Plzeň - Bolevec
    tunnelbroker.net (IPv6) s radvd
    Přečteno: 603×
    Přílohy:
    Ahoj všem, potřeboval bych poradit, kde dělám chybu.

    Mám tunel od výše uvedeného poskytovatele, nastavený na mém serveru, který je za NATem, ale v rámci DMZ, takže vše směrované na něj.

    Tunel jsem nastavil podle návodu na stránkách tunnelbrokeu, takže ze serveru jako takového například google pingnu.
    PING google.com(prg03s10-in-x0e.1e100.net (2a00:1450:4014:80a::200e)) 56 data bytes
    64 bytes from prg03s10-in-x0e.1e100.net (2a00:1450:4014:80a::200e): icmp_seq=1 ttl=121 time=3.33 ms
    64 bytes from prg03s10-in-x0e.1e100.net (2a00:1450:4014:80a::200e): icmp_seq=2 ttl=121 time=3.59 ms
    64 bytes from prg03s10-in-x0e.1e100.net (2a00:1450:4014:80a::200e): icmp_seq=3 ttl=121 time=3.23 ms
    64 bytes from prg03s10-in-x0e.1e100.net (2a00:1450:4014:80a::200e): icmp_seq=4 ttl=121 time=3.21 ms
    ^C
    --- google.com ping statistics ---
    4 packets transmitted, 4 received, 0% packet loss, time 6ms
    rtt min/avg/max/mdev = 3.211/3.339/3.592/0.167 ms
    Problém ale nastává ve chvíli, kdy nastavím radvd daemona, aby rozdával IPky v rozsahu, který mám přidělen.

    Služba IP z daného rozsahu rozdává OK, ale nefunguje routování.

    Síťové rozhraní na serveru má tuto vnitřní adresu:
    inet6 fe80::265e:beff:fe57:f18b  prefixlen 64  scopeid 0x20<link>
    Síťová zařízení v síti obdrží tuto adresu jako adresu routeru. Ovšem, nedokáží ji pingnout. V ip6tables nejsou žádná pravidla (čili nic, co by mu mělo bránit odpovědět).

    Napadá vás, na co zapomínám? Postupoval jsem pomocí tohoto návodu.

    V příloze přikládám obrázek IP, které dostal klient (bílé pozadí), pak snímky IP síťového rozhraní (br0), tunelového rozhraní a routy pro IPv6.

    Díky
    LinMuck, WinFuck :-P

    Řešení dotazu:


    Odpovědi

    Petr Maleček avatar 17.8.2022 20:15 Petr Maleček | skóre: 29 | Plzeň - Bolevec
    Rozbalit Rozbalit vše Re: tunnelbroker.net (IPv6) s radvd
    Ještě doplním, že pokus o ping interní IPv6 adresy (br0, což je síťové rozhraní pro přístup do sítě/netu) z klientské strany končí takto:

    ping6 fe80::265e:beff:fe57:f18b
    PING6(56=40+8+8 bytes) fe80::83b:6bf:74d3:3ad0%en0 --> fe80::265e:beff:fe57:f18b
    ping6: sendmsg: No route to host
    ping6: wrote fe80::265e:beff:fe57:f18b 16 chars, ret=-1
    ping6: sendmsg: No route to host
    ping6: wrote fe80::265e:beff:fe57:f18b 16 chars, ret=-1
    ping6: sendmsg: No route to host
    ping6: wrote fe80::265e:beff:fe57:f18b 16 chars, ret=-1
    ^C
    --- fe80::265e:beff:fe57:f18b ping6 statistics ---
    3 packets transmitted, 0 packets received, 100.0% packet loss

    V rámci localhostu na serveru samozřejmě tato IPv6 pingnout jde.
    LinMuck, WinFuck :-P
    Řešení 1× (Petr Maleček (tazatel))
    17.8.2022 20:43 Andrej | skóre: 51 | blog: Republic of Mordor
    Rozbalit Rozbalit vše Re: tunnelbroker.net (IPv6) s radvd

    Ví server, jak (kterým síťovým zařízením) by mohl routovat do té vnitřní sítě?

    ip -6 route add 2001:470:6f:11a::/64 dev br0

    Pro jistotu bych zkontroloval ip -6 route show table all; některý software (například IPSec frameworky typu StrongSwan a kdoví, možná i některý tunnel broker) má ve zvyku schovávat („svá“) routovací pravidla do nestandardních tabulek.

    Mimochodem, jestli ten poskytovatel přiděluje jenom /64 rozsahy, je to dobrý důvod utíkat od něj pryč tempem gepardím. Normální poskytovatelé mají dávat /48; což je takový základ / zlatý standard. Naprosté minimum je (dejme tomu) /62. Pokud jde o /64, něco takového je dost těžko použitelné pro nasazení jiná než triviální a člověk řeší (nesmyslné) dilemma, jestli (a) nemít žádné interní routování ani víc podsítí (aby byl k dispozici celý /64 rozsah) nebo (b) zrušit podporu IPv6 pro klientská zařízení s Androidem (protože pro ně je /64 minimum).

    Petr Maleček avatar 17.8.2022 20:54 Petr Maleček | skóre: 29 | Plzeň - Bolevec
    Rozbalit Rozbalit vše Re: tunnelbroker.net (IPv6) s radvd
    Nabízí /64 i /48, mám to řekněme na 10 zařízení, tak jsem myslel, že mi /64 stačí. Jinak děkuji za vyřešení, daný příkaz můj problém vyřešil, asi jsem na tu routu nějak zapomněl :-(
    LinMuck, WinFuck :-P
    Petr Maleček avatar 18.8.2022 00:16 Petr Maleček | skóre: 29 | Plzeň - Bolevec
    Rozbalit Rozbalit vše Re: tunnelbroker.net (IPv6) s radvd
    Tak budu muset najít asi jiného poskytovatele tunelu pro IPv6, protože třeba Seznam se nanačte korektně, chybí spousta obsahu (převázně obrázků).
    
    Petr@Petr-MBP ~ % traceroute6 d32-a.sdn.cz
    traceroute6: Warning: lb.sdn.cz has multiple addresses; using 2a02:598:a::79:195
    traceroute6 to lb.sdn.cz (2a02:598:a::79:195) from 2001:470:6f:11a:d16a:9f3d:c698:6ab9, 64 hops max, 12 byte packets
     1  tunnel778912-pt.tunnel.tserv27.prg1.ipv6.he.net  2.103 ms  2.919 ms  2.013 ms
     2  tunnel778912.tunnel.tserv27.prg1.ipv6.he.net  8.054 ms  7.202 ms  7.523 ms
     3  * *^C
    Petr@Petr-MBP ~ % 
    
    Jiné weby fungují normálně :(
    LinMuck, WinFuck :-P
    18.8.2022 02:55 czjaromir | skóre: 18
    Rozbalit Rozbalit vše Re: tunnelbroker.net (IPv6) s radvd
    Já lama tak jako když už náhodou píšu něco jako html stránky tak rozuhodně neuvažuju (myslím) v ip v6. Tam bude asi někde problém.
    18.8.2022 06:21 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: tunnelbroker.net (IPv6) s radvd
    Web kodér nepotrebuje uvažovať v IPv6. Ale keby správca servera d32-a.sdn.cz zapol IPv6, tak by to možno aj fungovalo.
    Petr Maleček avatar 18.8.2022 11:16 Petr Maleček | skóre: 29 | Plzeň - Bolevec
    Rozbalit Rozbalit vše Re: tunnelbroker.net (IPv6) s radvd
    Ten server ale IPv6 má, jen odmítá vracet obsah, což je divné.
    
    PING d32-a.sdn.cz(2a02:598:2::1195 (2a02:598:2::1195)) 56 data bytes
    64 bytes from 2a02:598:2::1195 (2a02:598:2::1195): icmp_seq=1 ttl=59 time=3.45 ms
    
    LinMuck, WinFuck :-P
    18.8.2022 14:42 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: tunnelbroker.net (IPv6) s radvd
    Asi tá služba poskytujúca webové komponenty nepočúva na IPv6. Ale, ...
    18.8.2022 13:04 Andrej | skóre: 51 | blog: Republic of Mordor
    Rozbalit Rozbalit vše Re: tunnelbroker.net (IPv6) s radvd

    Tak tohle bych zase hned z kraje nesváděl na poskytovatele.

    Problém je zpravidla v MTU 1480. Za to (tunelový) poskytovatel nemůže. To chce buď mít nativní IPv6 s MTU 1500 a pak všechno jde, jak má, nebo u tunelu zkusit drobný trik pro případy, že některé stroje po cestě mají problém s ICMPv6 a/nebo s různými detaily NDP. Typický symptom bývá, že

    • relativně malá data (která se vejdou do paketu a/nebo jdou ze serverů s ultrakonzervativně malým MSS) fungují zdánlivě v pohodě, zatímco
    • velká data, velmi často obrázky z obrázkových serverů, které chtějí využít každý byte standardní MTU / MSS, buď nepřijdou vůbec, nebo přijdou s obrovskými prodlevami, jako by to jeden tahal krávě z prdele.

    V té souvislosti bych se ještě pozastavil nad touto částí původního dotazu:

    V ip6tables nejsou žádná pravidla (čili nic, co by mu mělo bránit odpovědět).
    1. Nic takového dnes neexistuje. ip6tables se používaly v minulém desetiletí nejpozději. V tomto desetiletí máme nftables (příkaz nft). A právě tam by občas nějaká pravidla měla být.
    2. Zkusil bych, jen tak pro zajímavost, dát do /etc/nftables.conf něco jako
      table inet filter {
      	chain forward {
      		type filter hook forward priority filter; policy accept;
      		oif "he-ipv6" tcp flags syn tcp option maxseg size set rt mtu
      	}
      }
      
      a pak bych na to zavolat nftables -f /etc/nftables.conf.

    Ještě další otázka je, jestli je vůbec 1480 správné číslo. 1480 je obvykle u 6to4. Brokeři s jinými (složitějšími) protokoly můžou mít všemožné různé hodnoty typu 1460, 1420, …, 1280 atd. atp. Doporučuji dohledat MTU v dokumentaci poskytovatele tunelu. Taky není od věci trochu experimentovat s ping -s.

    Petr Maleček avatar 22.8.2022 14:16 Petr Maleček | skóre: 29 | Plzeň - Bolevec
    Rozbalit Rozbalit vše Re: tunnelbroker.net (IPv6) s radvd
    Díky za radu, já osobně používám stále iptables, ip6tables a aktuálně se tak nějak odmítám učit něco jiného, protože k tomu nemám důvod, když původní varianta naprosto vyhovuje. Teď je tu tedy jiná situace a třeba mě to donutí.

    nftables jsem tedy doinstaloval a končím touto hláškou, syntax zatím neovládám, tak přikládám:
    
    /etc/nftables.conf:10:51-56: Error: syntax error, unexpected string, expecting - or number
                    type filter hook forward priority filter; policy accept;
                                                                    ^^^^^^
    
    LinMuck, WinFuck :-P
    22.8.2022 15:58 Hovno
    Rozbalit Rozbalit vše

    Možná to chce místo filter číslo 0. (Andrej moc pije a občas mu to takhle ujede.)

    23.8.2022 13:25 Radek
    Rozbalit Rozbalit vše Re: tunnelbroker.net (IPv6) s radvd
    K čemu chceš ipv6? Když to není nativní, tak přes brokery to jde delší trasou, ím pádem horší odezvou a s nižší přenosovou rychlostí (když teda nemáš doma pod 100mbit), navíc to po cestě občas zkriplý mtu a je potřeba si to vyladit.

    23.8.2022 13:26 Radek
    Rozbalit Rozbalit vše Re: tunnelbroker.net (IPv6) s radvd
    zkriplí :-)
    Petr Maleček avatar 28.8.2022 09:31 Petr Maleček | skóre: 29 | Plzeň - Bolevec
    Rozbalit Rozbalit vše Re: tunnelbroker.net (IPv6) s radvd
    Přes klasický 6to4 je to opravdu šílené pomalé, ale tunel 6in4 od toho tunnelbrokeru rychlostně dával kolem 350Mbit, což není špatné. Šlo mi víceméně o vyzkoušení, jinak mám linku 2.5Gbit. Samozřejmě bez IPv6 přežiju. :-)
    LinMuck, WinFuck :-P

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.