Ответить
  • netmaster Senior Member
    офлайн
    netmaster Senior Member

    5088

    22 года на сайте
    пользователь #1092

    Профиль
    Написать сообщение

    5088
    # 19 декабря 2023 17:15

    можно даже ни в каой бридж не настраивать

  • 3367436 Junior Member
    офлайн
    3367436 Junior Member

    46

    2 года на сайте
    пользователь #3367436

    Профиль
    Написать сообщение

    46
    # 19 декабря 2023 21:46

    И у меня тоже заработало. Надеюсь, надолго.

  • Pose1don Senior Member
    офлайн
    Pose1don Senior Member

    3837

    20 лет на сайте
    пользователь #9516

    Профиль
    Написать сообщение

    3837
  • jumster Neophyte Poster
    офлайн
    jumster Neophyte Poster

    26

    11 лет на сайте
    пользователь #610464

    Профиль
    Написать сообщение

    26
    # 20 декабря 2023 10:06 Редактировалось jumster, 1 раз.

    У меня тоже похоже что все заработало. Чтобы быть на переднем крае, и сразу ощущать проблемы провайдера с IPV6, можно добавить DHCP option 108, чтобы выключить ipv4 на некоторых клиентах полностью. Для норм инета нужно сделать хотяб NAT64, DNS64 есть у гугла публичные.

    https://ripe87.ripe.net/wp-content/uploads/presentations/8-IPv6-m ... penWRT.pdf

    На айфоне работает, глубоко пока не тестировал. Как протестирую на других ОС, расскажу ощущения.

  • netmaster Senior Member
    офлайн
    netmaster Senior Member

    5088

    22 года на сайте
    пользователь #1092

    Профиль
    Написать сообщение

    5088
    # 20 декабря 2023 11:55
    jumster:

    У меня тоже похоже что все заработало. Чтобы быть на переднем крае, и сразу ощущать проблемы провайдера с IPV6, можно добавить DHCP option 108, чтобы выключить ipv4 на некоторых клиентах полностью. Для норм инета нужно сделать хотяб NAT64, DNS64 есть у гугла публичные.

    https://ripe87.ripe.net/wp-content/uploads/presentations/8-IPv6-m ... penWRT.pdf

    На айфоне работает, глубоко пока не тестировал. Как протестирую на других ОС, расскажу ощущения.

    Не надо придумывать себе лишних проблем

  • alex_kag Member
    офлайн
    alex_kag Member

    114

    14 лет на сайте
    пользователь #205534

    Профиль
    Написать сообщение

    114
    # 22 декабря 2023 22:34 Редактировалось alex_kag, 1 раз.

    Доброго всем настроения.
    Нужна помощь зала.
    Подключил я у byfly статику на ipv6 (кстати, это стоит не 23 единовременно, а 45: (23 byfly+ 22 БелГИЭ), но это уже пофиг).
    Сразу появилось куча вопросов:
    1. byfly говорит, что раздает подсеть /56 - но.... В настройках модема (промсвязь MT-PON-AT-4 ) я вижу, что получаю блок /64
    2. Почему-то получаю на роутере ipv6 из середины диапазона.
    3. Все затевалось ради доступа к локальному серверу, но если внутри локалки он доступен, (по ipv6 внешнего диапазона), то как только я отключаю телефон от wifi - то сразу перестою соединяться с сервером (в настройках телефона стоит, что он получает ip4/ip6). Причем переключение режима security в модеме - ничего не меняет в плане доступа

    В связи с этим вопрос, как оно правильно настраивается? Или бежать за Xiaomi AX3200 и перешивать его в OpenWRT ?

    PS. Оказывается, в промсвязи, для изменения уровня фаервола - необходимо перезагрузить модем. Только тогда применяются настройки. Таким образом, доступ извне к локалке - в первом приближении у меня есть, но остается вопрос как настроить белтелекомовский модем в режиме firewall, что бы разрешить доступ только к серверу, и в идеале - только к заданным службам.
    И как настроить все-таки правильно назначение и раздачу адресов

    И зачем столько букв придумали?
  • netmaster Senior Member
    офлайн
    netmaster Senior Member

    5088

    22 года на сайте
    пользователь #1092

    Профиль
    Написать сообщение

    5088
    # 23 декабря 2023 09:40 Редактировалось netmaster, 2 раз(а).

    Нужно установить на сервере адрес IPv6 вручную из выделенного белтелекомом префикса
    Автоматическая раздача там по стандарту SLAAC выдает незапоминабельные адреса к тому же динамически

  • alex_kag Member
    офлайн
    alex_kag Member

    114

    14 лет на сайте
    пользователь #205534

    Профиль
    Написать сообщение

    114
    # 23 декабря 2023 10:09

    В первую очередь интересует, как белтелекомовский модем настроить. Там есть минимум 3 режима получения ipv6 адреса и это еще пол беды. Самая большая беда - это то, что firewall в белтелекомовском модеме сделан по принципу - отключен, что-то включено, что-то включено сильнее, что-то включено еще сильнее.... А что именно - х.з. В итоге - вариант полностью отключить - я не рассматриваю, так как страшно, а вариант пробросить доступ к 1-2 виртуалке - х.з. как. Поддержка белтелекома вчера выдала - мы не занимаемся консультацией по настройке оборудования абонентов. И пофиг, что это их оборудование, и информации в открытом доступе не существует.....

    И зачем столько букв придумали?
  • netmaster Senior Member
    офлайн
    netmaster Senior Member

    5088

    22 года на сайте
    пользователь #1092

    Профиль
    Написать сообщение

    5088
    # 23 декабря 2023 10:25 Редактировалось netmaster, 1 раз.

    у меня
    PPPoE Prefix Acquisition Mode: DHCPv6-PD
    IP Acquisition Mode: None

    firewall не знаю какой там. если его функционал не устраивает надо будет покупать дополнительный маршрутизатор и переводиить БТК модем в бридж

  • Pose1don Senior Member
    офлайн
    Pose1don Senior Member

    3837

    20 лет на сайте
    пользователь #9516

    Профиль
    Написать сообщение

    3837
    # 23 декабря 2023 10:52
    alex_kag:

    firewall, что бы разрешить доступ только к серверу, и в идеале - только к заданным службам.

    в идеале доступ должен быть только со своих устройств/сетей по белому списку. если вам безопасность важна, даже не рассматривайте бтк-шный роутер и ставьте свой. если у вас там домашняя лаба, то можно и виртуальный, например chr.

  • alex_kag Member
    офлайн
    alex_kag Member

    114

    14 лет на сайте
    пользователь #205534

    Профиль
    Написать сообщение

    114
    # 23 декабря 2023 10:54
    Pose1don:

    в идеале доступ должен быть только со своих устройств/сетей по белому списку. если вам безопасность важна, даже не рассматривайте бтк-шный роутер и ставьте свой. если у вас там домашняя лаба, то можно и виртуальный, например chr.

    для этого надо уметь/мочь хоть как-то его настраивать (бтк-шный). Похоже, ждет меня новый роутер.

    И зачем столько букв придумали?
  • Pose1don Senior Member
    офлайн
    Pose1don Senior Member

    3837

    20 лет на сайте
    пользователь #9516

    Профиль
    Написать сообщение

    3837
    # 23 декабря 2023 11:01 Редактировалось Pose1don, 1 раз.
    alex_kag:

    для этого надо уметь/мочь хоть как-то его настраивать (бтк-шный)

    там настраивать нечего, он ничего не умеет. полноценного фаервола ipv6 на популярных роутерах домашнего уровня, насколько знаю, вообще нет. функционально я бы рекомендовал железный микротик (или chr под лабу), он 100% закроет эту задачку. но настройка без опыта потребует определенного понимания теории.

  • alex_kag Member
    офлайн
    alex_kag Member

    114

    14 лет на сайте
    пользователь #205534

    Профиль
    Написать сообщение

    114
    # 23 декабря 2023 11:11
    Pose1don:

    там настраивать нечего, он ничего не умеет. полноценного фаервола ipv6 на популярных роутерах домашнего уровня, насколько знаю, вообще нет. функционально я бы рекомендовал железный микротик (или chr под лабу), он 100% закроет эту задачку. но настройка без опыта потребует определенного понимания теории.

    Основной вопрос - покупка Xiaomi AX3200 и и перешивка его под openWrt - закроет этот вопрос?

    И зачем столько букв придумали?
  • netmaster Senior Member
    офлайн
    netmaster Senior Member

    5088

    22 года на сайте
    пользователь #1092

    Профиль
    Написать сообщение

    5088
    # 23 декабря 2023 11:19
    Pose1don:

    в идеале доступ должен быть только со своих устройств/сетей по белому списку

    Это параноя. Достаточно будет оставить доступ только к серверу

  • Pose1don Senior Member
    офлайн
    Pose1don Senior Member

    3837

    20 лет на сайте
    пользователь #9516

    Профиль
    Написать сообщение

    3837
    # 23 декабря 2023 11:51
    netmaster:

    Это параноя.

    это best practices.

    netmaster:

    Достаточно будет оставить доступ только к серверу

    здесь зависит от того, будет ли этот сервер шляться по интернетам, засвечивая свой ip. если он будет обрабатывать исключительно входящие соединения - тогда да, белым списком можно пренебречь. но тут нужно понимать, что вероятнее всего адрес, который будет назначен серверу, будет "красивым" вроде ::1, а такие адреса легко вычислять, их не так много.

  • netmaster Senior Member
    офлайн
    netmaster Senior Member

    5088

    22 года на сайте
    пользователь #1092

    Профиль
    Написать сообщение

    5088
    # 23 декабря 2023 12:05
    Pose1don:

    netmaster:

    Это параноя.

    это best practices.

    netmaster:

    Достаточно будет оставить доступ только к серверу

    здесь зависит от того, будет ли этот сервер шляться по интернетам, засвечивая свой ip. если он будет обрабатывать исключительно входящие соединения - тогда да, белым списком можно пренебречь. но тут нужно понимать, что вероятнее всего адрес, который будет назначен серверу, будет "красивым" вроде ::1, а такие адреса легко вычислять, их не так много.

    Публичные сервера как-то это переживают

  • Pose1don Senior Member
    офлайн
    Pose1don Senior Member

    3837

    20 лет на сайте
    пользователь #9516

    Профиль
    Написать сообщение

    3837
    # 23 декабря 2023 12:15
    netmaster:

    Публичные сервера как-то это переживают

    очевидно, что публичные сервера не выставляются голой жопой в интернеты через роутеры промсвязь.

  • netmaster Senior Member
    офлайн
    netmaster Senior Member

    5088

    22 года на сайте
    пользователь #1092

    Профиль
    Написать сообщение

    5088
    # 23 декабря 2023 12:21
    Pose1don:

    netmaster:

    Публичные сервера как-то это переживают

    очевидно, что публичные сервера не выставляются голой жопой в интернеты через роутеры промсвязь.

    Ну так и домашний сервер не нужно с такой жопой выставлять
    Поставить современный линукс, не забывать обновлять, разрешить только используемые порты

  • Pose1don Senior Member
    офлайн
    Pose1don Senior Member

    3837

    20 лет на сайте
    пользователь #9516

    Профиль
    Написать сообщение

    3837
    # 23 декабря 2023 12:31
    netmaster:

    Поставить современный линукс, не забывать обновлять, разрешить только используемые порты

    окей, выставить внаружу семейный архив с фото/видео за несколько поколений под (сложным) паролем, который знают и которым пользуются десятки родственников со своих телефонов - норм тема? пароль же сложный, что может в этой схеме пойти не так?

  • alex_kag Member
    офлайн
    alex_kag Member

    114

    14 лет на сайте
    пользователь #205534

    Профиль
    Написать сообщение

    114
    # 23 декабря 2023 22:40

    Так, а кто-нить может подсказать, на что обратить внимание, при настройке pppoe на openwrt ? В частности, на промсвязи указан vlan10. Я уверен, что это к pppoe не относится, но.... на самом деле - х.з. Поэтому, если кто скинет скрины или инструкцию по настройке, то буду благодарен....

    И зачем столько букв придумали?