[Freifunk-Bonn] ip6 diversa: uplinks / collectd / ULA routing / routing an fastd3

eGeist egeist at cerberon.net
Sa Jan 17 15:13:27 CET 2015 

Am 17.01.2015 um 12:27 schrieb Jan Lühr:
> Hallo,
> 
> 
> Am 01/15/2015 02:29 PM, schrieb Rougu:
>> Hallo,
> 
>> zum Teil zu nicht mehr ganz taufrischen Themen (und entschuldigt
>> den länglichen Beitrag):
> 
> Danke auf jeden Fall! Die Anmerkunge sind gut. Ich versuch' mal zu den
> einzelnen Punkten zu Antworten. Zum Teil sind es aber leider auch nur
> rückfragen.
> 
> 
>> ---------------------------------------------------------------------
> 
> 
> Erreichbarkeit von collectd
> 
> 
>> Ältere Firmware hat collectd.conf mit hostname 
>> "collectd.kbu.freifunk.net" und AAAA-rec zeigt auf eine öffentliche
>>  ip6-addr (ein HE 6in4-tunnel, wie's scheint), die aber öffentlich
>> nicht erreichbar ist.
> 
>> Aktuelle fw hat eine freifunk ULA für collectd:   :-)
> 
>> Vorschlag:
> 
>> public DNS: collectd.kbu.freifunk.net AAAA 2001:470:780f:1::6  ->
>> löschen
> 
>> ff-DNS (fdd3:5d16:b5dd::2): collectd.kbu.freifunk.net AAAA
>> fdd3:5d16:b5dd:3::6
> 
>> Auf diese Weise würden auch Nodes mit alter Firmware bei collectd
>> wieder zuverlässiger abliefern können, oder?
> 
> Ja. Danke. Hintergrund ist, auch dass wir den collectd-Server zur Zeit
> migrieren. Dadurch ist er unter der externen IP nicht mehr erreichbar.
> Wir haben ihn gerade "Zwischengeparkt" und werden ihn hoffentlich bald
> woanders hin packen können.
> 
> 
>> Weiter verbessern (z. B. falls IPv6 an br-wan):
> 
>> Wenn IPv6-Resourcen nur innerhalb des Freifunk-Netzes erreichbar
>> sind und vom FF-Router erreicht werden müssen, könnte das
>> Source-Interface auf br-freifunk gesetzt werden.
> 
>> Bei collectd.conf ist das möglich (kleine semantische Variation der
>>  bestehenden Einträge)
> 
>> Das funktioniert bei mir im Moment, aber weil offentlich die Route
>> über das zu verwendende src-if entscheidet, ist die Stabilität
>> erstmal fraglich (siehe auch weiter unten).
> 
> Danke. Das ist ein sehr guter Punkt.
> Was genau meinst Du mit "offentlich"? Offensichtlich, öffentlich oder
> hoffentlich?
> 
> Kann ich mich denn darauf verlassen, dass nur noch
> IPv6-Absenderadressen des Source-Interfaces verwendet werden? Und nur
> noch Router die auf dem Source-Interface zur Verfügung stehen?
> 
> 
>> Prüfen der Absende-IP (br-wan hat ipv6 uplink, nach neustart von
>> collectd)
> 
>> ping:
> 
>> # tcpdump -i br-freifunk 'icmp6 and ip6[40]=128' 08:50:41.062389
>> IP6 2001:67c:20a0:b107:b248:7aff:febe:d4fa > fdd3:5d16:b5dd:3::6:
>> ICMP6, echo request, seq 9, length 64
> 
>> und Daten abliefern:
> 
>> # tcpdump -i br-freifunk 'port 25827' 08:56:41.046875 IP6
>> 2001:67c:20a0:b107:b248:7aff:febe:d4fa.46786 > 
>> fdd3:5d16:b5dd:3::6.25827: UDP, length 873
> 
>> qed.
> 
> Wobei mir erstmal nicht klar ist, ob das jetzt Zufall ist (zufällige
> Adresswahl) oder Absicht.
> 
> 
> 
> 
>> ---------------------------------------------------------------------
> 
> 
> IPv6-Uplinks
> 
>> Das interne ff-routing für ip6 bricht, wenn if br-wan default-Route
>> für ip6 hat und diese an erster Stelle der ip6-default-Routen
>> steht.
> 
>> Soweit klar.
> 
> 
>> a) wg möglicher Routen/Src-Addr-Konflikte ipv6 auf br-wan
>> abschalten?
> 
>> Der vorgeschlagene Workaround 
>> (https://github.com/ff-kbu/fff/commit/9cfe567771a5ddaabf84a345a207399a1d594f17#diff-64e2d6ea7bb6f6c907fd641221ea303d)
>>  ist IMHO ohne Wirkung:
> 
> 
>> sysctl wird in rc.d mit S11 gestartet, also noch vor networking. 
>> "net.ipv6.conf.br-wan.disable_ipv6=1" greift da noch nicht.
> 
>> Statt dessen hilft:
> 
> Danke für die Info. Bauen wir ein.
> 
> 
> 
>> b) ipv6-Uplink doch nutzen?
> 
>> *** Wenn IPv6 an br-wan nicht abgeschaltet sondern genutzt würde,
>> wären die FF-Router konsistent für IPv4 und IPv6 konfiguriert: der
>> direkte Uplink wird für Zugriffe des FF-Routers auf das öffentliche
>> Internet genutzt. *** Das ist wohl schon länger Konsens.
> 
> Variante b) Steht für das kommende Firmware-Release auf der Agenda.
> Mein Zug erreicht gleich Köln Hbf, s.d. mir jetzt die Zeit fehlt viel
> zu schreiben.
> Ich komme auf jeden Fall nochmal auf Deine Ideen zurück, wenn wir an
> 2.0 schrauben.
> 
>> Problem im IPv6-Routing?
> 
> 
>> Für ip6 kommt von jedem Supernode eine default route:
> 
>> default via fe80::fc89:77ff:fe72:bd9d dev br-freifunk default via
>> fe80::1891:a2ff:fe61:febb dev br-freifunk default via
>> fe80::c434:84ff:fe23:46d5 dev br-freifunk default via
>> fe80::cb3:b4ff:fe70:aec4 dev br-freifunk default via
>> fe80::88cd:84ff:feb4:33bc dev br-freifunk default via
>> fe80::905b:d1ff:fe31:b00a dev br-freifunk
> 
>> *** Beliebige IPv6-Ziele sind NICHT erreichbar, wenn 
>> fe80::fc89:77ff:fe72:bd9d das tatsächlich genutzte default-gw ist,
>> also mit src addr aus 2001:67c:20a0:b101::/64 geroutet wird. ***
> 
> @gevatter: Das wäre Deiner - bitte check'n.
> 
> 
> 
>> Frage: - Was ist bei 2001:67c:20a0:b104::1 (fastd3?) los?
> 
> b104 ist eigentlich fastd (hint: letztes Byte in der Netz-ID
> beachten). Der Host ist morgen weg.
> 
>> findet man in ruhigen ff-Zeiten gefühlte 20-40 % Anteil an ICMP6 
>> neighbor solicitations:
> 
> Oh - ja. Wir haben zu viele Prefixes. Schwieriges Thema.
> Jetzt ist der Zug da. :-)
> 
> Cu
> 

## fall 1

root at egeist01:~# ip -6 route  |grep br
2001:67c:20a0:b101::/64 dev br-freifunk  metric 256  expires 0sec
2001:67c:20a0:b103::/64 dev br-freifunk  metric 256  expires 0sec
2001:67c:20a0:b104::/64 dev br-freifunk  metric 256  expires 0sec
2001:67c:20a0:b105::/64 dev br-freifunk  metric 256  expires 0sec
2001:67c:20a0:b106::/64 dev br-freifunk  metric 256  expires 0sec
2001:67c:20a0:b107::/64 dev br-freifunk  metric 256  expires 0sec
2a02:908:f440:1780::/64 dev br-freifunk  metric 256  expires 0sec
fd00::/64 dev br-wan  metric 256  expires 0sec
fe80::/64 dev br-freifunk  metric 256
fe80::/64 dev br-wan  metric 256
default via fe80::fc89:77ff:fe72:bd9d dev br-freifunk  metric 1024  expires 0sec
default via fe80::c434:84ff:fe23:46d5 dev br-freifunk  metric 1024  expires 0sec
default via fe80::cb3:b4ff:fe70:aec4 dev br-freifunk  metric 1024  expires 0sec
default via fe80::1891:a2ff:fe61:febb dev br-freifunk  metric 1024  expires 0sec
default via fe80::905b:d1ff:fe31:b00a dev br-freifunk  metric 1024  expires 0sec
ff00::/8 dev br-freifunk  metric 256
ff00::/8 dev br-wan  metric 256

root at egeist01:~# batctl gwl

=> 02:ff:0f:a5:7d:06 (255) 02:ff:0f:a5:7d:06 [  mesh-vpn]: 215 - 96MBit/96MBit
   02:ff:0f:a5:7d:07 (225) 02:ff:0f:a5:7d:06 [  mesh-vpn]: 215 - 96MBit/96MBit
   02:ff:0f:a5:7d:05 (225) 02:ff:0f:a5:7d:06 [  mesh-vpn]: 215 - 96MBit/96MBit
   52:54:00:4a:0d:02 (225) 02:ff:0f:a5:7d:04 [  mesh-vpn]: 215 - 96MBit/96MBit
   02:ff:0f:a5:7d:01 (225) 02:ff:0f:a5:7d:06 [  mesh-vpn]: 215 - 96MBit/96MBit
   02:ff:0f:a5:7d:04 (255) 02:ff:0f:a5:7d:04 [  mesh-vpn]: 215 - 96MBit/96MBit

root at egeist01:~# traceroute6 heise.de
traceroute to heise.de (2a02:2e0:3fe:1001:302::), 30 hops max, 16 byte packets
 1  *  *  *
 2  *  *  *
 3^C

#--------------------------#


## fall 2

root at egeist01:~# ip -6 route  |grep br
2001:67c:20a0:b101::/64 dev br-freifunk  metric 256  expires 0sec
2001:67c:20a0:b104::/64 dev br-freifunk  metric 256  expires 0sec
2001:67c:20a0:b105::/64 dev br-freifunk  metric 256  expires 0sec
2001:67c:20a0:b106::/64 dev br-freifunk  metric 256  expires 0sec
2001:67c:20a0:b107::/64 dev br-freifunk  metric 256  expires 0sec
fd00::/64 dev br-wan  metric 256  expires 0sec
fe80::/64 dev br-freifunk  metric 256
fe80::/64 dev br-wan  metric 256
default via fe80::c434:84ff:fe23:46d5 dev br-freifunk  metric 1024  expires 0sec
default via fe80::905b:d1ff:fe31:b00a dev br-freifunk  metric 1024  expires 0sec
default via fe80::fc89:77ff:fe72:bd9d dev br-freifunk  metric 1024  expires 0sec
default via fe80::1891:a2ff:fe61:febb dev br-freifunk  metric 1024  expires 0sec
default via fe80::cb3:b4ff:fe70:aec4 dev br-freifunk  metric 1024  expires 0sec
ff00::/8 dev br-freifunk  metric 256
ff00::/8 dev br-wan  metric 256

root at egeist01:~# batctl gwl

   02:ff:0f:a5:7d:01 (141) 02:ff:0f:a5:7d:06 [  mesh-vpn]: 215 - 96MBit/96MBit
   52:54:00:4a:0d:02 (160) 02:ff:0f:a5:7d:03 [  mesh-vpn]: 215 - 96MBit/96MBit
   02:ff:0f:a5:7d:05 (144) 02:ff:0f:a5:7d:03 [  mesh-vpn]: 215 - 96MBit/96MBit
   02:ff:0f:a5:7d:07 (141) 02:ff:0f:a5:7d:06 [  mesh-vpn]: 215 - 96MBit/96MBit
   02:ff:0f:a5:7d:04 (144) 02:ff:0f:a5:7d:06 [  mesh-vpn]: 215 - 96MBit/96MBit
=> 02:ff:0f:a5:7d:06 (166) 02:ff:0f:a5:7d:06 [  mesh-vpn]: 215 - 96MBit/96MBit


root at egeist01:~# traceroute6 heise.de
traceroute to heise.de (2a02:2e0:3fe:1001:302::), 30 hops max, 16 byte packets
 1  2001:67c:20a0:b106::1 (2001:67c:20a0:b106::1)  210.715 ms  270.872 ms
345.296 ms
 2  fdd3:5d16:b5dd:3::3 (fdd3:5d16:b5dd:3::3)  404.430 ms  495.371 ms  440.782 ms
 3  2001:67c:20a0:a::1 (2001:67c:20a0:a::1)  478.699 ms  653.240 ms  802.837 ms
 4  te0-0-2-3.c350.f.de.plusline.net (2001:7f8::3012:0:2)  835.519 ms  *  *
 5  te2-2.c301.f.de.plusline.net (2a02:2e0:11:16:c::301)  570.465 ms  474.169 ms
 495.419 ms
 6  2a02:2e0:10:0:c::2 (2a02:2e0:10:0:c::2)  468.548 ms  699.555 ms  911.812 ms
 7  te2-4.c102.f.de.plusline.net (2a02:2e0:10:1:c::2)  960.449 ms  773.708 ms
767.789 ms
 8  2a02:2e0:3fe:0:c::1 (2a02:2e0:3fe:0:c::1)  795.358 ms !S  864.275 ms !S
835.685 ms !S

#--------------------------------#

Mehr Informationen über die Mailingliste Freifunk-Bonn