מאמרים אחרונים

שתף בפייסבוק שיתוף בפייסבוק
RSS - מאמריםמאמרים
RSS - פורומיםפורומים
דווח למנהל דיווח למנהל
קישור לעמוד זה קישור לעמוד זה
עוד בקבוצת HT



שאלה למומחי IPv6


   פורומים > HTPC ומחשוב > רשתות, IT ומחשוב
מחבר הודעה
boojum
חבר שרק התחיל
חבר שרק התחיל

הצטרף בתאריך:
  Aug 17, 2018
מספר הודעות: 8

 #1  נשלח: ד' 06/02/2019 14:31
שאלה למומחי IPv6

מסתבר שסלקום תומכים ב-6to4 מעל VDSL מה באופן מפתיע...
יש לי ראוטר של AVM ואם מסמנים שם את האפשרות להפעיל 6to4 אז באופן קסום מקבלים ״מנהור״ עובד באופן נפלא.
השאלה היא האם משהו יודע איך אני מפעיל את הקסם הזה בראוטרים של Ubiquiti או של חברות אחרות בהן אין אוטומציה קסומה כזו. לחלופין: האם משהו מכיר את הפרוטוקול מספיק טוב כדי להסביר איך הראוטר מחשב את ה-ipv6 gateway שמנהל את המנהור עבור סלקום. זה לא נראה Hurricane Electric ולא מצליח למצוא זמן לחשב את זה לבד.
תודה!
| פרופיל | שלח הודעה | חפש
NegativeIQ (דן)
חבר מביא חבר
חבר מביא חבר

הצטרף בתאריך:
  Dec 13, 2005
הבעות תודה: 386
מספר הודעות: 3405

 #2  נשלח: ה' 07/02/2019 16:09
Re: שאלה למומחי IPv6

boojum כתב:
מסתבר שסלקום תומכים ב-6to4 מעל VDSL מה באופן מפתיע...
יש לי ראוטר של AVM ואם מסמנים שם את האפשרות להפעיל 6to4 אז באופן קסום מקבלים ״מנהור״ עובד באופן נפלא.
השאלה היא האם משהו יודע איך אני מפעיל את הקסם הזה בראוטרים של Ubiquiti או של חברות אחרות בהן אין אוטומציה קסומה כזו. לחלופין: האם משהו מכיר את הפרוטוקול מספיק טוב כדי להסביר איך הראוטר מחשב את ה-ipv6 gateway שמנהל את המנהור עבור סלקום. זה לא נראה Hurricane Electric ולא מצליח למצוא זמן לחשב את זה לבד.
תודה!

בגדול בשביל 6to4 אתה צריך להגדיר שרת relay שמולו נפתח ה-Tunnel. הסיבה שזה עובד ברגע שאתה מסמן וי בלי שום קינפוג נוסף הוא קיומה של "כתובת קסם" - 192.88.99.1, שמפנה אותך לשרת ה-relay הציבורי הקרוב אליך. התקן הזה הוא deprecated כבר מ-2015 אבל נראה שברוב המקרים הוא עדיין עובד, ככה שאתה מצליח להתחבר.
אתה לא ממש יכול להפעיל 6to4 בכל ראוטר, כי הקושחה של הראוטר חייבת לתמוך בזה. חלק גדול מהראוטרים אפילו לא תומכים ב-IPv6 בכלל, שלא לדבר על 6to4. אתה יכול לנסות להחליף קושחה - לפחות ככל שמדובר ב-Ubiquiti חלק מהדגמים שלהם תומכים ב-OpenWRT באופן מלא, ואז אתה יכול להתקין תמיכה ב-6to4 אם אתה רוצה (אבל אל תצפה לממשק משתמש מצוחצח).
אפשרות נוספת היא להתקין רכיב 6to4 על המחשב שלך ולפתוח את ה-tunnel ממנו במקום מהראוטר.
| פרופיל | שלח הודעה | חפש
eran405
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Feb 27, 2012
הבעות תודה: 331
מספר הודעות: 1773

 #3  נשלח: ה' 07/02/2019 16:54
Re: שאלה למומחי IPv6

boojum
·

כמו ש-NegativeIQ ה-6to4 הזה די ארכאי. מחיפוש בגוגל קל למצוא תוצאות איך לקנפג את זה ב-edgerouter:
https://community.ubnt.com/t5/EdgeRouter/IPv6-6to4...
https://www.reddit.com/r/networking/comments/33wcs...

לדעתי התקנת openwrt (או קושחה צד שלישי אחרת) על ציוד של Ubiquiti זה די מחטיא את המטרה של לקנות ציוד כזה ולקבל את הקושחה המצוינת שלהם עם עדכונים ותמיכה ברמה עסקית (כמובן ברב החברות שמכוונות לשוק העיסקי משלמים הרבה יותר ומקבלים תמיכה ברמה אחרת אבל עדיין בשביל המחיר לדעתי אין תחרות לתמיכה ש-Ubiquiti נותנת).
מה גם שאני די בטוח שכל דבר שאפשר לעשות ב-openwrt אפשר "להעתיק" ל-edgerouter כי שניהם בסופו של דבר מערכות unixיות. השאלה היחידה זה כמה השקעה זה ידרוש....
| פרופיל | שלח הודעה | חפש
NegativeIQ (דן)
חבר מביא חבר
חבר מביא חבר

הצטרף בתאריך:
  Dec 13, 2005
הבעות תודה: 386
מספר הודעות: 3405

 #4  נשלח: ו' 08/02/2019 8:56
Re: שאלה למומחי IPv6

eran405 כתב:
@boojum
·

כמו ש-NegativeIQ ה-6to4 הזה די ארכאי. מחיפוש בגוגל קל למצוא תוצאות איך לקנפג את זה ב-edgerouter:
https://community.ubnt.com/t5/EdgeRouter/IPv6-6to4...
https://www.reddit.com/r/networking/comments/33wcs...

לדעתי התקנת openwrt (או קושחה צד שלישי אחרת) על ציוד של Ubiquiti זה די מחטיא את המטרה של לקנות ציוד כזה ולקבל את הקושחה המצוינת שלהם עם עדכונים ותמיכה ברמה עסקית (כמובן ברב החברות שמכוונות לשוק העיסקי משלמים הרבה יותר ומקבלים תמיכה ברמה אחרת אבל עדיין בשביל המחיר לדעתי אין תחרות לתמיכה ש-Ubiquiti נותנת).
מה גם שאני די בטוח שכל דבר שאפשר לעשות ב-openwrt אפשר "להעתיק" ל-edgerouter כי שניהם בסופו של דבר מערכות unixיות. השאלה היחידה זה כמה השקעה זה ידרוש....

קודם כל התמיכה הבסיסית ב-IPv6 עצמו חייבת להיות מובנית ב-kernel. אם קימפלו את ה-kernel עם תמיכה (מובנית או כמודול) אתה במצב סביר. אם קימפלו את ה-kernel בלי תמיכה ב-IPv6 שום דבר לא יעזור. לגבי ה-Tunnel עצמו לא בטוח האם אפשר לעשות את זה מ-User mode לגמרי או שגם צריך תמיכה ב-Kernel אבל בכל אופן אתה כנראה עושה משהו שלא נתמך ישירות ע"י היצרן.
| פרופיל | שלח הודעה | חפש
eran405
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Feb 27, 2012
הבעות תודה: 331
מספר הודעות: 1773

 #5  נשלח: ו' 08/02/2019 9:23
Re: שאלה למומחי IPv6

NegativeIQ
·

כמו שכבר כתבתי יש ל-edgerouters תמיכה מלאה ב-ipv6 ו-tunnels וכו' אז ברור שקימפלו את הקרנל עם כל הדברים האילו.

ל-edgerouters יש GUI מינימלי יחסית, הם לאט לאט מוסיפים אליו דברים אבל הגישה של החברה בעצמה שדברים מתקדמים אתה עושים רק מה-CLI. הקושחות שלהם גירסא מותאמת של VyOS של Vyatta ולכן גם דרך ה-CLI הדבר היותר נח הוא להשתמש ב-configure של VyOS/EdgeOS אבל הם גם תומכים בהגדרות ישירות של המערכת ה-unixית ש"מתחת" להגדרות המובנות. ובנוסף גם תומכים בחבילות שמרחיבות את ההגדרות המובנות (נשמע דומה למשהו?).

לדוגמא אצלי קינפגתי שרת VPN של IKEv2 שלא נתמך בהגדרות "הרישמיות" ע"י הגדרות ישירות של ה-strongswan:
https://www.hometheater.co.il/vp2871016#2871016
א. הגדרות אילו מבוססות על מידע בפורמים של החברה, כשחלק מהמידע מגיע מעובדים של החברה שמנסים לעזור.
ב. יש גם אופציה אחרת של להתקין חבילת deb (כלומר חבילה של debian) שמוסיפה אפשרות לקנפג את כל ההגדרות בקונפיגורציה הרגילה של ה-edgerouter (דרך ה-CLI כמובן, לא דרך ה-GUI, אבל אם אני מבין נכון אפשר גם לכתוב חבילות שמרחיבות את ה-GUI):
https://community.ubnt.com/t5/EdgeRouter-Beta/1-8-...
למיטב הבנתי זה חבילה שפותחה ע"י משתמש אבל גם במקרה הזה אפשר לראות עובדים של החברה שפעילים בשירשור הנ"ל ומנסים לעזור כמה שהם יכולים.

בכל ציוד תמיד יהיה גבול לקונפיגרוציה המובנת שלו. ב-edgerouters הם פותחים לך את כל האופציות לקונפיגורציה: מהגדרות ב-GUI, להגדרות דרך המערכת הנוחה וגמישה שלהם ב-CLI, ועד הגדרות ו-scripts ברמה ה-unixית, כשבהכל גם עובדים של החברה וגם "הקהילה" מנסים לעזור אם אתה שואל בפורמים שלהם.

אם זה נקרא אצלך "משהו שלא נתמך ישירות ע"י היצרן", אין לי בעיה עם הטרמינולוגיה אבל שיהיה ברור שיש הבדל שמיים וארץ בין "משהו שלא נתמך ישירות ע"י היצרן" בציוד של Ubiquiti ל"משהו שלא נתמך ישירות ע"י היצרן" בציודים ביתיים אפילו כאלה יקרים בהרבה. לצערי אני לא מכיר מה קורה בציודים עסקיים יותר רציניים (כגון cisco וכאלה).
| פרופיל | שלח הודעה | חפש
boojum
חבר שרק התחיל
חבר שרק התחיל

הצטרף בתאריך:
  Aug 17, 2018
מספר הודעות: 8

 #6  נשלח: ו' 08/02/2019 9:50
תודה רבה לכולם!

תודה רבה לכולם!
כן, ראיתי שה-edgerouter מקונפג נפלא מה-cli... מקווה שיהיה לי את הזמן לשחק עם כל הדברים הללו (במיוחד ה-VPN...).


עכשיו רק צריך להחליט שזה יותר מתאים לבית שלנו מאשר ה-Fritz!box הדי מדהים למרות שברור לגמרי שאלו שני מוצרים שלא מיועדים בהכרח לאותו קהל יעד...
(אגב, לפחות מבחינת הוייפיי, הספוטים של UniFI טובים בהרבה ממה שה-״פריץ!בוקס״ נותן, כולל ה-1750E שלהם. זה בכלל לא באותה ליגה מבחינת כיסוי ואיכות הסיגנל. היתרון היחיד של ה פריץ!בוקס זה בנוחות קונפיגורציה מדהימה).

נ.ב השלב הבא זה לחבר את הכל לפיירוול התעשייתי שיש לי בבית ממקום העבודה... זה עדיין פרוייקט בהתהוות...
| פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 345
מספר הודעות: 1825

 #7  נשלח: ו' 08/02/2019 13:01

טוב אנסה לעשות קצת סדר בבלגן. נתחיל מזה שסלקום לא תומכים לא ב IPv6 בכלל ולא ב 6to4 בפרט והשימוש בו כלל לא קשור ישירות בהם. אפשר להמשיך בזה שקומבינה העקומה זו שמכונה בשם 6to4 יצאה מהשימוש כבר לפני יותר מעשור וטוב שכך, בגלל שזה היה גם דבר שלא מתפקיד כלל בצורה עקבית ואמינה ובנוסף לזה גם יצר חור אבטחה ענק. על נושא זה לפני שנים התפרסמו אינספור מאמרים שאני כבר לא פעם כאן בפורם הזכרתי אותם וגם עכשיו יכול לצרף קישור לכמה מהם. למשל כותרת של אחד מהם היא כמה שלא מפתיע:
6to4 - Why is it so Bad?
https://labs.ripe.net/Members/emileaben/6to4-why-i...
ועוד אחד משנת 2010:
6to4 - How Bad is it Really?
https://labs.ripe.net/Members/emileaben/6to4-how-b...

כך שאפשר להבין ששימוש בדבר זה, זה כלל לא אופציה. מי שרוצה היום להשתמש ב IPv6 במדינות מאותגרות טכנולוגית כמו ישראל למשל יכול לעשות את זה לבד בלי טובות של אף אחד, בדיוק כמו שעושים את זה כאן כבר שני עשורים וזה דרך Tunnel Broker , למשל דרך Hurricane Electric. כך הוא מקבל גם טווח ענק של כתובות IPv6 קבועות משלו שהוא יכול לנצל אותן לכל מה שהוא נדרש. וגם שהוא עובר ספק להשאיר את אותן הכתובות.
בישראל כל מה שקשור לשימוש ב IPv6 ברמת ספק ללקוח פרטי לא מתקדם מעבר לעוד הכרזה ועוד כתבה פעם בכמה שנים וכך זה נהוג עוד מלפני שנת 2000. וכך זה יהיה גם בעתיד הקרוב. למשל אחת הכתבות כאלה שהתפרסמה באתר של איגוד האינטרנט הישראלי בשנת 2001:
https://www.isoc.org.il/internet-il/articles-and-r...
ועוד סיפור אחד כזה שלהם כבר מלפני שנה:
https://www.isoc.org.il/wp-content/uploads/2018/06...
מיותר לציין שבתקופה בין שני הסיפורים האלה התפרסמו כאן כמויות של כתבות עם אותו התוכן ועל אותו הנושא, רק שמן הסתם שמעבר לעוד כמה מילים ריקות אין לזה שום משמעות.

בקשר לפיירוול התעשייתי, אז בבית אין לו יותר מדי שימוש, כי פיירוול התעשייתי אמור להגן על רשת SCADA תעשייתית שרוב הסיכויים שבבית אין בכלל אחת כזו.
זו גם הסיבה שבאף רשת ארגוית לא מתקינים פיירוול התעשייתי, אלה רק במתקני תעשייה כמו רשת תפעולית של חח'י או של בז''ן לדוגמה. יותר מזה, גם לא תוכל לחבר פיירוול התעשייתי לרשת הביתית שלך, בגלל שמדובר על ממשקי רשת שונים לגמרי.
| פרופיל | שלח הודעה | חפש
boojum
חבר שרק התחיל
חבר שרק התחיל

הצטרף בתאריך:
  Aug 17, 2018
מספר הודעות: 8

 #8  נשלח: ו' 08/02/2019 14:33
קצת סדר בסדר

תודה על התגובה והנה קצת סדר בתוך הסדר:
1. אני מחובר דרך סלקום, ו-6to4 עובד בפועל מבלי שהייתי צריך להגדיר דבר או חצי דבר. בין אם סלקום עצמם נותנים את זה או מישהו אחר, אין לי מושג עדיין וזה לא רלוונטי (לצורך העניין הזה בלבד) לעובדה שזה עובד ואני רוצה שזה יעבוד גם בראוטר השני. עכשיו, האם זה טוב או לא טוב, זו שאלה אחרת לגמרי. כרגע, זה מאפשר לי לעשות דברים שכשורים לעבודה שלי מהבית בצורה פשוטה. (מאמין שאעבור לשיטה אחרת בקרוב)
2. פיירוול תעשייתי: המילה "תעשייתי" אולי מעט מטעה. התכוונתי לפיירוול מסחרי גדול שיש לי בבית במגסרת עבודה בחברה בינלאומית גדולה שמתעסקת בפיירוולים גדולים. הוא כבר מקונפג חלקית לעבוד עם ספק אינטרנט דרך pppoe כך שאין בכלל שאלה האם הוא יכול או לא יכול לעבוד בבית. כל מה שנותר לי לעשות זה לסדר את התמיכה ב-ipv6 מה שלא קשור לשרשור הזה וסתם הזכרתי את זה בשביל הכיף וכי אני נהנה לשחק עם רשתות...
| פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 345
מספר הודעות: 1825

 #9  נשלח: ו' 08/02/2019 18:19

1. אחרי שכבר קראת את הקישורים שנתתי מקודם אז אתה כבר בטח יודע למה לא כדאי להשתמש ב 6to4, עד כמה זה מסוכן לך מבחינת אבטחת מידע ועד כמה זה לא יכול להיות יציב כחיבור ולמה לא ניתן לסמוך על זה כחיבור או ככישוריות IPv6 . בתוספת זה שהחיבור של Hurricane Electric החינמי והפשוט הוא מונע את כל הבעיות אלה ונותן חיבור יציב, כך שאפילו אין כאן שום התלבטות. ה"ראוטר השני", אם אנו מדברים על edgerouter של UBNT, אז הוא די מוגבל עם התוכנה המקורית, מעבר לחומרה המוגבלת שלו, אבל, אם מדובר על דגם שניתן להתקין עליו את OPENWRT, אז אחרי זה הוא כבר תומך בחיבור של IPv6 דרך Hurricane Electric וגם יכול לתת לרשת ביתית פשוטה חיבור בסיסי.
2. גם, אם התכוונת ל"פיירוול מסחרי גדול", מבלי הדגם המדוייק עדיין לא ניתן לדעת על מה מדובר, אבל גם, אם מדובר על מוצר ארגוני, כמו דגם מתקדם של JUNIPER , CISCO, ALCATEL, או כל מוצר דומה, ברשת ביתית רוב הסיכויים שהשימוש בו יהיה מוגבל ביותר, מסורבל ולא בטוח שניתן יהיה לקבל ממנו תועלת כלשהיא. מצד שני, אם מדובר בכלל על מוצר שהוא לא "פיירוול מסחרי גדול", אלה סבונייה SOHO קטנה, כמו סוג של FORTINET או כמו דגם SMB של CISCO, אז אפשר לקבל ממנו גם בנוסף לא מעט כאב ראש, לפני שזורקים אותו לפח. הדבר זהה גם עם מוצר שהוא ישן וכבר EOL .
בכל מקרה, ברגע שיהיה לך מכשיר בעל משאבי חומרה מספיקים לרשת ביתית, שמריץ את OPENWRT, אז זה כבר מספיק לך לשימוש של IPv6 וגם לרוב הצרכים הבסיסיים של רשת ביתית.
| פרופיל | שלח הודעה | חפש
boojum
חבר שרק התחיל
חבר שרק התחיל

הצטרף בתאריך:
  Aug 17, 2018
מספר הודעות: 8

 #10  נשלח: ו' 08/02/2019 19:17
תודה. החכמתי...

תודה לכולם. עזרתם מאוד.
| פרופיל | שלח הודעה | חפש
eran405
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Feb 27, 2012
הבעות תודה: 331
מספר הודעות: 1773

 #11  נשלח: ו' 08/02/2019 22:34

sys_admin כתב:
אם אנו מדברים על edgerouter של UBNT, אז הוא די מוגבל עם התוכנה המקורית...
·

היות שאנחנו מדברים כאן על IPv6, אני מניח שאתה מתכוון שאין ל-edgeOS עדכני תמיכה טובה ב-IPv6. ממנה שאני מכיר דווקא יש לו תמיכה מצוינת ב-IPv6 כולל prefix delegation וכו'.

תוכל לפרט ואם אפשר לתת קישורים רלוונטים בדיוק למה התכוונת לעיל ואיזה תכונות בדיוק חסרות ב-edgeOS שקייימות ב-openwrt?
(ספציפית לגבי הדבר הארכאי והלא רלוונטי הזה 6to4 אז כמו שכבר נתתי קישורים לעיל אפשר להפעיל את זה ב-edgeOS אבל כנראה שלא בצורה נוחה, כמובן שהדבר הזה לא באמת מעניין אותי ואני שואל לגבי תמיכה בצורות עבודה המקובלות היום).
| פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 345
מספר הודעות: 1825

 #12  נשלח: ו' 08/02/2019 23:54

אפילו דבר בסיסי כזה לנושא של IPv6 כמו תמיכה בעבודה מול IPv6 Tunnel Broker לא ממומש במלואו ב edgeos האחרון. למרות שקיימים מדריכים שמצהירים שתמיכה קיימת, עדיין רוב הפרמטרים הנדרשים למנגנון זה כלל לא מיושמים שם. זה המדריך העדכני המדובר, שאפשר לראות עד כמה חסרים בו רוב הפרמטרים:
https://help.ubnt.com/hc/en-us/articles/204976104-...
בנוסף לזה, גם המנגנוני חלוקת כתובות IPv6 ב edgeos , מנגנטנים כמו שרת DHCPv6 וכמו מנגנון של router advertisement בשביל חלוקת כתובות בצורת slaac, לא ממומשים כל שניתן להסתמך עליהם. כל הדברים אלו טופלו במערות הפעלה אחרות לנתבים, מערכות כמו OpenWRT או כמו PFSense כבר לפני שנים רבות.
בכלל הנתבים אלה של UBNT, זה דבר בעיתי ביותר והם לא דומים כלל לציוד המצוין אחר ש Ubiquiti מייצרת. רק שציוד ש Ubiquiti מתמחה בו זה ציוד לתקשורת אלחוטית מסדרת Air Fiber למשל, שנותן אפשרות של חיבורים אלחוטיים למרחקים של עשרות רבות של קילומטרים במהירויות של יותר מ 1GBPS באמינות גבוהה ובמחיר שחברות אחרות בתחום לא יכולות לעמוד בו.
| פרופיל | שלח הודעה | חפש
eran405
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Feb 27, 2012
הבעות תודה: 331
מספר הודעות: 1773

 #13  נשלח: שבת 09/02/2019 0:40

sys_admin כתב:
אפילו דבר בסיסי כזה לנושא של IPv6 כמו תמיכה בעבודה מול IPv6 Tunnel Broker לא ממומש במלואו ב edgeos האחרון. למרות שקיימים מדריכים שמצהירים שתמיכה קיימת, עדיין רוב הפרמטרים הנדרשים למנגנון זה כלל לא מיושמים שם. זה המדריך העדכני המדובר, שאפשר לראות עד כמה חסרים בו רוב הפרמטרים:
https://help.ubnt.com/hc/en-us/articles/204976104-...


אם אני מבין נכון ה-Tunnel Broker זה בדיוק ה-6to4 ש-boojum מחפש. נראה לי אפילו שהלינק שמצאת זה הוראות יותר טובות ממה שקישרתי קודם .
ככה או ככה:
א. זה ממש לא מעניין אותי (כמו שאמרנו זה משהו ארכאי שאין סיבה שאף אחד ישתמש בו היום).
ב. כמו שכבר נאמר זה לא נתמך בצורה טובה ב-edgeOS. עד כמה זה יכול להספיק לצרכי פותח השירשור קשה להגיד בלי לבדוק את המקרה לגופו.

sys_admin כתב:
בנוסף לזה, גם המנגנוני חלוקת כתובות IPv6 ב edgeos , מנגנטנים כמו שרת DHCPv6 וכמו מנגנון של router advertisement בשביל חלוקת כתובות בצורת slaac, לא ממומשים כל שניתן להסתמך עליהם.
·

אתה מדבר כאילו של-edgeOS יש איזה מימוש משלהם לכל הדברים האילו וזה פשוט לא נכון.

לדוגמא שרת DHCP הברירת מחדל ב-edgeOS הינו dhcpd שתומך בכל האופציות האילו:
https://www.isc.org/wp-content/uploads/2017/08/dhc...
והנה "מדריך" איך להשתמש באופציות שלא מובנות ב-configure:
https://help.ubnt.com/hc/en-us/articles/204960074-...

בפקודת configure פשוטה אפשר במקום dhcpd להשתמש ב-dnsmasq כשרת dhcp שלמיטב הבנתי זה בדיוק מה ש-openwrt משתמש.

כמובן גם router advertisement ו-slaac נתמכים בצורה מלאה. לא בגלל ש-edgeOS כזה מיוחד, אלא בגלל שהוא בדיוק כמו openwrt ומוצרים דומים אחרים, פשוט מעטפת דקה מעל כלי linux/gnu סטנדרטיים. לכן גם ההערה שלך קודם הייתה לי כל כך מוזרה ולא הגיונית.

לבסוף למען הסר ספק שה-edgeOS זה פשוט linux הנה ה-uname של ה-edgerouter lite שלי שמריץ גירסת קושחה 1.10.8 (אני מחכה שגירסא 2.0 תתייצב קצת לפני שאני משדרג אליה):
קוד:
*****@erlitet:~$ uname -a

Linux erlitet 3.10.107-UBNT #1 SMP Tue Nov 20 17:01:37 UTC 2018 mips64 GNU/Linux

והנה איך להתקין חבילות שלא מגיעות "out of the box":
https://help.ubnt.com/hc/en-us/articles/205202560-...
| פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 345
מספר הודעות: 1825

 #14  נשלח: שבת 09/02/2019 9:17
Re: שאלה למומחי IPv6

eran405 כתב:

אם אני מבין נכון ה-Tunnel Broker זה בדיוק ה-6to4 ש-boojum מחפש. נראה לי אפילו שהלינק שמצאת זה הוראות יותר טובות ממה שקישרתי קודם .
ככה או ככה:
א. זה ממש לא מעניין אותי (כמו שאמרנו זה משהו ארכאי שאין סיבה שאף אחד ישתמש בו היום).
ב. כמו שכבר נאמר זה לא נתמך בצורה טובה ב-edgeOS. עד כמה זה יכול להספיק לצרכי פותח השירשור קשה להגיד בלי לבדוק את המקרה לגופו.

·

Tunnel Broker זה כלל לא 6to4, אלה שבמקרה זה מדובר בפרוטוקול 6in4 , שדברים המשותפים בהם זה רק שמדובר על מינהור של IPv6 בתוך IPv4 וששניהם משתמשים ב Protocol 41 לצורך התעבורה שלהם. כמו שפעם היו מכנים את המצב זה, same same but different .
הקישור שנתתי מקודם, הוא באמת מעודכן ורשמי מהאתר תמיכה של UBNT וממנו ניתן כבר לראות ש edgeOS לא תומך בצורה סבירה ב Tunnel Broker. אנסה להסביר גם מה הסיבה. לצורך הגדרת תקשורת תקינה מול hurricane electric נדרשים נתוני הזדהות כמו TunnelID , כמו שם משתמש וכמו סיסמה. כל השדות אלה לא ניתן להגדיר ב edgeOS. זו רק דוגמה קטנה למה חסר בו. צירפתי צילומי מסך מההגדרות לרלוונטיות אצלי ב OpenWRT .
בקשר ל 6to4, הבעיה העיקרית, היא לא בזה שזה משהו ארכאי ( כי גם למשל פרוטוקול IPv4 הוא בכמה עשרות שנים יותר "ארכאי" ממנו ובכל זאת משתמשים בו ), אלה שמדובר על משהוא שיצא משימוש בגלל בעיות רבות שחלק מהן זה בעיות אבטחה, יציבות ואמינות. שזה כבר כשלעצמו מספיק בשביל לא להשתמש בו ברגע שקיימת חלופה חינמית מומלצת על ידי גוף הקובע תקני אינטרנט העולמיים.

eran405 כתב:

אתה מדבר כאילו של-edgeOS יש איזה מימוש משלהם לכל הדברים האילו וזה פשוט לא נכון.

לדוגמא שרת DHCP הברירת מחדל ב-edgeOS הינו dhcpd שתומך בכל האופציות האילו:
https://www.isc.org/wp-content/uploads/2017/08/dhc...
והנה "מדריך" איך להשתמש באופציות שלא מובנות ב-configure:
https://help.ubnt.com/hc/en-us/articles/204960074-...

בפקודת configure פשוטה אפשר במקום dhcpd להשתמש ב-dnsmasq כשרת dhcp שלמיטב הבנתי זה בדיוק מה ש-openwrt משתמש.

כמובן גם router advertisement ו-slaac נתמכים בצורה מלאה. לא בגלל ש-edgeOS כזה מיוחד, אלא בגלל שהוא בדיוק כמו openwrt ומוצרים דומים אחרים, פשוט מעטפת דקה מעל כלי linux/gnu סטנדרטיים. לכן גם ההערה שלך קודם הייתה לי כל כך מוזרה ולא הגיונית.

לבסוף למען הסר ספק שה-edgeOS זה פשוט linux הנה ה-uname של ה-edgerouter lite שלי שמריץ גירסת קושחה 1.10.8 (אני מחכה שגירסא 2.0 תתייצב קצת לפני שאני משדרג אליה):
קוד:
*****@erlitet:~$ uname -a

Linux erlitet 3.10.107-UBNT #1 SMP Tue Nov 20 17:01:37 UTC 2018 mips64 GNU/Linux

והנה איך להתקין חבילות שלא מגיעות "out of the box":
https://help.ubnt.com/hc/en-us/articles/205202560-...

·

למרות שכמעט בכל מערכת ניתוב בעשורים האחרונים משתמשים במודול DHCPD של ISC, עדיין בכל אחת מהן המימוש שלו שונה לגמרי עם אפשרויות אחרות ואת האפשרויות החסרות לא ניתן לממש מבלי הידור מחדש של קוד מקור שלא משוחרר בדרך כלל ואם כן אז חסרים בו תלויות רבות שהופכות את התהליך לבלתי אפשרי. ולא מדובר אפילו על זה שלמודול מקורי קיימות מספר רב של גרסאות ויש מי, כמו למשל אותם המפתחים של edgeOS שלא לוקח את הגרסה האחרונה דווקא וגם במשך שנים גם לא מעדכן אותה כלל, אלה גם בגרסה מקבילה ניתן לממש אפשרויות מסוימות ואחרות לא לממש או לממש בצורה מסוימת מאוד. ובשביל לשנות את זה לא ניתן לערוך את הקבצי תצורה, אלה שנדרש לבצע את כל התהליך הפיתוח התוכנה מחדש.
עד כמה שזה לא מפתיע לא רק edgeOS או mikrotik הם על בסיס של LINUX, אלה גם אפילו הנתבים הביתיים כמו שבזק מחלקת ללקוחות הם גם על בסיס זה, אבל עדיין זה לא נותן אפשרות של עבודה לא עם edgeOS ולא עם mikrotik עם חבילות LINUX רגילות, אלה רק עם כאלה שהותאמו על ידי מפתח המערכת הרלוונטית.
אחד הבעיות היא גם בזה שיש בקרב המפתחים מי שפשוט לא מעדכנים את המערכת שלהם במשך שנים ואני אפילו לא מדבר על מודולים חיצוניים כמו DHCPD, אלה אפילו על KERNEL עצמו. שמם הרע של מפתחי edgeOS גם בזה הולך לפניהם. למשל, אם ב OPENWRT משתמשים כרגע בגרסת 4.9.152/4.14.95 , אז ב edgeOS משתמשים עוד בגרסה שלוש !!! העתיקה. מיותר לציין איך זה משפיע על נושא של אבטחת מידע או על יציבות הכללית של המערכת.




| פרופיל | שלח הודעה | חפש
eran405
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Feb 27, 2012
הבעות תודה: 331
מספר הודעות: 1773

 #15  נשלח: שבת 09/02/2019 11:43
Re: שאלה למומחי IPv6

sys_admin כתב:
למרות שכמעט בכל מערכת ניתוב בעשורים האחרונים משתמשים במודול DHCPD של ISC, עדיין בכל אחת מהן המימוש שלו שונה לגמרי עם אפשרויות אחרות ואת האפשרויות החסרות לא ניתן לממש מבלי הידור מחדש של קוד מקור שלא משוחרר בדרך כלל ואם כן אז חסרים בו תלויות רבות שהופכות את התהליך לבלתי אפשרי.
·

ההשוואה עם ראוטרים ביתיים היא לא לעניין. ברור שגם ראוטר ביתי מבוסס על מערכת linuxיות כזו או אחרת וברור שגם בראוטר ביתי הם לא יעשו מימוש משלהם לשרת DHCP. הבעיה שהם לא חושפים שום ממשק ל-dhcpd/dnsmasq והדרך היחידה להגיע להגדרות מתקדמות זה התקנת קושחות צד שלישי שמחליפות לגמרי את כל מערכת ההפעלה, בהרבה מקרים שוברים את האחריות ולפחות פעם אחרונה שניסיתי היו מאד בעייתים מבחינת עדכונים ותמיכה (אני לא אומר שזה המצב בשביל כל אחד אבל לי זה לא כזה מתאים קושחות צד שלישי ללא תמיכה ועדכונים מחברה מסודרת).

לגבי הנושא של הידור מחדש וכו', למיטב הבנתי זה פשוט לא נכון (או לפחות לא משהו ייחודי ל-edgeOS). כמו שכבר הבאתי לך קישורים ה-edgeOS מבוסס על debian ולכן כל טענה כזאת היא בעצם טענה לגבי debian ולא edgeOS. האם באמת ה-dhcpd של debian "שונה לגמרי עם אפשרויות אחרות ואת האפשרויות החסרות לא ניתן לממש מבלי הידור מחדש"?
אם אני טועה אנא הבא קישורים מתאימים או תראה לי איזה אופציות יש נגיד ב-dnsmasq של debian שאין ב-dnsmasq של edgeOS.

מה שכן, אכן יש את הנושא של גירסת ה-debian והעדכון שלה, שאגע בו עכשיו:

sys_admin כתב:

אחד הבעיות היא גם בזה שיש בקרב המפתחים מי שפשוט לא מעדכנים את המערכת שלהם במשך שנים ואני אפילו לא מדבר על מודולים חיצוניים כמו DHCPD, אלה אפילו על KERNEL עצמו. שמם הרע של מפתחי edgeOS גם בזה הולך לפניהם. למשל, אם ב OPENWRT משתמשים כרגע בגרסת 4.9.152/4.14.95 , אז ב edgeOS משתמשים עוד בגרסה שלוש !!! העתיקה. מיותר לציין איך זה משפיע על נושא של אבטחת מידע או על יציבות הכללית של המערכת.
·

עד ממש לימים אילו הם השתמשו כנראה בגירסת Wheezy של debian (שהיא באמת די ישנה וכבר מה שנקרא "obsolete"). אני לא יודע למה הם לא שידרגו באמצע ל-Jessie אבל גם אם היו משדרגים הקרנל היה נשאר בגירסא 3.

בדיוק בימים אילו בדיוק הם משדרגים מ-Wheezy ל-Stretch ולכן גם הקרנל מתעדכן לגירסא 4.9. כלומר הם כבר מיישרים קו לחלוטין עם גירסאות עדכניות של הקרנל וכל החבילות.

תמיד אפשר לעשות יותר טוב, ויכול מאד להיות ש-Ubiquiti לא עדכנו את הציודים שלהם בצורה מספקת בעבר אבל לפחות ממה שאני רואה בתקופה האחרונה הם די בסדר בנושא הזה (אני מתעסק עם edgerouters פחות משנה ובתקופה הזו היה להם עדכון בערך כל חודש וחצי וכל העדכונים עברו חלק ללא כל התעסקות או מאמץ מצידי).

אם כבר הטענה העיקרית שלי ושל אחרים "נגדם", היא שהם הוציא את גירסא 2.0.0 כאשר עדיין יש בה באגים קריטיים (במיוחד על ER-X):
https://community.ubnt.com/t5/EdgeRouter/EdgeMAX-E...

למי שמעדיף "קידמה" על פני "אמינות", אפשר היה להשתמש ב-alpha/beta של גירסה 2.0 כבר לא מעט זמן.

לדעתי אין בכלל מה להשוות את זה עם העדכונים של ציוד ביתי. אפילו אם חברה מסוימת מקפידה על עדכונים: א. זה כנראה יהיה רק לציודים הכי חדשים שלה ולזמן מוגבל. ב. אין שום שקיפות אז קשה מאד לדעת בדיוק מה הם מעדכנים, מתי ולמה.

בוא נשווה רגע לקושחות צד שלישי:

א. הבעיה העיקרית שלי עם קושחות צד שלישי שמאד קשה למצוא "הבטחה" שבילד מסויים אמור להיות יציב על הראוטר הספציפי שיש לי. אם יש מזל אז יש לך דגם שיש דיון אקטיבי עליו וקל להתרשם בנושא אבל זה לא בדיוק משהו מסודר כמו חברה שנותנת לך קושחה יציבה עם עדכונים יציבים ולכל הפחות תספוג פגיעה במוניטין שלה אם תשחרר גירסא "דפוקה" (ה-2.0.0 שהזכרתי לעיל הוא מקרה אפור כי הם כן ציינו באופן ברור את הבאגים הפתוחים בו ברגע השיחרור ומי שמשדרג בלי לפחות לבדוק known issues...).
שלא לדבר על זה שהם מחליפים או מתקנים לך את הראוטר אם קורה brick בתהליך העדכון. ראיתי כמה וכמה מקרים של משתמשים בפורמים שקרה להם brick והחליפו להם את הראוטר (הם כמובן לא היו מרוצים מה-brick ובצדק אבל זה עדיין הבדל גדול מ-brick ב-openwrt/ddwrt שאין שום סיבה שהיצרן יקח אחריות על זה).

ב. לפחות ב-ddwrt תהליך העדכון מסורבל ביותר:
https://wiki.dd-wrt.com/wiki/index.php/Installatio...
ובכל מקום מדגישים שאתה חייב לעשות ריסט 30-30-30 אלף פעמיים בשביל כל דבר הכי קטן (לכל הפחות צריך 30-30-30 לפני שאתה עושה את העדכון ועוד אחד אחרי ואז לשחזר את ההגדרות כו').

תשווה אם תהליך העדכון ב-edgeOS:
https://help.ubnt.com/hc/en-us/articles/205146110-...
מניסיון זה לוקח 2 שניות, ללא כל בעיות וללא כל התעסקות או מחשבה בנושא.

אני פחות מכיר openwrt אבל אפילו אם זה לא כזה נורא כמו ddwrt זה ממש לא ברמת נוחיות וחוסר התעסקות כמו edgeOS:
https://openwrt.org/docs/guide-quick-start/sysupgr...


לדוגמא ה-E4200 הארכאי שלי (דגם מ-2010 לפי wikidevi), ,תקוע בגלל זה בגירסה:
קוד:
[email protected]:~# uname -a

Linux gateway 2.6.24.111 #31556 Mon Nov 14 03:05:20 CET 2016 mips DD-WRT

(אני יכול כנראה לשדרג ל-3 אבל למיטב הבנתי ביצועי ה-wifi ירדו והיציבות תיפגע ויש את הסיכון ל-brick והוא בין כה וכה משתמש רק כ-AP)

ה-edgerouter lite שגם די ארכאי (דגם מ-2013) ויכול להריץ היום קרנל 4.9 בלי בעיה (הסיבה שלא שדרגתי אותו עדיין זה הבעיות של גירסה 2.0.0 עם ה-ER-X שיש לי גם אותו ואני מעדיף ששניהם יריצו בדיוק את אותה הגירסה). בשבועות בקרובים שניהם בטוח ישודרג ל-4.9.

לבסוף לגבי הנושא של security, חיפשתי קצת ואני לא מצליח למצוא שום תוצאות רלוונטיות לגבי security vulnerabilities "אמיתיים" שפותחים בגירסאות עדכניות של ה-edgeOS. אני לפחות רוצה להאמין שהם מתקנים דברים כאלה בעדכונים שלהם (בעדכונים שהתקנתי על הציוד שלי בשנה מינוס האחרונה נכללו גם עדכוני אבטחה).
אני די בטוח שאם המצב היה כזה נורא כמו שאתה מתאר, כבר היה קם איזה חוקר אבטחה וצולב אותם ובצדק.

אם יש לך קישורים רלוונטיים לגבי בעיות אבטחה פתוחות ב-edgerouters אשמח לראות.
| פרופיל | שלח הודעה | חפש
כל הזמנים הם שעון חורף - ישראל (GMT+2) הצג הודעות קודמות:    
פורומים > רשתות, IT ומחשוב


  
    שם משתמש:
נתוני כניסה לכל אתרי HT:

  סיסמא:
 

  


 | 

קפוץ אל: 
לא ניתן לשלוח הודעות בפורום זה
לא ניתן להגיב להודעות בפורום זה
לא ניתן לערוך את הודעותיך בפורום זה
לא ניתן למחוק את הודעותיך בפורום זה
לא ניתן להצביע לסקרים בפורום זה
לא ניתן לצרף קבצים בפורום זה
לא ניתן להוריד קבצים בפורום זה

תקנון / תנאי השימוש באתר צור קשר / contact us כל הזכויות שמורות לקבוצת ht