janmichaelvincent

Jo, kdyby aspoň šla proxy, měl bych pořád plus minus plnohodnotný router. Takhle to je jenom switch, který zákeřně manipuluje s packety, takže ještě horší hack. DNS řeším ale hlavně kvůli blokování reklam a to prakticky funguje dobře. Spíš jsem bral jako challenge, jestli jsem schopný to rozchodit aspoň trochu rozumně s tímhle omezením. A třeba se to bude hodit někomu dalšímu. OpenWRT mi rovnou přiděluje do sítě i ULA prefix, takže to není úplně marné. Dál budu zkoušet, jestli funguje tahle sranda. :D A až mě to přestane bavit, vždycky můžu zacálovat za dual stack a přepnout krám do bridge módu.

Tak bohužel IPv6 relay (NDP proxy) se mi zprovoznit nepodařilo... což jsem trochu čekal, když jsem četl na redditu i tady, že už to pár lidí zkoušelo a neúspěšně. Nakonec jsem z OpenWRT udělal bridge, který ale dokáže pomocí nftables hijacknout veškerý DNS traffic (IPv4 i IPv6) a poslat ho na lokální dnsmasq, který pak forwarduje podle toho, co se nastaví v Network -> DHCP and DNS -> Forwards -> DNS Forwards. Takže např. vytvořit /etc/custom-dns-redirect.nft #!/usr/sbin/nft -f table bridge broute delete table bridge broute # Bridge broute table - unbridge DNS packets table bridge broute { chain prerouting { type filter hook prerouting priority -300; policy accept; # Unbridge IPv4 DNS packets (send to routing) ip protocol udp udp dport 53 meta pkttype set host ip protocol tcp tcp dport 53 meta pkttype set host # Unbridge IPv6 DNS packets (send to routing) ether type ip6 meta l4proto { tcp, udp } th dport 53 meta pkttype set host } } table ip nat delete table ip nat # IPv4 NAT - redirect DNS to my resolver table ip nat { chain prerouting { type nat hook prerouting priority dstnat; policy accept; udp dport 53 redirect to :53 tcp dport 53 redirect to :53 } } table ip6 nat delete table ip6 nat # IPv6 NAT - redirect DNS to my resolver table ip6 nat { chain prerouting { type nat hook prerouting priority dstnat; policy accept; udp dport 53 redirect to :53 tcp dport 53 redirect to :53 } }Spustit chmod +x /etc/custom-dns-redirect.nf a pak přidat do /etc/rc.local # Put your custom commands here that should be executed once # the system init finished. By default this file does nothing. /etc/custom-dns-redirect.nft exit 0 Hlavní bylo zajistit, aby br-lan interface získal taky globální IPv6 adresu z Vodafone Station, takže je tam Alias Interface lan6 s DHCPv6 klientem. DNS queries přes IPv6 totiž chodí z globálních adres klientů a OpenWRT by nevěděl, jak je routovat zpátky. Každopádně to bude fungovat jenom v případě, že data fyzicky tečou přes zařízení s OpenWRT, takže není možné používat VF Station Wi-Fi ani jeho další LAN porty. EDIT: Ještě bylo potřeba zaškrtnout Network -> DHCP and DNS -> Resolv & Hosts Files -> Ignore resolv file.

@quadra2030 Samozřejmě potřeba bridge vyvstává hlavně z důvodu, že na VF modemech nejde nic nastavit / jsou rozbité. Proto je i Fritz přijatelná alternativa.

Budu nejspíš brzy řešit stejný problém. Chci zkusit za VF Station zapojit OpenWRT router v režimu IPv6 relay, který by měl teoreticky umožňovat DNS override a routováni prefixu v podsíti pomocí NDP proxy. Šlo by to teda líp, kdyby Station uměl DHCPv6-PD.

@Jenda055 Však to je fér. Já to zkusil s Compalem a měl jsem smůlu. Že vůbec někomu funguje dual stack s dynamickou veřejnou IPv4 je momentálně opravdu jen nedopatření. Nicméně i tak by bylo za mě žádoucí, aby Vodafone poskytoval jakoukoliv možnost plnohodnotné IPv6 konektivity (když víme, jak dojebali delegaci prefixu a další věci) a nepodmiňoval to pořízením statické IPv4. No... třeba se v budoucnu dočkáme.

@Jenda055 Jenže já nepotřebuji pevnou IPv4. Zajímá mě čistě jenom IPv6 v bridgi. IPv6 adres je prakticky nekonečno, ale Vodafone mi nutí router mode (nebo tu statickou IPv4), aby mi zároveň přidělil /56 blok adres. To je skutečně stupidní. A je sice hezký, že momentálně čirou náhodou funguje trik s Arrisem, ale to je mi k ničemu.

@Veronika - Vodafone Děkuji, ale o Ultra Hub nemám zájem. Zjišťuji speciálně, jestli ještě Vodafone má zbylé kusy AVM FRITZ!Boxu. Vypadá to, že ano. Na lince mi pouze sdělili, že ne k mému tarifu (250/200). Mrzí mě, že když už je konečně po letech širší nabídka zařízení, stále si zákazník nemůže sám vybrat podle svých potřeb a místo toho čelí zdánlivě náhodně nastaveným omezením, která jsou zcela umělá.

Zkoušel někdo v poslední době konfigurovat na VF Station firewall? Stále to funguje tak, že se musí deaktivovat kompletně a za 24 hodin se sám zapne? Zajímá mě, jestli je možné nějak rozumně zpřístupnit vybrané zařízení z internetu přes IPv6. Na GitHubu jsem teda našel super projekt, kde se pomocí cronu jednou za den spustí nějaký skript, který ten firewall vypne. 😂

@quadra2030Právě, že v bridgi nelze oficiálně získat IPv6 jinak, než že si člověk dokoupí pevnou IPv4 za 175,- / měsíc. To je ta stupidita. Jinak bych jednoznačně použil svůj vlastní box s OPNsense nebo OpenWRT.

Jo, tak na lince mi právě řekli, že FRITZe dávají z důvodu nedostatku zařízení pouze ke 2 Gb tarifu.

@Marek-26Opravdu FRITZ jen pro firemní zákazníky? Tak to já opět ostrouhám. 😆

Určitě bych vlastní modem kupoval až v případě největší nouze. Arris by byl dost fajn, kdyby k němu byl defaultně dual stack bez nějakých hacků (objednávání a následné rušení statické IPv4), jinak mi na IPv6 konektivitu s možností pokročilé konfigurace vychází cenově líp FRITZ. Beru to jako 120 vs. 20 + 175 (protože to nelze zcela vyloučit).

@Marek-26 Doufám, že tam zase není nějaká hloupá podmínka, že k tomu musí být nejméně gigabit. Aha... nebo tohle platí stále? Že se dávají jenom k 2 Gbps?

@zajdee No jo, akorát těžko říct, jak moc je to future-proof. Samozřejmě, kdyby se mi podařilo Arris sehnat, určitě tenhle manévr zkusím znovu. :D Ale když mi jde primárně o IPv6 konektivitu, zvažuju i jiné možnosti. Třeba Fritz!Box? Ale netuším, jestli ho ještě dávají. V podstatě mi stačí něco, co je DOCSIS 3.1 (kvůli uploadu) a dá se to normálně nastavit (nebo alespoň funguje DHCPv6-PD).

Chci se zeptat na nějaké nedávné zkušenosti. Ještě pořád platí nesmysl, že pro připojení vlastního modemu je potřeba v systémech Vodafonu nejprve jakoby deaktivovat všechny služby a zavést je znovu? Jde mi samozřejmě o to, jestli je možné přejít na vlastní modem bez ztráty kabelové televize s CA moduly.