[Berlin-wireless] IPv6 VPN - Re: [solved] Freifunk und Kabeldeutschland geht (fast) garnicht. (IPv6, MTU)

Bastian fly
Sa Jan 31 18:49:59 CET 2015 

Hallo,

vorweg, ich hab gerade weder 0.0.0-kathleen noch DS-Lite parat.

On 01/31/2015 11:33 AM, Volker Tanger wrote:
>> am Rande sei noch anwaehnt das mir KD nur eine IPv6 verpaßt. Falls es
>> das Problem umschifft (DS-lite) waere hier evtl die v6 Adresse des VPN
>> als Auswahl fuer die config des VPN gut. 
> 
> Die neue Default-Kathleen hat den DNS-Namen (vpn03.berlin.freifunk.net)
> eingetragen.

Ja? Neulich meinte noch jemand, dass alle zusätzlichen VPN03-Server
erstmal ein neues Release der Berliner-Firmware benötigt, weil dort noch
die VPN03-IPs Hardcoded drinstehen.

> Damit funktioniert dann auch das Round-Robin.
> Und bei ergänzendem Einschalten eines IPv6 muss man dann nur noch einen
> AAAA-Record 'drauflegen und schon verbindet der sich mit dem IPv6-Gate.

Für einen der beiden vpn03-Instanzen gibt es schon einen AAAA-Record. Ob
OpenVPN UPD auch auf der IPv6-Adresse lauscht ist eine andere Sache.

Interessant ist auch, ob sich unsere Firmware am WAN-Port auch eine
v6-Adresse holt (DHCPv6/SLAAC) und das policy-routing entsprechend
gesetzt ist.

> Dann müsste man das auf Serverseite aber so machen, dass nur IPv4 durch
> den Tunnel geht, denn routed-IPv6-over-routed-IPv6 ist eher so meh.

Naja, erstmal außen IPv6, dann können wir uns um das innere IPv6 kümmern.

Spannend finde ich ja, wie das mit MTU bei so DS-Lite Anschlüssen
aussieht. Reines IPv6 kennt keine Fragmentation und AFAIK gilt häufig
MTU von 1280. Wenn wir die VPN03-Server/OpenVPN noch mehr Fragmentieren
lassen, sieht das mit Skalierung noch schlechter aus...

Bisher konnten wir das MTU-Thema bei Endgeräten noch ignorieren. Gerade
bei den batman-adv/fastd Communities scheint das ja nicht gerade trivial
zu sein für und Enduser WLAN-Clients muss eine bestimmte MTU gesetzt
werden, da sonst $ganz_schlimme_dinge passieren


> ...was aber bei der Störerhaftung dann auch nicht wirklich hilft.
> 
> Je weiter wir in Richtung IPv6-Verbreitung gehen, desto mehr dürfte das
> zu einem Problem(chen) werden.

Gruß
Bastian

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 473 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20150131/baff0916/attachment.pgp>

Mehr Informationen über die Mailingliste Berlin