[ipv6-tf] wot ciekawostka "przejściowa"

Jacek Zapala jacek w it.pl
Śro, 23 Mar 2011, 10:26:31 CET 

* Lukasz Stelmach (stlman w poczta.fm) [110323 10:07] wrote:
> W dniu 22.03.2011 15:23, Jacek Zapala pisze:
> > * Karol Olszewski (karol.olszewski w petrus.com.pl) [110322 15:11] wrote:
> >> Dnia 22.03.2011 14:51, Jacek Zapala pisze:
> >>>
> >>> Jak widać było z zaprezentowanego traceroute, jest dostępne publicznie
> >>> (czyli 2001::/32 jest zapewne ogłoszony do plix). Przynajmniej z icmu
> >>> routing tam prowadzi. Jeśli masz klienta teredo (czyli pod linuxem również
> >>> miredo lub windows już od xp) to ruch pomiędzy Tobą (
> >> Zestawiłem na szybko tunel z XP w maszynie wirtualnej ale nic to nie
> >> daje, dlatego pytam czy aster wpuszcza wszystkich czy tylko swoich
> >> klientów (wedle adresacji itp). :)
> [...]
> > Jeśli by ogłaszał 2001::/32 a nie przepuszczał ruchu, to należałoby go jak
> > najszybciej odstrzelić, bo uniemożliwiałby komunikację pomiędzy wszystkimi
> > użytkownikami teredo na świecie a posiadaczami ipv6 w plixie (przynajmniej
> > tymi, którzy akceptują prefix 2001::/32 z astera).
> 
> W tę stronę (IPv6->IPv4+Teredo) działają (patrz traceroute)
> pytanie jest czy przyjmują tunelowane dane spoza spoza swojej
> siecie IPv4 (IPv4+Teredo->IPv6).

Wydaje mi się że nie do końca wiesz jak następuje wybranie relaya teredo.
Serwer (nazwijmy tak maszynę z natywnym ipv6) odpowiada na pinga
inicjującego transmisję (poprzednie etapy pomijam jako nieistotne dla
problemu). Echo reply idzie z adresu serwera na adres z puli teredo
(2001::/32). Gdzieś po drodze trafi na teredo relay (w omawianym przypadku ten
Astera). Ten relay od tej pory będzie używany przez klienta do dwustronnej
komunikacji z serwerem.

Zatem Aster wystawiając publicznie routing do swojego relaya teredo MUSI
akceptować ruch obustronnie. Nie robiąc tego, zepsuje połączenia pomiędzy
użytkownikami teredo na całym świecie ipv4 a światem ipv6 korzystającym z
ogłoszonego przez Aster prefiksu 2001::/32.

Takie rozwiązanie ma swoje zalety - wybierany jest relay teredo znajdujący
się jak najbliżej serwera. Ma również wady - łatwo ten mechanizm zepsuć.
Dlatego ma sens posiadanie gdzieś w pobliżu sprawnego relaya teredo - wtedy
zapewniamy dobry dostęp klientów teredo do naszych usług a także
zabezpieczamy się przed sytuacją w której ktoś ogłosi nam swój relay który
niekoniecznie musi działać.
Dlatego mamy bramkę w swojej sieci.

Pozdrawiam,
	Jacek

Więcej informacji o liście ipv6-tf