Centro Piccolo + LAN Firewall: statisches Routing oder RIP?

Wenn du nach deiner Eingabe noch einen save machst sollte die statische Route auch reboots überleben.

static-routes
      destination-network "Test"
        enable on
        conn-oid "LAN"
        next-hop "192.168.1.49"
        network "192.168.16.0"
        netmask "255.255.255.0"
        metric 5
save
exit
restart

Hoi TuxOne,

vielen Dank für deine Antwort.

Mein Problem ist aber, dass die Konfiguration zwar "da" ist (habe ach brav save gemacht), aber per "show ip route" nicht auftaucht.

Aber evtl. habe ich schlechte Augen oder der Netopia braucht einfach ein bisschen länger? Heute ist die Route da. 😄

nun habe ich noch das Problem, dass ich dasselbe bei ip6 versuche, aber dort bekomme ich die Fehlermeldung, dass statische Routen im IPv6 Modus "dp" nicht zulässig sind.

Da stellt sich noch die Frage

- was ist "dp"

- kann ich den Modus auf "static" umbauen? Geht dann das Swisscom IPv6 noch? Bekomme ich dann auf den Deckel? 😉

Ich würde meinen /60 gerne in 4 /64 aufteilen auf meiner Firewall.

Nun gut. Da muss ich selber über die Bücher 😉

Du hast im labs trial aber gute Chancen schlaue Antworten zu bekommen 🙂

m2c:

ip6 conn (type = dp, side = lan). A conn of type “delegated prefix” obtains its global prefix information from
one or more prefix another IPv6 conn (typically a WAN conn) , if available. In order for a “dp” connection to
become fully operational, its underlying link must be up AND the IPv6 connection which delegates the prefix must
have created one or more prefixes from which to draw the “dp” connection's global prefix.

http://www.ron-berman.com/wp-content/uploads/2011/11/nvg510manual.pdf

Das ist natürlich abhängig vom 6RD Tunnel der aufgebaut wird, hier können die IP's bei Privatkunden ja ändern.

Aus meiner Sicht wird es da eher schwierig mit static 🙂

Falls du einen Weg findest berichte bitte darüber. Ich lerne gerne dazu. Du kannst das mit deinem Equipment ja probieren.

Andere Lösungen wären einen funktionierenden igmpproxy für dein Lancom zu finden.

Wie auch 6RD Lösungen für Lancom via goggle ausgespuckt werden, also kein Ding der Unmöglichkeit würde ich sagen.

Es wird auch schon an einer Firmware für Motorola gearbeitet bei der der IP-Passtrough wieder geht.

Idee da, falls igmp nicht funktioniert. 6RD auf dem Motorola deaktivieren. IP weiterleiten und 6RD auf dem Lancom konfigurieren.

Kommt Zeit kommt Rat kommt Attentat 🙂

Hoi Tuxone vielen Dank für deinen Input.

Ich glaube ich habe das Szenario endlich durchblickt. Also das CPE (CP=Piccolo, also CPE = Customer Premise Equipment oder auch Centro Piccolo Endpunkt, lustig die Abkürzungen) baut einen 6rd Tunnel auf. über diesen Tunnel kommt ein /60 DP (delegated prefix) mit. diesen soll dann das CPE intern über DHCPv6 verteilen. Autoconfiguration mit /64 prefix geht aber ebenfalls.

Den /60 Prefix habe ich auf dem CP aber nicht gefunden.

Dieser Prefix ist leider dynamisch.

Meine Firewall (es ist kein LanCom, es ist eine FortiGate) müsste nun also den DP per DHCPv6 beziehen, intern in z.B. /64er Prefixe aufsplitten und diese dann auf die internen VLANs geben zwecks SLAAC.

Das wird so leider nicht gehen.

Alternativ Szenario2: Ich bekomme den 6rd Tunnel auf meiner FortiGate genattet über den CP hin und deaktiviere den 6rd Tunnel dort. Bedingung ist die Weitergabe der Tunnelpakete an die FortiGate (sollte kein Problem sein ist ja "nur" IPv4 routing + NAT + forwarding). dann noch ein wenig Script Bastelei denn für den Tunnel muss die Forti die öffentliche IP des CP wissen (also z.B. einen DynDNS Eintrag aktualisieren und auslesen). Das wird eher schwierig, denn es braucht einen Scheduler und den habe ich auf dem Ding noch nicht gefunden. Dafür einen PC laufen lassen der dann das Script per SSH auf der Box startet ist auch nicht schön.

Szenario 3: Swisscom TV auf der Forti ans fliegen bringen.

Wird auch eher schwierig. Warum:

- igmp snooping: setzt ein Layer zu niedrig an. Die Forti ist ein PIMv2 kompatibler Multicast Router. Default Policy ist natürlich deny all, ist ja ein Security Device. Muss ich also erstmal zerfummeln. Ich habe zwar Multicast mal im Lab ans  fliegen gebracht aber ohne den guten Willen des Swisscom support könnte das hier schwierig werden. Da bin ich einfach nicht so sicher was ich tun muss.

Zwites Problem: TOS und Shaping. Kann ich aus dem CP auslesen und "übersetzen". Aber eigentlich ist mir meine Freizeit dafür zu schade.

Drittes Problem: die eben erwähnte Zeit. Ich muss hier auch den WAF einrechnen. 1-2 Stunden kein Fernsehen geht, aber 2-3 Tage? Da fliegt das "gute Geschirr von Oma". 😉

Ich werde diesen Topic updaten wenn mir eine Lösung zugeflogen ist welche berichtenswert ist.

Mit der Fotigate klappt es ab Version 5:

Modell 60C mit Firmware v5.0,build0147 (GA Patch 1)

1. Zwei Multicast-Adress-Objekt erstellen
config firewall multicast-address
Forti (multicast-address) # show
config firewall multicast-address
    edit "Swisscom_IPTV1"
        set end-ip 224.255.255.255
        set start-ip 224.0.0.0
    next
    edit "Swisscom_IPTV2"
        set end-ip 239.255.255.255
        set start-ip 239.0.0.0
    next
end

2. AdressObjekt für Swisscom-TV Box erstellen
 config firewall address
Forti (address) # show
config firewall address
    edit "SwisscomTV"
        set associated-interface "internal"
        set subnet 192.168.xxx.yyy 255.255.255.255 Bemerkung: lokale IP der TV-Box
    next
end

3. Zwei Multicast Policy erstellen
Forti # config firewall multicast-policy
config firewall multicast-policy
    edit 1
        set srcintf "wan1"
        set dstintf "internal"
        set srcaddr "all"
        set dstaddr "Swisscom_IPTV1" "Swisscom_IPTV2"
    next
    edit 2
        set srcintf "internal"
        set dstintf "wan1"
        set srcaddr "SwisscomTV"
        set dstaddr "Swisscom_IPTV1" "Swisscom_IPTV2"
        set nat enable
    next
end

 
Hoffe jemand kann davon pofitieren.

olitv, vielen Dank.

Ich habe das mal ausprobiert - aber klappt leider noch nicht. Irgendwo hakt es scheinbar noch. Muss ich noch was allgemeines umstellen? IGMP forwarding o.ä. ?