Onderwerp: IPv6 uitdelen van IP-adressen

Wij zijn bezig met het voorbereiden van IPv6 om het in gebruik te nemen binnenkort.
Onze Cisco's en firewalls zijn allemaal Ipv6 ready.

Nu nog een indeling voor de IPV6-adressen. Daar loop ik een beetje vast.

Wat delen jullie uit bij 1/4 rack bijvoorbeeld? /48 of minder?
En bij 1 server?

Ik zat er aan te denken voor elke losse server gewoon het ipv4adres om te zetten naar Ipv6.

::ffff:192.168.89.9 bijvoorbeeld


Ik ben benieuwd hoe jullie dit doen of gaan doen

Wij geven onze eigen servers gewoon 1 IPv6 adres, daarbij gebruiken we wel per soort dienst een aparte reeks.

Klanten met colocatie (ook voor 1U) krijgen gewoon een /64 bij ons.

Hier kriijgt ieder domeinnaam z'n eigen adres. Mocht er dan ooit wat geblocked worden op /128 niveau dan blijft de rest van de sites 't gewoon doen. En hoeven we ons nooit meer druk te maken over klanten die een certificaat aan hun site willen hangen. Daarnaast zouden we makkelijker DDOS's aan moeten kunnen pakken wanneer 1 specifieke site onder vuur genomen wordt.

Hiervoor krijgt bij ons iedere server een /64 (volgens de specs zou dit 't kleinte deelbare blok moeten zijn). Het is dat we geen kasten verhuren, maar die zou ik gewoon een /56 (of /48, maar wat je daar dan weer mee moet...) geven. Wat we met resellers gaan doen weten we nog niet (die zouden we natuurlijk een eigen /108 kunnen geven ofzo waar ze zelf uit kunnen uitdelen)...

Ik zou in ieder geval niet voor je ipv4 notatie gaan. Nu heb je een kans om alles op een logische manier in 1 range in te delen; en daar zou ik dan ook zeker gebruik van maken. Daarnaast werkt je plan niet meer op het moment dat je een server hebt die alleen nog maar een ipv6 adres heeft (en die gaan er komen - ooit).

Heerlijk, omdat het niet op kan zijn we al weer aan het verspillen?

Ik denk dat we gewoon IPv6 hetzelfde moeten behandelen als IPv4 bij het uitdelen. Is toch onzin "nu hebben we veel eten dus laten we alles opeten want over paar maanden heb ik toch geen honger" ?

Ja, laten we iedereen ook weer achter NAT zetten, ging immers prima bij ipv4...

Daarnaast is een /64 per server inderdaad fors, maar ja, we hebben dan ook een hoop, en een /64 is volgens de specs 't smallest distributable block.

Oorspronkelijk geplaatst door Freakingme

Hier kriijgt ieder domeinnaam z'n eigen adres. Mocht er dan ooit wat geblocked worden op /128 niveau dan blijft de rest van de sites 't gewoon doen. En hoeven we ons nooit meer druk te maken over klanten die een certificaat aan hun site willen hangen. Daarnaast zouden we makkelijker DDOS's aan moeten kunnen pakken wanneer 1 specifieke site onder vuur genomen wordt.

Redenatie snap ik, maar hoe doe je dit in je servers!?

Wij hebben het ook overwogen, maar in een cluster omgeving is het een drama, ik zie de "ifconfig" output al voor me.

Welke software gebruiken jullie op de hosting omgeving?

Wij draaien (momenteel) een redelijk standaard DA setup dus per server valt het aantal ip adressen wat daadwerkelijk gebruikt wordt (en geconfigged) wel mee. We hebben wel overwogen om meteen een /64 te configgen, maar het aantal kernel objecten zou vragen om een investering in ram die onbetaalbaar zou zijn.

Wat je eventueel wel zou kunnen doen is kijken of je met iptables address translation slechts op 1 ip te luisteren, en toch inkomende verbindingen op je hele /64 te accepteren. Of wellicht realistischer/praktischer is 't om een /64 te routen naar een tun/tap device, en van daar uit te fixen. Moet je alleen nog iets hacken waardoor je services 't originele ip voorgeschoteld krijgen. Mocht dat lukken zie ik graag hoe je 't gedaan hebt :P

Dit lijkt btw wat je zoekt.

Oorspronkelijk geplaatst door Freakingme

Dit lijkt btw wat je zoekt.

Als ik het zo lees, is dat alleen voor IPv4

Oorspronkelijk geplaatst door Freakingme

Hier kriijgt ieder domeinnaam z'n eigen adres

Ik ken servers met meer dan 500 domeinnamen, ik ben benieuwd wat voor extra resources 500 IP adressen zouden vragen.

Oorspronkelijk geplaatst door Wido

Als ik het zo lees, is dat alleen voor IPv4

iptables doet inderdaad alleen ipv4, maar met ip6tables zou dat ook moeten kunnen denk ik.

@T.bloo one way to find out: Gewoon uitproberen. Per ip waar je op luistert (zonder TPROXY dus) wordt 1 kernel object gebruikt. Met 500 ip's ofzo is dat prima te doen (zal een paar mb kosten). Heb je echter 2^64 kernel objecten nodig; dan moet je veel, heel veel ram gaan bijprikken.

Oorspronkelijk geplaatst door t.bloo

Ik ken servers met meer dan 500 domeinnamen, ik ben benieuwd wat voor extra resources 500 IP adressen zouden vragen.

Het lijkt mij ook niet echt handig om alle domeinen een eigen IPv6 te geven. Je vraagt hier veel extra resources mee. Apache zal het ook niet echt fijn vinden uiteindelijk denk ik

Oorspronkelijk geplaatst door ichosting

Het lijkt mij ook niet echt handig om alle domeinen een eigen IPv6 te geven. Je vraagt hier veel extra resources mee. Apache zal het ook niet echt fijn vinden uiteindelijk denk ik

Sinds wanneer? Ip-based virtualhosting is nog altijd sneller dan namebased virtualhosting, in ieder geval in Apache...

Oorspronkelijk geplaatst door GC-Hosting

Heerlijk, omdat het niet op kan zijn we al weer aan het verspillen?

Ik denk dat we gewoon IPv6 hetzelfde moeten behandelen als IPv4 bij het uitdelen. Is toch onzin "nu hebben we veel eten dus laten we alles opeten want over paar maanden heb ik toch geen honger" ?

Onzin redenatie. Er zijn praktisch oneindig IPv6 adressen.

Oorspronkelijk geplaatst door Freakingme

Wij draaien (momenteel) een redelijk standaard DA setup dus per server valt het aantal ip adressen wat daadwerkelijk gebruikt wordt (en geconfigged) wel mee. We hebben wel overwogen om meteen een /64 te configgen, maar het aantal kernel objecten zou vragen om een investering in ram die onbetaalbaar zou zijn.

Geef je een range op, of config je alle virtuele adapters in de config files ?