isc-dhcpv6, работа с dhcpv6-relay агентами

Windows-клиенты при использлвании автонастройки ipv6 адрес DNS-сервера могут получать только от DHCPv6 сервера. RDNS опция в RA от роутера не поддерживается,
cоответственно без DHCPv6 сервера никак. Под рукой был isc-dhcp на freeebsd из портов – Internet Systems Consortium DHCP Server 4.2.6, его и завел. Конфигурация довольно простая – сами ipv6 адреса и префиксы раздавать с dhcp не нужно было, нужен был только адрес DNS-сервера. Сами сегменты с ipv6 лежали где-то за роутерами, а сервер на сервере :) соответственно предполагалось использование dhcpv6-relay agent на железках. Грабельки нашлись и там и там.

На роутерах настраивался router-advertisement с опцией ipv6 ND other-config-flag.
Настройки dhcpd6.conf почти все дефолтные для тестов

А вот дальше грабельки… Для отладки сначала запускал сервер из консоли
dhcpd -6 -f -d -cf ./dhcpd6.conf bce1 На что isc-dhcp мне сразу заявил что запускаться на интерфейсе для которого не объявлена subnet6 не будет.

Вот так вот! И пофиг что запросы будут приходить с релеев и по сути от сервера требуется только слушать сокет на 547м порту. В документации упоминается опция конфига
local-address, котора якобы как раз байндит сервер на слушаюший сокет, но для ipv6 она вообще не работает, сервер ругается на синтаксис.

Ладно ip6 сокет слушать он не умеет, добавил я subnet6 с интерфейса в конфиг и запустил сервер. Все заработало, INFORMATION-REQUEST сервер понимает и отдает только опцию с DNS-сервером. Но были обнаружены и вторые грабельки, вытекающие из первых – если на интерфейсе настроено несколько ip6 алиасов, из-за того что сервер не байндится на определенный ip6 адрес, на который приходят запросы с relay agent’ов, то ответ от сервера имеет в address-source совсем не тот адрес на который пришел запрос, от чего промежуточный statefull фаервол между сервером и агентами был вовсе не в восторге.

Вобщем как-то не впечатлил меня isc-dhcpv6, не продуктивное решение какое-то, надо попробовать альтернативы, тот же dnsmasq что-ли.

Ну и про настройку dhcpv6-relay agent’ов на железках – на Cisco ASA заработал с пол-пинка, конфиг 2 строчки

Все прекрасно форвардится и обычные запросы и info-req

А на Juniper SRX агент не заработал, или я чего не так накрутил.
Конфиг вобщем-то простой:

Причем не работает все как-то очень жетко, на юнипере крешится процесс jdhcp, придется трясти JTAC.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">