Во всех регионах, кроме регионов Дальнего Востока, целевой срок запуска — август (повторюсь, что прошу не сильно "бить" если не чуток задержимся). Вся техника готова (завершаем тесты).
Дальний Восток начнем делать осенью этого года.
В итоге, по данному кейсу я склоняюсь к тому, что на телефоне стоит что-то, что мешает прохождению пакета ICMPv6, type 2 (Packet Too Big) от сети. По логам обмена телефона с сетью видно, что в сторону трубки пакеты ушли. Подробное описание вот здесь.
Я перед тем как написать предыдущий пост, специально проверил. Вот выдержка из сигнального обмена.
Адресную часть я подзатер, чтобы не было лишних соблазнов...
CREATE_SESSION_RESPONSE
[PGW-S5/S2a/S2b]GTPv2C Tx PDU, from 213.87.xx.xx:2123 to 213.87.xx.xx:30512 (135)
TEID: 0x81900020, Message type: EGTP_CREATE_SESSION_RESPONSE (0x21)
Sequence Number: 0x4EA420 (5154336)
GTP HEADER
Version number: 2
TEID flag: Present
Piggybacking flag: Not present
Message Length: 0x0083 (131)
INFORMATION ELEMENTS
CAUSE:
Value:
Cause: EGTP_CAUSE_REQ_ACCEPTED (0x10)
PCE: 0
BCE: 0
CS: 0
С учетом того, что у нас 99% трафика APN internet.mts.ru "приземляется" на ближайший узел, проблем с пробросом трафика "префиксованных" APN-ов по месту их приписки нет. Да, задержка Москва — Владивосток 110ms — 120ms, но с этим ничего не поделаешь...
Мы планируем завершить настройки для APN internet.mts.ru, а чуть позже распространить на услугу "Real IP" (на этих APN-ах будет выдаваться динамические public IPv4 и public IPv6 адреса).
Public IPv4 адреса в последнее время покупаются на "свободном рынке" и за живые деньги. Закупочные процедуры в больших компаниях не простые и довольно длительные. Один IP адрес в NAT-пуле используется значительно эффективнее. А если кратко, то "Да, мы экономим IPv4 адреса".
Как тут уже было предложено, можно использовать DynDNS.
У нас APN internet.mts.ru "приземляется" на ближайший узел. К примеру, если абонент переместился из Москвы в Ижевск, то точка приземления изменится с Москвы на Н.Новгород.
Корпоративные APN-ы (с префиксами msk, sib и др.) жестко "прибиты" к узлам в соответствующих регионах. При этом куда бы не перемещался абонент, его трафик будет затягиваться именно в этот регион. К примеру, абонент с APN-ом с префиксом sib переместился из Сибири на Дальний Восток. В этом случае трафик все равно будет дотягиваться до Новосибирска.
По поводу статики я скажу, что мы и корпоративных абонентов отговариваем себе ее включать. Это накладно и для абонента и для нас. В большинстве случаев, спасает корпоративный APN с приватными статическими адресами.
Я не понял первое предложение. Если речь идет про IPv4v6 на iOS, то скажу, что мы работаем с Apple. Поддержка IPv4v6 (и не только) включается так называемым Carrier Bundle, который вшивается в прошивку. Перед тем, как CB появляется в новом релизе ПО, производится его тестирование и оператором и самим Apple. Повторюсь, что мы работаем над этим.
Все верно. Только для IPv6 даже зная /64 префикс потенциальной жертвы еще нужно найти конкретный /128 адрес, чтобы "стукнуться" к нему по TCP/445.
В любом случае, firewall на конечном устройстве лишним не будет.
Можно, но бОльшая часть интернет ресурсов будет недоступна. У них просто нет IPv6 адресов и адресоваться к ним без дополнительных приколов будет не просто...
+1
Да, CGNAT масштаба мобильного оператора — весьма затратная штука. Тут даже дело не столько в количестве белых адресов… Основное отличие мобильного оператора от фиксированного в том, что при сравнимом количестве трафика, мобильный оператор одновременно обслуживает бОльшее количество абонентов (сетевых устройств). Они создают бОльшую нагрузку на NAT (количество одновременных трансляций) и DNS (количество запросов на различные (ключевое слово)) ресурсов.
нужно качнуть для автономного прочтения…
Во всех регионах, кроме регионов Дальнего Востока, целевой срок запуска — август (повторюсь, что прошу не сильно "бить" если не чуток задержимся). Вся техника готова (завершаем тесты).
Дальний Восток начнем делать осенью этого года.
Услуга будет доступна всем абонентам.
В итоге, по данному кейсу я склоняюсь к тому, что на телефоне стоит что-то, что мешает прохождению пакета ICMPv6, type 2 (Packet Too Big) от сети. По логам обмена телефона с сетью видно, что в сторону трубки пакеты ушли. Подробное описание вот здесь.
Надеюсь, все встало на свои места. Я сам использую устройства с iOS и MacOS и, поверьте, лично заинтересован...
Я перед тем как написать предыдущий пост, специально проверил. Вот выдержка из сигнального обмена.
Адресную часть я подзатер, чтобы не было лишних соблазнов...
[PGW-S5/S2a/S2b]GTPv2C Tx PDU, from 213.87.xx.xx:2123 to 213.87.xx.xx:30512 (135)
TEID: 0x81900020, Message type: EGTP_CREATE_SESSION_RESPONSE (0x21)
Sequence Number: 0x4EA420 (5154336)
GTP HEADER
Version number: 2
TEID flag: Present
Piggybacking flag: Not present
Message Length: 0x0083 (131)
INFORMATION ELEMENTS
CAUSE:
Value:
Cause: EGTP_CAUSE_REQ_ACCEPTED (0x10)
PCE: 0
BCE: 0
CS: 0
В телефоне, обычно, можно настроить DNS сервера руками.
С учетом того, что у нас 99% трафика APN internet.mts.ru "приземляется" на ближайший узел, проблем с пробросом трафика "префиксованных" APN-ов по месту их приписки нет. Да, задержка Москва — Владивосток 110ms — 120ms, но с этим ничего не поделаешь...
Мы планируем завершить настройки для APN internet.mts.ru, а чуть позже распространить на услугу "Real IP" (на этих APN-ах будет выдаваться динамические public IPv4 и public IPv6 адреса).
Public IPv4 адреса в последнее время покупаются на "свободном рынке" и за живые деньги. Закупочные процедуры в больших компаниях не простые и довольно длительные. Один IP адрес в NAT-пуле используется значительно эффективнее. А если кратко, то "Да, мы экономим IPv4 адреса".
Как тут уже было предложено, можно использовать DynDNS.
Если запрошен IPv6 only, то сеть выдает только IPv6 DNS.
Выдавать IPv4 DNS абоненту у которого нет IPv4 адреса смысла нет.
добавили в хаб IPv6
У нас APN internet.mts.ru "приземляется" на ближайший узел. К примеру, если абонент переместился из Москвы в Ижевск, то точка приземления изменится с Москвы на Н.Новгород.
Корпоративные APN-ы (с префиксами msk, sib и др.) жестко "прибиты" к узлам в соответствующих регионах. При этом куда бы не перемещался абонент, его трафик будет затягиваться именно в этот регион. К примеру, абонент с APN-ом с префиксом sib переместился из Сибири на Дальний Восток. В этом случае трафик все равно будет дотягиваться до Новосибирска.
По поводу статики я скажу, что мы и корпоративных абонентов отговариваем себе ее включать. Это накладно и для абонента и для нас. В большинстве случаев, спасает корпоративный APN с приватными статическими адресами.
Постараемся запуститься в августе. Не "бейте" сильно если чуток задержимся.
попросил
Я не понял первое предложение. Если речь идет про IPv4v6 на iOS, то скажу, что мы работаем с Apple. Поддержка IPv4v6 (и не только) включается так называемым Carrier Bundle, который вшивается в прошивку. Перед тем, как CB появляется в новом релизе ПО, производится его тестирование и оператором и самим Apple. Повторюсь, что мы работаем над этим.
Можно номер для связи в личку? Наши Белорусские коллеги свяжутся и помогут.
Услышал, спасибо!
С mobile ip предвижу проблемы с СОРМом. Подумаем на эту тему.
Про префикс делегейшн для cpe поже возьму в проработку.
Все верно. Только для IPv6 даже зная /64 префикс потенциальной жертвы еще нужно найти конкретный /128 адрес, чтобы "стукнуться" к нему по TCP/445.
В любом случае, firewall на конечном устройстве лишним не будет.
не планируем
подключенная услуга + IPv6 (не IPv4v6) в настройках APN.
Можно, но бОльшая часть интернет ресурсов будет недоступна. У них просто нет IPv6 адресов и адресоваться к ним без дополнительных приколов будет не просто...
+1
Да, CGNAT масштаба мобильного оператора — весьма затратная штука. Тут даже дело не столько в количестве белых адресов… Основное отличие мобильного оператора от фиксированного в том, что при сравнимом количестве трафика, мобильный оператор одновременно обслуживает бОльшее количество абонентов (сетевых устройств). Они создают бОльшую нагрузку на NAT (количество одновременных трансляций) и DNS (количество запросов на различные (ключевое слово)) ресурсов.
Это можно опробовать и через whonix… Мы стараемся сделать "нативный" выход в сеть без дополнительных "приколов".