<br><br><div class="gmail_quote">On Sun, Mar 25, 2012 at 2:39 PM, Francis Dupont <span dir="ltr"><<a href="mailto:fdupont@isc.org">fdupont@isc.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im">> yea! I can go back to sleep.<br>
<br>
</div>=> not a bad idea, I finish this and go to sleep too.<br>
<div class="im"><br>
> >  - I tried to debug the dhclient6 init script:<br>
> >  * dhclient -6 requires '-D LL' to build a repeatable and<br>
> >   easy to predict DUID in the LL format (vs LLT format, which<br>
> >   is the MAC address + time stamp)<br>
> ><br>
> > As if you know the time before you have a  ntp lock, which you can't get<br>
> before you get on the internet.<br>
<br>
</div>=> this issue is well known: on devices with reliable storage you<br>
create once a LLT DUID, on others (like CPEs) you create each time<br>
the same LL DUID. So the -D LL is needed and without the strange<br>
MAC address is enough.<br></blockquote><div><br>Good to know. <br></div><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div class="im"><br>
> >  * for an unknown reason the MAC address is one less than written<br>
> >   on the box and returned by 'ip addr' ? Can't say why...<br>
> >   (the answer is in the code in dhclient which computes the DUID LL)<br>
> ><br>
> ><br>
> Sorry about that.<br>
><br>
> There are only 3 mac addresses on the box that are real. The rest are<br>
> generated via various algorithms. You probably hit the flip the 'local' bit<br>
> one?<br>
<br>
</div>=> no, it is the last byte (1b -> 1a for instance). wireshark shows it<br>
so I fixed the DHCPv6 config and went to other problems. But I noted<br>
to warn you so we should win some time the next demo.<br>
<div class="im"><br></div></blockquote><div><br>Hmm. That sounds like a bug. <br> <br></div><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="im">

>  * uci fails to get the wan interface (BTW with B4 there are two<br>
> >   wan interfaces, one (tun0) for IPv4, one (ge00) for IPv6<br>
> ><br>
> ><br>
> not clear to me this issue, something like uci get network.ge00.addr<br>
> (syntax maybe off) would work.<br>
<br>
</div>=> it asks the name so I replace the uci call by ge00.<br>
<div class="im"><br>
> >  - the iptables is a mess, I had to flush it (-F -X) and to<br>
> >   put the default policy for FORWARD<br>
<br>
</div>=> in fact I don't know if the tables were bad but it was impossible<br>
to debug them. And as you say a lot of rules make the box slow<br>
(the linked list of rules is scanned for packets not cached by conntrack,<br>
sorry but this is a pretty bad design :-)<br>
<div class="im"><br></div></blockquote><div>iptables seemed like a good idea in 1998.<br> <br></div><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div class="im">
> did you also have to nuke the ip6tables ?<br>
<br>
</div>=> no<br>
<div class="im"><br></div></blockquote><div><br>I note that I had to explicitly allow ipv6 proto 4 in /etc/firewall.user<br><br>I'm concerned about seeing some errors with frags in the log. (logread)<br> <br></div><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div class="im">
>  - default dnsmasq arguments didn't work, I relaunched without any<br>
> >   argument to fix it<br>
><br>
> hmm. What I had was working for me.<br>
<br>
</div>=> I tried once (by dig @<a href="http://127.0.0.1" target="_blank">127.0.0.1</a>), restart the init script, not<br>
work too, stop + dnsmasq &, works, go on the client to try other things.<br>
<br>
Note on the laptop I only install the dnsmasq package and removed<br>
the bind9 init script for run level 2, and it works when I rebooted<br>
to apply the new configs (addresses & co).<br>
<div class="im"><br></div></blockquote><div><br>Hmm. I was interacting with bind9 on <a href="http://io.lab.bufferbloat.net">io.lab.bufferbloat.net</a> not dnsmasq<br> <br></div><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div class="im">
> > I fixed the DHCPv6 server entries (required the LL prefix (03:01?)<br>
> > and -1 on the last byte. (PS: on the SD-AFTR).<br>
> ><br>
> > I had figured you'd just ifconfig ge00 and go from there.<br>
<br>
</div>=> ip addr but as far as I know both ip and ifconfig use the same ioctls?<br>
<div class="im"><br></div></blockquote><div><br>Puzzling. I'll look at it when I get to the lab.<br> <br></div><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div class="im">
> > In particular the SD-AFTR failover works great.<br>
> ><br>
> cool.<br>
<br>
</div>=> yes, I copied the config files, put them in place, compiled aftr,<br>
rebooted, suspend the other box, launch aftr, rush on the client,<br>
and one second after it was as I did nothing. So it was really<br>
stateless deterministic (and you can some other synonyms :-)!<br>
<div class="im"><br></div></blockquote><div>did ssh outgoing survive?<br> <br></div><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="im">

> If you can slam a copy of the entire working /etc directory somewhere I<br>
> will diff it against what is in the current images and fix it for the next<br>
> demos april 4.<br>
<br>
</div>=> I'll try to manage one hour or two to save the changes and try<br>
a more dynamic config (i.e., we can backtrack from the current working<br>
but a bit too manual and static setup to a full plug and play one,<br>
we only need an Ethernet plug outside the terminal room).<br>
<br></blockquote><div><br>I'm in no hurry today! ;) <br></div><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Regards<br>
<span class="HOEnZb"><font color="#888888"><br>
Francis Dupont <<a href="mailto:fdupont@isc.org">fdupont@isc.org</a>><br>
</font></span></blockquote></div><br><br clear="all"><br>-- <br>Dave Täht<br>SKYPE: davetaht<br>US Tel: 1-239-829-5608<br><a href="http://www.bufferbloat.net" target="_blank">http://www.bufferbloat.net</a><br>