HE Tunnel Broker in Debian
Za voljo testiranja neke IPv6 postavitve in spravljanje contenta na v6, sem si moral doma zrihtati connectivity. Jan mi je toplo priporočal HE TB, ker se je izkazalo kot dobra odločitev, saj ke postavitev tunela en pravi “walk in the park”. Registracija na HE TB sicer hoče nekaj osebnih podatkov, potem gre pa kot po maslu naprej. Ko uporabnik doda tunel dobi tudi osnovna navodila/komande za različne sisteme. Samo kot izkušnja, ciscotov ima napako (vsaj na mojem IOSu), linuksov je pa malo štorast, zato sem rekel da objavim interfaces konfiguracijo tulele:
auto he6to4
iface he6to4 inet6 v4tunnel
address tra:lala:hops:asa::2
netmask 64
gateway tra:lala:hops:asa::1
endpoint 216.66.84.46
local A.B.C.D
ttl 64
Piše da je treba imeti inštaliran paket iproute. Direktivo local rabite če imate več address na zunanjem interfejsu, vsaj moja voodoo postavitev je potrebovala.
Kar se pa tiče ttl: Oh what a rookie mistake to make. Ko sem testiral nek problem in ganjal traceroute, mi prvih nekaj hopov nikoli ni delovalo, malo googlanja je povedalo da če tunel (poglej komando ip tunnel) nima nastavljenega TTLja, privzame vrednost “inherit”. To pomeni da mi v v6 tunel pošljemo IP paket s TTLjem 1 in naš zunnanji paket (torej v4) prevzame enak TTL. Kaj se zgodi? Pričakujemo da se bo oglasil HE TB touter in rekel “jo, jaz sem prvi hop, TTL expired”, v resnici pa se oglasi router vašega v4 providerja in reče “TTL expired (ICMP)”, in odgovora iz tunela ni in ni. Seveda sem vse to že enrkat vedel ko sem vlekal IPSec tunele – ja ne strinjam se z načinom delovanja IPSec tunneling mode, pa sem ga malo poguljufal takrat.
Aja, kaj se še rabi da zadeva začne delovati kot router?
sysctl.conf:
net.ipv6.conf.default.forwarding=1
interfaces:
iface eth0 inet6 static
address tra:lala:hihi::1
netmask 64radvd.conf:
interface eth0
{
AdvSendAdvert on;
prefix tra:lala:hihi::/64
{
};
};
Kaj drugega se pa že skoraj ne spomnem, lahko začnete takoj postavljati serivse na v6.
Vaš IP naslov (ali ste na IPv6 ?):
18.191.210.61
Bravo, super opis. Ga bom kar zlinkal pod “Izkušnje pri uvajanju IPv6”
Vsi takšni in podobni zapisi so več kot dobrodošli.
No, pa dajmo še enega :-). Takole sem se sam prebil do IPv6 connectivityja (po neprespani noči in še enem dnevu…), in tole je moj prvi delujoč IPv6 connection 🙂
Sam sem se zadeve lotil z M0n0wallom, FW paketom na osnovi FreeBSDja, ki se ga upravlja z web vmesnikom (uporabljena je bila zadnja verzija je 1.3b16).
Tole je treba nastaviti v M0n0wallu (za IPv4 nastavitve prej poskrbite sami):
1. V menuju SYSTEM->Advanced naj bo kljukica pri opciji: Enable IPv6 support
2. Nato resetiraš M0n0 in greš v FIREWALL->IPv4 Rules in poskrbiš, da bodo ICMP type Echo paketi dovoljeni na ven in noter na vmesniku WAN.
Sedaj gremo na stran Hurricane Electrics in poiščemo opcijo za brezplačno registracijo za HE TB IPv6 tunel.
Po registraciji z opcijo Regular tunnel dobiš te podatke (spodnji tunel ne obstaja več…):
Server IPv4 address: 216.66.XX.XX
Server IPv6 address: 2001:470:1f0a:17c8::1/64
Client IPv4 address: 193.77.XX.XX
Client IPv6 address: 2001:470:1f0a:17c8::2/64
Routed /48: none
Routed /64: 2001:470:1f0b:17c8::/64
3. Greš v menu FIREWALL->IPv6 Rules in poskrbiš, da gredo lahko ICMP paketi (vsi types) ven in noter na vmesniku WAN. Za naš test bo to dovolj dobro, kaj zapreti za večjo varnost, pogruntajte sami.
Še vedno si v menuju FIREWALL->IPv6 Rules, sedaj poskrbiš še, da gredo lahko vse povezave iz Lan networks na ANY na vmesniku LAN. (M0n0 jih po defualtu vse blokira, pri IPv4 ni bilo tako.) Spet, po želji tukaj kaj pustiš zaprto.
4. Now we’re getting down to bussiness. Greš v podmenu INTERFACES->WAN->IPv6 configuration in v roletnem menuju IPv6 mode izbereš možnost “Tunnel”. Prilepiš IP (madona, a je to sploh IP??? :-)) 2001:470:1f0a:17c8::2 v polje IPv6 address field in pustiš masko na /64. Drugo pusti pri miru.
Potem greš v podmenu INTERFACES->LAN->IPv6 configuration in v roletnem menuju IPv6 mode izbereš opcijo “static”. Prilepiš ta dolg IP 2001:470:1f0b:17c8::1 v polje IPv6 address, maska naj bo /64. Obkljukaj kvadratek pri Send IPv6 router advertisements.
M0n0 is ready to roll out.
5. Če boš, kot jaz, testiral IPv6 browsing na navadni XP kišti, stisni start+R in odklofaj cmd, nato pa še: ipv6 install. Z ipconfig nato vidiš čudo novih IP naslovov na kišti.
V brskalnik odtipkaj http://www.kame.net in glej želvo, ki se premika. IPv4/v6 dual stack res dela.
Super post. Nisem vedel, da ima M0nowall že support za v6. To torej pomeni, da bo tudi pfsense kmalu na v6. Moram Scotta Ulricha malo pobarat, kaj in kako.
Jan
Ja, to sem testiral z zadnjo beta (za ne-mission critical sisteme je čisto OK) verzijo M0n0, v kateri je podpora IPv6 precej izboljšana.
Sem pa opazil še eno napako, da si ne bi kdo predolgo razbijal glave je tu še popravek :-). Prvi odstavek 4. točke bi se moral glasiti takole:
“4. Now we’re getting down to bussiness. Greš v podmenu INTERFACES->WAN->IPv6 configuration in v roletnem menuju IPv6 mode izbereš možnost “Tunnel”. Prilepiš IP (madona, a je to sploh IP??? :-)) 2001:470:1f0a:17c8::2 v polje IPv6 address in pustiš masko na /64. V polje IPv6 gateway skopiraj IP 216.66.XX.XX. Drugo pusti pri miru.”
Jaz dostopam do ipv6 na dva nacina: Doma imam tunel cez sixxs (postavljen zelo podobno, kot je opis HE tunela zgoraj), na laptopu pa zaganjam miredo, ki odpre dinamicni teredo tunel. S tem setupom sem brez problema delal po ipv6 tudi, ko sem sel v Bolgarijo…
Miredo je res trivijalen, samo instaliras ga, pa imas ip6 dostop, ima pa svoje pomankljivosti:
a) premalo teredo relayev (torej so lahko topografsko dalec)
b) Ko sem doma sistem sicer zazna lokalno mrezo in do lokalnih IPv6 streznikov dostopa direktno, ampak vse druge povezave gredo ven se vedno cez teredo tunel in ne cez sixxs-ovega.
c) Vcasih (vsaj enkrat do zdaj) se teredoju sfuzla in je treba restartati miredo daemon, da ipv6 spet shodi.
BTW, a kdo ve, kaksen je status Mobile IPv6? Cel kup linkov na te stvari je starih ali pa kar nedelujocih…
Matija, super prispevek.
Teredo protokol je “disgusting”. Martin Levy iz tunnelbroker.net mi je prejšnji teden na RIPE-u razlagal, kakšne blazne težave imajo s Teredom. 6to4 dela brez težav, Teredo so pa ugasnili, ker je preveč žlobudranja in traparij kar naenkrat, takoj ko ga vžgeš.
Mobile IPv6 je pa druga nesrečna zgodba. Microsoft je (prvič v zgodovini) napisal nekaj pametnega in to je bil Mobile IPv6 stack, katerega so pa na žalost umaknili iz produktov, rekoč “bomo videli, kako se bo trg obrnil”. Glede na to, da so trend-setterji, bi ga lahko pustili in videli, kako bo folk zagrabil. Kaj pa bo folk zagrabil, če nima kaj zagrabit?