Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revizePředchozí verzeNásledující verze | Předchozí verzeNásledující verzeObě strany příští revize | ||
informace:projekty:ipv6tunel [2019/03/15 11:27] – zrušení beta pro IPv6 tunely oskar | informace:projekty:ipv6tunel [2020/10/18 09:07] – První podpora Wireguardu oskar | ||
---|---|---|---|
Řádek 7: | Řádek 7: | ||
Šestého června 2017 byla [[https:// | Šestého června 2017 byla [[https:// | ||
- | Pokud je k dispozici veřejná IPv4 adresa, je možné zařídit tunel od [[https:// | + | Pokud je k dispozici veřejná IPv4 adresa, je možné zařídit tunel od [[https:// |
- | ===== Použité řešení ===== | + | ====== Řešení |
K tunelování IPv6 provozu používáme OpenVPN verze 2.4 s vypnutým šifrováním a autentizací provozu – to z důvodu nedostatku výkonu na straně klienta. Používá se UDP provoz na standardním portu 1194. Každý klient se autentizuje certifikátem. Každému klientovi je **staticky** přidělena jedna spojovací IPv6 adresa a podsíť o délce prefixu /48. | K tunelování IPv6 provozu používáme OpenVPN verze 2.4 s vypnutým šifrováním a autentizací provozu – to z důvodu nedostatku výkonu na straně klienta. Používá se UDP provoz na standardním portu 1194. Každý klient se autentizuje certifikátem. Každému klientovi je **staticky** přidělena jedna spojovací IPv6 adresa a podsíť o délce prefixu /48. | ||
Řádek 21: | Řádek 21: | ||
- Obdržíte konfigurační soubor pro OpenVPN klienta. | - Obdržíte konfigurační soubor pro OpenVPN klienta. | ||
- Upravte soubor podle své potřeby. | - Upravte soubor podle své potřeby. | ||
- | - Nakonfigurujte svůj router tak, aby do domácí sítě přiděloval nějaké adresy z přidělené podsítě. (Konfigurační soubor obsahuje ukázku konfigurace pro OpenWRT/LEDE) | + | - Nakonfigurujte svůj router tak, aby do domácí sítě přiděloval nějaké adresy z přidělené podsítě. (Konfigurační soubor obsahuje ukázku konfigurace pro OpenWRT) |
- | ==== Příklad konfigurace pro OpenWRT/LEDE ==== | + | ===== Příklad konfigurace |
- | V tomto případě je ukázka přímo v dodaném konfiguračním souboru. Konfigurační soubor stačí uložit tak, jak je (s příponou '' | + | V tomto případě je ukázka přímo v dodaném konfiguračním souboru. Konfigurační soubor stačí uložit tak, jak je (s příponou '' |
+ | |||
+ | <file | / | ||
+ | config openvpn custom_config | ||
+ | option enabled 1 | ||
+ | option config / | ||
+ | </ | ||
+ | |||
+ | Dále je potřeba vytvořit nové logické rozhraní: | ||
<file | / | <file | / | ||
Řádek 46: | Řádek 54: | ||
+ | ==== Řešení pomocí Wireguardu ==== | ||
+ | Testujeme také použití moderního tunelovacího protokolu [[https:// | ||
+ | Používá se UDP provoz na portu 51820. Každý klient se autentizuje párem veřejného a soukromého klíče. Každému klientovi je **staticky** přidělena jedna spojovací IPv6 adresa a podsíť o délce prefixu /48. | ||
+ | |||
+ | Každý tunel má nastavené datum exspirace na jeden rok po zřízení, po jeho uplynutí je odkonfigurován. Pro nepřerušovaný provoz je tedy třeba požádat o prodloužení. Záměrem tohoto nepohodlného opatření je, aby každý uživatel **nejméně jednou ročně napsal svému poskytovateli připojení dotaz na stav podpory IPv6**. | ||
+ | |||
+ | ===== Jak zprovoznit tunel ===== | ||
+ | |||
+ | - Napište svému ISP dotaz ohledně podpory IPv6. | ||
+ | - Vygenerujte dvojici soukromého a veřejného klíče: '' | ||
+ | - Požádejte o tunel prostřednictvím e-mailu na **ipv6tun@vpsfree.cz**. Nezapomeňte přiložit veřejný klíč. | ||
+ | - Obdržíte přidělené ID klienta. | ||
+ | - Nakonfigurujte svého klienta Wireguard podle příkladu níže. | ||
+ | - Nakonfigurujte svůj router tak, aby do domácí sítě přiděloval nějaké adresy z přidělené podsítě. | ||
+ | |||
+ | |||
+ | |||
+ | ==== Povolení příchozího provozu na OpenWRT ==== | ||
+ | |||
+ | Lze předpokládat, | ||
+ | |||
+ | <file | / | ||
+ | config rule | ||
+ | option name 'IPv6 forwarding' | ||
+ | option family ' | ||
+ | option src ' | ||
+ | option dest ' | ||
+ | ## Pokud chcete povolit pouze dynamické porty (pro P2P služby), | ||
+ | ## odkomentujte následující řádky. | ||
+ | #option proto ' | ||
+ | #option dest_port ' | ||
+ | option target ' | ||
+ | |||
+ | config rule | ||
+ | option name 'SSH to router over IPv6' | ||
+ | option family ' | ||
+ | option src ' | ||
+ | option proto ' | ||
+ | option dest_port ' | ||
+ | option target ' | ||
+ | </ | ||