Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revizePředchozí verzeNásledující verze | Předchozí verzeNásledující verzeObě strany příští revize | ||
informace:projekty:ipv6tunel [2020/06/17 08:50] – [Motivace] - odkaz na Sixxd oskar | informace:projekty:ipv6tunel [2022/09/22 12:49] – [Řešení pomocí Wireguardu] oskar | ||
---|---|---|---|
Řádek 7: | Řádek 7: | ||
Šestého června 2017 byla [[https:// | Šestého června 2017 byla [[https:// | ||
- | Pokud je k dispozici veřejná IPv4 adresa, je možné zařídit tunel od [[https:// | + | Pokud je k dispozici veřejná IPv4 adresa, je možné zařídit tunel od [[https:// |
- | ===== Použité řešení ===== | + | ===== Řešení |
K tunelování IPv6 provozu používáme OpenVPN verze 2.4 s vypnutým šifrováním a autentizací provozu – to z důvodu nedostatku výkonu na straně klienta. Používá se UDP provoz na standardním portu 1194. Každý klient se autentizuje certifikátem. Každému klientovi je **staticky** přidělena jedna spojovací IPv6 adresa a podsíť o délce prefixu /48. | K tunelování IPv6 provozu používáme OpenVPN verze 2.4 s vypnutým šifrováním a autentizací provozu – to z důvodu nedostatku výkonu na straně klienta. Používá se UDP provoz na standardním portu 1194. Každý klient se autentizuje certifikátem. Každému klientovi je **staticky** přidělena jedna spojovací IPv6 adresa a podsíť o délce prefixu /48. | ||
Řádek 15: | Řádek 15: | ||
Klientský certifikát je platný jeden rok. Před uplynutím jeho platnosti je třeba požádat o vydání nového. Záměrem tohoto nepohodlného opatření je, aby každý uživatel **nejméně jednou ročně napsal svému poskytovateli připojení dotaz na stav podpory IPv6**. | Klientský certifikát je platný jeden rok. Před uplynutím jeho platnosti je třeba požádat o vydání nového. Záměrem tohoto nepohodlného opatření je, aby každý uživatel **nejméně jednou ročně napsal svému poskytovateli připojení dotaz na stav podpory IPv6**. | ||
- | ===== Jak zprovoznit tunel ===== | + | ==== Jak zprovoznit tunel ==== |
- Napište svému ISP dotaz ohledně podpory IPv6. | - Napište svému ISP dotaz ohledně podpory IPv6. | ||
Řádek 21: | Řádek 21: | ||
- Obdržíte konfigurační soubor pro OpenVPN klienta. | - Obdržíte konfigurační soubor pro OpenVPN klienta. | ||
- Upravte soubor podle své potřeby. | - Upravte soubor podle své potřeby. | ||
- | - Nakonfigurujte svůj router tak, aby do domácí sítě přiděloval nějaké adresy z přidělené podsítě. (Konfigurační soubor obsahuje ukázku konfigurace pro OpenWRT/LEDE) | + | - Nakonfigurujte svůj router tak, aby do domácí sítě přiděloval nějaké adresy z přidělené podsítě. (Konfigurační soubor obsahuje ukázku konfigurace pro OpenWRT) |
- | ==== Příklad konfigurace pro OpenWRT/LEDE ==== | + | ==== Příklad konfigurace |
- | V tomto případě je ukázka přímo v dodaném konfiguračním souboru. Konfigurační soubor stačí uložit tak, jak je (s příponou '' | + | V tomto případě je ukázka přímo v dodaném konfiguračním souboru. Konfigurační soubor stačí uložit tak, jak je (s příponou '' |
+ | |||
+ | <file | / | ||
+ | config openvpn custom_config | ||
+ | option enabled 1 | ||
+ | option config / | ||
+ | </ | ||
+ | |||
+ | Dále je potřeba vytvořit nové logické rozhraní: | ||
<file | / | <file | / | ||
Řádek 45: | Řádek 53: | ||
</ | </ | ||
- | ==== Povolení příchozího provozu na OpenWRT ==== | + | |
+ | ===== Řešení pomocí Wireguardu ===== | ||
+ | |||
+ | Je možné také použití moderního tunelovacího protokolu [[navody: | ||
+ | Používá se UDP provoz na portu 51820. Každý klient se autentizuje párem veřejného a soukromého klíče. Každému klientovi je **staticky** přidělena jedna spojovací IPv6 adresa a podsíť o délce prefixu /48. | ||
+ | |||
+ | Každý tunel < | ||
+ | |||
+ | ==== Jak zprovoznit tunel ==== | ||
+ | |||
+ | - Napište svému ISP dotaz ohledně podpory IPv6. | ||
+ | - Vygenerujte dvojici soukromého a veřejného klíče: '' | ||
+ | - Požádejte o tunel prostřednictvím e-mailu na **ipv6tun@vpsfree.cz**. Nezapomeňte připojit veřejný klíč. Prosím **neposílejte klíč v příloze, vložte ho přímo do textu zprávy**. | ||
+ | - Obdržíte e-mail s příkladem konfigurace pro wg-quick a OpenWRT. **V konfiguračním souboru se také dozvíte přidělený adresní blok.** | ||
+ | - Doplňte do konfiguračního souboru svůj privátní klíč a nakonfigurujte svého klienta. | ||
+ | - Nakonfigurujte svůj router tak, aby do domácí sítě přiděloval nějaké adresy z přidělené podsítě. | ||
+ | |||
+ | ==== Příklad konfiguračního souboru pro wg-quick ==== | ||
+ | |||
+ | <file | / | ||
+ | [Interface] | ||
+ | # FIXME: Insert your private key | ||
+ | PrivateKey = | ||
+ | Address = 2a03: | ||
+ | # Případně lze nastavit hodnotu ListenPort na libovolnou hodnotu. Ve výchozím stavu by měla být zvolena náhodná hodnota automaticky. | ||
+ | #ListenPort = 51820 | ||
+ | |||
+ | [Peer] | ||
+ | Endpoint = ipv6tun01.vpsfree.cz: | ||
+ | PublicKey = r7vzF6irpXSmkTibIHztIcfc/ | ||
+ | AllowedIPs = ::/0 | ||
+ | </ | ||
+ | |||
+ | ==== Příklad konfigurace Wireguardu na OpenWRT ==== | ||
+ | |||
+ | <file | / | ||
+ | |||
+ | config interface ' | ||
+ | option proto ' | ||
+ | option private_key ' | ||
+ | option ip6prefix ' | ||
+ | list addresses ' | ||
+ | |||
+ | config wireguard_wgipv6tun | ||
+ | option endpoint_host ' | ||
+ | option endpoint_port ' | ||
+ | option route_allowed_ips ' | ||
+ | option public_key ' | ||
+ | list allowed_ips '::/ | ||
+ | |||
+ | config route6 ' | ||
+ | option interface ' | ||
+ | option target '::/ | ||
+ | option source ' | ||
+ | |||
+ | config route6 ' | ||
+ | option interface ' | ||
+ | option target '::/ | ||
+ | option source ' | ||
+ | </ | ||
+ | |||
+ | ==== Příklad konfigurace Wireguradu pro MikroTik (verze 7) ==== | ||
+ | |||
+ | < | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | </ | ||
+ | |||
+ | Poznámka: kromě uvedené konfigurace bude také nejspíš vhodné nastavit IPv6 adresy na LAN straně routeru. Také může být potřeba povolit provoz Wireguardového tunelu ve firewallu. Ve [[https:// | ||
+ | ===== Povolení příchozího provozu na OpenWRT | ||
Lze předpokládat, | Lze předpokládat, | ||
Řádek 69: | Řádek 148: | ||
option target ' | option target ' | ||
</ | </ | ||
+ |