Znalostní báze

Informace o sdružení vpsFree.cz, návody a nejčastější dotazy.

Uživatelské nástroje

Nástroje pro tento web

Umístění: Znalostní Báze vpsFree.cz » informace » Projekty spolku vpsFree.cz » Tunelování IPv6
Historie:
informace:projekty:ipv6tunel

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revizePředchozí verze
Následující verze		Předchozí verze
Následující verzeObě strany příští revize
informace:projekty:ipv6tunel [2020/10/18 09:09] – fix nadpisů oskarinformace:projekty:ipv6tunel [2022/09/22 12:49] – [Řešení pomocí Wireguardu] oskar
Řádek 56: Řádek 56:
 ===== Řešení pomocí Wireguardu ===== ===== Řešení pomocí Wireguardu =====
  
-Testujeme také použití moderního tunelovacího protokolu [[https://www.wireguard.com/ WireGuard]]. Ten nabízí šifrování a autentizaci, zároveň ale také velký výkon v porovnání s OpenVPN.+Je možné také použití moderního tunelovacího protokolu [[navody:server:wireguard|WireGuard]]. Ten nabízí šifrování a autentizaci, zároveň ale také velký výkon v porovnání s OpenVPN.
 Používá se UDP provoz na portu 51820. Každý klient se autentizuje párem veřejného a soukromého klíče. Každému klientovi je **staticky** přidělena jedna spojovací IPv6 adresa a podsíť o délce prefixu /48. Používá se UDP provoz na portu 51820. Každý klient se autentizuje párem veřejného a soukromého klíče. Každému klientovi je **staticky** přidělena jedna spojovací IPv6 adresa a podsíť o délce prefixu /48.
  
-Každý tunel má nastavené datum exspirace na jeden rok po zřízení, po jeho uplynutí je odkonfigurován. Pro nepřerušovaný provoz je tedy třeba požádat o prodloužení. Záměrem tohoto nepohodlného opatření je, aby každý uživatel **nejméně jednou ročně napsal svému poskytovateli připojení dotaz na stav podpory IPv6**.+Každý tunel <del></del> bude mít nastavené datum exspirace na jeden rok po zřízení, po jeho uplynutí je odkonfigurován. Pro nepřerušovaný provoz je tedy třeba požádat o prodloužení. Záměrem tohoto nepohodlného opatření je, aby každý uživatel **nejméně jednou ročně napsal svému poskytovateli připojení dotaz na stav podpory IPv6**. Poznámka: tato funkce //zatím// není implementovaná. Případnému odkonfigurování v budoucnu bude předcházet několik e-mailových varování.
  
 ==== Jak zprovoznit tunel ==== ==== Jak zprovoznit tunel ====
  
    - Napište svému ISP dotaz ohledně podpory IPv6.    - Napište svému ISP dotaz ohledně podpory IPv6.
-   - Vygenerujte dvojici soukromého a veřejného klíče: ''$ wg genkey | tee privatekey | wg pubkey'' +   - Vygenerujte dvojici soukromého a veřejného klíče: ''$ wg genkey | tee privatekey | wg pubkey'' - soukromý klíč vznikne v souboru ''privatekey'', veřejný se zobrazí na terminálu. Chcete-li veřejný klíč zobrazit znovu, zavolejte ''$ wg pubkey < privatekey''. 
-   - Požádejte o tunel prostřednictvím e-mailu na **ipv6tun@vpsfree.cz**. Nezapomeňte přiložit veřejný klíč. +   - Požádejte o tunel prostřednictvím e-mailu na **ipv6tun@vpsfree.cz**. Nezapomeňte připojit veřejný klíč. Prosím **neposílejte klíč v příloze, vložte ho přímo do textu zprávy**
-   - Obdržíte přidělené ID klienta+   - Obdržíte e-mail s příkladem konfigurace pro wg-quick a OpenWRT. **V konfiguračním souboru se také dozvíte přidělený adresní blok.** 
-   Nakonfigurujte svého klienta Wireguard podle příkladu níže.+   Doplňte do konfiguračního souboru svůj privátní klíč a nakonfigurujte svého klienta.
    - Nakonfigurujte svůj router tak, aby do domácí sítě přiděloval nějaké adresy z přidělené podsítě.    - Nakonfigurujte svůj router tak, aby do domácí sítě přiděloval nějaké adresy z přidělené podsítě.
  
 +==== Příklad konfiguračního souboru pro wg-quick ====
  
 +<file | /etc/wireguard/wgipv6tun.conf>
 +[Interface]
 +# FIXME: Insert your private key
 +PrivateKey = 
 +Address = 2a03:3b40:200::XXX
 +# Případně lze nastavit hodnotu ListenPort na libovolnou hodnotu. Ve výchozím stavu by měla být zvolena náhodná hodnota automaticky.
 +#ListenPort = 51820
  
 +[Peer]
 +Endpoint = ipv6tun01.vpsfree.cz:51820
 +PublicKey = r7vzF6irpXSmkTibIHztIcfc/YzPmpyMX9LYa9z5Yw0=
 +AllowedIPs =  ::/0
 +</file>
 +
 +==== Příklad konfigurace Wireguardu na OpenWRT ====
 +
 +<file | /etc/config/network>
 +
 +config interface 'wgipv6tun'
 +        option proto 'wireguard'
 +        option private_key 'FIXME'
 +        option ip6prefix '2a03:3b40:XXX::/48'
 +        list addresses '2a03:3b40:200::XXX'
 +
 +config wireguard_wgipv6tun
 +        option endpoint_host 'ipv6tun01.vpsfree.cz'
 +        option endpoint_port '51820'
 +        option route_allowed_ips '0'
 +        option public_key 'r7vzF6irpXSmkTibIHztIcfc/YzPmpyMX9LYa9z5Yw0='
 +        list allowed_ips '::/0'
 +
 +config route6 'default_v6_gw_a'
 +        option interface 'wgipv6tun'
 +        option target '::/0'
 +        option source '2a03:3b40:200::XXX'
 +
 +config route6 'default_v6_gw_b'
 +        option interface 'wgipv6tun'
 +        option target '::/0'
 +        option source '2a03:3b40:XXX::/48'
 +</file>
 +
 +==== Příklad konfigurace Wireguradu pro MikroTik (verze 7) ====
 +
 +<file>
 +/interface/wireguard/add name="wgipv6tun" mtu=1420 private-key="FIXME"
 +/interface/wireguard/peers/add interface=wgipv6tun public-key="r7vzF6irpXSmkTibIHztIcfc/YzPmpyMX9LYa9z5Yw0=" endpoint-address=ipv6tun01.vpsfree.cz endpoint-port=51820 allowed-address=::/0
 +/ipv6/address/add address=2a03:3b40:200::XXX/128 interface=wgipv6tun
 +/ipv6/route/add dst-address=::/0 gateway=wgipv6tun
 +</file>
 +
 +Poznámka: kromě uvedené konfigurace bude také nejspíš vhodné nastavit IPv6 adresy na LAN straně routeru. Také může být potřeba povolit provoz Wireguardového tunelu ve firewallu. Ve [[https://help.mikrotik.com/docs/display/ROS/WireGuard|výchozí konfiguraci]] používá Wireguardový tunel lokální port číslo 13231.
 ===== Povolení příchozího provozu na OpenWRT ===== ===== Povolení příchozího provozu na OpenWRT =====
  
informace/projekty/ipv6tunel.txt · Poslední úprava: 2024/02/23 09:24 autor: oskar

Nástroje pro stránku

Kromě míst, kde je explicitně uvedeno jinak, je obsah této wiki licencován pod následující licencí: CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki