Znalostní báze

Informace o sdružení vpsFree.cz, návody a nejčastější dotazy.

Uživatelské nástroje

Nástroje pro tento web

Umístění: Znalostní Báze vpsFree.cz » informace » Projekty spolku vpsFree.cz » Tunelování IPv6
Historie:
informace:projekty:ipv6tunel

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revizePředchozí verze
Následující verzeObě strany příští revize
informace:projekty:ipv6tunel [2020/09/07 15:33] – aktualizace pro nejnovější OpenWRT oskarinformace:projekty:ipv6tunel [2020/10/18 09:07] – První podpora Wireguardu oskar
Řádek 8: Řádek 8:
  
 Pokud je k dispozici veřejná IPv4 adresa, je možné zařídit tunel od [[https://tunnelbroker.net/|HE.net]], který funguje rychle a spolehlivě. Naše služba se tedy zaměřuje hlavně na situace, kdy v místě není ani veřejná IPv4 adresa. Bohužel, software ''sixxsd'', který tvořil serverovou část tunelovací platformy SixXS a dokázal efektivně obsluhovat stovky tunelů, <del>nebyl nikdy uvolněn jako Open Source</del> [[https://github.com/massar/sixxsd|dlouho nebyl zveřejněn]]. Bylo tedy třeba hledat jiné řešení. Pokud je k dispozici veřejná IPv4 adresa, je možné zařídit tunel od [[https://tunnelbroker.net/|HE.net]], který funguje rychle a spolehlivě. Naše služba se tedy zaměřuje hlavně na situace, kdy v místě není ani veřejná IPv4 adresa. Bohužel, software ''sixxsd'', který tvořil serverovou část tunelovací platformy SixXS a dokázal efektivně obsluhovat stovky tunelů, <del>nebyl nikdy uvolněn jako Open Source</del> [[https://github.com/massar/sixxsd|dlouho nebyl zveřejněn]]. Bylo tedy třeba hledat jiné řešení.
-===== Použité řešení =====+ 
 +====== Řešení pomocí OpenVPN ======
  
 K tunelování IPv6 provozu používáme OpenVPN verze 2.4 s vypnutým šifrováním a autentizací provozu – to z důvodu nedostatku výkonu na straně klienta. Používá se UDP provoz na standardním portu 1194. Každý klient se autentizuje certifikátem. Každému klientovi je **staticky** přidělena jedna spojovací IPv6 adresa a  podsíť o délce prefixu /48. K tunelování IPv6 provozu používáme OpenVPN verze 2.4 s vypnutým šifrováním a autentizací provozu – to z důvodu nedostatku výkonu na straně klienta. Používá se UDP provoz na standardním portu 1194. Každý klient se autentizuje certifikátem. Každému klientovi je **staticky** přidělena jedna spojovací IPv6 adresa a  podsíť o délce prefixu /48.
Řádek 22: Řádek 23:
    - Nakonfigurujte svůj router tak, aby do domácí sítě přiděloval nějaké adresy z přidělené podsítě. (Konfigurační soubor obsahuje ukázku konfigurace pro OpenWRT)    - Nakonfigurujte svůj router tak, aby do domácí sítě přiděloval nějaké adresy z přidělené podsítě. (Konfigurační soubor obsahuje ukázku konfigurace pro OpenWRT)
  
-==== Příklad konfigurace pro OpenWRT ====+===== Příklad konfigurace OpenVPN pro OpenWRT =====
  
 V tomto případě je ukázka přímo v dodaném konfiguračním souboru. Konfigurační soubor stačí uložit tak, jak je (s příponou ''.conf'') do ''/etc/openvpn/'' (je třeba mít nainstalovaný balík ''openvpn-openssl''). A nadefinovat službu: V tomto případě je ukázka přímo v dodaném konfiguračním souboru. Konfigurační soubor stačí uložit tak, jak je (s příponou ''.conf'') do ''/etc/openvpn/'' (je třeba mít nainstalovaný balík ''openvpn-openssl''). A nadefinovat službu:
Řádek 51: Řádek 52:
         option ...         option ...
 </file> </file>
 +
 +
 +==== Řešení pomocí Wireguardu ====
 +
 +Testujeme také použití moderního tunelovacího protokolu [[https://www.wireguard.com/ WireGuard]]. Ten nabízí šifrování a autentizaci, zároveň ale také velký výkon v porovnání s OpenVPN.
 +Používá se UDP provoz na portu 51820. Každý klient se autentizuje párem veřejného a soukromého klíče. Každému klientovi je **staticky** přidělena jedna spojovací IPv6 adresa a podsíť o délce prefixu /48.
 +
 +Každý tunel má nastavené datum exspirace na jeden rok po zřízení, po jeho uplynutí je odkonfigurován. Pro nepřerušovaný provoz je tedy třeba požádat o prodloužení. Záměrem tohoto nepohodlného opatření je, aby každý uživatel **nejméně jednou ročně napsal svému poskytovateli připojení dotaz na stav podpory IPv6**.
 +
 +===== Jak zprovoznit tunel =====
 +
 +   - Napište svému ISP dotaz ohledně podpory IPv6.
 +   - Vygenerujte dvojici soukromého a veřejného klíče: ''$ wg genkey | tee privatekey | wg pubkey''
 +   - Požádejte o tunel prostřednictvím e-mailu na **ipv6tun@vpsfree.cz**. Nezapomeňte přiložit veřejný klíč.
 +   - Obdržíte přidělené ID klienta.
 +   - Nakonfigurujte svého klienta Wireguard podle příkladu níže.
 +   - Nakonfigurujte svůj router tak, aby do domácí sítě přiděloval nějaké adresy z přidělené podsítě.
 +
 +
  
 ==== Povolení příchozího provozu na OpenWRT ==== ==== Povolení příchozího provozu na OpenWRT ====
Řádek 76: Řádek 96:
         option target 'ACCEPT'         option target 'ACCEPT'
 </file> </file>
 +
informace/projekty/ipv6tunel.txt · Poslední úprava: 2024/02/23 09:24 autor: oskar

Nástroje pro stránku

Kromě míst, kde je explicitně uvedeno jinak, je obsah této wiki licencován pod následující licencí: CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki