Obě strany předchozí revizePředchozí verzeNásledující verze | Předchozí verzeNásledující verzeObě strany příští revize |
informace:projekty:ipv6tunel [2021/11/22 15:37] – [Příklad konfigurace Wireguardu na OpenWRT] oskar | informace:projekty:ipv6tunel [2022/09/22 12:49] – [Řešení pomocí Wireguardu] oskar |
---|
===== Řešení pomocí Wireguardu ===== | ===== Řešení pomocí Wireguardu ===== |
| |
Testujeme také použití moderního tunelovacího protokolu [[navody:server:wireguard|WireGuard]]. Ten nabízí šifrování a autentizaci, zároveň ale také velký výkon v porovnání s OpenVPN. | Je možné také použití moderního tunelovacího protokolu [[navody:server:wireguard|WireGuard]]. Ten nabízí šifrování a autentizaci, zároveň ale také velký výkon v porovnání s OpenVPN. |
Používá se UDP provoz na portu 51820. Každý klient se autentizuje párem veřejného a soukromého klíče. Každému klientovi je **staticky** přidělena jedna spojovací IPv6 adresa a podsíť o délce prefixu /48. | Používá se UDP provoz na portu 51820. Každý klient se autentizuje párem veřejného a soukromého klíče. Každému klientovi je **staticky** přidělena jedna spojovací IPv6 adresa a podsíť o délce prefixu /48. |
| |
Každý tunel má nastavené datum exspirace na jeden rok po zřízení, po jeho uplynutí je odkonfigurován. Pro nepřerušovaný provoz je tedy třeba požádat o prodloužení. Záměrem tohoto nepohodlného opatření je, aby každý uživatel **nejméně jednou ročně napsal svému poskytovateli připojení dotaz na stav podpory IPv6**. | Každý tunel <del>má</del> bude mít nastavené datum exspirace na jeden rok po zřízení, po jeho uplynutí je odkonfigurován. Pro nepřerušovaný provoz je tedy třeba požádat o prodloužení. Záměrem tohoto nepohodlného opatření je, aby každý uživatel **nejméně jednou ročně napsal svému poskytovateli připojení dotaz na stav podpory IPv6**. Poznámka: tato funkce //zatím// není implementovaná. Případnému odkonfigurování v budoucnu bude předcházet několik e-mailových varování. |
| |
==== Jak zprovoznit tunel ==== | ==== Jak zprovoznit tunel ==== |
<file> | <file> |
/interface/wireguard/add name="wgipv6tun" mtu=1420 private-key="FIXME" | /interface/wireguard/add name="wgipv6tun" mtu=1420 private-key="FIXME" |
/interface/wireguard/peers/add interface=wgipv6tun public-key="r7vzF6irpXSmkTibIHztIcfc/YzPmpyMX9LYa9z5Yw0=" endpoint-address=ipv6tun01.vpsfree.cz endpoint-port=51820 allowed-address=1::/0 | /interface/wireguard/peers/add interface=wgipv6tun public-key="r7vzF6irpXSmkTibIHztIcfc/YzPmpyMX9LYa9z5Yw0=" endpoint-address=ipv6tun01.vpsfree.cz endpoint-port=51820 allowed-address=::/0 |
/ipv6/address/add address=2a03:3b40:200::<ID>/128 interface=wgipv6tun | /ipv6/address/add address=2a03:3b40:200::XXX/128 interface=wgipv6tun |
/ipv6/route/add dst-address=1::/0 gateway=wgipv6tun | /ipv6/route/add dst-address=::/0 gateway=wgipv6tun |
</file> | </file> |
| |