Znalostní báze

Informace o sdružení vpsFree.cz, návody a nejčastější dotazy.

Uživatelské nástroje

Nástroje pro tento web

Umístění: Znalostní Báze vpsFree.cz » informace » Projekty spolku vpsFree.cz » Tunelování IPv6
Historie:
informace:projekty:ipv6tunel

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revizePředchozí verze
Následující verze		Předchozí verze
Následující verzeObě strany příští revize
informace:projekty:ipv6tunel [2022/06/04 08:49] – [Příklad konfigurace Wireguradu pro MikroTik (verze 7)] oskarinformace:projekty:ipv6tunel [2022/09/22 12:50] – Wireguard first oskar
Řádek 8: Řádek 8:
  
 Pokud je k dispozici veřejná IPv4 adresa, je možné zařídit tunel od [[https://tunnelbroker.net/|HE.net]], který funguje rychle a spolehlivě. Naše služba se tedy zaměřuje hlavně na situace, kdy v místě není ani veřejná IPv4 adresa. Bohužel, software ''sixxsd'', který tvořil serverovou část tunelovací platformy SixXS a dokázal efektivně obsluhovat stovky tunelů, <del>nebyl nikdy uvolněn jako Open Source</del> [[https://github.com/massar/sixxsd|dlouho nebyl zveřejněn]]. Bylo tedy třeba hledat jiné řešení. Pokud je k dispozici veřejná IPv4 adresa, je možné zařídit tunel od [[https://tunnelbroker.net/|HE.net]], který funguje rychle a spolehlivě. Naše služba se tedy zaměřuje hlavně na situace, kdy v místě není ani veřejná IPv4 adresa. Bohužel, software ''sixxsd'', který tvořil serverovou část tunelovací platformy SixXS a dokázal efektivně obsluhovat stovky tunelů, <del>nebyl nikdy uvolněn jako Open Source</del> [[https://github.com/massar/sixxsd|dlouho nebyl zveřejněn]]. Bylo tedy třeba hledat jiné řešení.
- 
-===== Řešení pomocí OpenVPN ===== 
- 
-K tunelování IPv6 provozu používáme OpenVPN verze 2.4 s vypnutým šifrováním a autentizací provozu – to z důvodu nedostatku výkonu na straně klienta. Používá se UDP provoz na standardním portu 1194. Každý klient se autentizuje certifikátem. Každému klientovi je **staticky** přidělena jedna spojovací IPv6 adresa a  podsíť o délce prefixu /48. 
- 
-Klientský certifikát je platný jeden rok. Před uplynutím jeho platnosti je třeba požádat o vydání nového. Záměrem tohoto nepohodlného opatření je, aby každý uživatel **nejméně jednou ročně napsal svému poskytovateli připojení dotaz na stav podpory IPv6**. 
-  
-==== Jak zprovoznit tunel ==== 
- 
-   - Napište svému ISP dotaz ohledně podpory IPv6. 
-   - Požádejte o tunel prostřednictvím e-mailu na **ipv6tun@vpsfree.cz**. 
-   - Obdržíte konfigurační soubor pro OpenVPN klienta. 
-   - Upravte soubor podle své potřeby. 
-   - Nakonfigurujte svůj router tak, aby do domácí sítě přiděloval nějaké adresy z přidělené podsítě. (Konfigurační soubor obsahuje ukázku konfigurace pro OpenWRT) 
- 
-==== Příklad konfigurace OpenVPN pro OpenWRT ==== 
- 
-V tomto případě je ukázka přímo v dodaném konfiguračním souboru. Konfigurační soubor stačí uložit tak, jak je (s příponou ''.conf'') do ''/etc/openvpn/'' (je třeba mít nainstalovaný balík ''openvpn-openssl''). A nadefinovat službu: 
- 
-<file | /etc/config/openvpn> 
-config openvpn custom_config 
-        option enabled 1 
-        option config /etc/openvpn/ipv6tun-XXX.conf 
-</file> 
- 
-Dále je potřeba vytvořit nové logické rozhraní: 
- 
-<file | /etc/config/network> 
-config interface 'ipv6tun' 
-        option ifname 'tunipv6' 
-        option proto 'static' 
-        option ip6addr '<adresa konce tunelu>/64' 
-        option ip6gw '<adresa brány>' 
-        option ip6prefix '<přidělený prefix>/48' 
-</file> 
- 
-a přidat logické rozhraní `ipv6tun` do firewallové zóny `wan`: 
- 
-<file | /etc/config/firewall> 
-config zone 
-        option name 'wan' 
-        option network 'wan wan6 ipv6tun' 
-        option ... 
-</file> 
  
  
 ===== Řešení pomocí Wireguardu ===== ===== Řešení pomocí Wireguardu =====
  
-Testujeme také použití moderního tunelovacího protokolu [[navody:server:wireguard|WireGuard]]. Ten nabízí šifrování a autentizaci, zároveň ale také velký výkon v porovnání s OpenVPN.+Je možné použití moderního tunelovacího protokolu [[navody:server:wireguard|WireGuard]]. Ten nabízí šifrování a autentizaci, zároveň ale také velký výkon v porovnání s OpenVPN.
 Používá se UDP provoz na portu 51820. Každý klient se autentizuje párem veřejného a soukromého klíče. Každému klientovi je **staticky** přidělena jedna spojovací IPv6 adresa a podsíť o délce prefixu /48. Používá se UDP provoz na portu 51820. Každý klient se autentizuje párem veřejného a soukromého klíče. Každému klientovi je **staticky** přidělena jedna spojovací IPv6 adresa a podsíť o délce prefixu /48.
  
-Každý tunel má nastavené datum exspirace na jeden rok po zřízení, po jeho uplynutí je odkonfigurován. Pro nepřerušovaný provoz je tedy třeba požádat o prodloužení. Záměrem tohoto nepohodlného opatření je, aby každý uživatel **nejméně jednou ročně napsal svému poskytovateli připojení dotaz na stav podpory IPv6**.+Každý tunel <del></del> bude mít nastavené datum exspirace na jeden rok po zřízení, po jeho uplynutí je odkonfigurován. Pro nepřerušovaný provoz je tedy třeba požádat o prodloužení. Záměrem tohoto nepohodlného opatření je, aby každý uživatel **nejméně jednou ročně napsal svému poskytovateli připojení dotaz na stav podpory IPv6**. Poznámka: tato funkce //zatím// není implementovaná. Případnému odkonfigurování v budoucnu bude předcházet několik e-mailových varování.
  
 ==== Jak zprovoznit tunel ==== ==== Jak zprovoznit tunel ====
Řádek 148: Řádek 104:
         option target 'ACCEPT'         option target 'ACCEPT'
 </file> </file>
 +===== Řešení pomocí OpenVPN =====
 +
 +K tunelování IPv6 provozu je možné také použít OpenVPN verze 2.4 s vypnutým šifrováním a autentizací provozu – to z důvodu nedostatku výkonu na straně klienta. Používá se UDP provoz na standardním portu 1194. Každý klient se autentizuje certifikátem. Každému klientovi je **staticky** přidělena jedna spojovací IPv6 adresa a  podsíť o délce prefixu /48.
 +
 +Klientský certifikát je platný jeden rok. Před uplynutím jeho platnosti je třeba požádat o vydání nového. Záměrem tohoto nepohodlného opatření je, aby každý uživatel **nejméně jednou ročně napsal svému poskytovateli připojení dotaz na stav podpory IPv6**.
 + 
 +==== Jak zprovoznit tunel ====
 +
 +   - Napište svému ISP dotaz ohledně podpory IPv6.
 +   - Požádejte o tunel prostřednictvím e-mailu na **ipv6tun@vpsfree.cz**.
 +   - Obdržíte konfigurační soubor pro OpenVPN klienta.
 +   - Upravte soubor podle své potřeby.
 +   - Nakonfigurujte svůj router tak, aby do domácí sítě přiděloval nějaké adresy z přidělené podsítě. (Konfigurační soubor obsahuje ukázku konfigurace pro OpenWRT)
 +
 +==== Příklad konfigurace OpenVPN pro OpenWRT ====
 +
 +V tomto případě je ukázka přímo v dodaném konfiguračním souboru. Konfigurační soubor stačí uložit tak, jak je (s příponou ''.conf'') do ''/etc/openvpn/'' (je třeba mít nainstalovaný balík ''openvpn-openssl''). A nadefinovat službu:
 +
 +<file | /etc/config/openvpn>
 +config openvpn custom_config
 +        option enabled 1
 +        option config /etc/openvpn/ipv6tun-XXX.conf
 +</file>
 +
 +Dále je potřeba vytvořit nové logické rozhraní:
 +
 +<file | /etc/config/network>
 +config interface 'ipv6tun'
 +        option ifname 'tunipv6'
 +        option proto 'static'
 +        option ip6addr '<adresa konce tunelu>/64'
 +        option ip6gw '<adresa brány>'
 +        option ip6prefix '<přidělený prefix>/48'
 +</file>
 +
 +a přidat logické rozhraní `ipv6tun` do firewallové zóny `wan`:
 +
 +<file | /etc/config/firewall>
 +config zone
 +        option name 'wan'
 +        option network 'wan wan6 ipv6tun'
 +        option ...
 +</file>
 +
  
informace/projekty/ipv6tunel.txt · Poslední úprava: 2024/02/23 09:24 autor: oskar

Nástroje pro stránku

Kromě míst, kde je explicitně uvedeno jinak, je obsah této wiki licencován pod následující licencí: CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki