Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revizePředchozí verzeNásledující verze | Předchozí verze | ||
informace:projekty:ipv6tunel [2020/10/18 09:09] – fix nadpisů oskar | informace:projekty:ipv6tunel [2024/02/23 09:24] (aktuální) – [Nastavte přidělený blok jako Unreachable] oskar | ||
---|---|---|---|
Řádek 9: | Řádek 9: | ||
Pokud je k dispozici veřejná IPv4 adresa, je možné zařídit tunel od [[https:// | Pokud je k dispozici veřejná IPv4 adresa, je možné zařídit tunel od [[https:// | ||
- | ===== Řešení pomocí OpenVPN ===== | ||
- | K tunelování IPv6 provozu | + | ===== Řešení pomocí Wireguardu ===== |
+ | |||
+ | Je možné | ||
+ | Používá se UDP provoz na portu 51820. Každý klient se autentizuje | ||
+ | |||
+ | Každý tunel < | ||
- | Klientský certifikát je platný jeden rok. Před uplynutím jeho platnosti je třeba požádat o vydání nového. Záměrem tohoto nepohodlného opatření je, aby každý uživatel **nejméně jednou ročně napsal svému poskytovateli připojení dotaz na stav podpory IPv6**. | ||
- | |||
==== Jak zprovoznit tunel ==== | ==== Jak zprovoznit tunel ==== | ||
- Napište svému ISP dotaz ohledně podpory IPv6. | - Napište svému ISP dotaz ohledně podpory IPv6. | ||
- | - Požádejte o tunel prostřednictvím e-mailu na **ipv6tun@vpsfree.cz**. | + | - Vygenerujte dvojici soukromého a veřejného klíče: '' |
- | - Obdržíte konfigurační soubor pro OpenVPN klienta. | + | - Požádejte o tunel prostřednictvím e-mailu na **ipv6tun@vpsfree.cz**. Nezapomeňte připojit veřejný klíč. Prosím **neposílejte klíč v příloze, vložte ho přímo do textu zprávy**. Pokud se konec tunelu má nacházet **na Slovensku**, |
- | | + | - Obdržíte |
- | - Nakonfigurujte svůj router tak, aby do domácí sítě přiděloval nějaké adresy z přidělené podsítě. | + | |
+ | - Nakonfigurujte svůj router tak, aby do domácí sítě přiděloval nějaké adresy z přidělené podsítě. | ||
- | ==== Příklad | + | ==== Příklad |
- | V tomto případě je ukázka přímo v dodaném konfiguračním souboru. Konfigurační soubor stačí uložit tak, jak je (s příponou '' | + | <file | /etc/wireguard/wgipv6tun.conf> |
+ | [Interface] | ||
+ | # FIXME: Insert your private key | ||
+ | PrivateKey = | ||
+ | Address = 2a03: | ||
+ | # Případně lze nastavit hodnotu ListenPort na libovolnou hodnotu. Ve výchozím stavu by měla být zvolena náhodná hodnota automaticky. | ||
+ | #ListenPort = 51820 | ||
- | <file | / | + | [Peer] |
- | config openvpn custom_config | + | Endpoint = ipv6tun01.vpsfree.cz: |
- | | + | PublicKey = r7vzF6irpXSmkTibIHztIcfc/ |
- | | + | AllowedIPs = ::/0 |
+ | # | ||
</ | </ | ||
- | Dále je potřeba vytvořit nové logické rozhraní: | + | ==== Příklad konfigurace Wireguardu na OpenWRT ==== |
<file | / | <file | / | ||
- | config interface ' | ||
- | option ifname ' | ||
- | option proto ' | ||
- | option ip6addr '< | ||
- | option ip6gw '< | ||
- | option ip6prefix '< | ||
- | </ | ||
- | a přidat logické rozhraní `ipv6tun` do firewallové zóny `wan`: | + | config interface ' |
+ | option proto ' | ||
+ | option private_key ' | ||
+ | option ip6prefix '2a03:3b40: | ||
+ | list addresses ' | ||
- | <file | /etc/config/ | + | config |
- | config zone | + | |
- | option | + | option |
- | option | + | option |
- | option | + | option |
- | </file> | + | list allowed_ips '::/0' |
+ | #option persistent_keepalive ' | ||
+ | | ||
+ | config route6 ' | ||
+ | option interface ' | ||
+ | option target '::/ | ||
+ | option source ' | ||
- | ===== Řešení pomocí Wireguardu ===== | + | config route6 ' |
+ | option interface ' | ||
+ | option target '::/ | ||
+ | option source ' | ||
+ | </ | ||
- | Testujeme také použití moderního tunelovacího protokolu [[https:// | + | ==== Příklad konfigurace Wireguradu pro MikroTik (verze 7) ==== |
- | Používá se UDP provoz na portu 51820. Každý klient se autentizuje párem veřejného a soukromého klíče. Každému klientovi je **staticky** přidělena jedna spojovací IPv6 adresa a podsíť o délce prefixu /48. | + | |
- | Každý tunel má nastavené datum exspirace na jeden rok po zřízení, po jeho uplynutí je odkonfigurován. Pro nepřerušovaný provoz je tedy třeba požádat o prodloužení. Záměrem tohoto nepohodlného opatření je, aby každý uživatel **nejméně jednou ročně napsal svému poskytovateli připojení dotaz na stav podpory IPv6**. | + | < |
+ | / | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | </ | ||
- | ==== Jak zprovoznit | + | Poznámka: kromě uvedené konfigurace bude také nejspíš vhodné nastavit IPv6 adresy na LAN straně routeru. Také může být potřeba povolit provoz Wireguardového tunelu ve firewallu. Ve [[https:// |
- | - Napište svému ISP dotaz ohledně podpory IPv6. | + | ===== Nastavte |
- | - Vygenerujte dvojici soukromého a veřejného klíče: '' | + | |
- | - Požádejte o tunel prostřednictvím e-mailu na **ipv6tun@vpsfree.cz**. Nezapomeňte přiložit veřejný klíč. | + | |
- | - Obdržíte | + | |
- | - Nakonfigurujte svého klienta Wireguard podle příkladu níže. | + | |
- | - Nakonfigurujte svůj router tak, aby do domácí sítě přiděloval nějaké adresy z přidělené podsítě. | + | |
+ | Je velmi pravděpodobné, | ||
+ | |||
+ | < | ||
+ | ip -6 route add unreachable 2a03: | ||
+ | </ | ||
+ | Tento příkaz je třeba spustit po každém startu. Pokud používáte OpenWRT, není třeba nic řešit, toto chování je výchozí. | ||
===== Povolení příchozího provozu na OpenWRT ===== | ===== Povolení příchozího provozu na OpenWRT ===== | ||
Řádek 96: | Řádek 119: | ||
option target ' | option target ' | ||
</ | </ | ||
+ | ===== Řešení pomocí OpenVPN ===== | ||
+ | |||
+ | **Použití OpenVPN pro nové instalace nedoporučujeme. Wireguard se ukazuje jako jednodušší a spolehlivnější.** | ||
+ | |||
+ | K tunelování IPv6 provozu je možné také použít OpenVPN verze 2.4 s vypnutým šifrováním a autentizací provozu – to z důvodu nedostatku výkonu na straně klienta. Používá se UDP provoz na standardním portu 1194. Každý klient se autentizuje certifikátem. Každému klientovi je **staticky** přidělena jedna spojovací IPv6 adresa a podsíť o délce prefixu /48. | ||
+ | |||
+ | Klientský certifikát je platný jeden rok. Před uplynutím jeho platnosti je třeba požádat o vydání nového. Záměrem tohoto nepohodlného opatření je, aby každý uživatel **nejméně jednou ročně napsal svému poskytovateli připojení dotaz na stav podpory IPv6**. | ||
+ | |||
+ | ==== Jak zprovoznit tunel ==== | ||
+ | |||
+ | - Napište svému ISP dotaz ohledně podpory IPv6. | ||
+ | - Požádejte o tunel prostřednictvím e-mailu na **ipv6tun@vpsfree.cz**. | ||
+ | - Obdržíte konfigurační soubor pro OpenVPN klienta. | ||
+ | - Upravte soubor podle své potřeby. | ||
+ | - Nakonfigurujte svůj router tak, aby do domácí sítě přiděloval nějaké adresy z přidělené podsítě. (Konfigurační soubor obsahuje ukázku konfigurace pro OpenWRT) | ||
+ | |||
+ | ==== Příklad konfigurace OpenVPN pro OpenWRT ==== | ||
+ | |||
+ | V tomto případě je ukázka přímo v dodaném konfiguračním souboru. Konfigurační soubor stačí uložit tak, jak je (s příponou '' | ||
+ | |||
+ | <file | / | ||
+ | config openvpn custom_config | ||
+ | option enabled 1 | ||
+ | option config / | ||
+ | </ | ||
+ | |||
+ | Dále je potřeba vytvořit nové logické rozhraní: | ||
+ | |||
+ | <file | / | ||
+ | config interface ' | ||
+ | option ifname ' | ||
+ | option proto ' | ||
+ | option ip6addr '< | ||
+ | option ip6gw '< | ||
+ | option ip6prefix '< | ||
+ | </ | ||
+ | |||
+ | a přidat logické rozhraní `ipv6tun` do firewallové zóny `wan`: | ||
+ | |||
+ | <file | / | ||
+ | config zone | ||
+ | option name ' | ||
+ | option network 'wan wan6 ipv6tun' | ||
+ | option ... | ||
+ | </ | ||
+ | |||