Znalostní báze

Informace o sdružení vpsFree.cz, návody a nejčastější dotazy.

Uživatelské nástroje

Nástroje pro tento web

Umístění: Znalostní Báze vpsFree.cz » informace » Projekty spolku vpsFree.cz » Tunelování IPv6
Historie:
informace:projekty:ipv6tunel

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revizePředchozí verze
Následující verze		Předchozí verze
informace:projekty:ipv6tunel [2023/08/09 13:49] – add persistent keepalive oskarinformace:projekty:ipv6tunel [2024/02/23 09:24] (aktuální) – [Nastavte přidělený blok jako Unreachable] oskar
Řádek 15: Řádek 15:
 Používá se UDP provoz na portu 51820. Každý klient se autentizuje párem veřejného a soukromého klíče. Každému klientovi je **staticky** přidělena jedna spojovací IPv6 adresa a podsíť o délce prefixu /48. Používá se UDP provoz na portu 51820. Každý klient se autentizuje párem veřejného a soukromého klíče. Každému klientovi je **staticky** přidělena jedna spojovací IPv6 adresa a podsíť o délce prefixu /48.
  
-Každý tunel <del>má</del> bude mít nastavené datum exspirace na jeden rok po zřízení, po jeho uplynutí je odkonfigurován. Pro nepřerušovaný provoz je tedy třeba požádat o prodloužení. Záměrem tohoto nepohodlného opatření je, aby každý uživatel **nejméně jednou ročně napsal svému poskytovateli připojení dotaz na stav podpory IPv6**. Poznámka: tato funkce //zatím// není implementovaná. Případnému odkonfigurování v budoucnu bude předcházet několik e-mailových varování.+Každý tunel <del>má</del> bude mít nastavené datum expirace na jeden rok po zřízení, po jeho uplynutí je odkonfigurován. Pro nepřerušovaný provoz je tedy třeba požádat o prodloužení. Záměrem tohoto nepohodlného opatření je, aby každý uživatel **nejméně jednou ročně napsal svému poskytovateli připojení dotaz na stav podpory IPv6**. Poznámka: tato funkce //zatím// není implementovaná. Případnému odkonfigurování v budoucnu bude předcházet několik e-mailových varování.
  
 ==== Jak zprovoznit tunel ==== ==== Jak zprovoznit tunel ====
Řádek 21: Řádek 21:
    - Napište svému ISP dotaz ohledně podpory IPv6.    - Napište svému ISP dotaz ohledně podpory IPv6.
    - Vygenerujte dvojici soukromého a veřejného klíče: ''$ wg genkey | tee privatekey | wg pubkey'' - soukromý klíč vznikne v souboru ''privatekey'', veřejný se zobrazí na terminálu. Chcete-li veřejný klíč zobrazit znovu, zavolejte ''$ wg pubkey < privatekey''.    - Vygenerujte dvojici soukromého a veřejného klíče: ''$ wg genkey | tee privatekey | wg pubkey'' - soukromý klíč vznikne v souboru ''privatekey'', veřejný se zobrazí na terminálu. Chcete-li veřejný klíč zobrazit znovu, zavolejte ''$ wg pubkey < privatekey''.
-   - Požádejte o tunel prostřednictvím e-mailu na **ipv6tun@vpsfree.cz**. Nezapomeňte připojit veřejný klíč. Prosím **neposílejte klíč v příloze, vložte ho přímo do textu zprávy**.+   - Požádejte o tunel prostřednictvím e-mailu na **ipv6tun@vpsfree.cz**. Nezapomeňte připojit veřejný klíč. Prosím **neposílejte klíč v příloze, vložte ho přímo do textu zprávy**. Pokud se konec tunelu má nacházet **na Slovensku**, prosím uveďte to v žádosti.
    - Obdržíte e-mail s příkladem konfigurace pro wg-quick a OpenWRT. **V konfiguračním souboru se také dozvíte přidělený adresní blok.**    - Obdržíte e-mail s příkladem konfigurace pro wg-quick a OpenWRT. **V konfiguračním souboru se také dozvíte přidělený adresní blok.**
    - Doplňte do konfiguračního souboru svůj privátní klíč a nakonfigurujte svého klienta.    - Doplňte do konfiguračního souboru svůj privátní klíč a nakonfigurujte svého klienta.
Řádek 80: Řádek 80:
 /ipv6/address/add address=2a03:3b40:200::XXX/128 interface=wgipv6tun /ipv6/address/add address=2a03:3b40:200::XXX/128 interface=wgipv6tun
 /ipv6/route/add dst-address=::/0 gateway=wgipv6tun /ipv6/route/add dst-address=::/0 gateway=wgipv6tun
 +/ipv6/route/add dst-address=2a03:3b40:XXX::/48 blackhole
 </file> </file>
  
 Poznámka: kromě uvedené konfigurace bude také nejspíš vhodné nastavit IPv6 adresy na LAN straně routeru. Také může být potřeba povolit provoz Wireguardového tunelu ve firewallu. Ve [[https://help.mikrotik.com/docs/display/ROS/WireGuard|výchozí konfiguraci]] používá Wireguardový tunel lokální port číslo 13231. Poznámka: kromě uvedené konfigurace bude také nejspíš vhodné nastavit IPv6 adresy na LAN straně routeru. Také může být potřeba povolit provoz Wireguardového tunelu ve firewallu. Ve [[https://help.mikrotik.com/docs/display/ROS/WireGuard|výchozí konfiguraci]] používá Wireguardový tunel lokální port číslo 13231.
 +
 +===== Nastavte přidělený blok jako Unreachable =====
 +
 +Je velmi pravděpodobné, že nevyužijete celý přidělený blok délky /48. Protože výchozí brána vede směrem do tunelu, bude každý paket, který přijde do nevyužité části bloku, vrácen zpět do tunelu a dále zpět k vám. Abyste tento problém eliminovali, je dobré instalovat do směrovací tabulky záznam pro celý blok, takto:
 +
 +<file>
 +ip -6 route add unreachable 2a03:3b40:XXX::/48
 +</file>
 +
 +Tento příkaz je třeba spustit po každém startu. Pokud používáte OpenWRT, není třeba nic řešit, toto chování je výchozí.
 +
 ===== Povolení příchozího provozu na OpenWRT ===== ===== Povolení příchozího provozu na OpenWRT =====
  
Řádek 108: Řádek 120:
 </file> </file>
 ===== Řešení pomocí OpenVPN ===== ===== Řešení pomocí OpenVPN =====
 +
 +**Použití OpenVPN pro nové instalace nedoporučujeme. Wireguard se ukazuje jako jednodušší a spolehlivnější.**
  
 K tunelování IPv6 provozu je možné také použít OpenVPN verze 2.4 s vypnutým šifrováním a autentizací provozu – to z důvodu nedostatku výkonu na straně klienta. Používá se UDP provoz na standardním portu 1194. Každý klient se autentizuje certifikátem. Každému klientovi je **staticky** přidělena jedna spojovací IPv6 adresa a  podsíť o délce prefixu /48. K tunelování IPv6 provozu je možné také použít OpenVPN verze 2.4 s vypnutým šifrováním a autentizací provozu – to z důvodu nedostatku výkonu na straně klienta. Používá se UDP provoz na standardním portu 1194. Každý klient se autentizuje certifikátem. Každému klientovi je **staticky** přidělena jedna spojovací IPv6 adresa a  podsíť o délce prefixu /48.
informace/projekty/ipv6tunel.1691588961.txt.gz · Poslední úprava: 2023/08/09 13:49 autor: oskar

Nástroje pro stránku

Kromě míst, kde je explicitně uvedeno jinak, je obsah této wiki licencován pod následující licencí: CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki