Uživatelské nástroje

Nástroje pro tento web


IPv6 prostřednictvím tunelu

Za tento článek děkujeme Ondřeji Caletkovi ze sdružení CESNET.

Nenabízí-li váš poskytovatel připojení podporu pro protokol IPv6, můžete získat konektivitu k protokolu IPv6 tunelováním protokolem IPv4. Tento návod je určený pro pokročilejší uživatele.

Mějte na paměti, že zavedete-li do domácí sítě IPv6 tunelem, bude tunelované připojení většina zařízení preferovat namísto nativního spojení protokolem IPv4. Váš poskytovatel připojení nemusí provoz tunelovaného IPv6 přenášet se stejnou prioritou jako IPv4, což může vést ke zhoršení celkové kvality služby.

Tunel typu 6in4 (proto-41)

Má-li WAN rozhraní Turrise k dispozici veřejnou IPv4 adresu, doporučuji použít tento typ tunelu, který zapouzdřuje IPv6 datagramy přímo do IPv4 datagramů. IPv4 adresa může být dynamická, tedy měnící se při každém připojení.

Nejste-li si jisti, zda je IPv4 routeru veřejná, porovnejte adresu WAN rozhraní routeru, kterou uvidíte na úvodní stránce rozhraní LuCI, s adresou, kterou uvidíte na http://ip-echo.ripe.net/. Jsou-li adresy odlišné, nemůžete tento typ tunelu použít.

Získání tunelu od HE.net

Nyní je potřeba získat vlastní tunel od tzv. Tunnel Brokera. Jedná se o server, který přijímá tunelovaný IPv6 provoz po IPv4 a dále jej přeposílá do nativního IPv6 internetu.

Doporučuji použít služby www.tunnelbroker.net, jehož tunelovací server je umístěn v Praze s připojením do NIX-CZ. U tohoto Tunnel Brokera jako jediného je také podporována automatická aktualizace dynamické IPv4 adresy.

  1. Po přihlášení pokračujte odkazem Create Regular Tunnel
  2. Do pole IPv4 Endpoint zadejte svou IPv4 adresu (měla by být stejná s adresou, která je vidět v poli You are viewing from)
  3. Vyberte tunelovací server. Je velmi pravděpodobné, že nejvhodnější bude ten umístěný v Praze. Můžete ale vyzkoušet příkazem ping prověřit odezvu i ostatních serverů. Nezapomeňte, že vzdálenost z pohledu internetové sítě se nemusí vždy shodovat s geografickou vzdáleností.
  4. Tlačítkem Create Tunnel vytvořte tunel.
  5. Objeví se stránka s parametry tunelu. Ty budou později potřeba při konfiguraci Turrise. Povšimněte si prosím, že adresní prefix v rubrice Routed /64 se liší od prefixu použitého pro koncové body tunelu. Pro správnou funkci aktualizace dynamické IPv4 adresy bude navíc potřeba heslo Update Key ze záložky Advanced.

Pozor, máte-li xDSL přípojku, nebo podobný typ připojení, kde je hodnota MTU nižší než 1500, je potřeba odpovídajícím způsobem snížit hodnotu MTU jak na záložce Advanced, tak později v konfiguraci Turrisu. Hodnota MTU tunelu by měla být nejvýše o 20 bajtů nižší než hodnota MTU připojení. Tedy pro PPPoE spojení s hodnotou MTU 1492 je třeba nastavit hodnotu MTU na 1472. Bezpečné minimální MTU, které by mělo fungovat vždy, je 1280.

Máte-li více než jednu domácí síť (například samostatnou síť pro hosty), požádejte o přiřazení prefixu /48 tlačítkem Assign /48. Tento přiřazený prefix pak používejte namísto prefixu Routed /64

Konfigurace 6in4 v Turrisu

  1. Nainstalujte balíček 6in4, například příkazem opkg install 6in4
  2. Editujte soubor /etc/config/network. Přidejte následující sekci konfigurujícího rozhraní wan6in4 Příslušné hodnoty doplňte z položek informační stránky tunelu. Název položky je uveden za komentářem.
    /etc/config/network
    config interface 'wan6in4'
            option proto '6in4'
            option mtu '1480'
            option 'peeraddr' '216.66.86.122'   #Server IPv4 address
            option 'ip6prefix' '2001:470:6f:5a6::/64' #Routed /64
            # Následující parametry jsou nezbytné jen pokud má Turris dynamickou IPv4 adresu
            option 'tunnelid' '253593'
            option 'username' 'testinguser' #vaše uživatelské jméno
            option 'password' 'heslo nebo updatekey' #ze záložky advanced
  3. Přidejte pravidla pro firewall, aby propouštěl tunelovaný IPv6 provoz z tunelovacího serveru:
    /etc/config/firewall
    config rule
            option name 'wan6in4'
            option family 'ipv4'
            option src 'wan'
            option src_ip '216.66.86.122'   #Server IPv4 address
            option proto '41'
            option target 'ACCEPT'
  4. Restartujte router, například příkazem reboot
  5. Od této chvíle bude jak router Turris, tak domácí síť za ním připojena IPv6 tunelem.

Spustíte-li test připojení v rozhraní Foris, objeví se chyba v dostupnosti IPv6 brány. Tato chyba nemá žádný vliv na funkčnost. Její příčinou je, že tunel typu bod-bod nemá nakonfigurovanou žádnou IPv6 bránu, jejíž dostupnost by se dala testovat.

Tunel typu AYIYA (v6udpv4)

Tento typ tunelu zapouzdřuje IPv6 datagramy do UDP datagramů IPv4 protokolu. Díky tomu může takový tunel procházet i překladačem síťových adres (NATem) na straně poskytovatele připojení. Nevýhodou je vyšší režie takového tunelování a horší dostupnost Tunnel Brokerů.

Získání tunelu od SixXS

Od 1. dubna 2016 platforma SixXS nepřijímá nové žádosti o IPv6 tunely. Místo toho žádá zájemce, aby podporu IPv6 požadovali po svých poskytovatelích připojení. Bohužel nemám informace o žádné podobné službě, který by SixXS nahradila.

SixXS je platforma sdružující tunelovací servery z celého světa. Její provozovatelé si zakládají na pravosti údajů, proto všechny žádosti ručně schvalují a u každého kroku vyžadují zdůvodnění. Cílem těchto opatření je odfiltrovat nevážné zájemce. Nesnažte se vyplňovat falešné údaje; takové podvody jsou obvykle odhaleny a potrestány zablokováním účtu.

  1. Nejprve vytvořte nový účet a vyčkejte na jeho schválení.
  2. Po přihlášení požádejte o nový tunel. Zvolte typ AYIYA a zadejte město a stát, kde je váš Turris umístěn.
  3. V dalším kroku vyberte vhodný tunelovací server. V nabídce bude pravděpodobně jediný PoP v Praze, provozovaný společností IGNUM. Žádost o přidělení tunelu opět zdůvodněte a vyčkejte na schválení personálem SixXS.
  4. Po schválení zjistíte všechny potřebné informace na své domácí stránce, ze které se dostanete na stránku nastavení tunelu.
  5. Na stránce nastavení tunelu nastavte heslo pro TIC protokol. Tímto heslem se bude autentizovat váš Turris vůči systému SixXS. Doporučuji vygenerovat zcela náhodný řetězec. Toto heslo si nemusíte pamatovat, bude uložené v Turrisu a kdykoli jej můžete změnit z webového rozhraní.

Máte-li více než jednu domácí síť (například samostatnou síť pro hosty), je potřeba ještě požádat o přidělení prefixu /48. Za vyřízení této žádosti se platí virtuální měnou ISK, kterou získáváte provozováním tunelu. Dostatečné množství kreditu získáte po jednom týdnu provozování tunelu.

Konfigurace AYIYA tunelu v Turrisu

  1. Nainstalujte balíček aiccu, například příkazem opkg install aiccu
  2. Editujte soubor /etc/config/network. Odstraňte původní sekci konfigurující rozhraní wan6 a nahraďte ji tímto zápisem. Příslušné hodnoty doplňte z položek informační stránky tunelu.
    /etc/config/network
    config interface 'wan6'
            option proto 'aiccu'
            option 'username' 'JPA1-SIXXS/T76490'   #Vaše uživatelské jméno a identifikátor tunelu
            option 'password' 'SomeRandomString'    #Heslo, které jste nastavili na stránce tunelu
            option 'ip6addr'   '2a01:8c00:ff00:109::2/64' #Your IPv6 na informační stránce tunelu
            option 'ip6prefix' '2a01:8c00:ff00:8109::/64' #Subnet prefix z rubriky Subnets na informační stránce tunelu
            option 'verbose' 'true'   #Volitelné, zvýší množství informací v logu
  3. Restartujte router, například příkazem reboot
  4. Od této chvíle bude jak router Turris, tak domácí síť za ním připojena IPv6 tunelem.

Nerestartuje IPv6 tunel, nebo celý router Turris, příliš často. Budete-li s inicializačním serverem komunikovat častěji než pětkrát za hodinu, bude váš přístup dočasně zablokován a tunel nepůjde nastartovat. Pokud s pokusy nepřestanete, budete upozorněni e-mailem a blokování se nezruší, dokud o to e-mailem nepožádáte.

Spustíte-li test připojení v rozhraní Foris, objeví se chyba v dostupnosti IPv6 brány. Tato chyba nemá žádný vliv na funkčnost. Její příčinou je, že tunel typu bod-bod nemá nakonfigurovanou žádnou IPv6 bránu, jejíž dostupnost by se dala testovat.

Povolení příchozího IPv6 provozu

V základním nastavení router Turris blokuje veškeré pokusy o navázání spojení z internetu směrem do vnitřní sítě. Takové opatření fakticky znemožňuje přímou komunikaci se zařízeními v domácí síti, stejně jako efektivní funkci multimediálních a P2P aplikací. Doporučuji proto povolit přinejmenším přenosy na dynamicky alokovaná čísla portů přidáním následujícího obsahu do konfigurace firewallu:

/etc/config/firewall
config rule
        option name 'IPv6 in'
        option family 'ipv6'
        option src 'wan'
        option proto 'tcpudp'
        option dest_port '49192-65535'
        option target 'ACCEPT'

Pro úplné otevření IPv6 provozu odstraňte z výše uvedeného pravidla volby proto a dest_port.