Configure um servidor de encapsulamento 6in4

3

Gostaria de configurar um servidor de encapsulamento SIT IPv6 em IPv4. Eu vasculhei a página wiki do Ubuntu IPv6 , mas tudo é voltado para conectar a um túnel como um cliente, em vez de hospedá-lo. Eu gostaria de usar 6in4 como é bastante simples / versátil e parece negociar a maioria dos roteadores / firewalls domésticos sem problemas.

Isso será usado principalmente pela nossa equipe de administradores de sistema para acessar o IPv6 de casa em conexões DSL / Cabo que não suportam nativamente. A razão pela qual eu gostaria de fazer isso sozinho é dupla:

  1. Acho que os túneis do Hurricane Electric são bastante lentos e ocasionalmente não confiáveis.
  2. Eu não gosto da ideia do nosso tráfego sair pela rede da HE. Nós temos nossa própria rede central de trânsito e alocação IPv6 do RIPE, então podemos usá-la também!

Isso seria usado por 5-10 usuários simultaneamente.

Equipamento que tenho à disposição para ser usado como host:

  • Cisco ISRs
  • Cisco ASAs
  • Juniper MXs
  • Servidores Linux / Windows (Idealmente seria o Ubuntu)

Obrigado antecipadamente.

    
por SimonJGreen 04.02.2013 / 23:33

2 respostas

7

Se não me engano, o SIT é simétrico: a mesma coisa é feita em ambos os lados.

A configuração deve ser bem direta:

Cisco IOS:

interface Tunnel0
 description 6in4 to <client>
 no ip address
 ipv6 enable
 ipv6 address 2001:db8:::1/64
 tunnel source <local ipv4>
 tunnel destination <client ipv4 addr>
 tunnel mode ipv6ip

Juniper JunOS

interfaces {
   ip-0/1/0 {
      unit 0 {
         tunnel {
            source <local ipv4>;
            destination <client ipv4 addr>;
         }
         family inet6 {
            address 2001:db8::1/64;
         }
      }
   }
}

Linux iproute2:

ip tunnel add tun-6in4 mode sit remote <client ipv4 addr> local <local ipv4> 
ip link set tun-6in4  up
ip addr add 2001:db8:::1/64 dev tun-6in4

Eu não tenho experiência em configuração ASA, mas deve ser factível também.

No entanto, existem várias desvantagens com o 6in4:

  • N túneis no nó do hub para N peers

  • Não é fácil atualizar o IP do mesmo para clientes de ip dinâmicos.

Você pode querer dar uma olhada nas tecnologias de VPN dinâmicas, como o OpenVPN (resolve o problema 2, embora os dispositivos sejam gerados dinamicamente) ou tinc (resolve ambos), ou qualquer outro capaz de encapsular ethernet (assim IPv6) com dispositivos de tap.

    
por 04.02.2013 / 23:54
1

Dar aos funcionários de uma conectividade doméstica do ISP para o IPv6 é muito importante.

6in4 é simétrico, então você configura o túnel da mesma maneira em ambas as extremidades (formando um 'cabo' virtual entre elas). O roteamento é então feito como de costume: o 'customer' end usa o túnel como gateway padrão, e o 'servidor' direciona os prefixos pelo túnel correspondente. Esse último bit pode exigir alguma redistribuição (manual ou automática) de rotas.

No Cisco IOS redistribute static em sua configuração de protocolo de roteamento é uma maneira fácil de fazer isso, mas talvez você queira filtrar a redistribuição. Eu costumo redistribuir as rotas 'cliente' no BGP. Ele mantém o limpador IGP (como ISIS ou OSPF), que ajudará na velocidade de convergência de seu núcleo após uma falha ou falha de link. E o BGP oferece opções de filtragem muito melhores. Por exemplo, anexando comunidades a rotas redistribuídas.

Para expandir um pouco a resposta dada por petrus. Eu darei a notação da Cisco, mas isso funcionará em outros sistemas operacionais da mesma maneira.

Você pode ter links numerados e não numerados. Links numerados podem tornar a depuração mais fácil, mas torna o seu plano de endereçamento um pouco mais complexo. Em ambos os casos, você terá que delegar um pouco de espaço de endereçamento ao usuário. Os endereços no link são usados apenas em o link, e o usuário provavelmente precisa ter endereços para redes atrás do link também. Portanto, direcione um /56 ou um /48 para o link.

Vamos começar com um link não numerado. Crie o link com ipv6 enable para criar endereços locais de link no link. Algo parecido com isso no lado do "servidor":

interface Tunnel1
 description 6in4 to <client-1>
 no ip address
 ipv6 enable
 tunnel source <local ipv4>
 tunnel destination <client-1 ipv4 addr>
 tunnel mode ipv6ip

interface Tunnel2
 description 6in4 to <client-2>
 no ip address
 ipv6 enable
 tunnel source <local ipv4>
 tunnel destination <client-2 ipv4 addr>
 tunnel mode ipv6ip

ipv6 route 2001:db8:a001::/48 Tunnel 1
ipv6 route 2001:db8:a002::/48 Tunnel 2

router bgp 65530
 address-family ipv6
  redistribute static

E no lado do "cliente":

interface Tunnel1
 description 6in4 to <server>
 no ip address
 ipv6 enable
 tunnel source <client-1 ipv4>
 tunnel destination <server ipv4 addr>
 tunnel mode ipv6ip

interface FastEthernet0/0
 ipv6 address 2001:db8:a001:1::1/64

ipv6 route ::/0 Tunnel 1

E agora exatamente o mesmo com links numerados. O benefício é que você pode mais facilmente pingar o outro ponto final do túnel. Algo parecido com isso no lado do "servidor":

interface Tunnel1
 description 6in4 to <client-1>
 no ip address
 ipv6 address 2001:db8:0:a001::1/64
 tunnel source <local ipv4>
 tunnel destination <client-1 ipv4 addr>
 tunnel mode ipv6ip

interface Tunnel2
 description 6in4 to <client-2>
 no ip address
 ipv6 address 2001:db8:0:a002::1/64
 tunnel source <local ipv4>
 tunnel destination <client-2 ipv4 addr>
 tunnel mode ipv6ip

ipv6 route 2001:db8:a001::/48 2001:db8:0:a001::2
ipv6 route 2001:db8:a002::/48 2001:db8:0:a002::2

router bgp 65530
 address-family ipv6
  redistribute static
  redistribute connected

E no lado do "cliente":

interface Tunnel1
 description 6in4 to <server>
 no ip address
 ipv6 address 2001:db8:0:a001::2/64
 tunnel source <client-1 ipv4>
 tunnel destination <server ipv4 addr>
 tunnel mode ipv6ip

interface FastEthernet0/0
 ipv6 address 2001:db8:a001:1::1/64

ipv6 route ::/0 2001:db8:0:a001::1

Eu escolho 2001:db8:0:a001::/64 para o link ponto-a-ponto relacionado à delegação 2001:db8:a001::/48 por conveniência. Você pode escolher qualquer prefixo que quiser, mas manter as coisas reconhecíveis com um espaço de endereçamento tão grande quanto o IPv6 pode ajudar ...

    
por 05.02.2013 / 03:00

Tags