Como configurar um servidor de encapsulamento 6in4 / 6to4 em um gateway Linux?

Navegue suas respostas
3

Tenho uma conexão IPv6 nativa (prefixo / 64) e estou tentando configurar a conexão IPv6 com um roteador OpenWrt. Mas eu descobri que não era possível usar ebtables para passar por todo o tráfego IPv6 (limitação de firmware) ou usar o ndppd para fazer proxy de todas as solicitações ICMPv6 (solicitação / anúncio vizinho, roteador upstream que não tenho controle não as aceito com razão desconhecida).

Parece que a única opção que tenho agora é encapsular todo o tráfego IPv6. Abaixo está a topologia da rede: 

   Internet  --   Router      --      PC
            wan prefix::/64
            wan 219.242.x.x
            lan 10.224.0.1      10.224.36.223

Estou tentando criar um túnel entre dois endereços 10.224.x.x para encapsular todo o tráfego IPv6 para obter conexão IPv6.

Eu pesquisei alguns tutoriais, mas não consigo descobrir qual endereço usar como parâmetros ao configurar o túnel.

O PC está executando o Windows. Seria melhor se um exemplo de configuração também fosse fornecido.

(O gateway está executando o OpenWrt, mas suponho que funcione quase como um gateway Linux?)

    
por user707854 02.09.2013 / 18:42

2 respostas

0

Um túnel não é uma solução para o problema que você está enfrentando.

Você tem uma conexão física direta entre as duas máquinas que conectaria por um túnel, portanto, não há necessidade do túnel em primeiro lugar. Qualquer endereçamento que você queira executar no túnel pode ser feito diretamente na conexão Ethernet entre os dois pontos de extremidade. E fazê-lo na Ethernet, em vez de em um túnel, elimina a complexidade adicional na configuração, bem como a sobrecarga de encapsulamento.

Você tem outro problema, que é o de não ter nenhum endereço para atribuir a essa conexão. Mas usar o IPv6 via Ethernet ou IPv6 em um túnel não altera isso. Ambos precisam do mesmo número de endereços (exceto que fazê-lo pela Ethernet permitiria que o prefixo fosse usado por toda a LAN).

Se você quiser fazer isso corretamente, você precisa de um prefixo para a LAN, que deve ser roteado para o seu roteador. A partir de sua descrição, você atualmente só tem um prefixo de link para a WAN. Isso não é suficiente, já que você precisa de outro prefixo de link para a LAN, que deve ser retirado de um prefixo roteado para o seu roteador.

Eu conheço um protocolo padronizado para configurar este prefixo roteado, que é DHCPv6. O roteador deve enviar uma solicitação DHCPv6 em sua interface WAN e solicitar um prefixo roteado. Um roteado / 64 é suficiente para o que você quer fazer agora, mas você também pode optar por um / 48, / 56 ou / 60 imediatamente, pois provavelmente você logo encontrará usos para mais de um / 64 em sua LAN. A alternativa ao DHCPv6 com delegação de prefixo é que seu ISP configure uma rota estática para o prefixo roteado para o seu roteador.

Se você achar que seu ISP não tem nenhum servidor DHCPv6, ou que ele nem mesmo delegará um / 60 ou um / 64, você deve contatar seu ISP para perguntar como obter um prefixo roteado para seu roteador.

Se eles se recusarem a rotear um prefixo para o seu, uma vez que você tenha pedido, é hora de procurar por soluções alternativas. As duas soluções alternativas que conheço são ponte e proxies de descoberta de vizinho. Do ponto de vista dos ISPs, ambos se comportarão da mesma forma e farão com que o consumo de memória no roteador suba. Eles poderiam ter evitado esse uso extra de memória roteando um prefixo para você.

Você diz que nenhuma solução alternativa é suportada pelo firmware do seu roteador. Acho que isso significa que você precisará atualizar para um firmware que ofereça suporte a ele.

Você também está perguntando sobre o 6to4 que não está relacionado. Eu classificaria 6to4 como praticamente irrelevante para sua configuração. No entanto, se você puder fazer isso no firmware do seu roteador, eu habilitaria um relé 6to4 no roteador, porque isso fornecerá uma comunicação mais confiável ao se comunicar com alguém que esteja usando o 6to4. Eu habilitaria uma retransmissão Teredo pelo mesmo motivo, o que é muito conveniente se você precisar se conectar de volta de um laptop em uma rede somente IPv4.

    
por 20.05.2014 / 17:40
0

É possível apenas configurar seu OpenWRT como uma ponte, para que ele passe o tráfego IPv6, mas adicione os IPs públicos e privados à interface da ponte de roteadores para que você ainda possa ter uma rede IPv4 privada com NAT, o OpenWRT poderia atuar como um roteador de um braço. Caso contrário, obter o seu proxy NDP funcionando pode ser o próximo passo, você tem certeza de que o kernel do Linux não está consumindo o tráfego NDP, confira / proc / sys / net / ipv6 / conf / * / accept_ra para ver a manipulação do kernel dos anúncios do roteador muda o comportamento. Não sei por que você está vendo ebtables, a menos que você queira filtrar o tráfego da camada 2 em uma ponte, por padrão todo o tráfego é permitido na camada 2 e a maior parte da filtragem acontece com o iptables na camada 3. Se você quiser filtrar o tráfego, você pode selecionar apenas o tráfego IPv6 com base em seu tipo descrito em / etc / ethertypes, se você quiser filtrar o IPv4, certifique-se de também permitir o ARP, é um protocolo Ethernet diferente.

    
por 20.05.2014 / 18:25

Tags

Como pode configurar o Cisco ASA 5510 para permitir o acesso ao servidor da Web no DMZ da LAN com tradução de porta? O que o AuthForwardServerList faz?