O2 DSL s IPv6 a přístup do vnitřní IPv4 sítě

[partizan]

Zdravim,

mam pripojeni od o2 a nedostavam verejnou IPv4, kterou potrebuji kvuli vzdalenemu pristupu na kamery. Platit 250Kc/mesicne mi prijde silene, tak me napadlo, jestli lze nejak pracovat s IPv6? Resp. existuje vubec neco jako NAT z IPv6 na interni IPv4?
Mam od O2 Zyxel 02 gateway. Nebo napada nekoho jine reseni jak vyresit vzdaleny pristup na kamery uvnitr site?

[Reklama]

[SB]

Nevím, co umějí různá prapodivná zařízení od O2, ale předpokládám, že NAT64 to nebude.
Když si do vnitřní sítě dáte např. i to nejpomalejší Raspberry a na něm spustíte (a nastavíte) NAT64 (nejpropracovanější, nejrychlejší, nejfunkčnější a nejspolehlivější je dnes asi Jool, je v repozitářích aktuálního Raspi OS), tak vám bude přístup zvenku přes IPv6 překládat a přeposílat na vnitřní kameru s IPv4. Předpokládám, že se to bude teď v pondělí protřepávat na setkání k IPv6.

[Petr Krčmář]

NAT64 není správná odpověď, ten slouží přesně k opačné akci: uvnitř sítě mám jen IPv6 a potřebuji se dostat do internetu i na staré adresy. Proto mi to hraniční směrovač překládá mezi oběma světy.

V tomhle případě ale samozřejmě řešení taky existuje, je možné si třeba udělat VPN nebo na tom hraničním směrovači použít třeba socat, 6tunnel nebo si pustit třeba Nginx jako reverzní proxy. Přímo pomocí překladu adres (přesměrování portů) se to udělat nedá, protože to vyžaduje změnu protokolu, nestačí jen přepsat adresy.

[Radek Zajíc]

Jool umi fungovat v ruznych rezimech, vcetne bezestavoveho prekladu 1:1 mezi protokoly. Ovsem v pripade O2 pujde nejspis o DSL nebo optiku a tam se nabizi mnohem jednodussi reseni - prejit k ISP, ktery verejnou IPv4 nabizi v cene nebo za mirny priplatek.

Pokud byste prece jen chtel realizovat meziprotokolovy preklad, tak to urcite nepujde udelat s dodanym routerem, a budete potrebovat neco chytrejsiho napr. s OpenWRT. Alternativne se nektere nastroje jako Jool, socat, nebo nginx v roli reverzni proxy daji spustit na zarizeni ve vnitrni siti (napr. RPi).

[Adolf.Shitler.2]

Zdravim,

mam pripojeni od o2 a nedostavam verejnou IPv4, kterou potrebuji kvuli vzdalenemu pristupu na kamery. Platit 250Kc/mesicne mi prijde silene, tak me napadlo, jestli lze nejak pracovat s IPv6? Resp. existuje vubec neco jako NAT z IPv6 na interni IPv4?
Mam od O2 Zyxel 02 gateway. Nebo napada nekoho jine reseni jak vyresit vzdaleny pristup na kamery uvnitr site?

Dostat se vzdáleně do své vnitřní sítě by mělo jít přes RDP (TeamViewer apod.), pokud budeš mít např. trvale v provozu nějaký (mini)PC s fixní IPv6.

[Reklama]

[darebacik]

Chcem sa opytat ako nie sietar.
IPv6 a IPv4 su 2 rozne svety, ktore sa za beznych okolnosti nevidia, preto vznikli  rozne mechanizmy 6to4  pod. aby sa mohlo liezt z IPv6 do IPv4 a opacne.
Ja zatial chvalabohu (bohuzial) mam verejnu IPv4 zdarma (sice dynamicku, ale OK (dyndns to riesi)).
partizan pise, ze ma IPv6 od O2. Neviem ako ISP prideluju zakaznikovi IP adresy (dostane jedinu IP adresu, alebo nejaky blok ?).

partizan sa potrebuje dostat z vonka do svojej LAN siete, kde ma ip kamery. Ak sa bude chciet pozriet na ip kamery z miesta, kde je IPv6, tak by nemal byt ziadny problem, lebo v IPv6 by mohli byt vsetky IP adresy verejne.

Avsak ludia sa chcu pozriet na ip kamery vacsinou z mobilu a mobilny operator prideluje zakaznikom skor IPv4 adresy CGN. To znamena, ze na ip kamery sa nijak nedostane.

Aj keby si v domacej LAN postavil cokolvek (spominate nejaky jool, socat ... sice nemam s tym skusenosti), tak sa z vonku do LAN nedostane. Mam na mysli p2p spojenie, neuvazujem ziadne verejne, ci platene sluzby (cloudy) a pod.

Ako spominal Radek Zajic, tak jedinym normalnym riesenim je zmenit ISP, ktory ponuka IPv4 zdarma, alebo za symbolicky poplatok, prip. si kupit nejaku lacnu VPS, kde vacsinou ponukaju 1x IPv4 a spravit si tunel skrz tu VPS.

Ak sa mylim, tak sa ospravedlnujem.

[Petr Krčmář]

Avsak ludia sa chcu pozriet na ip kamery vacsinou z mobilu a mobilny operator prideluje zakaznikom skor IPv4 adresy CGN. To znamena, ze na ip kamery sa nijak nedostane.

Je to tak, neexistuje přímá cesta z IPv4 do IPv6. Jenže v praxi to třeba u mě není problém, když se potřebuji dostat k serveru, který má jen IPv6 (takové provozuji také), tak si buď vytočím VPN někam, kde mám obě adresy, nebo si třeba udělám SSH tunel. Mám dost strojů, které mají IPv4 i IPv6, takže prosáknout mezi těma světy není problém. Jakmile tam jsem, můžu z takového „přechodového“ stroje oslovit celý IPv6 svět, takže se už dostanu kamkoliv.

[Peterekcze]

Pokud bude chtít přejít k jinému ISP tak T-Mobile dává k xDSL zadarmo dynamickou veřejnou IP (nikdy se kamarádovi snad nezměnila za 3 roky). Ovšem u optiky dává privátních IP (za poplatek 99 Kč dá veřejnou IP) Třeba to někomu pomůže

[darebacik]

Avsak ludia sa chcu pozriet na ip kamery vacsinou z mobilu a mobilny operator prideluje zakaznikom skor IPv4 adresy CGN. To znamena, ze na ip kamery sa nijak nedostane.

Je to tak, neexistuje přímá cesta z IPv4 do IPv6. Jenže v praxi to třeba u mě není problém, když se potřebuji dostat k serveru, který má jen IPv6 (takové provozuji také), tak si buď vytočím VPN někam, kde mám obě adresy, nebo si třeba udělám SSH tunel. Mám dost strojů, které mají IPv4 i IPv6, takže prosáknout mezi těma světy není problém. Jakmile tam jsem, můžu z takového „přechodového“ stroje oslovit celý IPv6 svět, takže se už dostanu kamkoliv.

Ano ale vzdy potrebujes nejaky stroj s verejnou IPv4 (idealne ak mas nad strojom aj kontrolu). Ak nemas nad strojom kontrolu a potrebujes tam transferovat sukromne data, tak vnoreny WG by mozno pomohol.

[SB]

NAT64 není správná odpověď, ten slouží přesně k opačné akci: uvnitř sítě mám jen IPv6 a potřebuji se dostat do internetu i na staré adresy. Proto mi to hraniční směrovač překládá mezi oběma světy.

Mýlíte se. NAT64 nezná pojmy „vnější“ a „vnitřní“ síť, šestkový packet, který mu přijde a obsahuje cílovou adresu z překládaného prefixu, přeloží a odešle jako čtyřkový (záleží na implementaci, zda ze stejného či jiného rozhraní a se kterou zdrojovou adresou, ale o to tu nejde). Mimoto Jool umí v tabulce BIB nastavit i překlad ze 4 na 6 (adresy i porty). Další možností Joolu (ale i obecně) je překlad SIIT, kdy jsou jednotlivé či skupiny IPv4 a IPv6 namapované 1:1 (ve své podstatě je to pořád NAT), právě tak se dá ze čtyřkové sítě komunikovat s částí šestkového světa (to asi bude na té přednášce v pondělí).

Shrnuto: Odpověď NAT64 je správně, jde použít i SIIT, ale Jool je správně každopádně.

Zařídit si IPv4 pochopitelně jde, ale na to se tazatel neptal.

[Petr Krčmář]

Máte pravdu, tohle použití mě nenapadlo. Díky.

[Radek Zajíc]

Snažím se tu najít takovou konfiguraci Joolu, která by splňovala tazatelovu konfiguraci, a úplně se mi to nedaří.

Jool v režimu NAT64 funguje, ale zpřístupní celou cílovou síť. Navíc potřebuje samostatný, globálně routovatelný IPv6 prefix. Tj. něco jako:
- ISP mi dá 2001:db8:dead:fe00::/56
- Pro LAN použiju 2001:db8:dead:fe00::/64
- Pro NAT64 použiju 2001:db8:dead:fe64::/96

Pak vytvořím extra namespace a naroutuju do něj prefix 2001:db8:dead:fe64::/96, v namespace vytvořím instanci Joolu

Kód: [Vybrat]

jool instance add --netfilter --pool6 2001:db8:dead:fe64::/96Tohle funguje, můžu se z IPv6 internetu připojit např. k 2001:db8:dead:fe64::192.168.10.11. Ale zároveň i kamkoli jinam v lokální síti (což spíš nechci, otevírat celou LAN do Internetu), takže bych musel ještě na vstupu udělat iptables/nftables filtry:
- aby byl povolen přístup např. jen na 2001:db8:dead:fe64::192.168.10.11, tcp, port 443 (https)
- aby bylo povoleno icmpv6
- všechen ostatní provoz na 2001:db8:dead:fe64::/96 aby byl zahozen

U O2 ale nastane problém, že od operátora dostáváte jen jeden /64 prefix, ne /56, a ten jeden prefix použijete pro LAN. A tedy nemáte žádný další globálně routovatelný prefix pro NAT64.

Napadá někoho, jak např. použít mapování "celý IPv6 internet->konkrétní lokální IPv4 služba na konkrétním portu"?

[SB]

Pane Zajíci, nerozumím tolik sítím jako Vy, takže napíšu, jak tomu rozumím či to mám já:

Prefix pro NAT64 máte správně, aby fungovalo směrování přes inet. Co je vytvoření namespace, netuším. Daný prefix je routerem směrován na šestkové rozhraní počítače s Joolem, přičemž jeho adresa by neměla být veřejná, ale ULA či jen link local. Čtyřkové rozhraní má v Joolu v pool4 nastaven (virtuální?) rozsah adres, se kterými překladač odesílá čtyřkové packety ze čtyřkového rozhraní, ale zrovna tak musí být tento rozsah adres (prefix) směrován routerem na toto čtyřkové rozhraní (pro komunikaci opačným směrem). Vzhledem k tomu, že se pochopitelně jedná o JINÝ prefix, než má podsíť s kamerami tazatele, prochází provoz přes router, kde si můžete snadněji ofiltrovat, co chcete, aniž byste musel čarovat s iptables na zařízení Joolu, ale každopádně ano, firewall je potřeba.

Takže upravený začátek mého konfiguráku by měl vypadat takhle:

Kód: [Vybrat]

{
        "comment": "Configuration for the systemd NAT64 Jool service.",

        "instance": "nat1",
        "framework": "netfilter",

        "global": {
                "comment": "standard NAT64 prefix",
                "pool6": "2001:db8:dead:fe64::/96"
        },

        "pool4": [
                {
                        "comment": "default",
                        "protocol": "TCP",
                        "prefix": "172.16.1.16/28",
                        "port range": "61001-65535"
                },

                {
                        "comment": "default",
                        "protocol": "UDP",
                        "prefix": "172.16.1.16/28",
                        "port range": "61001-65535"
                },

                {
                        "comment": "default",
                        "protocol": "ICMP",
                        "prefix": "172.16.1.16/28",
                        "port range": "0-0"
                },
...

Pak v něm mám ještě prefix a tabulku BIB pro mapování 4->6, ale o to tu teď nejde.

V případě jediného prefixu /64 od operátora byste se mohl pokusit použít pro NAT64 jeden podprefix /96 (a směrovat jej standardně na Jool), kterých jsou 4 miliardy, takže pravděpodobnost kolize je malá, ale nikdo nezaručí, že k ní nedojde, každopádně už je to rovnák na ohýbák jen proto, že jsou O2 hovada.

Další možností je mapování zprovoznit staticky Joolem přes SIIT, kde mapované prefixy mohou pochopitelně být až po nejvyšší délku, tj. /128 + /32, čímž mapujete obousměrně jedinou 6 na jedinou 4, takže nehrozí mapování celého prostoru IPv4 a nutnost filtrování (i když porty stejně asi budete chtít filtrovat). Ale s tím Vám nepomůžu, to jsem nikdy nepotřeboval a nenastavoval.