Současné možnosti získání veřejné IPv6 za NATem

[rezervované jméno]

Existuje v současnosti nějaká možnost jak zveřejnit zařízení ze sítě za několika NATy do internetu na nějaké veřejné (ideálně statické) IPv6 adrese? SixXs již nepřiděluje a alternativa (asi) není.

[Reklama]

[sgs]

teredo

[Jose D]

Existuje v současnosti nějaká možnost jak zveřejnit zařízení ze sítě za několika NATy do internetu na nějaké veřejné (ideálně statické) IPv6 adrese? SixXs již nepřiděluje a alternativa (asi) není.

nějaká komerční vpn?

[Jenda]

https://tunnelbroker.net/

[rezervované jméno]

https://tunnelbroker.net/

to jsem zkoušel a nejde přes NAT. minimálně protože vyžaduje IPv4 endpoint "pingovatelný" a to můj provider neposkytuje.

[Reklama]

[M.]

HE (tunnelbrooker) nějakou dobu nabízel i PPTP tunely, ty fungovaly i přes x NATů, ale už to nedělá.
Tunel od nich funguje jen v přípdě NATu 1:1.

[Jenda]

Mně to funguje i za normální maškarádou:

Kód: [Vybrat]

~ # ip a s eth0
...
26: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    inet 192.168.0.126/24 brd 192.168.0.255 scope global eth0
...
~ # ip tunnel add he-ipv6 mode sit remote 216.66.86.122 local 192.168.0.126 ttl 255
~ # ip link set he-ipv6 up
~ # ip addr add 2001:470:6e:834::2/64 dev he-ipv6
~ # ip route add ::/0 dev he-ipv6
~ # ip -f inet6 addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
26: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
    inet6 fe80::3285:a9ff:fe17:5dc8/64 scope link
       valid_lft forever preferred_lft forever
34: he-ipv6@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1480 state UNKNOWN qlen 1
    inet6 2001:470:6e:834::2/64 scope global
       valid_lft forever preferred_lft forever
    inet6 fe80::c0a8:7e/64 scope link
       valid_lft forever preferred_lft forever
~ # ping6 nix.cz
PING nix.cz(info.nix.cz (2a02:38::1001)) 56 data bytes
64 bytes from info.nix.cz (2a02:38::1001): icmp_seq=1 ttl=58 time=65.4 ms


[Jenda]

to jsem zkoušel a nejde přes NAT. minimálně protože vyžaduje IPv4 endpoint "pingovatelný" a to můj provider neposkytuje.

Jako že to zemře čistě kvůli tomu, že tvůj provider zahazuje příchozí ICMP echo requesty? To je škoda…

[M.]

Mně to funguje i za normální maškarádou:

Ano, pokud jsi za tou maškarádou sám, kdo použítá služeb HE a IPv6 pingem udržuješ otevřený NAT pro 6in4 tak to jede.

[Kolemjdoucí]

to jsem zkoušel a nejde přes NAT. minimálně protože vyžaduje IPv4 endpoint "pingovatelný" a to můj provider neposkytuje.

Jako že to zemře čistě kvůli tomu, že tvůj provider zahazuje příchozí ICMP echo requesty? To je škoda…

Nezemře to, jen se ten tunel vůbec nepodaří nakonfigurovat, protože oni odmítají vytvořit tunel jehož IPv4 endpoint jim neodpoví na ping. Škoda je hlavně používat providera který zahazuje jakékoliv pakety mířící ma mně přidělenou IP adresu.

[Tonda]

U Forpsi Cloud lze mít VPS za 30 Kč měsíčně, v ceně je jedna IPv4 adresa a /64 blok IPv6 adres, to je slušná cena a VPS se dá využít i jinak.

Nemít ještě z minula SixXs tunel, šel bych touto cestou.

V čem ale nemám jasno je jaký typ tunelu a software pro jeho zprovoznění použít, aby to mělo co nejmenší overhead a aby instalace a konfigurace byla tak nějak rozumně složitá.

[Kolemjdoucí]

Mně to funguje i za normální maškarádou:

Ano, pokud jsi za tou maškarádou sám, kdo použítá služeb HE a IPv6 pingem udržuješ otevřený NAT pro 6in4 tak to jede.

Ale jen do doby než na chvíli přijdeš o spojení a ten tunel (s tvými IPv6 adresami) ti ukradne jiný uživatel za tím samým NATem a bude si ho taky udržovat IPv6 pingem. Je to loterie kterou nelze doporučit, jediné rozumné použití v případě nutného NATu (kde není k dispozici více veřejných IPv4 adres) je buď staticky směrovat IPv4 pakety s protokolem 42 na jednu pevnou vnitřní IPv4 adresu, nebo ten tunel ukončit přímo na tom zařízení kde je NAT a dovnitř už normálně routovat IPv6.

[Kolemjdoucí]

U Forpsi Cloud lze mít VPS za 30 Kč měsíčně, v ceně je jedna IPv4 adresa a /64 blok IPv6 adres, to je slušná cena a VPS se dá využít i jinak.

Nemít ještě z minula SixXs tunel, šel bych touto cestou.

V čem ale nemám jasno je jaký typ tunelu a software pro jeho zprovoznění použít, aby to mělo co nejmenší overhead a aby instalace a konfigurace byla tak nějak rozumně složitá.

Jde použít třeba libovolné tunelování které umí balit ethernetové rámce do IPv4 UDP paktetů, já mám vyzkoušené vtund. Na VPS se pak spustí radvd ohlašující ten IPv6 blok /64 do toho tunelovaného ethernetu, na protistraně taky vtund a ten tunelovaný ethernet spojit do bridge s lokálním ethernetem. Když tunel nepojede, nebude přicházet ani ohlašování IPv6 od radvd a lokální klienti se automaticky přepnou na používání IPv4.

[Tonda]

Je nutné to tunelovat i s Ethernetem? Proč do IPv4 paketu nenacpat rovnou IPv6 paket?

A adresa z toho /64 bloku je přidělena na eth0 toho VPS. Je v tomto případě správné a vůbec možné tunelovat celé /64? Tunelovat celé /64 v podstatě ani nepotřebuju.

Já bych na potenciálním konci toho tunelu měl veřejnou dynamickou IPv4 adresu, tedy nemusím řešit průchod NATem.

Asi by se dal použít nějaký běžný VPN software, ale nejsem si jist, jestli je to optimální řešení a jestli to není kanón na vrabce.

Vzhledem k tomu v jakém režimu nyní funguje SixXs chci být připraven na situaci, že to vypnou úplně nebo že Ignum vypne český POP.

Jinak na obou koncích tunelu bych měl Ubuntu 16.04.

[Jenda]

Je nutné to tunelovat i s Ethernetem? Proč do IPv4 paketu nenacpat rovnou IPv6 paket?

Možná abys mohl mít IPv6 adresu i na té VPS když máš jenom jednu /64?

Já bych klidně použil tu OpenVPN.