Tunel IPv6 z sixxs i subnet

cabana · Wrzesień 3, 2011

Witam

Dziś właśnie dostałem upragnioną subnet /48 adresów IP od sixxs

No i mam problem, gdyż nie wiem jak dodać te IP do komputera by działały.

dodaje IP poleceniem

ifconfig sixxs inet6 add 2001:6a0:30b:faba::1

No i niestety IP nie działa. Jakieś pomysły ktoś ma?

Edytowano Wrzesień 3, 2011 przez cabana (zobacz historię edycji)

cabana · Wrzesień 3, 2011

Zrobiłem tak

Dodałem IP 2001:6a0:30b:faba::2 do eth0

Użyłem skryptu

#!/bin/sh

# wlaczenie w kernelu forwardowania
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv6/conf/all/forwarding
# czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
# ustawienie polityki dzialania
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# zezwolenie nna laczenie sie z naszym zewnetrznym ip po ssh

iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

iptables -A INPUT -i eth0 -j ACCEPT
iptables -A FORWARD -o eth0 -j ACCEPT

iptables -A INPUT -i wlan0 -j ACCEPT
iptables -A FORWARD -o wlan0 -j ACCEPT

iptables -A INPUT -i sixxs -j ACCEPT
iptables -A FORWARD -o sixxs -j ACCEPT

# polaczenia nawiazane
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

# udostępnianie internetu w sieci lokalnej
iptables -t nat -A POSTROUTING -s 10.2.1.0/24 -j MASQUERADE
iptables -A FORWARD -s 10.2.1.0/24 -j ACCEPT

#ip6tables -t nat -A POSTROUTING -s 2001:6a0:30b::/48 -j MASQUERADE
#ip6tables -A FORWARD -s 2001:6a0:30b::/48 -j ACCEPT

ip6tables -X
ip6tables -F
ip6tables -P INPUT DROP
ip6tables -P OUTPUT ACCEPT
ip6tables -P FORWARD DROP

#ip6tables -A INPUT -i lo -j ACCEPT
#ip6tables -A OUTPUT -o lo -j ACCEPT

ip6tables -A INPUT -m rt --rt-type 0 -j DROP
ip6tables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A INPUT -p icmpv6 -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-request  -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-reply  -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type router-advertisement  -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type router-solicitation  -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbour-advertisement  -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbour-solicitation  -j ACCEPT
#wlaczam ssh
ip6tables -A INPUT -p tcp --dport 22 -j ACCEPT
ip6tables -A INPUT -p tcp --dport 80 -j ACCEPT


ip6tables -A FORWARD -i lo -j ACCEPT
ip6tables -A FORWARD -o lo -j ACCEPT

ip6tables -A FORWARD -i eth0 -j ACCEPT
ip6tables -A FORWARD -o eth0 -j ACCEPT

ip6tables -A FORWARD -i wlan0 -j ACCEPT
ip6tables -A FORWARD -o wlan0 -j ACCEPT

ip6tables -A FORWARD -i sixxs -j ACCEPT
ip6tables -A FORWARD -o sixxs -j ACCEPT

ip6tables -A FORWARD -m rt --rt-type 0 -j DROP
ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A FORWARD -p icmpv6 --icmpv6-type echo-request  -j ACCEPT
ip6tables -A FORWARD -p icmpv6 --icmpv6-type echo-reply  -j ACCEPT

ip6tables -I FORWARD -i wlan0 -m mac --mac-source 74:f0:6d:77:ce:da -j ACCEPT
ip6tables -I FORWARD -i eth0 -m mac --mac-source 20:cf:30:1a:0d:69 -j ACCEPT

po czym na końcu dodałem

route -A inet6 add ::/0 dev sixxs

No i Windows pobiera IP sobie na podstawie MAC, ale nie mogę pingować google po IPv6 ponieważ dostaje błąd

C:\Users\Przemysław>ping ipv6.google.com

Badanie ipv6.l.google.com [2a00:1450:8007::63] z 32 bajtami danych:
Port docelowy jest nieosiągalny.
Port docelowy jest nieosiągalny.
Port docelowy jest nieosiągalny.
Port docelowy jest nieosiągalny.

Statystyka badania ping dla 2a00:1450:8007::63:
Pakiety: Wysłane = 4, Odebrane = 0, Utracone = 4
        	(100% straty),

C:\Users\Przemysław>ping sixxs.net

Badanie sixxs.net [2001:838:2:1::30:67] z 32 bajtami danych:
Port docelowy jest nieosiągalny.
Port docelowy jest nieosiągalny.
Port docelowy jest nieosiągalny.
Port docelowy jest nieosiągalny.

Statystyka badania ping dla 2001:838:2:1::30:67:
Pakiety: Wysłane = 4, Odebrane = 0, Utracone = 4
        	(100% straty),

C:\Users\Przemysław>

No i dalej nie działa

cabana · Wrzesień 4, 2011

Nikt nie ogarnia?

kafi · Wrzesień 4, 2011

Jak wygląda twoja topologia?

Powinno to być coś w rodzaju:

Adresy IP:
sixxs: 2001:123:12::2/64 (połączeniówka z sixxs)
eth0: 2001:6a0:30b:faba::1/64 (pierwszy z dodatkowej puli)

Trasy:
default route: 2001:123:12::1 (endpoint połączeniówki z sixxs)
2001:123:12::/64 via sixxs
2001:6a0:30b:faba::/64 via eth0

Wtedy, mając włączony ip6forwarding, powinieneś móc pingować z sieci zdalnej zarówno swoją połączeniówkę, jak i pierwszy adres z podsieci.

Przypuszczalnie masz źle ustawione trasy routingowe (dodając ip nie podałeś maski, więc nie masz trzeciego z wpisów z Trasy:).

Jak już to będzie działać, to na komputerze z windowsem ustawiasz sobie

ip: 2001:6a0:30b:faba::2
maska podsieci: /64
brama domyślna: 2001:6a0:30b:faba::1

Nie ma bata, w tej konfiguracji musi to działać

cabana · Wrzesień 4, 2011

Dobra tylko że ja korzystam z aiccu

Adres tunelu 2001:6a0:200:292::2

czyli pop ma 2001:6a0:200:292::1

i jak to skonfigurować bo nie ogarniam

kafi · Wrzesień 4, 2011

Ale tobie nie pinguje nawet twoja połączeniówka (adres 2001:6a0:200:292::2).

Nie wycina ci firewall protokołu 41?

cabana · Wrzesień 4, 2011

Bez problemu ją pinguje

Microsoft Windows [Wersja 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Wszelkie prawa zastrzeżone.

C:\Users\Przemysław>ping 2001:6a0:200:292::2

Badanie 2001:6a0:200:292::2 z 32 bajtami danych:
Odpowiedź z 2001:6a0:200:292::2: czas=2ms
Odpowiedź z 2001:6a0:200:292::2: czas=2ms
Odpowiedź z 2001:6a0:200:292::2: czas=2ms
Odpowiedź z 2001:6a0:200:292::2: czas=2ms

Statystyka badania ping dla 2001:6a0:200:292::2:
Pakiety: Wysłane = 4, Odebrane = 4, Utracone = 0
    		(0% straty),
Szacunkowy czas błądzenia pakietów w millisekundach:
Minimum = 2 ms, Maksimum = 2 ms, Czas średni = 2 ms

C:\Users\Przemysław>

Teraz używam takiego skrypta

#!/bin/bash

# First, delete all:
ip6tables -F
ip6tables -X

# Allow anything on the local link
ip6tables -A INPUT  -i lo -j ACCEPT
ip6tables -A OUTPUT -o lo -j ACCEPT

# Allow anything out on the internet
ip6tables -A OUTPUT -o sixxs -j ACCEPT

# Allow the localnet access us:
ip6tables -A INPUT	-i wlan0   -j ACCEPT
ip6tables -A OUTPUT   -o wlan0   -j ACCEPT

# Filter all packets that have RH0 headers:
ip6tables -A INPUT -m rt --rt-type 0 -j DROP
ip6tables -A FORWARD -m rt --rt-type 0 -j DROP
ip6tables -A OUTPUT -m rt --rt-type 0 -j DROP

# Allow Link-Local addresses
ip6tables -A INPUT -s fe80::/10 -j ACCEPT
ip6tables -A OUTPUT -s fe80::/10 -j ACCEPT

# Allow multicast
ip6tables -A INPUT -s ff00::/8 -j ACCEPT
ip6tables -A OUTPUT -s ff00::/8 -j ACCEPT

# Allow ICMPv6 everywhere
ip6tables -I INPUT  -p icmpv6 -j ACCEPT
ip6tables -I OUTPUT -p icmpv6 -j ACCEPT
ip6tables -I FORWARD -p icmpv6 -j ACCEPT

# Allow forwarding
ip6tables -A FORWARD -m state --state NEW -i wlan0 -o sixxs -s 2001:6a0:30b::/48                                                   		-j ACCEPT
ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# SSH in
ip6tables -A FORWARD -i sixxs -p tcp -d 2001:6a0:30b:ab::1 --dport 22 -j ACCEPT

# WWW
ip6tables -A FORWARD -i sixxs -p tcp -d 2001:6a0:30b:ab::1 --dport 80 -j ACCEPT

# Bittorrent
ip6tables -A FORWARD -i sixxs -p tcp -d 2001:6a0:30b:ab::1 --dport 33600:33604 -                                                      	j ACCEPT

# Set the default policy
ip6tables -P INPUT   DROP
ip6tables -P FORWARD DROP
ip6tables -P OUTPUT  DROP

echo "1" >/proc/sys/net/ipv6/conf/all/forwarding

root@debian:~# cat firewall
#!/bin/bash

# First, delete all:
ip6tables -F
ip6tables -X

# Allow anything on the local link
ip6tables -A INPUT  -i lo -j ACCEPT
ip6tables -A OUTPUT -o lo -j ACCEPT

# Allow anything out on the internet
ip6tables -A OUTPUT -o sixxs -j ACCEPT

# Allow the localnet access us:
ip6tables -A INPUT	-i wlan0   -j ACCEPT
ip6tables -A OUTPUT   -o wlan0   -j ACCEPT

# Filter all packets that have RH0 headers:
ip6tables -A INPUT -m rt --rt-type 0 -j DROP
ip6tables -A FORWARD -m rt --rt-type 0 -j DROP
ip6tables -A OUTPUT -m rt --rt-type 0 -j DROP

# Allow Link-Local addresses
ip6tables -A INPUT -s fe80::/10 -j ACCEPT
ip6tables -A OUTPUT -s fe80::/10 -j ACCEPT

# Allow multicast
ip6tables -A INPUT -s ff00::/8 -j ACCEPT
ip6tables -A OUTPUT -s ff00::/8 -j ACCEPT

# Allow ICMPv6 everywhere
ip6tables -I INPUT  -p icmpv6 -j ACCEPT
ip6tables -I OUTPUT -p icmpv6 -j ACCEPT
ip6tables -I FORWARD -p icmpv6 -j ACCEPT

# Allow forwarding
ip6tables -A FORWARD -m state --state NEW -i wlan0 -o sixxs -s 2001:6a0:30b::/48 -j ACCEPT
ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# SSH in
ip6tables -A FORWARD -i sixxs -p tcp -d 2001:6a0:30b:ab::1 --dport 22 -j ACCEPT

# WWW
ip6tables -A FORWARD -i sixxs -p tcp -d 2001:6a0:30b:ab::1 --dport 80 -j ACCEPT

# Bittorrent
ip6tables -A FORWARD -i sixxs -p tcp -d 2001:6a0:30b:ab::1 --dport 33600:33604 -j ACCEPT

# Set the default policy
ip6tables -P INPUT   DROP
ip6tables -P FORWARD DROP
ip6tables -P OUTPUT  DROP

echo "1" >/proc/sys/net/ipv6/conf/all/forwarding

aha, a jak dodam IP do sixxs to internet po ipv6 umiera tzn nie działa. dlatego do wlan0 dodałem 2001:6a0:30b:ab::1

Edytowano Wrzesień 4, 2011 przez cabana (zobacz historię edycji)

furek · Wrzesień 12, 2011

Na stronie projektu sixxs masz faq i opisane jak dodać tunel

cabana · Wrzesień 13, 2011

Tam jest ta to napisane ze i tak nie działa ten sposób

furek · Wrzesień 14, 2011

Działa działa

Podaj swoją klase v6 oraz pop i adres ipv4.

Napisz też jaki system.

Napisze ci skrypt, który podniesie cały tunel i będziesz mógł używać.

kafi · Wrzesień 14, 2011

Dowcip jest taki, że on to via AICCU zza nata chce zrobić.

I faktycznie nie wiedzieć czemu, to konfiguracje, które działają na standardowym tunelu, to działać nie chcą.

furek · Wrzesień 14, 2011

A czemu w ogóle via aiccu ?

I przede wszystkim windows czy linux

cabana · Wrzesień 15, 2011

Dlatego że jestem za NAT?

Jak możesz na Windows i Linuxa dać te skrypty.

Edytowano Wrzesień 15, 2011 przez cabana (zobacz historię edycji)

B0FH · Wrzesień 29, 2011

Też mam AICCU i na Neostradzie, za routerem po DMZ. Zapraszam:

Tunel IPv6 SixXS z revDNS pod Linux w usłudze Neostrada

IPv6 i Neostrada na Debian Linux

Edytowano Wrzesień 29, 2011 przez B0FH (zobacz historię edycji)

Zaloguj się

Tunel IPv6 z sixxs i subnet

Polecane posty

cabana 15

Udostępnij ten post

Link to postu

Udostępnij na innych stronach

cabana 15

Udostępnij ten post

Link to postu

Udostępnij na innych stronach

cabana 15

Udostępnij ten post

Link to postu

Udostępnij na innych stronach

kafi 2425

Udostępnij ten post

Link to postu

Udostępnij na innych stronach

cabana 15

Udostępnij ten post

Link to postu

Udostępnij na innych stronach

kafi 2425

Udostępnij ten post

Link to postu

Udostępnij na innych stronach

cabana 15

Udostępnij ten post

Link to postu

Udostępnij na innych stronach

furek 37

Udostępnij ten post

Link to postu

Udostępnij na innych stronach

cabana 15

Udostępnij ten post

Link to postu

Udostępnij na innych stronach

furek 37

Udostępnij ten post

Link to postu

Udostępnij na innych stronach

kafi 2425

Udostępnij ten post

Link to postu

Udostępnij na innych stronach

furek 37

Udostępnij ten post

Link to postu

Udostępnij na innych stronach

cabana 15

Udostępnij ten post

Link to postu

Udostępnij na innych stronach

B0FH 3

Udostępnij ten post

Link to postu

Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Utwórz konto

Zaloguj się

Przeglądaj

Aktywność