Skocz do zawartości
Zaloguj się, aby obserwować  
cabana

Tunel IPv6 z sixxs i subnet

Polecane posty

Witam

Dziś właśnie dostałem upragnioną subnet /48 adresów IP od sixxs ;)

 

No i mam problem, gdyż nie wiem jak dodać te IP do komputera by działały.

 

dodaje IP poleceniem

 

ifconfig sixxs inet6 add 2001:6a0:30b:faba::1 

 

No i niestety IP nie działa. Jakieś pomysły ktoś ma? ;)

Edytowano przez cabana (zobacz historię edycji)
  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zrobiłem tak

Dodałem IP 2001:6a0:30b:faba::2 do eth0

 

Użyłem skryptu

 

#!/bin/sh

# wlaczenie w kernelu forwardowania
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv6/conf/all/forwarding
# czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
# ustawienie polityki dzialania
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# zezwolenie nna laczenie sie z naszym zewnetrznym ip po ssh

iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

iptables -A INPUT -i eth0 -j ACCEPT
iptables -A FORWARD -o eth0 -j ACCEPT

iptables -A INPUT -i wlan0 -j ACCEPT
iptables -A FORWARD -o wlan0 -j ACCEPT

iptables -A INPUT -i sixxs -j ACCEPT
iptables -A FORWARD -o sixxs -j ACCEPT

# polaczenia nawiazane
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

# udostępnianie internetu w sieci lokalnej
iptables -t nat -A POSTROUTING -s 10.2.1.0/24 -j MASQUERADE
iptables -A FORWARD -s 10.2.1.0/24 -j ACCEPT

#ip6tables -t nat -A POSTROUTING -s 2001:6a0:30b::/48 -j MASQUERADE
#ip6tables -A FORWARD -s 2001:6a0:30b::/48 -j ACCEPT

ip6tables -X
ip6tables -F
ip6tables -P INPUT DROP
ip6tables -P OUTPUT ACCEPT
ip6tables -P FORWARD DROP

#ip6tables -A INPUT -i lo -j ACCEPT
#ip6tables -A OUTPUT -o lo -j ACCEPT

ip6tables -A INPUT -m rt --rt-type 0 -j DROP
ip6tables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A INPUT -p icmpv6 -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-request  -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-reply  -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type router-advertisement  -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type router-solicitation  -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbour-advertisement  -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbour-solicitation  -j ACCEPT
#wlaczam ssh
ip6tables -A INPUT -p tcp --dport 22 -j ACCEPT
ip6tables -A INPUT -p tcp --dport 80 -j ACCEPT


ip6tables -A FORWARD -i lo -j ACCEPT
ip6tables -A FORWARD -o lo -j ACCEPT

ip6tables -A FORWARD -i eth0 -j ACCEPT
ip6tables -A FORWARD -o eth0 -j ACCEPT

ip6tables -A FORWARD -i wlan0 -j ACCEPT
ip6tables -A FORWARD -o wlan0 -j ACCEPT

ip6tables -A FORWARD -i sixxs -j ACCEPT
ip6tables -A FORWARD -o sixxs -j ACCEPT

ip6tables -A FORWARD -m rt --rt-type 0 -j DROP
ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A FORWARD -p icmpv6 --icmpv6-type echo-request  -j ACCEPT
ip6tables -A FORWARD -p icmpv6 --icmpv6-type echo-reply  -j ACCEPT

ip6tables -I FORWARD -i wlan0 -m mac --mac-source 74:f0:6d:77:ce:da -j ACCEPT
ip6tables -I FORWARD -i eth0 -m mac --mac-source 20:cf:30:1a:0d:69 -j ACCEPT

 

po czym na końcu dodałem

route -A inet6 add ::/0 dev sixxs

 

No i Windows pobiera IP sobie na podstawie MAC, ale nie mogę pingować google po IPv6 ponieważ dostaje błąd

 

 

C:\Users\Przemysław>ping ipv6.google.com

Badanie ipv6.l.google.com [2a00:1450:8007::63] z 32 bajtami danych:
Port docelowy jest nieosiągalny.
Port docelowy jest nieosiągalny.
Port docelowy jest nieosiągalny.
Port docelowy jest nieosiągalny.

Statystyka badania ping dla 2a00:1450:8007::63:
Pakiety: Wysłane = 4, Odebrane = 0, Utracone = 4
        	(100% straty),

C:\Users\Przemysław>ping sixxs.net

Badanie sixxs.net [2001:838:2:1::30:67] z 32 bajtami danych:
Port docelowy jest nieosiągalny.
Port docelowy jest nieosiągalny.
Port docelowy jest nieosiągalny.
Port docelowy jest nieosiągalny.

Statystyka badania ping dla 2001:838:2:1::30:67:
Pakiety: Wysłane = 4, Odebrane = 0, Utracone = 4
        	(100% straty),

C:\Users\Przemysław>

 

No i dalej nie działa ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jak wygląda twoja topologia?

Powinno to być coś w rodzaju:

 

Adresy IP:
sixxs: 2001:123:12::2/64 (połączeniówka z sixxs)
eth0: 2001:6a0:30b:faba::1/64 (pierwszy z dodatkowej puli)

Trasy:
default route: 2001:123:12::1 (endpoint połączeniówki z sixxs)
2001:123:12::/64 via sixxs
2001:6a0:30b:faba::/64 via eth0

Wtedy, mając włączony ip6forwarding, powinieneś móc pingować z sieci zdalnej zarówno swoją połączeniówkę, jak i pierwszy adres z podsieci.

Przypuszczalnie masz źle ustawione trasy routingowe (dodając ip nie podałeś maski, więc nie masz trzeciego z wpisów z Trasy:).

Jak już to będzie działać, to na komputerze z windowsem ustawiasz sobie

ip: 2001:6a0:30b:faba::2
maska podsieci: /64
brama domyślna: 2001:6a0:30b:faba::1

Nie ma bata, w tej konfiguracji musi to działać :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dobra tylko że ja korzystam z aiccu :D

Adres tunelu 2001:6a0:200:292::2

czyli pop ma 2001:6a0:200:292::1

 

i jak to skonfigurować bo nie ogarniam :D

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ale tobie nie pinguje nawet twoja połączeniówka (adres 2001:6a0:200:292::2).

Nie wycina ci firewall protokołu 41?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bez problemu ją pinguje

 

Microsoft Windows [Wersja 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Wszelkie prawa zastrzeżone.

C:\Users\Przemysław>ping 2001:6a0:200:292::2

Badanie 2001:6a0:200:292::2 z 32 bajtami danych:
Odpowiedź z 2001:6a0:200:292::2: czas=2ms
Odpowiedź z 2001:6a0:200:292::2: czas=2ms
Odpowiedź z 2001:6a0:200:292::2: czas=2ms
Odpowiedź z 2001:6a0:200:292::2: czas=2ms

Statystyka badania ping dla 2001:6a0:200:292::2:
Pakiety: Wysłane = 4, Odebrane = 4, Utracone = 0
    		(0% straty),
Szacunkowy czas błądzenia pakietów w millisekundach:
Minimum = 2 ms, Maksimum = 2 ms, Czas średni = 2 ms

C:\Users\Przemysław>

 

Teraz używam takiego skrypta

 

#!/bin/bash

# First, delete all:
ip6tables -F
ip6tables -X

# Allow anything on the local link
ip6tables -A INPUT  -i lo -j ACCEPT
ip6tables -A OUTPUT -o lo -j ACCEPT

# Allow anything out on the internet
ip6tables -A OUTPUT -o sixxs -j ACCEPT

# Allow the localnet access us:
ip6tables -A INPUT	-i wlan0   -j ACCEPT
ip6tables -A OUTPUT   -o wlan0   -j ACCEPT

# Filter all packets that have RH0 headers:
ip6tables -A INPUT -m rt --rt-type 0 -j DROP
ip6tables -A FORWARD -m rt --rt-type 0 -j DROP
ip6tables -A OUTPUT -m rt --rt-type 0 -j DROP

# Allow Link-Local addresses
ip6tables -A INPUT -s fe80::/10 -j ACCEPT
ip6tables -A OUTPUT -s fe80::/10 -j ACCEPT

# Allow multicast
ip6tables -A INPUT -s ff00::/8 -j ACCEPT
ip6tables -A OUTPUT -s ff00::/8 -j ACCEPT

# Allow ICMPv6 everywhere
ip6tables -I INPUT  -p icmpv6 -j ACCEPT
ip6tables -I OUTPUT -p icmpv6 -j ACCEPT
ip6tables -I FORWARD -p icmpv6 -j ACCEPT

# Allow forwarding
ip6tables -A FORWARD -m state --state NEW -i wlan0 -o sixxs -s 2001:6a0:30b::/48                                                   		-j ACCEPT
ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# SSH in
ip6tables -A FORWARD -i sixxs -p tcp -d 2001:6a0:30b:ab::1 --dport 22 -j ACCEPT

# WWW
ip6tables -A FORWARD -i sixxs -p tcp -d 2001:6a0:30b:ab::1 --dport 80 -j ACCEPT

# Bittorrent
ip6tables -A FORWARD -i sixxs -p tcp -d 2001:6a0:30b:ab::1 --dport 33600:33604 -                                                      	j ACCEPT

# Set the default policy
ip6tables -P INPUT   DROP
ip6tables -P FORWARD DROP
ip6tables -P OUTPUT  DROP

echo "1" >/proc/sys/net/ipv6/conf/all/forwarding

root@debian:~# cat firewall
#!/bin/bash

# First, delete all:
ip6tables -F
ip6tables -X

# Allow anything on the local link
ip6tables -A INPUT  -i lo -j ACCEPT
ip6tables -A OUTPUT -o lo -j ACCEPT

# Allow anything out on the internet
ip6tables -A OUTPUT -o sixxs -j ACCEPT

# Allow the localnet access us:
ip6tables -A INPUT	-i wlan0   -j ACCEPT
ip6tables -A OUTPUT   -o wlan0   -j ACCEPT

# Filter all packets that have RH0 headers:
ip6tables -A INPUT -m rt --rt-type 0 -j DROP
ip6tables -A FORWARD -m rt --rt-type 0 -j DROP
ip6tables -A OUTPUT -m rt --rt-type 0 -j DROP

# Allow Link-Local addresses
ip6tables -A INPUT -s fe80::/10 -j ACCEPT
ip6tables -A OUTPUT -s fe80::/10 -j ACCEPT

# Allow multicast
ip6tables -A INPUT -s ff00::/8 -j ACCEPT
ip6tables -A OUTPUT -s ff00::/8 -j ACCEPT

# Allow ICMPv6 everywhere
ip6tables -I INPUT  -p icmpv6 -j ACCEPT
ip6tables -I OUTPUT -p icmpv6 -j ACCEPT
ip6tables -I FORWARD -p icmpv6 -j ACCEPT

# Allow forwarding
ip6tables -A FORWARD -m state --state NEW -i wlan0 -o sixxs -s 2001:6a0:30b::/48 -j ACCEPT
ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# SSH in
ip6tables -A FORWARD -i sixxs -p tcp -d 2001:6a0:30b:ab::1 --dport 22 -j ACCEPT

# WWW
ip6tables -A FORWARD -i sixxs -p tcp -d 2001:6a0:30b:ab::1 --dport 80 -j ACCEPT

# Bittorrent
ip6tables -A FORWARD -i sixxs -p tcp -d 2001:6a0:30b:ab::1 --dport 33600:33604 -j ACCEPT

# Set the default policy
ip6tables -P INPUT   DROP
ip6tables -P FORWARD DROP
ip6tables -P OUTPUT  DROP

echo "1" >/proc/sys/net/ipv6/conf/all/forwarding

 

aha, a jak dodam IP do sixxs to internet po ipv6 umiera tzn nie działa. dlatego do wlan0 dodałem 2001:6a0:30b:ab::1

Edytowano przez cabana (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Działa działa :)

Podaj swoją klase v6 oraz pop i adres ipv4.

 

Napisz też jaki system.

 

Napisze ci skrypt, który podniesie cały tunel i będziesz mógł używać.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dowcip jest taki, że on to via AICCU zza nata chce zrobić.

I faktycznie nie wiedzieć czemu, to konfiguracje, które działają na standardowym tunelu, to działać nie chcą.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×