IPv6

alex_kag:

Всем трям.
А пробовал ли кто настраивать на ipv6 vpn l2tp или IKEv2 ? (на домашнем сервере настроить vpn server, что бы можно было ходить в домашнюю сеть? (в идеале вообще настроить тунель (только я на данный момент не совсем понимаю, какой из ) для хождения в ipv4 сеть, которая за сервером.
Если у кого есть опыт, то поделитесь, а?

у меня сервер дома имеет IPv6 и пришлось брать дешёвый хостинг в россии с ipv4 и с помощью VPN делаешь тунель между серверами

Отличаются они примерно тем, чем круглое отличается от красного. Первое - установочная плата, второе - абонентская.
Не нужен вам ipv6, не для размещения сайтов существует он в РБ. Обратитесь к компаниям-хостерам, они разместят ваш сайт.

пишут на кинетике ipv6 на буфле заработал с последней прошивкой - вопрос этот ipv6 надо отдельно у провайдера включать ? или как

мне статика не нужна собственно а про работу на кинетике вчера собственно видел в комментах о прошивке 4,1,0

да и пес с ним , все у них через одно место десятилетиями идет

Всех категорически приветствую!

Подключил ipv6 от белтелеком. соответствнно имеем бридж + кенетик. В роутере поидее все настроил, через белтелеком ипв6 прозванивается все хорошо, но задача состоит в том что бы подключить домашний сервер к rdp. И вот тут что-то я не смог разобраться.

Максимально путаюсь в ipv6 адресах и что нужно с ними делать. К тому же, в домашней сети глобально еще 1 пк, и соответственно нужно присваивать (или понять?) свой адрес каждому устройству.

В общем прошу от форума помощи в данном вопросе. Либо какие то ссылочки/инструкции, т.к. у меня найти не получилось. Либо если кто то разбирается/настраивал, то готов принять помощь с настройкой за вознаграждение.

Привет, немного продвинулся в вопросе, но по прежнему актуально! Жду помощь с настройкой за вознаграждение!

alex_kag:

Всем трям.
А пробовал ли кто настраивать на ipv6 vpn l2tp или IKEv2 ? (на домашнем сервере настроить vpn server, что бы можно было ходить в домашнюю сеть? (в идеале вообще настроить тунель (только я на данный момент не совсем понимаю, какой из ) для хождения в ipv4 сеть, которая за сервером.
Если у кого есть опыт, то поделитесь, а?

Конечно, недавно был подобный вопрос. Моя задача была такая: требуется туннель в домашнюю сеть и интернет (дуал стек), впн должен быть без приложений для большинства популярных ОС (iOS,linux,windows). Подключаться должен из любых условий интернета, нат, серые адреса, отсутствие ipv6 или наоборот сеть -- ipv6-only (такие иногда бывают ). Из настроек только домен, пользователь и пароль. Мануалы в интернете обрывочны и описывают или старые подходы или отдельные кейсы.

Я сделал на основе свежего openwrt 22 и strongswan. Все работает отлично, соединяется домой как по ipv6 так и по ipv4, пакеты передаваемые в туннеле разницы не имеют, можно и ipv4 и ipv6, а можно только ipv4. Видимость домашней сети и интернета регулируется правилами фаервола. Что для этого потребовалось:
0) Белый ipv4 (не обязательно, но тогда туннель домой будет только при наличии ipv6 соединения) и префикс ipv6 с 1 свободной /64 (учитывая что почти все провайдеры в рб дают /56, с этим проблем нет)
1) Сертификат Letsencrypt (LE) и бесплатное доменное имя (к примеру cozyhome.example-dyndns.org), сертификат обязательно 2 сабжа имеет:
cozyhome.example-dyndns.org -- можно не давать правильных записей если нет планов что-то дома хостить
ike2.cozyhome.example-dyndns.org -- тут будет впн, сюда нужно настроить A и AAAA записи

Домен я бы рекомендовал купить (есть варианты за 5 usd в год), к примеру в Турции блочат многие бесплатные dyndns.

По умолчанию LE делает ECDSA, однако у нас в планах без проблем пользоваться в рамках iOS, и у меня он смог заработать только при настройке RSA с длинной ключа 4096, остальные варианты выпадали со странной ошибкой. И если настраиваете на субдомен ike2 и его нету в топике сертификата айфон по прежнему не даст подключить такой впн.

2) На openwrt роутере Устанавливаете strongswan и прочие пакеты https://openwrt.org/docs/guide-user/services/vpn/strongswan/roadwarrior, добавляете правила в фаерволл и пока не делаете конфигов что предлагают в вики.
3) Я хотел использовать новый интерфейс когфигурации swanctl, делаем конфиг (/etc/swanctl/conf.d/ike2.cozyhome.example-dyndns.org):

код выделить все

connections {
ikev2-eap-mschapv2 {
version = 2
proposals = aes256-sha256-modp4096,aes256-sha256-modp2048,aes256gcm16-sha256-modp1024
rekey_time = 0s
pools = pool-ipv4, pool-ipv6
fragmentation = yes
dpd_delay = 30s
send_cert=always
send_certreq = no
unique = never
local {
id = ike2.cozyhome.example-dyndns.org
certs = fullchain.pem
}
remote {
auth = eap-mschapv2
eap_id = %any
}
children {
ikev2-eap-mschapv2 {
local_ts = 0.0.0.0/0, ::/0
if_id_in = 100 # ид XFRM интерфейса
if_id_out = 100
rekey_time = 0s
dpd_action = clear
esp_proposals = aes256-sha256-sha1
}
}
}
}

pools {
pool-ipv4 {
addrs = 10.10.10.0/24
dns = 10.10.10.254 # Сам роутер имеет адрес в сети для впна и его нужно пинговать до настройки фаервола, на нём же будет DNS
}
pool-ipv6 {
addrs = 2a02:XXXX:XXXX:XXA::::2/97 # Не смотря на то что тут 97 это просто специфика IPsec, выделите отдельную /64 для этих дел.
dns = 2a02:XXXX:XXXX:XXA::1 # Аналогично pool-ipv4
}
}

secrets {
eap-User1 {
id = user1
secret = пароль в двойных кавычках
}
}

Не знаю как сделать форматирование с отступами

3) Потребуется файлы fullchain.pem privkey.pem из п.0 разместить из тут

/etc/swanctl/x509ca/chain.pem
/etc/swanctl/x509/fullchain.pem
/etc/swanctl/private/privkey.pem

4) Существует много статей написанных для сетевых специалистов касательно IPsec и VTI (я нахожу их не такими простыми как кажется и там есть проблемы с ipv6), однако это уже устаревший подход, нужно использовать XFRM, и он оказался не так страшен. Я не делал никаких скриптов для поднятия интерфейса, а просто создал его в openwrt и добавил статический адрес роутера (/etc/config/network):

код выделить все

config interface 'xfrm0'
option proto 'xfrm'
option ifid '100'
option tunlink 'btk'
option force_link '1'
list ip6class 'btk_6'
option ip6assign '64'
option ip6hint '10' # 10, то есть A подсеть

config interface 'xfrm0_s'
option proto 'static'
option device 'xfrm0'
option ipaddr '10.10.10.254' # Адрес роутера в впн подсети
option netmask '255.255.255.0'
list ip6class 'btk_6'
option ip6weight '4'
option ip6prefix '2a02:XXXX:XXXX:XXA::::1/64'
list ip6addr '2a02:XXXX:XXXX:XXA::::1'
option ip6gw '2a02:XXXX:XXXX:XX::::1'

Все заработало отлично. Остаётся настроить обновление сертификатов на самом openwrt, но на эту тему много хорошей информации.

Выводы:
1) У нас есть современный впн с минимальным гайдом по настройке со стороны пользователя, не требуется дополнительных приложений.
2) Есть потенциал сделать домашнюю сеть по запросу (убираем pool-ipv4):
заводите AAAA DNS запись для хостов дома

windows-pc.cozyhome.example-dyndns.org AAAA 2a02:......

не пробрасывасывая никаких портов в открытый интернет делаем iOS (или Win) ВПН профиль где указываем что хотим иметь все подключения к домену *.cozyhome.example-dyndns.org через впн соединение по запросу и имеем гарантированное шифрования для соединений с домашними хостами по запросу. То есть пока вы не попробуете открыть приложение которое стукнется по доменному имени windows-pc.cozyhome.example-dyndns.org -- нет потребления батареи и трафика, и туннель поднимается и опускается сам. А ipv6 не даёт никаких пересечений с другими сетями. На мой взгляд это хороший способ сделать security by obscurity и иметь стабильную и простую связь с домашними ресурсами.

Существует критика что якобы мы разместили в интернете стабильный ipv6 адрес какого-то ресурса. При правильных настройках не выйдет узнать все субдомены интересующего домена, выберите имея посложнее ikeike2 и туп. С другой стороны временные адреса ipv6 не дадут ассоциаций с стабильным адресом.

Pose1don:

jumster, сори, а для чего это? можно реальный пример?

RDP домой. Туннель до ресурсов в рб. Банки некоторые, к примеру, не открываются.

RabbitRoger:

Естественно всё это видели. Как и сказал, нужна помощь с настройкой.

так покажите область файла keenetic startup-config (Админка - Параметры системы - Системные файлы - startup-config - Сохранить на компьютер), в которой написано типа:
ipv6 static tcp....