Мегафон/РТК по всей россии на точки выдаёт по /30 (в паре регионов выдавал /29 или /28, но это прям редкость), точек порядка 200+, что выходит в 800 белых адресов на 200 точек… и это при том что в одном регионе около 30 сетей идут друг за другом, видимо им проще выдать 30 сетей /30, чем отдать одну /26 с запасом
Просто у меня порезано на несколько сетей, основная домашняя 2001:470:1f0b:1658::/64, там только разрешён весь трафик на два сервера (::2/::3) и established/related.
Потом разрешено всё к 2001:470:98fc:6::/64 (сеть на даче) и разрешено всё к 2001:470:98fc:6000::/52 (пул для VPN подключений), там у меня как правило разруливает локальный роутер.
Ну и на последок accept established/related & drop для всей сети /48, мало-ли куда ещё выделю — чтобы не лезло ничего.
В интерфейсе WinBox оно как-то проще выглядит
P.S: да, забыл изначально для 6::/64 и 6000::/52 указать in-interface, да не особо важно
6to4 к Hurricane Electric, поднимал просто скопировав из их шаблона
UPD: не из их, до этого был sit0 который 6to4 через 192.88.99.1, отказался из-за нестабильной работы, а HE остался sit1
У меня попроще, долго мучался с выбором схемы, ибо помимо домашней /64 есть ещё /48 для подключения других точек при необходимости и в двух прошлых конфигах случалось так что 3 сети прекрасно ходят в глобальный ipv6, а вот друг к другу не очень, либо городил ещё с десяток лишних правил, в итоге остановился на такой конфигурации:
/ipv6 firewall filter
add action=accept chain=forward comment="allow all to 2001:470:1f0b:1658::2 from all" dst-address=2001:470:1f0b:1658::2/128 in-interface=sit1
add action=accept chain=forward comment="allow all to 2001:470:1f0b:1658::3 from all" dst-address=2001:470:1f0b:1658::3/128 in-interface=sit1
add action=accept chain=forward dst-address=2001:470:98fc:6::/64
add action=accept chain=forward dst-address=2001:470:98fc:6000::/52
add action=accept chain=forward comment="allow established/related" connection-state=established,related dst-address=2001:470:1f0b:1658::/64 in-interface=sit1
add action=drop chain=forward comment="drop all to local /64" dst-address=2001:470:1f0b:1658::/64 in-interface=sit1
add action=accept chain=forward comment="allow established/related" connection-state=established,related dst-address=2001:470:98fc::/48 in-interface=sit1
add action=drop chain=forward comment="drop all to local /64" dst-address=2001:470:98fc::/48 in-interface=sit1
В итоге под файрвол попадает только трафик приходящий из туннеля 6to4 (native не завезли к сожалению). Трафик с остальных подключений не попадает под него и маршрутизация между «локальными» сетями работает свободно. Единственное не проходит тест скорости на yandex.ru/internet на upload, но как оказалось то-же самое происходит при отключенном файрволе, видимо что-то сломалось на их стороне
А чего не так с файрволом то? всё настраивается аналогично ipv4, разрешить форвард всех/определённых соединений на нужные сервера/роутеры напрямую и разрешить форвард для established,related соединений в «локальную» сеть, остальное deny.
Судя по шакалистости фотки и отсутствию даты на скрине вообще не стоит рассматривать этот скрин как пруф. У меня уже 3 года висит VPN сервер (статический GRE домой + PPTP) и никаких жалоб/банов нету
А каким боком тут VDS/VPS? Вы хоть смотрели те закупки? Госы закупают VPN чтобы не строить свои сети в огромных количествах там, где можно арендовать канал связи у провайдеров. Более того, они так делают последние лет 8, только никто до шумихи с блокировками и хайпом на аббревиатуру VPN не обращал на это внимания.
Адресов хоть и много, но никто не мешает точно так-же банить большими сетями, с другой стороны адресов настолько много что ещё через 1000 лет ркн будет продолжать банить и дойдёт примерно до 10% адресов
Вы бы хоть поинтересовались что за VPN закупают, может быть и узнали бы что VPN это не только туннель за бугор в обход блокировок. Много кто покупает l2vpn/l3vpn для своих нужд и это никак не связано с обходом блокировок.
Помимо вов/танков/магазинов в интернете есть тысячи других ничуть не хуже и не лучше. И понятно что этим людям проще винить Дурова, чем руководство страны которое они сами выбрали. Дуров то ничего им не сделает…
Маршрутизируемая это когда у вашего хостера/провайдера прописан маршрут в вашу сеть через вашу машину.
На DigitalOcean у вас все выделенные адреса должны быть в одном L2 сегменте т.к. выделяют даже не подсеть а просто диапазон из неё, они не маршрутизируемые и их не получится прокинуть туннелями куда надо.
Для этого нужна своя маршрутизируемая подсеть, а не как у DO небольшой диапазон меньше чем /64.
Тогда уж лучше настраивать на hetzner, пусть дают одну /64 но она маршрутизируемая, поднимаем сеть дома, на сервере прописываем маршрут через link-local адрес в туннеле и радуемся.
Либо не выпендриваемся и получаем у Hurricane Electric одну /64 и одну /48 и обмазываемся адресами
Отдельные DVR железки с лимитом на каналы(потоки) выходят дешевле чем 1-2 сервера с лицензией флусоника и без лимита на потоки? Как в плане отказоустойчивости отдельных железок? Были ли случаи выхода из строя одной железки и потеря/восстановление архива с них?
Почему не написать что патч снижает производительность НА 30%? Цифра становится слишком мелкой чтобы статья задела читателя и он обратил внимание? А то опять получается учёный изнасиловал журналиста.
Потом разрешено всё к 2001:470:98fc:6::/64 (сеть на даче) и разрешено всё к 2001:470:98fc:6000::/52 (пул для VPN подключений), там у меня как правило разруливает локальный роутер.
Ну и на последок accept established/related & drop для всей сети /48, мало-ли куда ещё выделю — чтобы не лезло ничего.
В интерфейсе WinBox оно как-то проще выглядит
P.S: да, забыл изначально для 6::/64 и 6000::/52 указать in-interface, да не особо важно
UPD: не из их, до этого был sit0 который 6to4 через 192.88.99.1, отказался из-за нестабильной работы, а HE остался sit1
В итоге под файрвол попадает только трафик приходящий из туннеля 6to4 (native не завезли к сожалению). Трафик с остальных подключений не попадает под него и маршрутизация между «локальными» сетями работает свободно. Единственное не проходит тест скорости на yandex.ru/internet на upload, но как оказалось то-же самое происходит при отключенном файрволе, видимо что-то сломалось на их стороне
На DigitalOcean у вас все выделенные адреса должны быть в одном L2 сегменте т.к. выделяют даже не подсеть а просто диапазон из неё, они не маршрутизируемые и их не получится прокинуть туннелями куда надо.
Тогда уж лучше настраивать на hetzner, пусть дают одну /64 но она маршрутизируемая, поднимаем сеть дома, на сервере прописываем маршрут через link-local адрес в туннеле и радуемся.
Либо не выпендриваемся и получаем у Hurricane Electric одну /64 и одну /48 и обмазываемся адресами