Комментарии 47
настроим мершрутизацию
Маршрутизация НЕ есть NAT с маскарадингом!
MASQUERADE в IPv6? RLY?
OMG...
А как еще? нужно завернуть трафик из локальной IPv6 сети в глобальную, если у вас есть рабочая идея лучше — давайте обсудим, я долго искал метод как сделать своего IPv6 брокера, что бы не отдавать свой трафик не пойми кому. Такой метод — рабочий
Я не говорил, что ваш метод не рабочий. Я говорил, что он идеологически не правильный. IPv6 был придуман для того, чтоб отказаться от NAT. А вы его сюда приплели.
Я понимаю, но другого метода перегонять трафик из тоннельного интерфейса в обычный ipv6 я не нашел, пробовал ставить gateway от хостера — не помогло.
НЛО прилетело и опубликовало эту надпись здесь
Я разобрался в чем проблема, у меня была ситуация аналогичная вашей.
Сеть /48 выданная провайдером на мой сервер, была назначена интерфейсу на маршрутизаторе провайдера. И когда я сделал тунель, то без -j MASQUERADE ниче не работало.
Правильно было сделать point-to-point сеть для стыка например /64, через которую смаршрутизировать /48 на ipv6 адрес моего сервера.
То есть провайдер выдал мне ipv6 2A00:1C48:x:xxx::5/64
и смаршрутизировал подсеть 2A00:1C48:zzz::/48 на мой ip 2A00:1C48:x:xxx::5
После чего я могу назначать ipv6 из подсети 2A00:1C48:zzz::/48 на любые интерфейсы и маршрутизировать куда надо. Все ip видят друг друга (в том числе внутри тунеля), и пингуются из вне.
Сеть /48 выданная провайдером на мой сервер, была назначена интерфейсу на маршрутизаторе провайдера. И когда я сделал тунель, то без -j MASQUERADE ниче не работало.
Правильно было сделать point-to-point сеть для стыка например /64, через которую смаршрутизировать /48 на ipv6 адрес моего сервера.
То есть провайдер выдал мне ipv6 2A00:1C48:x:xxx::5/64
и смаршрутизировал подсеть 2A00:1C48:zzz::/48 на мой ip 2A00:1C48:x:xxx::5
После чего я могу назначать ipv6 из подсети 2A00:1C48:zzz::/48 на любые интерфейсы и маршрутизировать куда надо. Все ip видят друг друга (в том числе внутри тунеля), и пингуются из вне.
Насколько я помню спеку, /64 это минимальная маршрутизируемая сеть и меньше ее нарезать нельзя?
IPv6 был придуман, чтобы отказаться от NAT, а в итоге приходится городить NAT64 для выхода в IPv4 сети :(
Для этого нужна своя маршрутизируемая подсеть, а не как у DO небольшой диапазон меньше чем /64.
Тогда уж лучше настраивать на hetzner, пусть дают одну /64 но она маршрутизируемая, поднимаем сеть дома, на сервере прописываем маршрут через link-local адрес в туннеле и радуемся.
Либо не выпендриваемся и получаем у Hurricane Electric одну /64 и одну /48 и обмазываемся адресами
Тогда уж лучше настраивать на hetzner, пусть дают одну /64 но она маршрутизируемая, поднимаем сеть дома, на сервере прописываем маршрут через link-local адрес в туннеле и радуемся.
Либо не выпендриваемся и получаем у Hurricane Electric одну /64 и одну /48 и обмазываемся адресами
Что вы подразумиваете под «маршрутизируемая подсеть»?
Маршрутизируемая это когда у вашего хостера/провайдера прописан маршрут в вашу сеть через вашу машину.
На DigitalOcean у вас все выделенные адреса должны быть в одном L2 сегменте т.к. выделяют даже не подсеть а просто диапазон из неё, они не маршрутизируемые и их не получится прокинуть туннелями куда надо.
На DigitalOcean у вас все выделенные адреса должны быть в одном L2 сегменте т.к. выделяют даже не подсеть а просто диапазон из неё, они не маршрутизируемые и их не получится прокинуть туннелями куда надо.
НЛО прилетело и опубликовало эту надпись здесь
А с mikrotik'ом пробовали?
arubacloud.com дает vps за 1 евро/мес. в эту стоимость входит IPv4 и IPv6 (формально дают /64, а использовать можно только 16 адресов из блока).
А где sipcalc?
Вот серьезно а чем tunnelbroker.net не угодили? Не вижу ничего негативного в использовании их как точки выхода IPv6.
А по поводу IPv6-to-IPv6 Network Prefix Translation то сам юзал, да костыль но рабочий.
Кейс: 2 WAN'a от разных ISP настроенных на failover, сделать BGP не могу потому что IPv6 не мои, а tunnelbroker.net, да и даже если бы они были моими это дорого и нецелесообразно в моем случае. Тут NPt пришелся как раз кстати.
А по поводу IPv6-to-IPv6 Network Prefix Translation то сам юзал, да костыль но рабочий.
Кейс: 2 WAN'a от разных ISP настроенных на failover, сделать BGP не могу потому что IPv6 не мои, а tunnelbroker.net, да и даже если бы они были моими это дорого и нецелесообразно в моем случае. Тут NPt пришелся как раз кстати.
Тем же, чем и использование покупного VPN по сравнению со своим сервером
все равно ваш покупной сервер подключен будет к IPv6 с 70% вероятностью через HE.net >_< или гонять 90% трафика IPv6 через HE.net. Но теперь кроме HE.net вас будут отслеживать при желании еще й ISP вашего дата центра =), так что это все бессмысленно. Мало того у меня например есть статистика того как работает HE.net, и они предоставляют стабильные услуги (скорость и латенси пропускной полосы, и отсутствие downtim'ов), удобные функции для тех кто юзает их услуги: решение проблем тех клиентов у кого динамический IP, клиент сам может настраивать реверс лукап записи (PTR) в админ панели или через API. Есть интеграция с их DNS серверами. Таким ДЦ с VPC за 1$ не похвастается, а HE.net дают это все уже настроенное, проверенное и бесплатно, да й еще й нормально дают выбор к какому серверу вести туннель, расстояние к которому можно проверить перед тем как выбирать в качестве своего туннеля банальным ping запросом, и еще й имею свой iperf3 сервер для тестирования полосы.
с чего вы взяли? берем пример digitalocean — у него нативный настоящий ipv6, даже у некоторый хостеров в РФ есть магистраль и настоящий ipv6
Я не хочу говорить, что HE это плохо, но любой бесплатный сервис у меня вызывает подозрение, что товар это — я.
Я не хочу говорить, что HE это плохо, но любой бесплатный сервис у меня вызывает подозрение, что товар это — я.
Вы думаете если вы будете кому то платить то они меньше будут собирать данные? Поверьте мне, как и с качеством услуг: цена это не показатель качества. Вы от Lets Encrypt тоже отказываетесь? — Они же на халяву сертификаты подписывают. А HE.net даёт на халяву потому что как и LE у них куча спонсоров которые заплатили за тебя.
P.S. — больше что Вова за вами никто следить не будет, а вы вон какие налоги платите каждый месяц
У хостеров есть TOS как минимум, и сравнивать платный/бесплатный сервис как минимум — глупо, в добавок, HE не даст вам сделать туннель если у вас нет внешнего IP, тут — пожалуйста
Могу разочаровать: даже покупая товар в магазине (особенно в крупной сети), ты оказываешься товаром объектом, про который собирается статистика. За свои деньги, если что. А карта постоянного клиента — вообще отличный ID, чтобы собрать профиль юзера и что-то там лишнее высчитать. Но если нет карты клиента — тебя отследят еще многими способами, и с этим трудно что-то поделать.
Так что, при прочих равных. я бы лучше юзал бесплатный сервис, его хотя бы грамотно годами обслуживают. Более того, если у тебя есть AS и толика желания, с HE можно и BGP поднять (бесплатно), а это куда как приятнее: найди еще одного брокера, который такое умеет, и вот ты совсем от всех независим по адреса (ipv6), тренируйся, качай скил!
Так что, при прочих равных. я бы лучше юзал бесплатный сервис, его хотя бы грамотно годами обслуживают. Более того, если у тебя есть AS и толика желания, с HE можно и BGP поднять (бесплатно), а это куда как приятнее: найди еще одного брокера, который такое умеет, и вот ты совсем от всех независим по адреса (ipv6), тренируйся, качай скил!
Простой способ узнать свой внешний IP
curl ifconfig.co
Для примеров есть специальная сеть IPv4: 192.0.2.0-192.0.2.255 (RFC). Аналогично для IPv6: 2001:DB8::/32 (RFC).
Использовать свои или чужие реальные IP (как в Вашем примере с 8.8.8.8) плохо потому, что при размножении инструкции будет масса копировщиков 1:1, даже если у них не будет от этого работать (у меня был злобный реальный случай такого).
Так что если у вас нет сурового желания напакостить Гуглу, прошу исправить.
Использовать свои или чужие реальные IP (как в Вашем примере с 8.8.8.8) плохо потому, что при размножении инструкции будет масса копировщиков 1:1, даже если у них не будет от этого работать (у меня был злобный реальный случай такого).
Так что если у вас нет сурового желания напакостить Гуглу, прошу исправить.
Что очень характерно: если у провайдера и есть IPv6, то клиенту трудно его использовать, потому что, банально, в интернетах навалом (старых) инструкций «как сделать себе ipv6 через туннель», но совершенно нет внятных руководств «как, имея правильный нормальный IPv6 от своего провайдера, использовать его в жизни.» Грубо говоря, как на роутере на базе Debian, Centos, Mikrotik, D-Link настроить получение подсети IPv6 от своего оператора по pppoe, dhcp, еще каким-то более-менее простым схемам — и то не с первого раза поймешь, а как по сети раздать, чтобы клиенты сети поняли — это еще один квест.
Даже по этому посту (по комментам его) заметно — люди обсуждают, какие подсети можно и нельзя раздавать и пр., такое, что в мире ipv4 знают почти все. Есть еще тонкий момент приоритета протоколов внутри ОС: если в адресной строке ввести, скажем, vk.com или google.com, то через что будет делаться запрос, через ipv4 или ipv6? Разные версии разных ОС на это смотрят по-разному, это вопрос настройки — но эту инфу найти не всегда легко. Оператору связи, со своей стороны, внедрять ipv6 нет ни резона (только больше звонков в ТП будет), но желания (так бы сеть обслужить).
Замкнуты круг, в общем.
Даже по этому посту (по комментам его) заметно — люди обсуждают, какие подсети можно и нельзя раздавать и пр., такое, что в мире ipv4 знают почти все. Есть еще тонкий момент приоритета протоколов внутри ОС: если в адресной строке ввести, скажем, vk.com или google.com, то через что будет делаться запрос, через ipv4 или ipv6? Разные версии разных ОС на это смотрят по-разному, это вопрос настройки — но эту инфу найти не всегда легко. Оператору связи, со своей стороны, внедрять ipv6 нет ни резона (только больше звонков в ТП будет), но желания (так бы сеть обслужить).
Замкнуты круг, в общем.
Гм, современный метод подключения у провайдеров — IPOE — без туннеля, IPv6 при наличии придёт сам, (и при наличии роутера не за 500₽ с рынка) современные OS: win 10, iOS, OS X — по умолчанию используют v6 а при не доступности — v4
Ок, но это вы в каком городе? У провайдеров где что сделано, про настройку раздачи подсети с роутера ни слова (а кто сегодня без роутера дома живёт?). А ОС, смею вас уверить, не только 10-ка и макось у людей, а кроме них, целый сонм ios и андроид-девайсов разных же версий.
Не все так просто, я вот к чему.
На микротике не за 500 руб с рынка приведение пример?
Не все так просто, я вот к чему.
На микротике не за 500 руб с рынка приведение пример?
Мне казалось, что аудитория микротиков совершенно точно в состоянии сама настроить себе все что угодно, обычные пользователи покупают SOHO сегмент железа и более простые по настройке роутер.
А вы оригинальный коммент посмотрите мой: я писал о том, что все (обычно довольно старые и перепевающие друг друга) мануалы «как мне настроить дома IPv6» рассказывают о туннелях, и вменяемых руководств «как настроить IPv6, если провайдер дает его, и как его раздать по сети» — кот наплакал. Это, с одной стороны, показывает проникновение IPv6, с другой — дает низкую грамотность вообще населения в вопросе проникновения нового протокола (ему уж немало лет-то).
Аудитория микротиков, конечно, пограмотнее, чем аудитория доманишних *-линков, но не всегда знакома с IPv6 (точнее, мало знакома). И в этой ОС хватает подводных камней, и хватает возможностей, которые и ТП провайдера приведут к словам «мы сами не знаем, как вам лучше настроить». А уж про поддержку IPv6 в других технологиях можно плакать книги писать (поднимите IPIP туннель между IPv6 точками, да еще сверху добавьте IPSec, к примеру — дело-то детское).
Свой брокер иметь (спасибо автору поста) — это хорошо, но опыта использования у людей мало, так что (даже подняв туннель) нужно учиться и учиться.
Аудитория микротиков, конечно, пограмотнее, чем аудитория доманишних *-линков, но не всегда знакома с IPv6 (точнее, мало знакома). И в этой ОС хватает подводных камней, и хватает возможностей, которые и ТП провайдера приведут к словам «мы сами не знаем, как вам лучше настроить». А уж про поддержку IPv6 в других технологиях можно плакать книги писать (поднимите IPIP туннель между IPv6 точками, да еще сверху добавьте IPSec, к примеру — дело-то детское).
Свой брокер иметь (спасибо автору поста) — это хорошо, но опыта использования у людей мало, так что (даже подняв туннель) нужно учиться и учиться.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
IPv6 в каждый дом: Cвой собственный IPv6 сервер брокер (6in4)