IPv6/on-openvpn-v6
Aus Opennet
Version vom 5. April 2020, 17:14 Uhr von MathiasMahnke (Diskussion | Beiträge)
Hinweis: Derzeit befindet sich das on-openvpnv6 Paket im Alpha-Teststadium.
Das Opennet Paket on-openvpn-v6 soll Opennet Nutzern IPv6 Konnektivität ermöglichen.
Inhaltsverzeichnis |
Funktionsweise
- es wird vorausgesetzt, dass alle Voraussetzungen erfüllt sind, um einen "normalen IPv4 User-VPN Tunnel aufzubauen". Speziell muss das Zertifikat für OpenVPN vorhanden sein.
- der Opennet Knoten baut eine OpenVPN Verbindung zum Server gai auf (fd32:d8d3:87da::245 1700)
- auf gai läuft ein OpenVPN Dienst, welche Layer2-Verbindungen zur Verfügung stellt (interface: tap-users-v6)
- nach Aufbau des VPN Tunnels, holt sich der Opennet Knoten per DHCPv6 Prefix Delegation einen IPv6 Adressbereich (/60). Adressen aus diesem Bereich werden automatisch per SLAAC an alle Geräte (per radvd Dienst) im LAN (br-lan) verteilt.
- jetzt habe alle Endgeräte eine IPv6 Adressen und kommen ins Internet
Installations-/Konfigurations-/Troubleshooting-Anleitung
- Paket installieren mit "opkg-oni install on-openvpn-v6". Wir benötigen hier die neues unstable Firmware. Ansonsten findet er das Paket nicht zum Installieren.
- Testen, ob der Knoten den Server gai per IPv6 erreichen kann mit "ping6 fd32:d8d3:87da::245"
root@AP-2-51:~# ping6 fd32:d8d3:87da::245 PING fd32:d8d3:87da::245 (fd32:d8d3:87da::245): 56 data bytes 64 bytes from fd32:d8d3:87da::245: seq=0 ttl=63 time=15.887 ms 64 bytes from fd32:d8d3:87da::245: seq=1 ttl=63 time=16.456 ms
- Warten, bis sich der VPN Tunnel aufgebaut hat (Interface tap-on-user-v6 vorhanden). Bei Problemen folgende Dinge prüfen:
- ist in uci der VPN Tunnel noch erwähnt:
root@AP-2-51:~# uci show | grep openvpn_v6 openvpn.gw_openvpn_v6_fd32_d8d3_87da__245_1700_udp=openvpn openvpn.gw_openvpn_v6_fd32_d8d3_87da__245_1700_udp.enabled='1' openvpn.gw_openvpn_v6_fd32_d8d3_87da__245_1700_udp.config='/var/etc/openvpn-v6//gw_openvpn_v6_fd32_d8d3_87da__245_1700_udp.conf'
- gibt es "verdächtige" Syslog Meldungen
logread
IPv6 only
Mit folgenden Schritte kannst du dir ein IPv6-only Netz bauen:
- auf Opennet Knoten das on-openvpn Modul deaktivierst (nicht deinstallieren!)
- der IPv6 Tunnel sollte natürlich funktionieren
- auf den Endgeräten (Laptop, Handy, ...) IPv4 deaktivieren und IPv6 aktiviert lassen
- auf dem Endgerät folgendes Testen:
root@oni06:~# ping ct.de PING ct.de(redirector.heise.de (2a02:2e0:3fe:1001:302::)) 56 data bytes 64 bytes from redirector.heise.de (2a02:2e0:3fe:1001:302::): icmp_seq=1 ttl=56 time=49.3 ms 64 bytes from redirector.heise.de (2a02:2e0:3fe:1001:302::): icmp_seq=2 ttl=56 time=114 ms
root@oni06:~# telnet relay.heise.de 25 Trying 2a00:e68:14:800::19:19... Connected to relay.heise.de. Escape character is '^]'. 220 relay.heise.de ESMTP. EHLO 250-relay.heise.de Hello p200300c4671ec90071d10b583d6c8c71.dip0.t-ipconnect.de [2003:c4:671e:c900:71d1:b58:3d6c:8c71] 250-SIZE 52428800 250-8BITMIME 250-PIPELINING 250-STARTTLS 250 HELP
Status des Pakets
Stand 4.4.2020: Dieses Paket stellt einen ersten Versuch da einigen Opennet Nutzern Zugriff per IPv6 zu ermöglichen. Abhängig von den Tests wird sich herausstellen, in welche Richtung weiter entwickelt wird.
Einschränkungen
- Opennet Knoten muss eine IPv6 Verbindung zu gai haben
- Gateway Server ist fest kodiert
- gai: 256x /60 Prefixe (siehe https://dev.opennet-initiative.de/browser/on_ansible/roles/ugw-server-ipv6/files/dhcpd6.conf)