IPv6/on-openvpn-v6
Aus Opennet
Version vom 4. April 2020, 21:36 Uhr von Leo (Diskussion | Beiträge)
Hinweis: Derzeit befindet sich das on-openvpnv6 Paket im Alpha-Teststadium.
Das Opennet Paket on-openvpn-v6 soll Opennet Nutzern IPv6 Konnektivität ermöglichen.
Inhaltsverzeichnis |
Funktionsweise
- es wird vorausgesetzt, dass alle Voraussetzungen erfüllt sind, um einen "normalen IPv4 User-VPN Tunnel aufzubauen". Speziell muss das Zertifikat für OpenVPN vorhanden sein.
- der Opennet Knoten baut eine OpenVPN Verbindung zum Server gai auf (fd32:d8d3:87da::245 1700)
- auf gai läuft ein OpenVPN Dienst, welche Layer2-Verbindungen zur Verfügung stellt (interface: tap-users-v6)
- nach Aufbau des VPN Tunnels, holt sich der Opennet Knoten per DHCPv6 Prefix Delegation einen IPv6 Adressbereich (/60). Adressen aus diesem Bereich werden automatisch per SLAAC an alle Geräte (per radvd Dienst) im LAN (br-lan) verteilt.
- jetzt habe alle Endgeräte eine IPv6 Adressen und kommen ins Internet
Installations-/Konfigurations-/Troubleshooting-Anleitung
- Paket installieren mit "opkg-oni install on-openvpn-v6". Wir benötigen hier die neues unstable Firmware. Ansonsten findet er das Paket nicht zum Installieren.
- Testen, ob der Knoten den Server gai per IPv6 erreichen kann mit "ping6 fd32:d8d3:87da::245"
root@AP-2-51:~# ping6 fd32:d8d3:87da::245 PING fd32:d8d3:87da::245 (fd32:d8d3:87da::245): 56 data bytes 64 bytes from fd32:d8d3:87da::245: seq=0 ttl=63 time=15.887 ms 64 bytes from fd32:d8d3:87da::245: seq=1 ttl=63 time=16.456 ms
- Warten, bis sich der VPN Tunnel aufgebaut hat (Interface tap-on-user-v6 vorhanden). Bei Problemen folgende Dinge prüfen:
- ist in uci der VPN Tunnel noch erwähnt:
root@AP-2-51:~# uci show | grep openvpn_v6 openvpn.gw_openvpn_v6_fd32_d8d3_87da__245_1700_udp=openvpn openvpn.gw_openvpn_v6_fd32_d8d3_87da__245_1700_udp.enabled='1' openvpn.gw_openvpn_v6_fd32_d8d3_87da__245_1700_udp.config='/var/etc/openvpn-v6//gw_openvpn_v6_fd32_d8d3_87da__245_1700_udp.conf'
- gibt es "verdächtige" Syslog Meldungen
logread
Status des Pakets
Stand 4.4.2020: Dieses Paket stellt einen ersten Versuch da einigen Opennet Nutzern Zugriff per IPv6 zu ermöglichen. Abhängig von den Tests wird sich herausstellen, in welche Richtung weiter entwickelt wird.
Einschränkungen
- Opennet Knoten muss eine IPv6 Verbindung zu gai haben
- Gateway Server ist fest kodiert
- gai: 256x /60 Prefixe (siehe http://dev.on-i.de/browser/on_ansible/roles/ugw-server-ipv6/files/dhcpd6.conf)