IPv6/on-openvpn-v6: Unterschied zwischen den Versionen
Aus Opennet
(→Einschränkungen) |
Leo (Diskussion | Beiträge) K |
||
Zeile 5: | Zeile 5: | ||
===Funktionsweise=== | ===Funktionsweise=== | ||
− | * | + | * Voraussetzungen: das Modul on-openvpn muss installiert sein und die Zertifikate für ein User-VPN Tunnel müssen vorhanden sein |
− | * der Opennet Knoten baut eine OpenVPN Verbindung zum Server gai auf (fd32:d8d3:87da::245 1700) | + | * der Opennet Knoten baut eine OpenVPN Verbindung zum Server gai auf (IP: fd32:d8d3:87da::245 , Port: 1700) |
− | * auf gai läuft ein OpenVPN Dienst, | + | * auf gai läuft ein OpenVPN Dienst, welcher Layer2-Verbindungen zur Verfügung stellt (interface: tap-users-v6) |
* nach Aufbau des VPN Tunnels, holt sich der Opennet Knoten per DHCPv6 Prefix Delegation einen IPv6 Adressbereich (/60). Adressen aus diesem Bereich werden automatisch per SLAAC an alle Geräte (per radvd Dienst) im LAN (br-lan) verteilt. | * nach Aufbau des VPN Tunnels, holt sich der Opennet Knoten per DHCPv6 Prefix Delegation einen IPv6 Adressbereich (/60). Adressen aus diesem Bereich werden automatisch per SLAAC an alle Geräte (per radvd Dienst) im LAN (br-lan) verteilt. | ||
− | * jetzt habe alle Endgeräte eine IPv6 Adressen und kommen ins Internet | + | * jetzt habe alle Endgeräte eine IPv6 Adressen und kommen ins Internet. DNS geht auch über IPv6. |
===Installations-/Konfigurations-/Troubleshooting-Anleitung=== | ===Installations-/Konfigurations-/Troubleshooting-Anleitung=== | ||
− | * Paket installieren mit "opkg-oni install on-openvpn-v6". Wir benötigen hier die | + | * Paket installieren mit "opkg-oni install on-openvpn-v6". Wir benötigen hier die neueste unstable Firmware. Ansonsten findet er das Paket nicht zum Installieren. |
* Testen, ob der Knoten den Server gai per IPv6 erreichen kann mit "ping6 fd32:d8d3:87da::245" | * Testen, ob der Knoten den Server gai per IPv6 erreichen kann mit "ping6 fd32:d8d3:87da::245" | ||
Zeile 23: | Zeile 23: | ||
* Warten, bis sich der VPN Tunnel aufgebaut hat (Interface tap-on-user-v6 vorhanden). Bei Problemen folgende Dinge prüfen: | * Warten, bis sich der VPN Tunnel aufgebaut hat (Interface tap-on-user-v6 vorhanden). Bei Problemen folgende Dinge prüfen: | ||
− | ** ist in uci der VPN Tunnel | + | ** ist in uci der VPN Tunnel notiert: |
root@AP-2-51:~# uci show | grep openvpn_v6 | root@AP-2-51:~# uci show | grep openvpn_v6 | ||
Zeile 35: | Zeile 35: | ||
===IPv6 only=== | ===IPv6 only=== | ||
− | Mit folgenden | + | Mit folgenden Schritten kannst du dir ein IPv6-only Netz bauen: |
− | * auf Opennet Knoten das on-openvpn Modul | + | * auf Opennet Knoten das on-openvpn Modul deaktivieren (nicht deinstallieren!) |
* der IPv6 Tunnel sollte natürlich funktionieren | * der IPv6 Tunnel sollte natürlich funktionieren | ||
* auf den Endgeräten (Laptop, Handy, ...) IPv4 deaktivieren und IPv6 aktiviert lassen | * auf den Endgeräten (Laptop, Handy, ...) IPv4 deaktivieren und IPv6 aktiviert lassen | ||
Zeile 62: | Zeile 62: | ||
===Status des Pakets=== | ===Status des Pakets=== | ||
− | Stand 4.4.2020: Dieses Paket stellt einen ersten Versuch da einigen Opennet Nutzern Zugriff per IPv6 zu ermöglichen. Abhängig von den Tests wird sich herausstellen, in welche Richtung weiter entwickelt wird. | + | Stand 4.4.2020: Dieses Paket stellt einen ersten Versuch da, einigen Opennet Nutzern Zugriff per IPv6 zu ermöglichen. Abhängig von den Tests wird sich herausstellen, in welche Richtung weiter entwickelt wird. |
===Einschränkungen=== | ===Einschränkungen=== |
Version vom 6. April 2020, 19:39 Uhr
Hinweis: Derzeit befindet sich das on-openvpnv6 Paket im Alpha-Teststadium.
Das Opennet Paket on-openvpn-v6 soll Opennet Nutzern IPv6 Konnektivität ermöglichen.
Inhaltsverzeichnis |
Funktionsweise
- Voraussetzungen: das Modul on-openvpn muss installiert sein und die Zertifikate für ein User-VPN Tunnel müssen vorhanden sein
- der Opennet Knoten baut eine OpenVPN Verbindung zum Server gai auf (IP: fd32:d8d3:87da::245 , Port: 1700)
- auf gai läuft ein OpenVPN Dienst, welcher Layer2-Verbindungen zur Verfügung stellt (interface: tap-users-v6)
- nach Aufbau des VPN Tunnels, holt sich der Opennet Knoten per DHCPv6 Prefix Delegation einen IPv6 Adressbereich (/60). Adressen aus diesem Bereich werden automatisch per SLAAC an alle Geräte (per radvd Dienst) im LAN (br-lan) verteilt.
- jetzt habe alle Endgeräte eine IPv6 Adressen und kommen ins Internet. DNS geht auch über IPv6.
Installations-/Konfigurations-/Troubleshooting-Anleitung
- Paket installieren mit "opkg-oni install on-openvpn-v6". Wir benötigen hier die neueste unstable Firmware. Ansonsten findet er das Paket nicht zum Installieren.
- Testen, ob der Knoten den Server gai per IPv6 erreichen kann mit "ping6 fd32:d8d3:87da::245"
root@AP-2-51:~# ping6 fd32:d8d3:87da::245 PING fd32:d8d3:87da::245 (fd32:d8d3:87da::245): 56 data bytes 64 bytes from fd32:d8d3:87da::245: seq=0 ttl=63 time=15.887 ms 64 bytes from fd32:d8d3:87da::245: seq=1 ttl=63 time=16.456 ms
- Warten, bis sich der VPN Tunnel aufgebaut hat (Interface tap-on-user-v6 vorhanden). Bei Problemen folgende Dinge prüfen:
- ist in uci der VPN Tunnel notiert:
root@AP-2-51:~# uci show | grep openvpn_v6 openvpn.gw_openvpn_v6_fd32_d8d3_87da__245_1700_udp=openvpn openvpn.gw_openvpn_v6_fd32_d8d3_87da__245_1700_udp.enabled='1' openvpn.gw_openvpn_v6_fd32_d8d3_87da__245_1700_udp.config='/var/etc/openvpn-v6//gw_openvpn_v6_fd32_d8d3_87da__245_1700_udp.conf'
- gibt es "verdächtige" Syslog Meldungen
logread
IPv6 only
Mit folgenden Schritten kannst du dir ein IPv6-only Netz bauen:
- auf Opennet Knoten das on-openvpn Modul deaktivieren (nicht deinstallieren!)
- der IPv6 Tunnel sollte natürlich funktionieren
- auf den Endgeräten (Laptop, Handy, ...) IPv4 deaktivieren und IPv6 aktiviert lassen
- auf dem Endgerät folgendes Testen:
root@oni06:~# ping ct.de PING ct.de(redirector.heise.de (2a02:2e0:3fe:1001:302::)) 56 data bytes 64 bytes from redirector.heise.de (2a02:2e0:3fe:1001:302::): icmp_seq=1 ttl=56 time=49.3 ms 64 bytes from redirector.heise.de (2a02:2e0:3fe:1001:302::): icmp_seq=2 ttl=56 time=114 ms
root@oni06:~# telnet relay.heise.de 25 Trying 2a00:e68:14:800::19:19... Connected to relay.heise.de. Escape character is '^]'. 220 relay.heise.de ESMTP. EHLO 250-relay.heise.de Hello p200300c4671ec90071d10b583d6c8c71.dip0.t-ipconnect.de [2003:c4:671e:c900:71d1:b58:3d6c:8c71] 250-SIZE 52428800 250-8BITMIME 250-PIPELINING 250-STARTTLS 250 HELP
Status des Pakets
Stand 4.4.2020: Dieses Paket stellt einen ersten Versuch da, einigen Opennet Nutzern Zugriff per IPv6 zu ermöglichen. Abhängig von den Tests wird sich herausstellen, in welche Richtung weiter entwickelt wird.
Einschränkungen
- Opennet Knoten muss eine IPv6 Verbindung zu gai haben
- Gateway Server ist fest kodiert
- gai: 256x /60 Prefixe (siehe https://dev.opennet-initiative.de/browser/on_ansible/roles/ugw-server-ipv6/files/dhcpd6.conf)