6in4-Tunnel unter Debian 9

567
HotBreeze

Ich habe ein VPS, dem ein / 64 IPv6-Adressblock zugewiesen ist. Ich versuche, einen 6in4-Tunnel von meinem pfSense-Router zu Hause bereitzustellen, und kann über diesen Tunnel auf IPv6-Adressen zugreifen.

Ich habe das Gateway erfolgreich hochgefahren, aber ich kann keine anderen IP-Adressen als die / 64 von meiner pfSense-Box aus anpingen. Ping von der VPS funktioniert aber.

Hier ist meine / etc / network / schnittstellen config -

auto lo iface lo inet loopback  auto eth0 iface eth0 inet static address 123.456.xxx.yyy netmask 24 gateway 123.456.xxx.1 dns-nameservers 8.8.8.8 8.8.4.4 iface eth0 inet6 static address aaaa:bbbb:my:ipv6::1 netmask 48 gateway aaaa:bbbb::1  auto tunnel0 iface tunnel0 inet6 v4tunnel address aaaa:bbbb:my:ipv6::9 netmask 64 endpoint 66.abc.def.20 up ip -6 route add aaaa:bbbb:my:ipv6::/64 via aaaa:bbbb:my:ipv6::10 pre-up iptables-restore < /etc/iptables/rules.v4 pre-up ip6tables-restore < /etc/iptables/rules.v6

Hier ist die iptables-Regel für v4

iptables -I INPUT -p 41 -s 66.abc.def.20 -j ACCEPT

Hier sind die ip6tables-Regeln für v6

ip6tables -I FORWARD -i tunnel0 -j ACCEPT ip6tables -I FORWARD -o tunnel0 -j ACCEPT

Ich habe auch die folgenden Zeilen zu /etc/sysctl.conf hinzugefügt

net.ipv6.conf.all.forwarding=1 net.ipv6.conf.eth0.accept_ra=2

Der Tunnelendpunkt auf meinem pfSense-Router ist aaaa: bbbb: my: ipv6 :: 10.

0
Ihre Adressänderungen machen es unmöglich, das von Ihnen verwendete Subnetting-Schema zu verstehen. Versuchen Sie, das gleiche Präfix auf beiden Schnittstellen zu duplizieren? Warum ist Ihr eth0 als / 48 statt als / 64 konfiguriert? Wird die / 64 tatsächlich vom Provider an Sie weitergeleitet, oder handelt es sich lediglich um einen Linkbereich? grawity vor 6 Jahren 0
@ grawity - Bei der Bereitstellung der VM wird die eth0 inet6-Konfiguration mit der Netzmaske 48 generiert, und ich habe sie nicht gestört. Mein Verständnis ist, dass ich, wenn sich meine Tunnelendpunkte im selben Subnetz wie das IPv6-Subnetz der aktuellen VM befinden, mit dem BGP-Nachbarn der VM von meiner pfSense-Box aus über den Tunnel kommunizieren kann. Ich glaube auch, dass die / 64 der VPS zugewiesen ist. HotBreeze vor 6 Jahren 0
Nein, das Duplizieren desselben Subnetzes an zwei oder drei Stellen hilft absolut _doins_ nicht beim Routing ... Ihr Hauptproblem ist jedoch die Onlink-Zuweisung. grawity vor 6 Jahren 0
Wie kann ich eine Online-Zuweisung verwenden, um diesen Tunnel einzurichten? Ich versuche, dies auf Vultr einzurichten, das eine BGP-Sitzung anbietet und nur Verknüpfungszuweisungen vornimmt. HotBreeze vor 6 Jahren 0
Hmm, sind das nicht eher widersprüchlich? Wenn Sie Ihr eigenes Präfix über BGP ankündigen, wird der Peer es _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 1 s _ 1 _ _ _ _ _ _ _, dies der ganze Punkt des BGP ist. Wenn Sie dagegen den _Vultr's_-Adressraum verwenden, kann ich nicht verstehen, wie BGP einbezogen wird. grawity vor 6 Jahren 0
Es ist geplant, einen Tunnel zwischen Vultr und der pfSense-Box einzurichten. Führen Sie auf der Vultr-VM eine Bird aus, die eBGP mit Vultr und iBGP mit der pfSense-Maschine eingerichtet hat. Der pfSense-Computer wird meinen IPv6-Speicherplatz an die Vultr-VM ankündigen, die diese wiederum an den ASN von Vultr weiterleitet. HotBreeze vor 6 Jahren 0

1 Antwort auf die Frage

0
grawity

Soweit ich weiß, sehen Ihre Verbindungen so aus - Subnetz 1 ist Vultrs global / 48, und Subnetz 3 wird Ihr eigener BGP-angekündigter Adressraum sein:

[Vultr router] ---subnet 1--- [Your VPS] ---subnet 2--- [pfSense] ---subnet 3--- <LAN>

Es macht also zunächst nicht viel Sinn, für alle drei Subnetze dasselbe / 64-Präfix zu verwenden. Wenn Sie dies tun, geben Sie dem Router nur widersprüchliche Anweisungen.

Es hilft nicht, dass dieses Präfix nicht wirklich zu Ihrem VPS geleitet wird. Vultr sieht es nur als einen unteilbaren Teil der On-Link / 48. Wenn der Router von Vultr versucht, zu erreichen aaaa:bbbb:my:ipv6::10(Ihr pfSense), weiß er nicht, dass die Pakete an Ihren VPS gesendet werden sollen - er denkt, dass die Adresse on-link ist und versucht, sie mithilfe von ND (ARP) zu ermitteln.

Es gibt Hacks, die es möglich machen (wie ND / ARP-Proxying), aber benötigen Sie das wirklich? Nein, weil Sie über genügend eigenen IP-Speicher verfügen.

Nehmen Sie stattdessen eine / 64 von Ihrem BGP-angekündigten Block (z. B. wenn Sie einen besitzen 2001:db8:12::/48, 2001:db8:12:ffff::/64wäre dies eine gewöhnliche Wahl) und konfigurieren Sie diesen als Tunnelpräfix.

Verwandte Probleme