OpenWrt Chaos Calmer 15.05 - openvpn IPV6

IPv6

Adott egy openwrt-s router ami kap IPV6-os IP címet.
Adott egy másik openwrt-s router ami openvpn-en rájelentkezik.
IPv4 -en jól látják egymást - ott nincs gond.

A klines:
tap0 Link encap:Ethernet HWaddr 96:70:80:AB:49:8B
inet addr:10.0.1.2 Bcast:10.0.1.255 Mask:255.255.255.0
inet6 addr: fe80::9470:80ff:feab:498b/64 Scope:Link

Tudja pingelni a szerver IPv6-os címét: fe80::54ef:40ff:fe4a:c28a
tap0 Link encap:Ethernet HWaddr 56:EF:40:4A:C2:8A
inet addr:10.0.1.1 Bcast:10.0.1.255 Mask:255.255.255.0
inet6 addr: fe80::54ef:40ff:fe4a:c28a/64 Scope:Link

De nem megy már a publikus IP pingelése
eth0.2 Link encap:Ethernet HWaddr 64:70:02:xx:xx:xx
inet addr:195.199.xx.xx Bcast:195.199.xx.xx Mask:255.255.255.248
inet6 addr: 2001:738:800:f0a:6670:2ff:xxxx:xxxx/64 Scope:Global
inet6 addr: fe80::6670:2ff:xxxx:xxxx/64 Scope:Link

tcpdump-al a szerveren látom hogy a csomag megjönnek csak válasz nincs:
17:06:11.827736 IP6 fe80::9470:80ff:feab:498b > ff02::1:xxxx:xxxx: ICMP6, neighbor solicitation, who has 2001:738:800:f0a:6670:2ff:xxx:xxxx, length 32
17:06:12.833134 IP6 fe80::9470:80ff:feab:498b > ff02::1:xxxx:xxxx: ICMP6, neighbor solicitation, who has 2001:738:800:f0a:6670:2ff:xxxx:xxxx, length 32

Forward ip6tables -ben engedélyezve, és a /proc-ban is.

Merre keressem a megoldást?

  • 2265 megtekintés

( mr shadow v | 2015. 11. 20., p – 18:32 )

ipv6 route milyen?
--
>'The time has come,' the Walrus said<

A kilensen:
ip -6 rou
fdb8:cca:a252::/64 dev br-lan proto static metric 1024
fdb8:cca:a252:4::/64 dev br-lan proto static metric 1024
fdb8:cca:a252:4::/62 via fe80::32b5:c2ff:fec4:55b1 dev br-lan proto static metric 1024
unreachable fdb8:cca:a252:4::/62 dev lo proto static metric 2147483647 error -128
unreachable fdb8:cca:a252::/48 dev lo proto static metric 2147483647 error -128
fe80::/64 dev tap0 metric 1
fe80::/64 dev br-lan proto kernel metric 256
fe80::/64 dev eth0 proto kernel metric 256
fe80::/64 dev wlan0 proto kernel metric 256
fe80::/64 dev tap0 proto kernel metric 256
default dev tap0 metric 1

( PunishR v | 2015. 11. 22., v – 09:15 )

Szerintem jó irány, ha abból indulsz ki, hogy
"Routers therefore do not forward packets with link-local addresses."

( Zs | 2015. 11. 22., v – 15:14 )

Olvass IPv6 leírásokat. Ez a protokoll pöttyet más, mint az IPv4: nem csak a cím hosszában van változás.
Az fe80 kezdetű címek úgynevezett link-local címek, az IPv6 stack automatikusan hozza létre - de ezen IPv6 címmel kizárólag közvetlen elérés van, ez a cím nem route-olható! Akkor sem, ha később NAT-olni akarsz - ami az IPv6-ban első kanyarban erősen negálva volt, most meg már mégis van. Szóval ha IPv6 forgalmat akarsz, akkor ahhoz más tartomány kell. A lehetőségeid:
- jelenleg egy /64-et kapsz, ebben azért van pár IP cím, egy kisebb tartományt akár delegálhatsz is a kliens router felé
- felveszel privát IPv6 tartományt és a fogadó routeren NAT-olsz. Annyira nem szép megoldás, a NAT mögötti gépek közvetlen elérhetősége ugrik
- hagyod a fenébe az OpenWRT, OpenVPN alapú tunelezést, mert az úgyis IPv4 alapokon viszi át az IPv6 forgalmat, akkor már egyszerűbb a kliens OpenWRT-n eleve egy 6to4 tunelt csinálni. Rosszabb ez sem lesz, mint az OpenVPN alapokon átvitt, mert ez is IPv4 alatt szalad - viszont kihagyja a másik routert, így annak elesése esetén ez a háló életben marad. (Ha a kliens dinamikus IPv4 címet kap, az már kellemetlenebb, bár nem megoldhatatlan a dolog.)
Hogy ne menj messzire: http://hup.hu/node/120706
Itt persze PPPoE ADSL kapcsolatot oszt meg a kis routerrel a szerző, de vakvezetőnek használható. Olyannyira használható, hogy nekem dupla NAT mögül is kiválóan működik - csak jól kell felvenni az IPv6 címet és jól kell leképezni a tun6to4 interface-ra az IPv4 címet...