Ipv6 tunnel "elalszik" 10 perc alatt.

 ( btz | 2017. július 23., vasárnap - 13:33 )

Üdv!
Tunnelbroker-t (HENET) használok, Openwrt Chaos Calmer 15.05.1 firm-mel telepített routerrel.

A probléma, az hogy ha LAN-on belül nincs forgalmazás, mert mondjuk nem ipv6-os oldalt nézünk vagy nincs senki otthon, akkor az ipv6 címen a router(ek) 10 perc múltán elérhetetlenné válnak külső hálózatból (pl mobilnet).
Ha ipv4 címen belépek a routerbe és ipv6 pinget indítok a Google.com-ra, akkor a következő 10 percre újra elérhető lesz az ipv6 kívülről való elérése. Minden interfésznek (WAn, LAN, Guest) külön ipv6 címe van, 10 perc elteltével egyiken sem elérhető a router.

Jelenleg nem megoldottam, csak átthidaltam a problémát.
Betettem cronba, hogy a router 5 percenként indítson egy ipv6 pinget a google.com-ra.

*/5 * * * * ping6 -c2 ipv6.google.com > /dev/null 2>&1

Már próbáltam Holland, Német, USA szervereket is beállítani, de mindegyiknél ugyan ezt produkálta, így visszatértem a Budapestihez.

Más is tapasztalt már hasonlót?
Vagy csak egyedi probléma lehet?
Előre is köszönöm, ha lenne valakinek valami hasznos ötlete.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Amikor a tunnelt létrehozod, a tűzfaladban létrejön egy stateful (output) szabály, ami a visszirányú (input) adatcsomagokat beengedi. Ha nem forgalmazol belülről kifelé, a state tábla bejegyzés lejár, és onnantól nem tudsz többet bejönni kívülről.

A tunnel működéséhez csinálj stateless tűzfal szabályokat a tunnel szerver irányába/irányából.

Sajnos Openwrt alatt csak ilyen rule-k vannak, nem látok sateful (output)-ot.


config rule
option src 'lan'
option dest 'guest'
option family 'ipv6'
option proto 'all'
option target 'DROP'
option name 'Lan-Guest Ipv6'
#ezzel tiltom a Lan-ról gzestbe menő ipv6-ot.

config rule
option src 'guest'
option dest 'lan'
option name 'Guest-Lan Ipv6'
option family 'ipv6'
option proto 'all'
option target 'DROP'
#Gest-Lan ipv6 tiltás

config rule
option target 'ACCEPT'
option name 'Tunnel41'
option proto '41'
option src '*'
#Tunnelhez kell egy 41-es protokoll

config rule
option name 'Allow-DHCP-Renew'
option src 'wan'
option proto 'udp'
option dest_port '68'
option target 'ACCEPT'
option family 'ipv4'
#Dhcp renew

config rule
option name 'Allow-Ping'
option src 'wan'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'
#ping

config rule
option name 'Allow-IGMP'
option src 'wan'
option proto 'igmp'
option family 'ipv4'
option target 'ACCEPT'
#Igmp

config rule
option name 'Allow-DHCPv6'
option proto 'udp'
option src_ip 'fe80::/10'
option src_port '547'
option dest_ip 'fe80::/10'
option dest_port '546'
option family 'ipv6'
option target 'ACCEPT'
option src '*'
#Dhcpv6 engedélyezés

config rule
option name 'Allow-MLD'
option proto 'icmp'
option src_ip 'fe80::/10'
list icmp_type '130/0'
list icmp_type '131/0'
list icmp_type '132/0'
list icmp_type '143/0'
option family 'ipv6'
option target 'ACCEPT'
option src '*'
#MLD engedélyezés

config rule
option name 'Allow-ICMPv6-Input'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option family 'ipv6'
option target 'ACCEPT'
option src '*'
#Icmpv6 engedélyezés input

config rule
option name 'Allow-ICMPv6-Forward'
option dest '*'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
option family 'ipv6'
option target 'ACCEPT'
option src '*'
#Icmmpv6 továbbítás engedélyezése

config rule
option src 'wan'
option dest 'lan'
option proto 'esp'
option target 'ACCEPT'

config rule
option src 'wan'
option dest 'lan'
option dest_port '500'
option proto 'udp'
option target 'ACCEPT'

config rule
option target 'ACCEPT'
option proto 'tcp udp'
option dest_port '4443'
option name 'DlinkIpv6 4443'
option src '*'
option dest '*'
#Dlink router elérése

config rule
option target 'ACCEPT'
option proto 'tcp'
option dest_port '443'
option src '*'
option name 'Luci 443 Ipv6 Lan'
#Tunnel router ipv6 ssl luci elérés

config defaults
option syn_flood '1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'

config zone
option name 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
option masq '1'
option mtu_fix '1'
option network 'lan'

config zone
option name 'wan'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
option input 'REJECT'
option network 'wan henet'

config include
option path '/etc/firewall.user'

config zone
option name 'guest'
option input 'ACCEPT'
option output 'ACCEPT'
option network 'guest'
option masq '1'
option mtu_fix '1'
option forward 'ACCEPT'

config forwarding
option dest 'wan'
option src 'guest'

config forwarding
option dest 'wan'
option src 'lan'

config forwarding
option dest 'lan'
option src 'guest'

Egy példával esetleg letudnád írni, hogy egy stateless szabályt hogyan tudnék létrehozni?

Dehat itt a peldadban egy csomo stateless szabaly van.
Azokat hogyan hoztad letre? Vagy implicit / default szabalylista ez, amit beideztel?

Amiket én hoztam létre:
- az a Guest LAN interfész közötti ipv6 tiltása. Ez két külön interface két különböző ipv6 subnet. Ha nincs a kettő között ipv6 forgalom tiltás, akkor érdekes dolgok történnek.
- A 41-es proto beengedése
- A 443-as input és a 4443-as forward engedélyezése a fő és egy ipv6-al szintén subneten működő openwrt-s router Luci felületére való bejárás engedélyezése.

A többi az az openwrt telepítésénél már benne volt, tehát default módon.

/off

Szvsz ne engedd a kozvetlen luci elerest (se WAN, se LAN), marha nagy a tamadasi felulet:
- web szerver
- ssl/tls implementacio
- luci
- mindez root-kent(?)

Inkabb csak localhoston figyeljen az a web szerver es ssh tunnel-en keresztul luci-zz. Az ssh meg figyeljen valami magas porton, a log szemetelest csokkentendo.

Bonusz: ha ugyis csak az ssh tunnel-en keresztul latszik, eleg az ssl nelkuli webszerver, ami kevesebb helyet foglal a szukos hattertaron.

$ ssh  -p10333 -L33380:localhost:80
$ firefox http://localhost:33380/

Üdv!
Sikerült is megcsinálni, az ssh kliensemben van is erre külön menüpont port továbbítás néven, sejtettem, hogy valami ilyesmit tud, de nem nagyon foglalkoztam vele, eddig VPN-t használtam, de restore defaultra kellett rakni a routert, hátha megoldja az ipv6 tunnel "elalvása" problémát, de sajnos nem oldotta meg.