[Fli4l_dev] 6in4 mit HE-Tunnel - kann mir jemand mit dem Setup helfen?

Sebastian Klein fli4l at wysiwyng.de
Mi Aug 10 08:35:30 CEST 2016


Moin moin,

Am 10.08.16 um 08:07 schrieb K. Dreier:
> Danke zunächst für dein Feedback!

gerne...

> 
> butterfly schrieb am Di, 09 August 2016 20:38
>> öhm hast du in der dns_dhcp.txt auch den IPv6 DNS eingeschaltet?
>> "SUPPORT_IPV6='yes'"
> 
> Ja.

gut...

> 
> Zitat:
>>>  PF6_INPUT_1='if:IPV6_NET_1_DEV:any prot:tcp 22 ACCEPT'		# allow
>>> any
>>>  (external) IP access to fli4l SSH
>>
>> Ich dachte Netz 1 hätte gar kein IPv6?!?
> 
> Hat es auch nicht nativ. Aber via Tunnel? Also müsste ich doch, gemäß
> meinem Verständnis, auch in der Lage sein, den fli4l von aussen auf
> einer "öffentlichen" IPv6 anpingen zu können, respektive mit SSH drauf
> zugreifen können? Denn das Problem ist ja, daß ich das gerade nicht
> via IPv6 von einem native-IPv6 Rechner tun kann, wenn ich für den fli4l
> eine IPv4-Adresse nutzen muß. Oder? Ich habe das mit dem Tunnel so
> verstanden, daß es nicht mono-direktional, sondern bi-direktional, also
> raus und rein, ermöglicht. Oder liege ich da falsch? HE allerdings gibt
> mir für meinen client ja eine IPv6-Adresse...

ich glaub ich häng dir mal meine (zugegeben ein wenig ältere) HE-Config
mit 2 Netzen an, dann kannst du ja einfach mal vergleichen. Die läuft
aktuell nicht bei mir, da ich nativ versorgt bin.

> Richtig. Allerdings habe ich es mal geschafft, beim Testen mich
> auszusperren, weil ich den Eintrag 7 verändert hatte. ;-) So habe ich
> eine halbwegs idiotensichere Variante, die mir immer den SSH-Zugang
> ermöglicht (wenn ich nicht garde alles zerlege...).

ah okay...

> Zitat:
>>>  PF6_FORWARD_1='IPV6_NET_2 ACCEPT'							# accept v6_NET_1
>>> access to fli4l
>>
>> wohin soll er forwarden? Der Kommentar ist allerdings falsch...
>> hier
>> geht es um FORWARD nicht um INPUT
> 
> Das mit dem Kommentar stimmt. Weiss nicht, warum das da so drin steht.
> Habe ich irgendwie gepennt. Im v4 habe ich insg. 4 interne Netze, welche
> unterschiedlich aufeinander zugreifen dürfen, weswegen ich da die
> Forwards brauche. Da ich aktuell (noch) bei v6 aber nur 1 internes
> Netz/LAN aktiviert habe (keep it simple zum Testen), brauche ich ja wohl
> gar kein Forward in dem Fall?

Doch, genauso wie im IPv4 mußt du ja nach außen Forwarden, sonst geht
nichts raus... (siehe meine Config), habe nochmal nachgedacht der Inhalt
des Forwards geht so, allerdings forwarded er dann auch zwischen den
"Internen" Netzen...

> 
> Zitat:
>>>  PF6_POSTROUTING_1='IPV6_NET_1 MASQUERADE'					# masquerade
>>> traffic
>>>  leaving v6_WAN-NIC
>>
>> Maskieren mußt du im Regelfall bei IPv6 nichts...
> 
> Das ist der Standardeintrag, den ich so übernommen/gelassen habe.

ja das stimmt, aber man muß im IPv6 nicht maskieren (siehe Config)


Config ein wenig gekürzt, aber das Wichtige ist drin denke ich...

IPV6_NET_N='2'                      # number of IPv6 subnets to

IPV6_NET_1='::1:0:0:0:1/64'
IPV6_NET_1_TUNNEL='1'
IPV6_NET_1_DEV='br0'               # interface this subnet is bound to
IPV6_NET_1_ADVERTISE='yes'          # should the subnet prefix be
IPV6_NET_1_ADVERTISE_DNS='yes'       # should the DNS service be
IPV6_NET_1_DHCP='yes'                # should domain and DNS server be

IPV6_NET_2='::2:0:0:0:1/64'
IPV6_NET_2_TUNNEL='1'
IPV6_NET_2_DEV='wlan1'               # interface this subnet is bound to
IPV6_NET_2_ADVERTISE='yes'          # should the subnet prefix be
IPV6_NET_2_ADVERTISE_DNS='yes'       # should the DNS service be
IPV6_NET_2_DHCP='yes'

IPV6_TUNNEL_N='2'                     # number of tunnels to set up
IPV6_TUNNEL_1_TYPE='he'            # tunnel type
IPV6_TUNNEL_1_LOCALV4='dynamic'       # IPv4 address of the local tunnel
IPV6_TUNNEL_1_DEFAULT='yes'           # should this tunnel be used for
routing
IPV6_TUNNEL_1_DEV='6in4'             # (optional) name of the interface to
IPV6_TUNNEL_1_MTU='1280'             # (optional) MTU size in bytes for this

### when tunnel type is 'he' ###
IPV6_TUNNEL_1_REMOTEV4='REMOTE-IPv4'
IPV6_TUNNEL_1_LOCALV6='LOCAL-IPv6'
IPV6_TUNNEL_1_REMOTEV6='REMOTE-IPv6'   # IPv6 address of the remote
IPV6_TUNNEL_1_PREFIX='IPv6-SUB-NETZ'        # assigned /48 subnet
IPV6_TUNNEL_1_USERID='XXXXXXXXXXXX'                  # HE user id
IPV6_TUNNEL_1_PASSWORD='YYYYYYYYYY'              # HE password
IPV6_TUNNEL_1_TUNNELID='ZZZZZZZZZZ'                # tunnel ID

IPV6_ROUTE_N='0'

#------------------------------------------------------------------------------
# IPv6 multicasting
#------------------------------------------------------------------------------
IPV6_MULTICAST='yes'                 # enable multicasting via ecmh tool

#------------------------------------------------------------------------------
# Packet filter configuration
#------------------------------------------------------------------------------
PF6_INPUT_POLICY='REJECT'               # be nice and use reject as
PF6_INPUT_ACCEPT_DEF='yes'              # use default rule set
PF6_INPUT_LOG='no'                      # don't log anything
PF6_INPUT_LOG_LIMIT='3/minute:5'        # log 3 events per minute;
PF6_INPUT_REJ_LIMIT='1/second:5'        # reject 1 connection per
PF6_INPUT_UDP_REJ_LIMIT='1/second:5'    # rejec

PF6_INPUT_N='4'                         # number of INPUT rules
PF6_INPUT_1='[fe80::0]/10 ACCEPT'       # allow all hosts in the local
PF6_INPUT_2='IPV6_NET_1 ACCEPT'         # allow all hosts in the first
PF6_INPUT_3='IPV6_NET_2 ACCEPT'
PF6_INPUT_4='tmpl:samba DROP NOLOG'     # drop (or reject) samba access
PF6_INPUT_4_COMMENT='no samba traffic allowed' # without logging,

PF6_FORWARD_POLICY='REJECT'             # be nice and use reject as
PF6_FORWARD_ACCEPT_DEF='yes'            # use default rule set
PF6_FORWARD_LOG='no'                    # don't log anything
PF6_FORWARD_LOG_LIMIT='3/minute:5'      # log 3 events per minute;
PF6_FORWARD_REJ_LIMIT='1/second:5'      # reject 1 connection per
PF6_FORWARD_UDP_REJ_LIMIT='1/second:5'  # reject 1 udp packet per

PF6_FORWARD_N='3'                       # number of FORWARD rules
PF6_FORWARD_1='tmpl:samba DROP'         # drop samba traffic if it tries
PF6_FORWARD_2='IPV6_NET_1 ACCEPT'       # accept everything else
PF6_FORWARD_3='IPV6_NET_2 ACCEPT'

PF6_USR_CHAIN_N='0'                     # number of user-defined tables




Mehr Informationen über die Mailingliste Fli4l_dev