[Fli4l_dev] IP protocol 41?==?utf-8?Q? - HE 6in4 tunnel endpoint ?==?utf-8?Q?hinter dem fli4l?
Christoph Schulz
fli4l at kristov.de
Sa Jan 20 13:57:26 CET 2018
Hallo,
ja, das geht. Du musst das IPv6-in-IPv4-Protokoll vom äußeren zum
inneren fli4l explizit durchleiten. Wenn du schon ein IPv6-LAN hast
(etwa über eine generierte ULA), dann verwendest du im inneren fli4l
vermutlich schon eine IPv6-Default-Route zum äußeren fli4l. Die musst
du natürlich anpassen, damit nur das LAN zum äußeren fli4l geroutet
wird (und der Rest über den HE-Tunnel geht); die neue
IPv6-Default-Route wird vom HE-Circuit gesetzt.
Ich habe bei mir im Grunde die folgende Konfiguration laufen:
Äußerer fli4l
=============
PREROUTING
{
...
[]='prot:41 216.66.86.114 dynamic DNAT:192.168.99.18'
}
Dabei ist 216.66.86.114 die Adresse des HE-PoPs (Berlin) und
192.168.99.18 die IPv4-Adresse des inneren fli4ls.
Innerer fli4l
=============
IPV6
{
NET
{
...
[]='{IPv6-HE}+::1/64' # hier weise ich eine öffentliche
IPv6-Adresse zu
{
DEV='IP_NET_1_DEV'
ADVERTISE='no'
ADVERTISE_DNS='no'
}
}
ROUTE[]='fdce:1c35:301f::/48 fdce:1c35:301f:99::11' # LAN-Routing:
# fdce:1c35:301f::/48 ist
das LAN,
# in dem auch der äußere
fli4l
# ist;
fdce:1c35:301f:99::11 ist die
# IPv6-Adresse des
äußeren fli4ls
}
CIRC
{
...
[]
{
NAME='IPv6-HE'
TYPE='tun6in4'
TUN6IN4_TYPE='he'
ENABLED='yes'
UP='yes'
PROTOCOLS='ipv6'
TUN6IN4_LOCALV4='dynamic'
TUN6IN4_REMOTEV4='216.66.86.114'
TUN6IN4_HE_LOCALV6='2001:470:6c:1aa::2/64'
TUN6IN4_HE_REMOTEV6='2001:470:6c:1aa::1'
TUN6IN4_HE_PREFIX='...::/48'
TUN6IN4_HE_USERID='tb...'
TUN6IN4_HE_PASSWORD='...'
TUN6IN4_HE_TUNNELID='...'
NETS_IPV6
{
[]='::/0' # wichtig: IPv6-Internet über den Tunnel erreichber
}
}
}
Weitere Einstellungen sind ggf. nötig. So muss der innere fli4l
IPv4-Pakete vom äußeren fli4l akzeptieren (das wird i.d.R. aber schon
funktionieren).
So sieht das dann aus, wenn der innere fli4l, der an das IPv6-Internet
via HE-Tunnel angebunden ist, den äußeren fli4l erreichen will, der an
das IPv6-Internet über eine PPP-Verbindung angebunden ist:
swing 4.0.0-r50124 # traceroute6 2a02:560:4124:cd01::1
traceroute to 2a02:560:4124:cd01::1 (2a02:560:4124:cd01::1), 30 hops
max, 80 byte packets
1 kristov-1.tunnel.tserv26.ber1.ipv6.he.net (2001:470:6c:1aa::1)
49.389 ms 48.063 ms 50.857 ms
2 10ge2-20.core1.ber1.he.net (2001:470:0:220::1) 52.721 ms 52.684 ms
52.661 ms
3 100ge8-2.core1.prg1.he.net (2001:470:0:41f::1) 63.809 ms 63.794 ms
63.827 ms
4 100ge16-1.core1.fra1.he.net (2001:470:0:213::1) 75.030 ms 75.028
ms 75.061 ms
5 Lo0-0.HRZ-R-P-00.net-htp.de (2001:7f8::32f5:0:1) 77.216 ms 77.197
ms 77.175 ms
6 2a02:560:1:46::2 (2a02:560:1:46::2) 77.151 ms 73.331 ms 72.314
ms
7 dyn.ipv6.net-htp.de (2a02:560:4124:cd01::1) 93.728 ms 93.151 ms
93.168 ms
Die Pakete laufen also über den HE-Tunnel ins HE-Netz und laufen dann
über Berlin, Prag (?) und Frankfurt ins HTP-Netz und landen
schließlich beim fli4l. Umgekehrt sieht es ähnlich aus:
fence 4.0.0-r50124 # traceroute6 2001:470:6c:1aa::2
traceroute to 2001:470:6c:1aa::2 (2001:470:6c:1aa::2), 30 hops max, 80
byte packets
1 dyn.ipv6.net-htp.de (2a02:560:4000:8d7f::1) 33.862 ms 33.820 ms
33.886 ms
2 2a02:560:1:46::1 (2a02:560:1:46::1) 20.363 ms 20.342 ms 20.665
ms
3 100ge7-2.core1.fra1.he.net (2001:7f8::1b1b:0:1) 32.336 ms 32.318
ms 32.302 ms
4 100ge14-1.core1.prg1.he.net (2001:470:0:213::2) 39.433 ms 39.699
ms 39.935 ms
5 100ge8-2.core1.ber1.he.net (2001:470:0:41f::2) 47.835 ms 47.817 ms
47.799 ms
6 tserv1.ber1.he.net (2001:470:0:220::2) 48.506 ms 47.133 ms 48.610
ms
7 kristov-1-pt.tunnel.tserv26.ber1.ipv6.he.net (2001:470:6c:1aa::2)
94.672 ms 92.945 ms 92.681 ms
Viele Grüße,
--
Christoph Schulz
[fli4l-Team]
Mehr Informationen über die Mailingliste Fli4l_dev