[Fli4l_dev] IP protocol 41 - HE 6in4 tunnel endpoint hinter dem fli4l?

[Hans Bachner]

Hallo Christoph,

danke für die ausführliche Antwort!

Christoph Schulz schrieb am 20.01.2018 um 13:57:
> Hallo,
>
> ja, das geht. Du musst das IPv6-in-IPv4-Protokoll vom äußeren zum
> inneren fli4l explizit durchleiten. Wenn du schon ein IPv6-LAN hast
> (etwa über eine generierte ULA), dann verwendest du im inneren fli4l
> vermutlich schon eine IPv6-Default-Route zum äußeren fli4l. Die musst
> du natürlich anpassen, damit nur das LAN zum äußeren fli4l geroutet
> wird (und der Rest über den HE-Tunnel geht); die neue
> IPv6-Default-Route wird vom HE-Circuit gesetzt.
>
> Ich habe bei mir im Grunde die folgende Konfiguration laufen:
>
> Äußerer fli4l
> =============
> PREROUTING
> {
>    ...
>    []='prot:41 216.66.86.114 dynamic DNAT:192.168.99.18'
> }

hier hat's bei meinen Versuchen wohl geklemmt - das explizite 
Weiterleiten von prot:41 habe ich natürlich nicht drin gehabt.

> Dabei ist 216.66.86.114 die Adresse des HE-PoPs (Berlin) und
> 192.168.99.18 die IPv4-Adresse des inneren fli4ls.
>
> Innerer fli4l
> =============
> IPV6
> {
>    NET
>    {
>      ...
>      []='{IPv6-HE}+::1/64'  # hier weise ich eine öffentliche
> IPv6-Adresse zu
>      {
>        DEV='IP_NET_1_DEV'
>        ADVERTISE='no'
>        ADVERTISE_DNS='no'
>      }
>    }
>    ROUTE[]='fdce:1c35:301f::/48 fdce:1c35:301f:99::11' # LAN-Routing:
>                                                # fdce:1c35:301f::/48 ist das LAN,
>                                                # in dem auch der äußere fli4l
>                                                # ist; fdce:1c35:301f:99::11 ist die
>                                                # IPv6-Adresse des äußeren fli4ls
> }
> CIRC
> {
>    ...
>    []
>    {
>      NAME='IPv6-HE'
>      TYPE='tun6in4'
>      TUN6IN4_TYPE='he'
>      ENABLED='yes'
>      UP='yes'
>      PROTOCOLS='ipv6'
>      TUN6IN4_LOCALV4='dynamic'
>      TUN6IN4_REMOTEV4='216.66.86.114'
>      TUN6IN4_HE_LOCALV6='2001:470:6c:1aa::2/64'
>      TUN6IN4_HE_REMOTEV6='2001:470:6c:1aa::1'
>      TUN6IN4_HE_PREFIX='...::/48'
>      TUN6IN4_HE_USERID='tb...'
>      TUN6IN4_HE_PASSWORD='...'
>      TUN6IN4_HE_TUNNELID='...'
>      NETS_IPV6
>      {
>        []='::/0' # wichtig: IPv6-Internet über den Tunnel erreichber
>      }
>    }
> }
>
> Weitere Einstellungen sind ggf. nötig. So muss der innere fli4l
> IPv4-Pakete vom äußeren fli4l akzeptieren (das wird i.d.R. aber schon
> funktionieren).

Danke für das detaillierte Beispiel. Ich hab meinen IPv6-Tunnel 
inzwischen über einen eigene IPv4 Adresse zum Laufen bekommen (zweite 
ADSL-Einwahl). Dabei ist mir aufgefallen, dass es nicht genügt, 
IPv4-seitig nur den Tunnelendpunkt über diesen Circuit zu routen. Der 
lokale Tunnelendpunkt wird anscheinend von HE angepinged, bevor der 
Tunnel aufgebaut wird; aus irgendeinem Grund funktioniert das nicht über 
den Haupt-fli4l im LAN. Zum Glück wird einem die Adresse, von der 
gepinged wird, bei der Definition des Tunnelendpunkts auf der HE 
Webseite angezeigt.

Ich werde aber trotzdem die kaskadierte Version auch noch testen; ist ja 
ganz praktisch, eine funktionierende Konfiguration für den Fall der 
Fälle zur Hand zu haben.

Nochmals vielen Dank + schöne Grüße,
Hans.