Muokataan sivua IPv6-tunneli
Siirry navigaatioon
Siirry hakuun
Kumoaminen voidaan suorittaa. Varmista alla olevasta vertailusta, että haluat saada aikaan tämän lopputuloksen, ja sen jälkeen julkaise alla näkyvät muutokset.
Nykyinen versio | Oma tekstisi | ||
Rivi 1: | Rivi 1: | ||
{{vanhentunut|Ainakin Xs26:n osuus vanhentunut}} | |||
IPv6 on Internetissä nykyisin yleisimmin käytetyn IP-protokolla version 4:n seuraaja, jonka tärkein uusi ominaisuus on suurempi osoiteavaruus. Ideaalitilanteessa operaattori tarjoaa käyttäjilleen IPv6-yhteyden IPv4:n rinnalla, mutta kuluttaja-asiakkaiden tapauksessa useinkaan näin ei ole. Tällöin voidaan IPv6-yhteys rakentaa myös tunneloimalla IPv6-liikenne IPv4-verkkojen yli, eli siirtämällä IPv6-liikenne paketoituna IPv4-pakettien sisällä. | |||
Tunnelit voivat olla joko kiinteästi määriteltyjä tai dynaamisia, jolloin tunneli muodostuu aina tarvittaessa automaattisesti. Kiinteät vaativat yleensä jonkinlaisen rekisteröinnin vastapuolen kanssa. Dynaamiset mekanismit taas perustuvat usein anycast-tekniikkaan, jolloin liikenne osoitetaan tunnettuun IPv4-osoitteeseen (esim. 192.88.99.1), joka on määritelty useampaan laitteeseen ympäri maailmaa, ja reitityksellä liikenne välitetään aina näistä lähimpään. | Tunnelit voivat olla joko kiinteästi määriteltyjä tai dynaamisia, jolloin tunneli muodostuu aina tarvittaessa automaattisesti. Kiinteät vaativat yleensä jonkinlaisen rekisteröinnin vastapuolen kanssa. Dynaamiset mekanismit taas perustuvat usein anycast-tekniikkaan, jolloin liikenne osoitetaan tunnettuun IPv4-osoitteeseen (esim. 192.88.99.1), joka on määritelty useampaan laitteeseen ympäri maailmaa, ja reitityksellä liikenne välitetään aina näistä lähimpään. | ||
Rivi 6: | Rivi 8: | ||
Seuraavissa luvuissa on kuvattu tarkemmin yleisimpien tunnelointimekanismien käyttöä: | Seuraavissa luvuissa on kuvattu tarkemmin yleisimpien tunnelointimekanismien käyttöä: | ||
* Kiinteä XS26 -tunneli (kiinteä, IPv6-over-IPv4) | |||
* 6to4 (dynaaminen, IPv6-over-IPv4) | * 6to4 (dynaaminen, IPv6-over-IPv4) | ||
* Teredo (dynaaminen, IPv6-over-UDP-over-IPv4) | * Teredo (dynaaminen, IPv6-over-UDP-over-IPv4) | ||
Tämän lisäksi on myös muita | Tämän lisäksi on myös muita menetelmiä, kuten L2TP (kiinteä, IPv6-over-UDP-over-IPv4) jne. | ||
== 6to4 == | == 6to4 == | ||
Rivi 16: | Rivi 18: | ||
6to4 on helppo ja suhteellisen varmatoiminen anycastiin perustuva tunnelointimekanismi. Rajoituksena se ei yleensä sovi tilanteisiin, joissa ei ole käytössä julkista IP-osoitetta (eli ollaan NAT:n takana), tai palomuuri ei päästä ns. protokolla 41:tä läpi. | 6to4 on helppo ja suhteellisen varmatoiminen anycastiin perustuva tunnelointimekanismi. Rajoituksena se ei yleensä sovi tilanteisiin, joissa ei ole käytössä julkista IP-osoitetta (eli ollaan NAT:n takana), tai palomuuri ei päästä ns. protokolla 41:tä läpi. | ||
6to4-osoite on muotoa 2002:aabb:ccdd:..., jos koneen IPv4-osoite on aa.bb.cc.dd. Käytännössä 6to4 toimii muodostamalla tunneli omasta koneesta osoitteeseen 192.88.99.1 | 6to4-osoite on muotoa 2002:aabb:ccdd:..., jos koneen IPv4-osoite on aa.bb.cc.dd. Käytännössä 6to4 toimii muodostamalla tunneli omasta koneesta osoitteeseen 192.88.99.1, ja reitittämällä ulospäin menevät IPv6-paketit tuohon tunneliin. Sisään päin tulevat paketit siirtyvät taas siten, että reitityksessä lähettäjän kannalta lähin 6to4-reititin muodostaa tunnelin osoitteeseen aa.bb.cc.dd ja reitittää paketit sinne. | ||
Reititys ei siis ole symmetrinen, minkä takia vikatilanteiden paikantaminen voi olla vaikeaa, mikäli verkosta löytyy väärin toimiva tai ylikuormitettu 6to4-reititin. | |||
=== 6to4 -tunnelin pystytys skriptillä === | === 6to4 -tunnelin pystytys skriptillä === | ||
Samoin kuin kiinteä tunneli, myös 6to4-tunneli vaatii julkisen IPv4-osoitteen tunnelin päätepisteenä olevalle koneelle. | |||
Esimerkissä on skripti, joka ajetaan [[PPPoE]]-yhteyden käynnistyessä. Käytössä ''iproute2''-paketin ''ip''-ohjelma sekä ''ipv6calc''-ohjelma, jotka yleensä löytyvät nykyisistä Linux-jakeluista valmiiksi paketoituna. | |||
*Katso myös [http://www.csc.fi/funet/palvelut/yhd/ipv6/funet6to4 Funetin ohjeita]. | |||
===6to4-skripti=== | |||
Skriptissä käytetty $LOCALIP on verkkoyhteyden julkinen IP, ja $IPV6 on komennon "ipv6calc --ipv4_to_6to4addr $LOCALIP" tulos. | Skriptissä käytetty $LOCALIP on verkkoyhteyden julkinen IP, ja $IPV6 on komennon "ipv6calc --ipv4_to_6to4addr $LOCALIP" tulos. | ||
Rivi 34: | Rivi 41: | ||
/sbin/ip -6 route add default via ::192.88.99.1 dev tun6to4 metric 1 | /sbin/ip -6 route add default via ::192.88.99.1 dev tun6to4 metric 1 | ||
Ylläolevassa skriptissäkin reittitietoja ei välttämättä tarvitse kuin tuon alimman, myöskin [[MTU]]-arvon laskeminen 1400 voi monella olla turha. | |||
===6to4-reititys=== | ===6to4-reititys=== | ||
Mikäli Linux-koneesi on verkkosi laidalla [[NAT]]-reitittimenä, voidaan muutkin lanissa olevat koneet yhdistää nyt verkkoon julkisilla IPv6-osoitteilla. Alla mainitun radvd: | Mikäli Linux-koneesi on verkkosi laidalla [[NAT]]-reitittimenä, voidaan muutkin lanissa olevat koneet yhdistää nyt verkkoon julkisilla IPv6-osoitteilla. Alla mainitun radvd:nn käyttö ei ole pakollista, voit määrittää kaikille koneille myös käsin IPv6-osoitteet ja laittaa tunnelikoneen kautta reitityksen toimimaan, mutta käytettäessä radvd:tä kaikki sisäverkon koneet saavat automaattisesti IPv6-osoitteen. | ||
====radvd==== | ====radvd==== | ||
Jotta sisäverkon koneille saadaan | Jotta sisäverkon koneille saadaan reititettyä IP-osoitteet, pitää niille kertoa, missä IPv6-reititin on. Tätä varten tunnelikoneelle tarvitaan radvd palvelu. Radvdn löydät [http://v6web.litech.org/radvd/ täältä], tai oman jakelusi [[Paketinhallinta|paketinhallinnasta]]. | ||
Kun radvd on asennettu, täytyy /etc-kansiossa oleva radvd.conf-tiedosto luoda/päivittää. Prefix rivin tulee olla muotoa ::/64 vaikka saatkin /48-verkon. Oletetaan että laniin päin menevä verkkokortti on eth1, tällöin konfiguraatio olisi seuraavanlainen: | Kun radvd on asennettu, täytyy /etc-kansiossa oleva radvd.conf-tiedosto luoda/päivittää. Prefix rivin tulee olla muotoa ::/64 vaikka saatkin /48-verkon. Oletetaan että laniin päin menevä verkkokortti on eth1, tällöin konfiguraatio olisi seuraavanlainen: | ||
Rivi 138: | Rivi 132: | ||
ip -6 addr | ip -6 addr | ||
===6to4 reverset | ===6to4 reverset=== | ||
Jotta voisit käyttää reverse DNS:ää 6to4:n kanssa, pitää osoitealue ensin rekisteröidä, ja määrittää sille nimipalvelimet. | Jotta voisit käyttää reverse DNS:ää 6to4:n kanssa, pitää osoitealue ensin rekisteröidä, ja määrittää sille nimipalvelimet. | ||
Rivi 145: | Rivi 139: | ||
==Teredo== | ==Teredo== | ||
Teredo on viimeinen toivo IPv6-yhteyden järjestämiseen | Teredo on viimeinen toivo IPv6-yhteyden järjestämiseen. Se muistuttaa 6to4-tekniikkaa siinä, että yhteyden luominen on varsin dynaaminen eli mitään rekisteröintiä tms. ei tarvita. Merkittävä ero kuitenkin on, että IPv6-paketit tunneloidaan UDP-protokollan päällä, minkä ansiosta yhteyden muodostaminen onnistuu varmemmin [[NAT]]in tai palomuurin takaa. Teredo mahdollistaa esimerkiksi IPv6-yhteydet GPRS/3G-yhteyden yli, mutta esimerkiksi Soneran verkossa kannattaa käyttää prointernet-yhteyttä tavallisen internet-APN:n sijasta. [http://www.remlab.net/miredo/ Miredo] on Linuxissa toimiva Teredo-toteutus, joka on suhteellisen helppo asentaa, sillä se ei yleensä vaadi kernelin uudelleenkääntämistä. | ||
== Osoitteen valinta == | == Osoitteen valinta == | ||
Rivi 151: | Rivi 145: | ||
Aina kun jokin sovellus muodostaa esim. TCP-yhteyden jonnekin, täytyy valita käytettävät lähde- ja kohdeosoitteet. Käytännössä tehdään nimipalvelukysely, johon saadaan vastaukseksi joko IPv4- tai IPv6-osoite tai molemmat. [http://www.ietf.org/rfc/rfc3484.txt RFC 3484] määrittelee perusperiaatteet, joiden mukaan tehdään valinta, jos mahdollisuuksia on useampi. | Aina kun jokin sovellus muodostaa esim. TCP-yhteyden jonnekin, täytyy valita käytettävät lähde- ja kohdeosoitteet. Käytännössä tehdään nimipalvelukysely, johon saadaan vastaukseksi joko IPv4- tai IPv6-osoite tai molemmat. [http://www.ietf.org/rfc/rfc3484.txt RFC 3484] määrittelee perusperiaatteet, joiden mukaan tehdään valinta, jos mahdollisuuksia on useampi. | ||
Yksi perusperiaatteista on, että jos käytössä on sekä tunneloitu että tunneloimaton yhteys, käytetään tunneloimatonta | Yksi perusperiaatteista on, että jos käytössä on sekä tunneloitu että tunneloimaton yhteys, käytetään tunneloimatonta. Tästä syystä kone, jonka IPv6-yhteys on hoidettu esimerkiksi 6to4-tekniikalla, muodostaa oletuksena IPv4-yhteyden molempia protokollia tukevalle palvelimelle. Uudehkoissa Linux-jakeluissa tämä on mahdollista muuttaa muokkaamalla /etc/gai.conf -tiedostoa: | ||
<pre> | <pre> | ||
label ::1/128 0 | label ::1/128 0 | ||
label ::/0 1 | label ::/0 1 | ||
label 2002::/16 2 | #label 2002::/16 2 | ||
label ::/96 | label ::/96 3 | ||
label ::ffff:0:0/96 4 | label ::ffff:0:0/96 4 | ||
precendence ::1/128 50 | precendence ::1/128 50 | ||
precendence ::/0 40 | precendence ::/0 40 | ||
Rivi 169: | Rivi 160: | ||
</pre> | </pre> | ||
Toisin sanottuna kommentoimalla pois " | Toisin sanottuna kommentoimalla pois "label 2002::/16" -rivi varmistetaan että 6to4-osoitteita ei syrjitä muiden kustannuksella. Huom! gai.conf -tiedostoon tehdyt muutokset astuvat oletuksena voimaan vain käynnistämällä kone uudelleen. | ||
==Kiinteä [http://www.xs26.net XS26:n] tunneli== | ==Kiinteä [http://www.xs26.net XS26:n] tunneli== | ||
Rivi 225: | Rivi 216: | ||
Tämän jälkeen joudut odottamaan nimipalvelimien päivittymistä. Afraid.org:in palvelimet päivittyvät noin 5 minuutin välein, mutta jos käytät omalla koneellasi operaattorisi nimipalvelimia, voi kestää jopa 48 tuntia ennenkuin tiedot päivittyvät niille asti. | Tämän jälkeen joudut odottamaan nimipalvelimien päivittymistä. Afraid.org:in palvelimet päivittyvät noin 5 minuutin välein, mutta jos käytät omalla koneellasi operaattorisi nimipalvelimia, voi kestää jopa 48 tuntia ennenkuin tiedot päivittyvät niille asti. | ||
==Valmis== | |||
Nyt pitäisi vhostien toimia, voit testata niitä vaikka [[irssi]]llä: Käynnistä irssi ja aseta vhosti komennolla /set hostname rekisteroimasi.subdomain.jonka.olet.lisännyt.myös.ipv6.reverseksi. Sitten yhdistä vaikka EFNettiin komennolla /server -6 irc6.choopa.net. Jos yhdistys onnistuu, toimivat vhostit luultavasti. Tarkista vielä komennolla /whois nickisi, jolloin tulisi näkyä nickisi[~jotain@vhostisi]. | Nyt pitäisi vhostien toimia, voit testata niitä vaikka [[irssi]]llä: Käynnistä irssi ja aseta vhosti komennolla /set hostname rekisteroimasi.subdomain.jonka.olet.lisännyt.myös.ipv6.reverseksi. Sitten yhdistä vaikka EFNettiin komennolla /server -6 irc6.choopa.net. Jos yhdistys onnistuu, toimivat vhostit luultavasti. Tarkista vielä komennolla /whois nickisi, jolloin tulisi näkyä nickisi[~jotain@vhostisi]. | ||
Rivi 241: | Rivi 232: | ||
Sitten haluat varmaan lisää yhteyksiä IRC-verkkoihin? No, EFNettiin tuo irc6.choopa.net hyväksyy aika monta yhteyttä (en ole jaksanut testata loppuun asti). IRCNettiin yksi hyvä palvelin on eu.irc6.net, johon saa i-linet osoitteessa www.irc6.net (tarvitset IPv6-tunnelin katsoaksesi tuota sivua). Ks. serveriltä saat tosin tuosta vaan vain yhden I-linen (tämä vaatii NIC handlen, katso seuraava kohta). 5 yhteyttä saat osoitteeseen irc6.starman.ee. Lisää servereitä voit etsiä googlella, ja yhteyksien määrää saat kasvatettua hakemalla lisää i-linejä palvelimille. XS26:n käyttäjät saavat myös 5 yhteyttä IRCNettiin serveriltä irc.xs26.net. | Sitten haluat varmaan lisää yhteyksiä IRC-verkkoihin? No, EFNettiin tuo irc6.choopa.net hyväksyy aika monta yhteyttä (en ole jaksanut testata loppuun asti). IRCNettiin yksi hyvä palvelin on eu.irc6.net, johon saa i-linet osoitteessa www.irc6.net (tarvitset IPv6-tunnelin katsoaksesi tuota sivua). Ks. serveriltä saat tosin tuosta vaan vain yhden I-linen (tämä vaatii NIC handlen, katso seuraava kohta). 5 yhteyttä saat osoitteeseen irc6.starman.ee. Lisää servereitä voit etsiä googlella, ja yhteyksien määrää saat kasvatettua hakemalla lisää i-linejä palvelimille. XS26:n käyttäjät saavat myös 5 yhteyttä IRCNettiin serveriltä irc.xs26.net. | ||
IRCnettiin irc.cc.tut.fi päästää sisään ilman i-line pyyntöjä .fi-reverseillä (ilmankin reverseä pääsee) 2 yhteyttä samasta ipv6 osoitteesta (korjatkaa jos löytyy tarkempaa tietoa | IRCnettiin irc.cc.tut.fi päästää sisään ilman i-line pyyntöjä .fi-reverseillä (ilmankin reverseä pääsee) 2 yhteyttä samasta ipv6 osoitteesta (korjatkaa jos löytyy tarkempaa tietoa) | ||
===NIC-handle=== | ===NIC-handle=== |