Ero sivun ”IPv6-tunneli” versioiden välillä
Siirry navigaatioon
Siirry hakuun
p
ei muokkausyhteenvetoa
(→6to4) |
pEi muokkausyhteenvetoa |
||
(12 välissä olevaa versiota 5 käyttäjän tekeminä ei näytetä) | |||
Rivi 1: | Rivi 1: | ||
[[IPv6]] on jo kaksikymmentävuotias protokolla, joten ideaalitilanteessa palveluntarjoaja tarjoaa käyttäjilleen IPv6-yhteyden IPv4:n rinnalla. Näin ei kuitenkaan aina käy. Tällöin voidaan IPv6-yhteys rakentaa myös '''tunneloimalla IPv6-liikenne IPv4-verkkojen yli,''' eli siirtämällä IPv6-liikenne paketoituna IPv4-pakettien sisällä. | |||
IPv6 on | |||
Tunnelit voivat olla joko kiinteästi määriteltyjä tai dynaamisia, jolloin tunneli muodostuu aina tarvittaessa automaattisesti. Kiinteät vaativat yleensä jonkinlaisen rekisteröinnin vastapuolen kanssa. Dynaamiset mekanismit taas perustuvat usein anycast-tekniikkaan, jolloin liikenne osoitetaan tunnettuun IPv4-osoitteeseen (esim. 192.88.99.1), joka on määritelty useampaan laitteeseen ympäri maailmaa, ja reitityksellä liikenne välitetään aina näistä lähimpään. | Tunnelit voivat olla joko kiinteästi määriteltyjä tai dynaamisia, jolloin tunneli muodostuu aina tarvittaessa automaattisesti. Kiinteät vaativat yleensä jonkinlaisen rekisteröinnin vastapuolen kanssa. Dynaamiset mekanismit taas perustuvat usein anycast-tekniikkaan, jolloin liikenne osoitetaan tunnettuun IPv4-osoitteeseen (esim. 192.88.99.1), joka on määritelty useampaan laitteeseen ympäri maailmaa, ja reitityksellä liikenne välitetään aina näistä lähimpään. | ||
Rivi 8: | Rivi 6: | ||
Seuraavissa luvuissa on kuvattu tarkemmin yleisimpien tunnelointimekanismien käyttöä: | Seuraavissa luvuissa on kuvattu tarkemmin yleisimpien tunnelointimekanismien käyttöä: | ||
* 6to4 (dynaaminen, IPv6-over-IPv4) | * 6to4 (dynaaminen, IPv6-over-IPv4) | ||
* Teredo (dynaaminen, IPv6-over-UDP-over-IPv4) | * Teredo (dynaaminen, IPv6-over-UDP-over-IPv4) | ||
* Tunnel broker, esim. XS26 -tunneli (kiinteä, IPv6-over-IPv4) | |||
Tämän lisäksi on myös muita | Tämän lisäksi on myös muita tunnelointimenetelmiä, kuten L2TP (kiinteä, IPv6-over-UDP-over-IPv4) jne. | ||
== 6to4 == | == 6to4 == | ||
Rivi 18: | Rivi 16: | ||
6to4 on helppo ja suhteellisen varmatoiminen anycastiin perustuva tunnelointimekanismi. Rajoituksena se ei yleensä sovi tilanteisiin, joissa ei ole käytössä julkista IP-osoitetta (eli ollaan NAT:n takana), tai palomuuri ei päästä ns. protokolla 41:tä läpi. | 6to4 on helppo ja suhteellisen varmatoiminen anycastiin perustuva tunnelointimekanismi. Rajoituksena se ei yleensä sovi tilanteisiin, joissa ei ole käytössä julkista IP-osoitetta (eli ollaan NAT:n takana), tai palomuuri ei päästä ns. protokolla 41:tä läpi. | ||
6to4-osoite on muotoa 2002:aabb:ccdd:..., jos koneen IPv4-osoite on aa.bb.cc.dd. Käytännössä 6to4 toimii muodostamalla tunneli omasta koneesta osoitteeseen 192.88.99.1, ja reitittämällä ulospäin menevät IPv6-paketit tuohon tunneliin. Sisäänpäin tulevat paketit siirtyvät taas siten, että reitityksessä | 6to4-osoite on muotoa 2002:aabb:ccdd:..., jos koneen IPv4-osoite on aa.bb.cc.dd. Käytännössä 6to4 toimii muodostamalla tunneli omasta koneesta osoitteeseen 192.88.99.1 (=oma lähin 6to4-reititin), ja reitittämällä ulospäin menevät IPv6-paketit tuohon tunneliin. Sisäänpäin tulevat paketit siirtyvät taas siten, että reitityksessä vastapään kannalta lähin 6to4-reititin muodostaa tunnelin osoitteeseen aa.bb.cc.dd ja reitittää paketit sinne. Tästä syystä reititys ei ole symmetrinen, minkä takia vikatilanteiden paikantaminen voi olla vaikeaa, mikäli verkosta löytyy väärin toimiva tai ylikuormitettu 6to4-reititin. | ||
Lisätietoja löytyy [http://www.csc.fi/hallinto/funet/palvelut/ipv6/funet6to4 Funetin ohjeista]. | Lisätietoja löytyy [http://www.csc.fi/hallinto/funet/palvelut/ipv6/funet6to4 Funetin ohjeista]. | ||
Rivi 49: | Rivi 45: | ||
IPV6_DEFAULTDEV="tun6to4" | IPV6_DEFAULTDEV="tun6to4" | ||
/etc/sysconfig/network-scripts/ifcfg-eth0 | /etc/sysconfig/network-scripts/ifcfg-eth0 (korvaa eth0 käytössäsi olevalla verkkoyhteydellä) | ||
IPV6INIT=yes | IPV6INIT=yes | ||
IPV6TO4INIT=yes | IPV6TO4INIT=yes | ||
Rivi 55: | Rivi 51: | ||
===6to4-reititys=== | ===6to4-reititys=== | ||
Mikäli Linux-koneesi on verkkosi laidalla [[NAT]]-reitittimenä, voidaan muutkin lanissa olevat koneet yhdistää nyt verkkoon julkisilla IPv6-osoitteilla. Alla mainitun radvd: | Mikäli Linux-koneesi on verkkosi laidalla [[NAT]]-reitittimenä, voidaan muutkin lanissa olevat koneet yhdistää nyt verkkoon julkisilla IPv6-osoitteilla. Alla mainitun radvd:n käyttö ei ole pakollista, voit määrittää kaikille koneille myös käsin IPv6-osoitteet ja laittaa tunnelikoneen kautta reitityksen toimimaan, mutta käytettäessä radvd:tä kaikki sisäverkon koneet saavat automaattisesti IPv6-osoitteen. | ||
====radvd==== | ====radvd==== | ||
Jotta sisäverkon koneille saadaan | Jotta sisäverkon koneille saadaan reititettävät IPv6-osoitteet, pitää niille kertoa, missä IPv6-reititin on. Tätä varten tunnelikoneelle tarvitaan radvd palvelu. Radvd:n löydät [http://v6web.litech.org/radvd/ täältä], tai oman jakelusi [[Paketinhallinta|paketinhallinnasta]]. | ||
Kun radvd on asennettu, täytyy /etc-kansiossa oleva radvd.conf-tiedosto luoda/päivittää. Prefix rivin tulee olla muotoa ::/64 vaikka saatkin /48-verkon. Oletetaan että laniin päin menevä verkkokortti on eth1, tällöin konfiguraatio olisi seuraavanlainen: | Kun radvd on asennettu, täytyy /etc-kansiossa oleva radvd.conf-tiedosto luoda/päivittää. Prefix rivin tulee olla muotoa ::/64 vaikka saatkin /48-verkon. Oletetaan että laniin päin menevä verkkokortti on eth1, tällöin konfiguraatio olisi seuraavanlainen: | ||
Rivi 142: | Rivi 138: | ||
ip -6 addr | ip -6 addr | ||
===6to4 reverset=== | ===6to4 reverset nimipalvelussa=== | ||
Jotta voisit käyttää reverse DNS:ää 6to4:n kanssa, pitää osoitealue ensin rekisteröidä, ja määrittää sille nimipalvelimet. | Jotta voisit käyttää reverse DNS:ää 6to4:n kanssa, pitää osoitealue ensin rekisteröidä, ja määrittää sille nimipalvelimet. | ||
Rivi 149: | Rivi 145: | ||
==Teredo== | ==Teredo== | ||
Teredo on viimeinen toivo IPv6-yhteyden järjestämiseen. Se muistuttaa 6to4-tekniikkaa siinä, että yhteyden luominen on varsin dynaaminen eli mitään rekisteröintiä tms. ei tarvita. Merkittävä ero kuitenkin on, että IPv6-paketit tunneloidaan UDP-protokollan päällä, minkä ansiosta yhteyden muodostaminen onnistuu varmemmin [[NAT]]in tai palomuurin takaa. Teredo mahdollistaa esimerkiksi IPv6-yhteydet GPRS/3G-yhteyden yli, mutta | Teredo on viimeinen toivo IPv6-yhteyden järjestämiseen, mikäli kiinteä yhteys tai 6to4 ei onnistu. Se muistuttaa 6to4-tekniikkaa siinä, että yhteyden luominen on varsin dynaaminen eli mitään rekisteröintiä tms. ei tarvita. Merkittävä ero kuitenkin on, että IPv6-paketit tunneloidaan UDP-protokollan päällä, minkä ansiosta yhteyden muodostaminen onnistuu varmemmin [[NAT]]in tai palomuurin takaa. Teredo mahdollistaa esimerkiksi IPv6-yhteydet GPRS/3G-yhteyden yli, mutta ns. symmetrisen NAT:n läpi sekään ei välttämättä toimi. Esimerkiksi Soneran verkossa kannattaa kokeilla prointernet-yhteyttä tavallisen internet-APN:n sijasta. [http://www.remlab.net/miredo/ Miredo] on Linuxissa toimiva Teredo-toteutus, joka on suhteellisen helppo asentaa, sillä se ei yleensä vaadi kernelin uudelleenkääntämistä. Lisäksi se löytyy valmiiksi paketoituna uusimista jakeluista. | ||
== Osoitteen valinta == | == Osoitteen valinta == | ||
Rivi 155: | Rivi 151: | ||
Aina kun jokin sovellus muodostaa esim. TCP-yhteyden jonnekin, täytyy valita käytettävät lähde- ja kohdeosoitteet. Käytännössä tehdään nimipalvelukysely, johon saadaan vastaukseksi joko IPv4- tai IPv6-osoite tai molemmat. [http://www.ietf.org/rfc/rfc3484.txt RFC 3484] määrittelee perusperiaatteet, joiden mukaan tehdään valinta, jos mahdollisuuksia on useampi. | Aina kun jokin sovellus muodostaa esim. TCP-yhteyden jonnekin, täytyy valita käytettävät lähde- ja kohdeosoitteet. Käytännössä tehdään nimipalvelukysely, johon saadaan vastaukseksi joko IPv4- tai IPv6-osoite tai molemmat. [http://www.ietf.org/rfc/rfc3484.txt RFC 3484] määrittelee perusperiaatteet, joiden mukaan tehdään valinta, jos mahdollisuuksia on useampi. | ||
Yksi perusperiaatteista on, että jos käytössä on sekä tunneloitu että tunneloimaton yhteys, käytetään tunneloimatonta. Tästä syystä kone, jonka IPv6-yhteys on hoidettu esimerkiksi 6to4-tekniikalla, muodostaa oletuksena IPv4-yhteyden molempia protokollia tukevalle palvelimelle. Uudehkoissa Linux-jakeluissa tämä on mahdollista muuttaa muokkaamalla /etc/gai.conf -tiedostoa: | Yksi perusperiaatteista on, että jos käytössä on sekä tunneloitu että tunneloimaton yhteys, käytetään tunneloimatonta, koska sitä pidetään varmempitoimisena. Tästä syystä kone, jonka IPv6-yhteys on hoidettu esimerkiksi 6to4-tekniikalla, muodostaa oletuksena IPv4-yhteyden molempia protokollia tukevalle palvelimelle. Uudehkoissa Linux-jakeluissa tämä on mahdollista muuttaa muokkaamalla /etc/gai.conf -tiedostoa: | ||
<pre> | <pre> | ||
label | label ::1/128 0 | ||
label | label ::/0 1 | ||
label 2002::/16 2 | |||
label ::/96 | label ::/96 3 | ||
label ::ffff:0:0/96 | label ::ffff:0:0/96 4 | ||
label fec0::/10 5 | |||
label fc00::/7 6 | |||
#label 2001:0::/32 7 | |||
precendence ::1/128 50 | precendence ::1/128 50 | ||
precendence ::/0 40 | precendence ::/0 40 | ||
Rivi 170: | Rivi 169: | ||
</pre> | </pre> | ||
Toisin sanottuna kommentoimalla pois "label | Toisin sanottuna kommentoimalla pois "#label 2001:0::/32" -rivi varmistetaan että 6to4-osoitteita ei syrjitä muiden kustannuksella. Huom! gai.conf -tiedostoon tehdyt muutokset astuvat oletuksena voimaan vain käynnistämällä kone uudelleen. | ||
==Kiinteä [http://www.xs26.net XS26:n] tunneli== | ==Kiinteä [http://www.xs26.net XS26:n] tunneli== | ||
Rivi 226: | Rivi 225: | ||
Tämän jälkeen joudut odottamaan nimipalvelimien päivittymistä. Afraid.org:in palvelimet päivittyvät noin 5 minuutin välein, mutta jos käytät omalla koneellasi operaattorisi nimipalvelimia, voi kestää jopa 48 tuntia ennenkuin tiedot päivittyvät niille asti. | Tämän jälkeen joudut odottamaan nimipalvelimien päivittymistä. Afraid.org:in palvelimet päivittyvät noin 5 minuutin välein, mutta jos käytät omalla koneellasi operaattorisi nimipalvelimia, voi kestää jopa 48 tuntia ennenkuin tiedot päivittyvät niille asti. | ||
==Valmis== | ===Valmis=== | ||
Nyt pitäisi vhostien toimia, voit testata niitä vaikka [[irssi]]llä: Käynnistä irssi ja aseta vhosti komennolla /set hostname rekisteroimasi.subdomain.jonka.olet.lisännyt.myös.ipv6.reverseksi. Sitten yhdistä vaikka EFNettiin komennolla /server -6 irc6.choopa.net. Jos yhdistys onnistuu, toimivat vhostit luultavasti. Tarkista vielä komennolla /whois nickisi, jolloin tulisi näkyä nickisi[~jotain@vhostisi]. | Nyt pitäisi vhostien toimia, voit testata niitä vaikka [[irssi]]llä: Käynnistä irssi ja aseta vhosti komennolla /set hostname rekisteroimasi.subdomain.jonka.olet.lisännyt.myös.ipv6.reverseksi. Sitten yhdistä vaikka EFNettiin komennolla /server -6 irc6.choopa.net. Jos yhdistys onnistuu, toimivat vhostit luultavasti. Tarkista vielä komennolla /whois nickisi, jolloin tulisi näkyä nickisi[~jotain@vhostisi]. | ||
Rivi 242: | Rivi 241: | ||
Sitten haluat varmaan lisää yhteyksiä IRC-verkkoihin? No, EFNettiin tuo irc6.choopa.net hyväksyy aika monta yhteyttä (en ole jaksanut testata loppuun asti). IRCNettiin yksi hyvä palvelin on eu.irc6.net, johon saa i-linet osoitteessa www.irc6.net (tarvitset IPv6-tunnelin katsoaksesi tuota sivua). Ks. serveriltä saat tosin tuosta vaan vain yhden I-linen (tämä vaatii NIC handlen, katso seuraava kohta). 5 yhteyttä saat osoitteeseen irc6.starman.ee. Lisää servereitä voit etsiä googlella, ja yhteyksien määrää saat kasvatettua hakemalla lisää i-linejä palvelimille. XS26:n käyttäjät saavat myös 5 yhteyttä IRCNettiin serveriltä irc.xs26.net. | Sitten haluat varmaan lisää yhteyksiä IRC-verkkoihin? No, EFNettiin tuo irc6.choopa.net hyväksyy aika monta yhteyttä (en ole jaksanut testata loppuun asti). IRCNettiin yksi hyvä palvelin on eu.irc6.net, johon saa i-linet osoitteessa www.irc6.net (tarvitset IPv6-tunnelin katsoaksesi tuota sivua). Ks. serveriltä saat tosin tuosta vaan vain yhden I-linen (tämä vaatii NIC handlen, katso seuraava kohta). 5 yhteyttä saat osoitteeseen irc6.starman.ee. Lisää servereitä voit etsiä googlella, ja yhteyksien määrää saat kasvatettua hakemalla lisää i-linejä palvelimille. XS26:n käyttäjät saavat myös 5 yhteyttä IRCNettiin serveriltä irc.xs26.net. | ||
IRCnettiin irc.cc.tut.fi päästää sisään ilman i-line pyyntöjä .fi-reverseillä (ilmankin reverseä pääsee) 2 yhteyttä samasta ipv6 osoitteesta (korjatkaa jos löytyy tarkempaa tietoa) | IRCnettiin irc.cc.tut.fi päästää sisään ilman i-line pyyntöjä .fi-reverseillä (ilmankin reverseä pääsee) 2 yhteyttä samasta ipv6 osoitteesta (korjatkaa jos löytyy tarkempaa tietoa) (Nykyään irc.cc.tut.fi ei hyväksy ilman i-lineä .fi-reversellä eikä ilmankaan) | ||
===NIC-handle=== | ===NIC-handle=== |