Tunnelbroker hinter NAT

[cosinus]

Tach zusammen

ich spiel hier grad ein wenig mit IPv6-Tunnelbrokern herum, weil unsere Internetverbindung von einem Provider ist, der uns nur v4 zur Verfügung stellt. Also hab ich Hurrican ausprobiert und es klappt auch. Da bei uns v4 natürlich genattet ist, muss ich in der /etc/network/interfaces ja als "local" nicht die WAN-Adresse sondern meine interne v4 Adresse angeben. Allerdings hab ich den Eindruck, dass man dann nur mit einem Clienthost hinter dem NAT-Router einen Tunnel zum v6-Broker aufmachen kann und nicht mit zwei oder meheren gleichzeitig (wegen v4-NAT), seh ich das richtig?

[WinMaik]

Hurricane Electric erlaubt afaik maximal einen Tunnel pro öffentlicher IPv4 Adresse. Wenn du den Tunnel aber auf einem Router terminierst, kann dieser alle Rechner im Netz mit IPv6 Adressen versorgen; man bekommt immerhin mindestens ein /64 Netz zugewiesen, bei Bedarf kann sogar noch ein zusätzliches /48 Netz beantragt werden.

[cosinus]

Das hab ich mir schon gedacht.
Ich richte also einen Tunnel am Router ein.

Dann bekomme ich ja sowas hier 2001:xxxx::2
2001:xxxx::1 wäre dann das Gateway für den Router

Wie stell ich dann den Client ein? Einfach eine Adresse zB 2001:xxxx::88 ans primary interface binden? Und als gateway dann die 2001:xxxx::2 oder 2001:xxxx::1?

[WinMaik]

2001:xxxx:: wäre in dem Fall das Transfernetz, aus dem dein Router die 2001:xxxx::2 bekommt und als Gateway die 2001:xxxx::1 benutzt. Abgesehen von 2001:xxxx::2 kann keine IP aus diesem Netz verwendet werden.
Deshalb erhält man noch ein Netz 2001:yyyy::/64, aus welchem dem Router eine beliebige Adresse zugewiesen werden muss und alle anderen können dann an die restlichen Hosts verteilt werden. Das Gateway für die Hosts ist dann die IP des Routers aus 2001:yyyy::.

[cosinus]

Hm...d.h. ich stell einen Client hinter dem Router dann so ein, dass er zB diese Adresse bekommt 2001:yyyy::88, als gateway nimmt er die von meinem Router also 2001:yyyy::1

Da mein Router den tunnel aktiv hat, weiß er selbst, dass er das dann durch 2001:xxxx::1 durchrouten muss alles?? Aber dann muss ich dem Router ja manuell noch eine aus yyyy mitgeben

[WinMaik]

Wenn ich Dich richtig verstehe: Ja.

Hier ein einfaches Setup als Beispiel:
Der Router bekommt für den Tunnel die 2001:xxxx::2 mit Gateway 2001:xxxx::1 und dann bekommt er noch auf dem LAN Interface 2001:yyyy::1/64. Jetzt weiß der Router schon mal, wie er das IPv6 Internet erreicht und wie er die IPv6 Hosts im LAN erreicht.
Die Hosts im LAN bekommen dann die anderen IPs aus 2001:yyyy::/64 und als Gateway den Router mit der IP 2001:yyyy::1, somit können sie sich untereinander erreichen und schicken alles, was nicht zu ihrem Netz gehört, zum Router, der wiederum weiß, wie er das IPv6 Internet durch den Tunnel erreicht. Der Rückweg sieht dann ähnlich aus: Pakete aus dem Internet werden von HE durch den Tunnel geroutet und landen bei Deinem Router. Der schaut sich an, wer das Ziel ist, und leitet die Pakete an den entsprechenden Host.

Falls der Router eine Linux-Kiste ist, muss

Code: Alles auswählen

net.ipv6.conf.all.forwarding=1

gesetzt sein.

[cosinus]

Okay, dann hab ich es vom Prinzip her ja schonmal verstanden. Aber irgendwie haut das auf der SophosUTM noch nicht richtig hin. Vermutlich fehlen da noch Firewallregeln. Werd am Freitag oder am WE nochmal schauen.

Danke an alle für die schnellen Antworten!

[cosinus]

2001:xxxx:: wäre in dem Fall das Transfernetz, aus dem dein Router die 2001:xxxx::2 bekommt und als Gateway die 2001:xxxx::1 benutzt. Abgesehen von 2001:xxxx::2 kann keine IP aus diesem Netz verwendet werden.

Eine Frage bzw Anmerkung hab ich da noch zu; und zwar kann das so nicht stimmen, meinst du vllt dass man nur max. 1 Adresse aus diesem Bereich benutzen kann?
Als ich mit einem Debian Testrechner selbst he-tunnel aufbaute und nicht der Router, konnte ich statt der 2 am Ende auch 36 oder 191 nehmen - und eben die 1 am Ende als gw.

[cosinus]

So, das mit den Firewallregeln haut jetzt auch hin. Das mit dem Zwischennetz vom Broker musste ich erstmal kapieren.
Jetzt kanner jeder Host seine eigene öffentliche Adresse bekommen wenn nötig nie wieder NAT, geil!!!

[WinMaik]

Eine Frage bzw Anmerkung hab ich da noch zu; und zwar kann das so nicht stimmen, meinst du vllt dass man nur max. 1 Adresse aus diesem Bereich benutzen kann?
Als ich mit einem Debian Testrechner selbst he-tunnel aufbaute und nicht der Router, konnte ich statt der 2 am Ende auch 36 oder 191 nehmen - und eben die 1 am Ende als gw.

Interessant, das habe ich noch nie ausprobiert, sondern mich einfach an deren Anleitung gehalten. Es ist gut möglich, dass sie mehr als nur die eine IP durch den Tunnel routen und somit alle Adressen, abgesehen die des Gateways, benutzbar sind.


Freut mich, dass jetzt alles läuft