IPv6 a DS-Lite na Ubiquiti UXG Lite

shimmywtf

192.0.0.2 to według specyfikacji DS-Lite element B4 - końcówka tunelu po stronie klienta.

Element AFTR po stronie operatora posiada adres 192.0.0.1.

Ponieważ żaden interfejs sieciowy po stronie klienta nie ma przypisanego adresu legacy IP (np. po DHCP jak w przypadku publicznego lub CGNATowego IP 100.64.0.0/10), to UniFi widzi tylko końcówkę tunelu z 192.0.0.2.

Technicznie nie ma innej opcji by dowiedzieć się jaki adres legacy IP będzie widoczny w internecie bez wyjścia na zewnątrz do jakiegoś serwera, który nam odbije z client IP. Stąd też nie spodziewam się, że zobaczymy coś innego w najbliższej przyszłości. Ale prefiks IPv6 powinien być wyświetlony i mam nadzieję, że to kiedyś zrobią porządnie.

Pogar

ok, dziękuję.
To , chyba , też tłumaczy czemu klient VPN (mam openvpn server w Unifi i zdalna maszyna nie może się połączyć z LAN) teraz się nie może wbić ; Jak sobie z tym nie poradzę to wracam do "czystego" ipv4

shimmywtf

Jeśli serwer jest w sieci DS-Lite to raczej nie liczyłbym na pozytywny rezultat. Nie bawiłem się z OpenVPN, także to tylko moje domysły.

Jeśli masz możliwość korzystania z innej technologii to mogę potwierdzić poprawne działanie Tailscale.

Inna bajka byłaby gdyby Orange używało MAP-T/MAP-E, gdzie CPE dostaje publiczne legacy IP + zakres portów na wyłączność a potem to wszystko pcha po łączu IPv6.

No ale:

UniFi wspiera MAP-E tylko dla Japonii a MAP-T wcale
MAP-T/MAP-E jeszcze nie istniały kiedy Orange wdrażało DS-Lite

Pogar

Serwer VPN jest wbudowany w "moje" Unifi Network na Cloud Key Gen2 Plus. W Settings / Network / VPN / VPN Server mam skonfigurowany Open VPN Server. Przy skonfigurowaniu ds-lite adres serwera się ustawił na 192.0.0.2 . Jak w kliencie OpenVPN podałem IP, które pokazują mi strony typu what-is-my-ip , to się połączenie nie zestawiło. Może to coś w regułach firewalla , może nie - kiedyś w tym pogrzebię 🙂 Wróciłem do ipv4-only.

Dziękuję za pomoc

j131

Co do adresu 192 itd. to tak, to znaczy że masz IPv4 przez DSLite, i tak, to znaczy że w IPv4 nie wystawisz nic na świat, nie w żaden prosty sposób w każdym razie. Jeśli chcesz mieć w LAN adresy IPv4, to oczywiście nadal możesz mieć prywatne jakie sobie zażyczysz.
Co do IPv6, to ruter nie dostaje żadnego globalnego adresu IPv6 na WAN (więc go nie wyświetla) - to jest prawidłowe i nie przeszkadza w rutingu IPv6. Adresy globalne dostają tylko urządzenia w LAN (przez normalne mechanizmy uzyskiwania IPv6), dzięki temu że ruter dostał prefix i go rozgłasza na LAN (ale oczywiście nie na WAN).
Co do serwera Open VPN to najsensowniej byłoby go przestawić w IPv6, ale nie jestem pewien czy macie tam jakąkolwiek kontrolę nad adresacją. Wystarczyłoby przydzielić dowolny IPv6 z puli temu interfejsowi rutera który obsługuje ten VPN i (oczywiście z zastrzeżeniem konfiguracji zapory) powinno działać.
Prefixy są znacznie stabilniejsze niż IPv4 - całymi miesiącami się nie zmieniają (jeśli sprzęt pozostaje stabilny).

Pogar

OpenVPN w Unifi chyba nie działa na ipv6 : szybkie wyszukanie w Google mówi, że nie działa i jest roadmapie .

Większa szansa z wireguard , ale z tym mam zerowe doświadczenie. Nie wiem też co miałbym wpisać na kliencie wireguard jako adres docelowy.

Muszę znaleźć dłuższą chwilę, aby nad tym posiedzieć. Albo musi mi to wejść za skórę na tyle, abym próbował aż się uda lub się poddam. Zobaczę czy i co będzie pierwsze. 😉

O , Google też "mówi", że Wireguard w Unifi nie działa na ipv6 . 😉 Czyli pozostaje czekać

j131

Zawsze możesz postawić serwer w LAN, i udostępnić go przez IPv6. To powinno działać. Też mam w planie coś takiego, ale oczywiście nie na tej platformie.

Pogar

@shimmywtf wspominał o Tailscale i to jest to . 😉 Przedtem nie słyszałem o tym rozwiązaniu, poczytałem i działa też gdy na Unifi skonfigurowałem DS-Lite 😉

W skrócie: Tailscale, plan Personal . Na CloudKey zainstalowałem klienta (https://login.tailscale.com/admin/machines/new-linux ) , z opcją Exit Node. Potem włączyłem ipv4 forwarding (https://tailscale.com/kb/1019/subnets?tab=linux#enable-ip-forwarding) oraz "ogłosiłem" sieć lan (sudo tailscale set --advertise-routes=x.x.x.x/24 ). Na końcu , w konsoli Tailscale klepnąłem tą sieć i exit node.

Pozostałych klientów Tailscale mam na VMce w chmurze do dashboardów , na VMce w chmurze na której działam zdalnie gdy jestem poza domem (i na niej wskazuję CloudKey jako ExitNode i to działa) oraz na swoim laptopie. Wszystko się, pięknie, widzi.

Mam to co chciałem. Ipv4, ipv6 i skutecznie działającego vpna.

Bardzo dziękuję za pomoc ! 😉

atlas_cudow

Jest jeszcze Zerotier, bardziej konfigurowalny i dostępny chyba na każde urządzenie na prąd 🙂

j131

@Pogarnapisał(-a)
@shimmywtf wspominał o Tailscale i to jest to . 😉 Przedtem nie słyszałem o tym rozwiązaniu, poczytałem i działa też gdy na Unifi skonfigurowałem DS-Lite 😉

W skrócie: Tailscale, plan Personal . Na CloudKey zainstalowałem klienta (https://login.tailscale.com/admin/machines/new-linux ) , z opcją Exit Node. Potem włączyłem ipv4 forwarding (https://tailscale.com/kb/1019/subnets?tab=linux#enable-ip-forwarding) oraz "ogłosiłem" sieć lan (sudo tailscale set --advertise-routes=x.x.x.x/24 ). Na końcu , w konsoli Tailscale klepnąłem tą sieć i exit node.

Pozostałych klientów Tailscale mam na VMce w chmurze do dashboardów , na VMce w chmurze na której działam zdalnie gdy jestem poza domem (i na niej wskazuję CloudKey jako ExitNode i to działa) oraz na swoim laptopie. Wszystko się, pięknie, widzi.

Mam to co chciałem. Ipv4, ipv6 i skutecznie działającego vpna.

Bardzo dziękuję za pomoc ! 😉

Rozwiązania chmurowe muszą działać niezależnie od sposobu adresacji IPv4, to chyba dość oczywiste. Najważniejsze że jesteś zadowolony.