Nie można wyświetlić tego widżeta.
Nie można wyświetlić tego widżeta.
Nie można wyświetlić tego widżeta.

Tunnelbroker za funboxem 3


Poziom 10, Zwiadowca Przestworzy
  • 5
  • 6
  • 0

Tunnelbroker za funboxem 3

Czy komuś udało się połączyć pod tunel 6to4 od he.net (tunnelbroker.net) za Funboxem 3? 
Na forum znalazłem wzmiankę na ten temat, ale z roku 2017. 
Za FB3 mam wystawionego Mikrotika, na FB3 ustawionego w DMZ, firewall w trybie użytkownika. 
Zgodnie z instrukcją od HE, na MTK w tunelu mam ustawiony lokal adres jako ten, rozdawany przez mojego FB3 (192.168.1.2). 
Więc pytanie pojawia się jedno: czy firewall na FB3 przekazuje urządzeniu w DMZ protokół 41?

 

____________

* W temacie doprecyzowano kategorię - Wiktor

9 ODPOW. 9

Poziom 37, Nawigator Galaktyczny
  • 6650
  • 27310
  • 217

Tunnelbroker za funboxem 3

@fkszczot: podałeś za mało szczegółów. W domyślnej konfiguracji FB3 oczywiście blokuje wszystkie połączenia przychodzące więc tunelu nie uda się zestawić. Dodatkowo FB3 nie przekazuje nic do sieci za ruterem wewnętrznym (brak static route) więc trzeba to uwzględnić w konfiguracji - ma to znaczenie jeśli próbujesz zestawić tunel z urządzenia podłączoneo do drugiego rutera (a nie np. z samego rutera).


Poziom 10, Zwiadowca Przestworzy
  • 5
  • 6
  • 0

Tunnelbroker za funboxem 3

@j131 więc po kolei:
1. Funbox > Zaawansowane > Konfiguracja Sieci > DHCP:
Mikrotik ze statycznym IP wewnątrz LAN - 192.168.1.2
2. Konfiguracja Sieci > DMZ:
192.168.1.2 jako host w DMZ
3. Konfiguracja Zapory Sieciowej: użytkownika
Zaznaczone "odpowiadaj na ping" (wymagane przez tunnel broker)
Na siłę dodana reguła zezwalająca na połączenia wychodzące do portów 1-65535.
4. Połączenia z Internetem: bez_ochrony-XYZ@neostrada.pl

Mikrotik ustawiony zgodnie z instrukcją od HE.NET, w local-address wpisuje 192.168.1.2.
Nie wiem, co jeszcze może być przydatną informacją. W razie czego chętnie je uzupełnie.


Poziom 37, Nawigator Galaktyczny
  • 6650
  • 27310
  • 217

Tunnelbroker za funboxem 3

@fkszczot: żeby spróbować odtworzyć Twój problem potrzebna jest jeszcze informacja z którego miejsca w swoim LAN próbujesz zestawiać tunel: z Mikrotika czy z PC podłączonego do Mikrotika.

 


Poziom 10, Zwiadowca Przestworzy
  • 5
  • 6
  • 0

Tunnelbroker za funboxem 3

@j131 
z mikrotika, za ustawianie LANu za Mikrotikiem zabiorę się w momencie, kiedy sam MTK będzie miał IPv6 


Poziom 37, Nawigator Galaktyczny
  • 6650
  • 27310
  • 217

Tunnelbroker za funboxem 3

@fkszczot: Ok, spróbuję poeksperymentować i dam znać. Jaki dostajesz błąd?

 


Poziom 10, Zwiadowca Przestworzy
  • 5
  • 6
  • 0

Tunnelbroker za funboxem 3

@j131: przy próbie pingu czegokolwiek po IPv6 (w tym samego servera tunnelbrokera) dostaje jedynie timeout. Widzę w Interfaces ruch wychodzący po sit1 (nazwa interfejsu 6to4) pakiety wychodzące (Tx), ale żadnych przychodzących (Rx). Na packet snifferze widzę ruch pakietów IPv6-ICMP, z dobrym src addresem i dobrym dst addresem (2001:470:70:668::2 - 2001:470:70:668::1), a na eth1 mogę zobaczyć tx 192.168.1.2 > 216.66.80.162 po proto 41. W obydwu przypadkach nie odbieram żadnych pakietów.


Poziom 37, Nawigator Galaktyczny
  • 6650
  • 27310
  • 217

Tunnelbroker za funboxem 3

@fkszczot: sorry, trochę to jednak dla mnie za ambitne. Próbowałem ale poległem gdzieś w połowie. Prawdopodobnie dlatego że protokół IPv6 uprzednio skutecznie powycinałem gdzie się dało i teraz nie za bardzo chce mi się to odkręcać... sorry raz jeszcze.

 

Obiektywnych powodów dla których to by miało nie działać jednak nie widzę.

FB z otwartych portów powinien przekazywać pakiety do DMZ, w obrębie DMZ zestawiasz tunel... powinno działać... Nie do końca orientuję się jednak po jakich protokołach i portach te tunele są zestawiane, być może tu gdzieś leży problem. W końcu nawet w tej superotwartej konfiguracji FB wymaga podania wprost numerów portów i protokołów które forwarduje do DMZ.


Poziom 10, Zwiadowca Przestworzy
  • 5
  • 6
  • 0

Tunnelbroker za funboxem 3

Czyli zgaduje, że jedyne co mi pozostaje to ładne proszenie konsultantów Orange o ONT. Ewentualnie próbować uzyskać od nich info, że blokują proto 41, wtedy przynajmniej będę miał pewność, że to nie mój błąd.


Poziom 37, Nawigator Galaktyczny
  • 6650
  • 27310
  • 217

Tunnelbroker za funboxem 3

@fkszczotAFAIK "proto 41" w dokumentacji do której się odnosisz to po prostu protokół IPv4. ONT sam w sobie nic Ci nie da, jeśli nie wiesz co ma być konkretnie pootwierane to jak skonfigurujesz swój ruter?... To oczywiście nie moja sprawa ale tak z czystej ciekawości: próbujesz ten tunel zestawić w jakimś konkretnym celu?

 

Oczywiście mogę się mylić i może faktycznie chodzić o RFC 2473.

Jeśli tak, to na FB nie ma jak jawnie "otworzyć" przekazywania innych protokołów niż TCP i UDP (RFC 793 i RFC 768), ani w ustawieniach zapory sieciowej ani w ustawieniach NAT więc nie będzie działało.

 

____________

* Scalono wpisy - Wiktor