Das längste Thema

  • So... ich habe mir jetzt erfolgreich einen eigenen 6in4 Tunnel Server gebaut. Das ganze funktioniert über SIT und ist total einfach.

    "SIT" oder SIIT (Stateless IP/ICMP Translation, RFC 7915)?

    Wenn Interesse besteht, kann ich gerne mal ein paar Zeilen dazu schreiben, wie das geht. :)

    Schaden kann's auf keinen Fall! ^^

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

  • So... ich habe mir jetzt erfolgreich einen eigenen 6in4 Tunnel Server gebaut. Das ganze funktioniert über SIT und ist total einfach. Ich erreiche jetzt fast 100% meiner nativen Bandbreite über IPv6 und die Latenz ist extrem runtergegangen.


    Wenn Interesse besteht, kann ich gerne mal ein paar Zeilen dazu schreiben, wie das geht. :)

    Ja bitte, würd mich interessieren, wie man das bewerkstelligt, Du hast dann quasi auf Deiner Seite einfach ein paar Adressen (IPv4, IPv6) getauscht aber sonst alles gleich gelassen;

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Wenn Interesse besteht, kann ich gerne mal ein paar Zeilen dazu schreiben, wie das geht. :)

    Ein 6in4-Tunnelserver ist unter Linux ja kein Hexenwerk, habe ich ebenfalls seit fast fünf Jahren laufen.


    Das Problem ist eher, dynamische Endpunkte zu aktualisieren. Wie hast Du das bei Dir gelöst? Oder hast Du eine statische IPv4-Adresse?


    Insofern: Beiträge dazu schaden nie! :)

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Caspar  mainziman  m_ueberall  KB19


    "SIT" oder SIIT (Stateless IP/ICMP Translation, RFC 7915)?

    Simple Internet Transition


    Das Problem ist eher, dynamische Endpunkte zu aktualisieren. Wie hast Du das bei Dir gelöst? Oder hast Du eine statische IPv4-Adresse?

    Gar nicht, ich habe eine statische IP Adresse. Das liegt einfach daran, dass mein Provider mich andernfalls in ein CGNAT stecken würde und da bringt dann auch keine Aktualisierung des Endpunktes was. Da hätte ich dann quasi final verloren.


    Aber ich denke, dass man sich hier bestimmt über irgendwelche Scripts (z.B. per SSH) ohne größeren Aufwand eine automatische Aktualisierung bauen könnte.



    Ansonsten funktioniert das ganze wie folgt:

    Wir haben einen kleinen VPS mit einem eigenen /64 Netz - das lautet jetzt mal 2001:2002:2003:2004::/64. Da wir für unser Heimnetz (oder whatever) ein eigenes /64 brauchen, müssen wir das vom ISP dazu kaufen. Das sei jetzt mal als 2001:2002:2003:2005::/64 gegeben.

    Unser Heimanschluss hat die statische IP 1.2.3.4 und unser VPS die 5.6.7.8


    Wir legen uns ein Script an, was den Tunnel erstellen und löschen kann - der Inhalt ist eigentlich schon die halbe Miete. Wichtiger Hinweis noch: das Script geht davon aus, dass euer Interface am VPS eth0 heißt. Wenn es anders heißt, müsst ihr das ändern. Statt 6in41 kann für das Tunnel-Interface auch ein anderer Name gewählt werden - das muss dann halt im Script geändert werden.

    Das Script gehört im Optimalfall root:root und hat 700er Rechte.


    Das ganz bastelt man sich dann noch in seine Netzwerkconfig rein...


    Und, sofern man eine iptables Firewall auf dem VPS hat, bindet man für IPv4 das hier ein:

    Code
    /sbin/iptables -A INPUT -i eth0 -s 1.2.3.4 -d 5.6.7.8 -p 41 -j ACCEPT

    Und für IPv6 das hier:

    Code
    /sbin/ip6tables -A FORWARD -i eth0 -o 6in41 -d 2001:2002:2003:2005::/64,2001:2002:2003:2004::2 -j ACCEPT
    /sbin/ip6tables -A FORWARD -i 6in41 -o eth0 -s 2001:2002:2003:2005::/64,2001:2002:2003:2004::2 -j ACCEPT

    Wenn man das will kann man hier theoretisch gleich Firewalling fürs Heimnetz betreiben. In der Form wird aber einfach stupide alles weitergeleitet.



    Die Konfiguration in der FritzBox sieht dann so aus:

    Bildschirmfoto von 2020-11-15 14-35-27.png




    Wo ich mir nicht sicher bin, weil es auf meinem Server per Default an ist (da VPN Gateway), sind die Forwarding Optionen vom Kernel des VPS. Ich vermute mal stark, dass man noch net.ipv6.conf.all.forwarding=1 setzen muss. IPv4 Forwarding sollte eigentlich nicht benötigt werden.



    Bei mir läuft das in der Form so alles unter Alpine Linux 3.12 in der H-Cloud - aber das sollte eigentlich unter jeder Distro bei nahezu jedem Provider klappen, würde ich zumindest aus dem Bauch heraus sagen.

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Bei mir läuft das in der Form so alles unter Alpine Linux 3.12 in der H-Cloud - aber das sollte eigentlich unter jeder Distro bei nahezu jedem Provider klappen, würde ich zumindest aus dem Bauch heraus sagen.

    Bei netcup müsste mal halt noch Folgendes beachten: Entweder man hat ein zusätzliches ("geroutetes") IPv6-Subnetz für diesen Einsatzzweck oder man braucht auch noch einen NDP-Proxy o.ä. auf dem Tunnelserver.


    (Mein Tunnelserver läuft jedenfalls auch nicht hier. Hat aber damit zu tun, dass mir /64 zu klein ist.)

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Bei netcup müsste mal halt noch Folgendes beachten: Entweder man hat ein zusätzliches ("geroutetes") IPv6-Subnetz für diesen Einsatzzweck oder man braucht auch noch einen NDP-Proxy o.ä. auf dem Tunnelserver.


    (Mein Tunnelserver läuft jedenfalls auch nicht hier. Hat aber damit zu tun, dass mir /64 zu klein ist.)

    Das ist aber auch in der H-Cloud so, wenn du mit dem Standard /64 des Servers hinkommen willst. Daher habe ich mir ja ein weiteres /64 gekauft/gemietet, welches ich route und im Heimnetz benutze.


    Allerdings würde mir das /64 des Servers auch reichen, da der Server nur eine IP davon braucht.

    Mal schauen, vielleicht probiere ich das mit dem NDP Proxy mal. Ohne hat es jedenfalls nicht geklappt - so viel kann ich sagen, aber das ist ja auch logisch.

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Das ist aber auch in der H-Cloud so, wenn du mit dem Standard /64 des Servers hinkommen willst.

    So viel habe ich die Server der roten Konkurrenz leider noch nicht genutzt, um das zu bemerken. Danke für den Hinweis! ;)

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)