Modifiche

Da GolemWiki.

IPv6 @ GOLEM

3 021 byte aggiunti, 22:43, 6 ott 2018
Aggiungere un Gateway Utente / Client OpenVPN
== Aggiungere un Gateway Utente / Client OpenVPN ==
Seguire Verrà presa ad esempio la guida [[VPN configurazione del GOLEM]] gateway di officina '''serverozzo''', che, secondo quanto stabilito nei precedenti paragrafi avrà indirizzo <code>2001:470:c844::20</code> e inoltrerà i pacchetti da/per generare le chiavila rete <code>2001:470:c844:20::/64</code>.
=== Generare chiave SSL ===Seguire la guida [[VPN del GOLEM]] per generare le chiavi, e eventualmente provare la configurazione per il tunnel IPv4 (sconsigliato, ormai meglio passare tutto a IPv6). === Configurazione del server OpenVPN ======= Comunicare la nuova rete a tutti i client ====Sul server OpenVPN, nel file di configurazione del server ''/etc/openvpn/server.ipv6.conf'', aggiungere una rotta per la nuova rete: ... push "route-ipv6 2001:470:c844:20::/64" ...Questo comunica a tutti i client che quella rete è raggiungibile per mezzo del server OpenVPN. {{Note|type=reminder|text=Non basta la rotta di default? Perché appesantire i client con tutte queste rotte? Non sono ridondanti? Non funziona ugualmente con <code>push "route-ipv6 2001:470:c844::/48"</code>?}} ==== Comunicare al client il suo indirizzo IPv6 statico ====Sul server OpenVPN, nel file di configurazione del client ''/etc/openvpn/staticclients/hostname'' inserire , scrivere le seguenti righe:
ifconfig-ipv6-push 2001:470:c844::20/64
iroute-ipv6 2001:470:c844:20::/64
Rispettivamente per:
* assegnare indirizzo statico al gateway utente / client openvpn;* permettere al client di inoltrare sul tunnel i pacchetti provenienti dalla rete alle sue spalle; questo serve al protocollo di openVPN per il layer 2, altrimenti sarebbe stato "sufficiente" non vengono fatti passare pacchetti con indirizzo sorgente diverso da quelli della rete di servizio; in alternativa si poteva fare un tunnel ''tap'' e utilizzare Ethernet a livello 2 anziché un tunnel ; ==== Inoltrare i pacchetti per la nuova rete ====Sul server OpenVPN, impostare la rotta per la nuova rete (utilizzare l'apposito file di configurazione 'tun'/root/firewall/route-ipv6.fw.conf' a livello 3;'): # ip -6 route add 2001:470:c844:20::/64 via 2001:470:c844::20
=== Configurazione del client ===
==== Connessione alla VPN ====
Usare questo file di configurazione sul client openvpn:
verb 3
Se il client OpenVPN è un nodo foglia della rete, cioè non funge da gateway perché si deve collegare solo lui (es. smartphone), allora c'è già connettività IPv6 e non serve fare altro. Se invece il client è il gateway della rete (es. serverozzo, o di casa di uno dei soci), allora bisogna configurarlo come segue. ==== Abilitare inoltro pacchetti IPv6 ====Nel file ''/etc/sysctl.conf'': net.ipv6.conf.all.forwarding=1 === Aggiungere serverozzo = Installare e configurare radvd ====Serverozzo ''radvd'' è il demone di ''router advertisement''.Per la configurazione automatica degli indirizzi e del gateway in IPv6 non è necessario un client OpenVPN ''complesso'' server DHCP, ma vista la vastità dello spazio di indirizzamento (anche la rete più piccola ha ben 2^64 indirizzi disponibili) basta il più semplice ''radvd''.Un router con ''radvd'', a intervalli regolari, trasmette un messaggio in broadcast a tutti gli host della rete, informandoli sul prefisso di rete da utilizzare; a questo punto gli host possono autoconfigurarsi col metodo che preferiscono (es. [https://tools.ietf.org/search/rfc4862 SLAAC] con o senza [https://tools.ietf.org/html/ Gateway Utente come un altrorfc4941. Verrà presa ad esempio html estensione per la sua configurazioneprivacy]). L'unica cosa che non si può configurare automaticamente con ''radvd'' (vai a capire perché) è un server DNS.
Secondo quanto stabilito nei precedenti paragrafiPer il momento tutto funziona ugualmente, il gateway di officina (serverozzo) avrà indirizzo <code>2001perché tanto:470:c844::20</code> e inoltrerà i pacchetti da* la quasi totalità delle reti è mista IPv4 /IPv6* il server DNS IPv4 può essere interrogato anche per la rete <code>2001:470:c844:20::/64</code>.ottenere traduzioni di nomi IPv6
Pertanto, la sua configurazione prevedeInstallare ''radvd'': # apt install radvd
Configurare il file ''/etc/radvd.conf'':
interface br0 {
AdvSendAdvert on;
MinRtrAdvInterval 2;
MaxRtrAdvInterval 10;
prefix 2001:470:c844:20::/64 {
AdvOnLink on;
AdvAutonomous on;
AdvRouterAddr on;
};
};
dove ''prefix'' naturalmente indica la rete a valle.
=== Impostare il client OpenVPN come gateway IPv6 per l'isola ===
TODO
== Firewall ==

Menu di navigazione