Modifiche

Da GolemWiki.

IPv6 @ GOLEM

1 141 byte aggiunti, 23:03, 6 ott 2018
nessun oggetto della modifica
* '''serverozzo''' è il gateway in [[Officina Informatica]];
== Rete Iniziare: rete /64 ==
Come iniziare?
=== Piano di indirizzamento ===
La rete non è molto capillare, quindi questo non è un vero e proprio Chiamarlo ''piano di indirizzamento, ma più una '' è fargli un complimento immeritato; chiamiamola ''guida ragionata all'assegnazione degli dei nostri indirizzi''.  Sia dato l'indirizzo IPv6:
127 79 63 0
Non essendo una rete a maglie, ma semplicemente un albero, il routing è definito staticamente.
Se la rete si evolverà e le singole "isole" dovessero iniziare a connettersi a maglia in maniera incontrollata, potranno essere impiegati algoritmi dinamici, ma considerata la vastità del bacino d'utenza...
== OpenVPN ==
Nel tunnel di OpenVPN è presente la prima rete di servizio <code>2001:470:c844::/64</code> (con ''rrrr'' = ''0000'').
Disegnata così sembra una rete layer 2, ma in realtà è possibile solo traffico dal layer 3 in su. Per il layer 2 viene usato il protocollo interno di OpenVPN.
Configurazione del server OpenVPN sul VPS server:
* ''push "route-ipv6 2001:470:c844:20::/64"'' per ogni ''rete utente rrrr'' è necessario comunicare a tutti i client che è raggiungibile per mezzo del server OpenVPN; questo non esclude la possibilità che due reti utente vicine tra loro possano interconnettersi fisicamente e direttamente;
{{Note|type=reminder|text=TODO: non si potrebbe comunicare un aggregato e risparmiare entrate nelle tabelle di routing dei client? Cosa comporta questo per il server OpenVPN?}}
== Aggiungere un Gateway Utente / Client OpenVPN ==
Se invece il client è il gateway della rete (es. serverozzo, o di casa di uno dei soci), allora bisogna configurarlo come segue.
==== Impostare il client OpenVPN come gateway IPv6 per l'isola ========= Abilitare inoltro pacchetti IPv6 =====
Nel file ''/etc/sysctl.conf'':
net.ipv6.conf.all.forwarding=1
===== Installare e configurare radvd =====
''radvd'' è il demone di ''router advertisement''.
Per la configurazione automatica degli indirizzi e del gateway in IPv6 non è necessario un ''complesso'' server DHCP, ma vista la vastità dello spazio di indirizzamento (anche la rete più piccola ha ben 2^64 indirizzi disponibili) basta il più semplice ''radvd''.
dove ''prefix'' naturalmente indica la rete a valle.
==Firewall = Impostare ==== Per il client OpenVPN come gateway IPv6 VPS ===Inoltrare solo i pacchetti da/per l'isola le reti note. {{Note|type=attention|text=Non ancora testato!}} # ip6tables -P FORWARD DROP # ip6tables -A FORWARD -d 2001:470:c844::/48 -i he6in4 -j ACCEPT # ip6tables -A FORWARD -s 2001:470:c844::/48 -o he6in4 -j ACCEPT === Per gli host ===Gli indirizzi IPv6 sono tutti pubblici, perciò è bene che '''tutti''' gli host, compresi quelli domestici che sin'ora sono stati dietro a un (s)comodo NAT, attivino degli strumenti atti a prevenire accessi indesiderati dall'esterno.  # ip6tables -P INPUT DROP TODO# ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT {{Note|type=reminder|text=Salvare queste impostazioni, per esempio con <code>iptables-save</code> e <code>iptables-restore</code>, altrimenti verranno perse al riavvio.}}
== Firewall == Gli indirizzi IPv6 sono tutti pubbliciSi può fare anche qualcosa direttamente sul gateway, perciò è bene che tutti gli così da non dover replicare la configurazione su ogni host, compresi quelli domestici che sin'ora sono stati dietro a un (s)comodo NAT, attivino degli strumenti atti a prevenire accessi indesiderati dall'esterno.
{{Note|type=reminder|text=TODO: Questa sezione è da espandere!}}
=== Torrent ===
La banda è limitata, e non è consentito traffico di materiale illegale.Occore limitare il traffico ''bit-torrent'' almeno al gateway finale (VPS). {{Note|type=reminder|text=TODO: Questa sezione è da fare!}}

Menu di navigazione