[Berlin-wireless] VPN03 Updates IPv6

Sven-Ola Tuecke sven-ola
Do Sep 5 14:51:12 CEST 2013 

Hey,

damit ihr informiert bleibt: ich habe auf dem
VPN03-Tunnelendpunkt-Server die IPv6-Konfiguration geändert.
Hintergrund: die aktuellen PBerg-Firmwares verwenden jetzt andere
(interne) IPv6-Adressen. Das sind:

Uralt-FW (WRT, kamikaze): fdca:ffee:babe:0000:x:x:x:x:/128
Sehr-Alt-FW (bis Backfire): 2002:[ipv4-von-WAN]:xxxx::/64
Vorige-FW (bis Backfire): fdca:ffee:babe:xxxx::/64
Aktuelle-FW (Attitude): f(c|d)xx:xxxx:xxxx:xxxx::/64

Bei der Uralt-FW wurde x:x:x:x aus der MAC-Adresse generiert. Es wird
genau eine IPv6 verwendet, daher /128. Bei allen anderen wird das per
radvd/ipv6-autoconf an angeschlossene Clients verteilt, daher pro
Interface ein /64 verwendet. Die xxxx kommen hier aus einem
Zufallsgenerator, erzeugt mit dem Freifunk-Assistenten.

Die im Mesh verwendeten IPv4-Adressen sind ULA's, die im Internet nicht
weitergeroutet werden. Darum war auf VPN03 immer eine
IPv6-Adressumsetzung aktiv, die ich mal zusammengefummelt habe (nennt
sich MAP66, siehe Sourceforge). Die aktuelle Firmware weitet nun den
verwendeten ULA-Adressbereich erheblich aus: je ein /64 aus fc00::/7.
Das lässt sich nicht mehr in /48 abbilden (sowas haben wir extern,
derzeit über 6-to-4), daher gibt es jetzt eine temporäre Zuordnung die
ein paar Wochen gültig bleibt.

Erwartete Auswirkung: IPv6 geht wieder (Browser, Telefonie)
Heads Up: IPv6 ist nicht gefirewalled. Watch your logs.

Tipp: Wer seine externe IPv6 kennt, kann auch ohne Portforwarding an
interne Router / Geräte von Extern aus dran.

Anmerkung: in vielen Fällen ist das gar nicht aktiviert. Bei den
LuCI-basierten Firmwares kann man das so testen:

Vorige LuCI-Firmwares:
  uci show autoipv6 -> autoipv6.olsr_node.enable=1

Aktuelle LuCI-Firmware:
  uci show auto_ipv6_node -> auto_ipv6_node.olsr_node.enable=1

Noch'n Hinweis: bei vielen Routern-mit-DSL wird evt. auch noch die
automatische 6to4-Mechanik aktiv sein. "uci show autoipv6" zeigt dann
"autoipv6.tunnel.enable=1". Wenn die Kiste über pppoe angebunden ist
funktioniert das sogar. Wenn die Kiste über WAN(dhcp mit 192.168.x.x)
angebunden ist wird das nicht laufen und stört damit den IPv6-Abwurf
über VPN03. In diesem Fall einfach 6to4 ausmachen.

Sonstiges: VPN03 verteilt schon länger IPv6 über IPv4-OpenVPN-Tunnel. Es
geht aber auch IPv4 über IPv6-OpenVPN-Tunnel und sogar IPv6-über-IPv6.
Die erwähnte MAP66-Mechanik spart uns den Aufwand, wechselnde
IPv6-Präfixe im Netz zu verteilen, wofür irgendwie noch niemand eine
ordentliche Technik durchgesetzt hat.

Das ist im Übrigen auch auf "vpn03-backup.berlin.freifunk.net"
eingerichtet, das ist der freundlicherweise von Funkfeuer
bereitgestellte Backup-VPN, der demnächst in den offiziellen Betrieb
gehen wird.

Gruß // Sven-Ola

Mehr Informationen über die Mailingliste Berlin