[Berlin-wireless] vpn - ipv6

Sven-Ola Tuecke sven-ola
Mo Jan 26 07:45:39 CET 2015


Moin Nico,

das sieht du schon genau richtig. Ich hatte damals wenig Bock, auf dem
"Internet-Abwurfpunkt" diverse Routing-Daemonen einzurichten (Babel,
OLSR-Versionen, whatnot) und mich anschließend für einen längeren
Zeitraum mit den diversen Bugs und Konfigurationsdetails von
IPv4/IPv6-L3-Routing anderer Leute zu beschäftigen.

Und bei dem "Insel-Anbindungs-BBB-VPN" sollte die
Schlüssel-Selbstbedienungs-Seite den Wartungsaufwand verkleinern. Das
ist ein Tap-Tunnel, insofern transportiert der zunächst mal IPv4 und
IPv6. Damit da möglichst wenig Unsinn passiert hab' ich dieses
Do-not-Transport-HNA4-0/0 da 'reingehackt. Nach meiner Kenntnis funzt
das auch noch. War jedenfalls mein Eindruck - umkonfiguriert auf
10.0.0.0/8 hast Du das ja in der letzten Zeit.

Was den IPv6-Kram auf Vpn03 angeht: da gibt es was auf Vpn03a. Ist schon
älter, sollte aber immer noch funktionieren. Moment...

sven-ola at charon:~$ ping6 -n vpn03.berlin.freifunk.net
PING vpn03.berlin.freifunk.net(2001:bf7:b101:1::10) 56 data bytes
64 bytes from 2001:bf7:b101:1::10: icmp_seq=1 ttl=59 time=20.4 ms
64 bytes from 2001:bf7:b101:1::10: icmp_seq=2 ttl=59 time=20.3 ms
^C

OK - damit ist der OpenVPN da drauf auch unter IPv6 ansprechbar.
Sinnvoll nur, wenn man (natives) IPv6 an einem DSL-Anschluss hat und das
Motto hat "Use more V6". Transportieren tut ein Tunnel dann IPv4 und
IPv6. Wirklich belastet worden ist das in den vergangenen Jahren nicht.
Vpn03b hat derzeit kein (natives) IPv6, so dass ein über IPv6
aufgebauter Tunnel nur mit Vpn03a reden kann.

Als der Vpn03 damals aufgemacht wurde gab es noch kein natives IPv6 beim
IN-Berlin. Hatte daher damals 6to4 eingerichtet (Reste davon fliegen
noch durch /etc) und dann festgestellt, dass die Anycast ::192.88.99.1
reichlich Packet-Loss hat. Mittlerweile hat die Kiste nativ IPv6 und es
gibt sogar einen IPv6-Bereich für "Tunnel-Kunden", den Daniel mir auf
die Kiste geroutet hat. Funktioniert auch ab und zu. Moment...

[root at vpn03a sven-ola]# ip -6 a add 2001:bf7:a100::1/44 dev eth0
[root at vpn03a sven-ola]#
[...]
sven-ola at charon:~$ ping6 2001:bf7:a100::1
PING 2001:bf7:a100::1(2001:bf7:a100::1) 56 data bytes
64 bytes from 2001:bf7:a100::1: icmp_seq=1 ttl=59 time=21.2 ms
64 bytes from 2001:bf7:a100::1: icmp_seq=2 ttl=59 time=26.6 ms

Stand ist hier, dass 2001:bf7:a100::/44 noch nicht auf Vpn03a für
OpenVpn-Tunnel-Clients verwendet wird. Diesen Job wollte ich machen,
wenn Vpn03b auch IPv6 spricht. Achso. Literaturhinweis darf nicht
fehlen. http://wiki.freifunk.net/Vpn03#IPv6 

Gruß // Sven-Ola

Am 25.01.2015 um 15:54 schrieb cholin:
> Nach ein wenig Rücksprache mit Basti, denk ich das es hier vlt ein
> Missverständnis oder vlt auch falsche Annahmen gab. Bisher war mir nicht
> klar, dass auf BBB-VPN absichtlich Internetverkehr gefiltert wird. Im
> Folgenden die anscheinend derzeitig gültige Abgrenzung zwischen den
> VPN-Diensten:
>
> * vpn03: nur Anti-Störerhaftung, kein Mesh, öffentliche Addressn, tun
> * bbb-vpn: nur Mesh, keine Anti-Störerhaftung, nur private Adressen,
>            tap (mit OLSRd fürs Routing)
>
> Es scheint als sei hier auch der OLSRd auf bbb-vpn gepatched zu sein, so
> dass keine Gateway-HNAs (0.0.0.0/0) durchkommen, sondern gefiltert
> werden. Das war mir bisher nicht bewußt. Dennoch finde ich IPv6 auf
> bbb-vpn wichtig und wir können als Kompromiss wenigstens site-local
> Adressen verteilen. Dadurch wären die BBB-Endnutzerinnen auch via IPv6
> lokal angebunden. Ob wir ein Problem darin sehen, dass sich Menschen
> anonym eine VPN-Konfiguration klicken können und wir deswegen diese
> Aufteilung von (lokal und global) haben, ist natürlich eine andere Frage.
>
> Gruß
> Nico


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 181 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20150126/f5b5466f/attachment.pgp>



Mehr Informationen über die Mailingliste Berlin