Weiterleiten von 6to4-Paketen über NAT

0

Ich habe einen Linux-Router (dd-wrt ohne IPv6-Modul, kein Platz dafür) und einen Linux-PC (Arch Linux). Ich versuche, meinen Router so einzurichten, dass er 6to4-Pakete (Protokoll 41) an meinen PC weiterleitet und den Tunnel darauf einrichtet.

Was ich bisher auf dem Router gemacht habe, ist:

iptables -t nat -A POSTROUTING -p 41 -d ! 192.168.1.0/24 -j SNAT --to _WANIP_
iptables -t nat -A PREROUTING -p 41 --dst _WANIP_ -j DNAT --to-destination _LANDEST_

wo _WANIP_ist meine 'outside' ipv4 adresse und _LANDEST_ist computer mit 6to4 setup. Das 6to4-Setup wird folgendermaßen durchgeführt:

export IPV4_ADDRESS=_WANIP_
export OUR_IPV6_GW=`printf "2002:%02x%02x:%02x%02x::1" \`echo $IPV4_ADDRESS | tr '.' ' '\``
ip tunnel add tun6to4 mode sit ttl 32 remote any local $IPV4_ADDRESS
ip link set dev tun6to4 up
ip -6 addr add $OUR_IPV6_GW/16 dev tun6to4
ip -6 route add 2000::/3 via ::192.88.99.1 dev tun6to4 metric 1

OUR_IPV6_GWenthält eine von 6to4-Adressen. Nachdem ich alle diese Schritte zum Testen ausgeführt habe, überprüfe ich ping6 ipv6.google.com, ob das Setup funktioniert, und erhalte FehlermeldungenDestination unreachable: Address unreachable

Ich kann (IPv4) an 192.88.99.1 pingen, ip -6 routesieht gut aus. Ich habe auch versucht, iptables -I [...]für NAT-Setup auszuführen, um sicherzustellen, dass keine Regelschatten eingefügt wurden.

Ich habe einige Ressourcen von http://www.wtfm.org/ip6to4 verwendet

Magik6k
quelle
Wenn Sie nicht genug Platz für das IPv6-Modul haben, muss Ihr Router wirklich uralt sein. Finde 25 € und kaufe eine neue.
Michael Hampton
@Michael Hampton, daran arbeite ich. Ich werde mit RouterOS L4 auf einen viel besseren Router umsteigen.
Magik6k

Antworten:

1

Sie können 6to4 nicht über NAT verwenden. Die IPv6-Adressen hängen von der öffentlichen IPv4-Adresse ab, über die Ihre 6to4-Box nicht verfügt.

Außerdem ist 6to4 ein veraltetes / veraltetes Protokoll. Wenn Sie IPv6-Konnektivität wünschen und Ihr ISP diese nicht bereitstellt, ist es besser, einen verwalteten 6in4-Tunnel zu verwenden, um z. B. unseren SixXS von Hurricane Electric zu verwenden.

Sander Steffann
quelle
Die Idee war, das NAT so zu konfigurieren, dass 6to4-Pakete an den / vom 6to4-PC weitergeleitet werden. Ich denke, das ist nicht der Fall. Es ist auch gut zu wissen, dass der Mechanismus, der vor kurzem vorgeschlagen wurde, veraltet ist ( tools.ietf.org/html/draft-ietf-v6ops-6to4-to-historic-11 ).
Magik6k
1
Sie können Protokoll 41-Pakete über NAT weiterleiten. Das Problem ist, dass die interne Box nicht über die öffentliche Adresse verfügt, sodass der Standard 6to4 dort nicht funktioniert. Sie müssten es überlisten, eine öffentliche Adresse zu verwenden, die es nicht hat. In Anbetracht der geringen Zuverlässigkeit von 6to4 sind Sie mit einem verwalteten Tunnel besser dran.
Sander Steffann