Instalace ipv6 na router s OpenWrt 12.09

Proč si vylepšit síť o podporu ipv6?

Jestliže se někdy v médiích hovoří o novém internetovém protokolu ipv6, pak je to téměř vždy v souvislosti s postupně se snižujícími zásobami volných veřejných IP adres v současně používaném prostoru ipv4. Pokud bychom na ipv6 nepřešli, Internet by určitě nezkolaboval. Vše by ale bylo čím dál tím víc složitější.

Před pár lety jsem si myslel, že nejpozději do roka budeme mít všichni v domácnostech místo sítí s ipv4 už nový protokol ipv6. Výrobci hardware se ale pevně drží osvědčeného protokolu ipv4 a zařízení, která ipv6 podporují, přibývá jen pomalu. Podle mne za to může hlavně docela dost velká roztříštěnost norem, vyznat se v základních službách na síti ipv6 je i pro zkušeného uživatele náročné, nastavit například tunel a síť je pak pro běžného uživatele Internetu téměř nepředstavitelný problém. Vůbec tomu nepomáhají ani zprostředkovatelé připojení, kteří podporu ipv6 odkládají až na okamžik, kdy to bude opravdu nutné.

Myslím si, že nás žádná ipv6 revoluce nečeká, spíš to bude pomalá evoluce, při které budou zprostředkovatelé postupně nabízet připojení k Internetu přes ipv4 s neveřejnými IP adresami (tedy za NATem, zjednodušeně firewallem) a veřejným ipv6 Internetem. Podle mého pozorování to přesně tak už mnoho menších zprostředkovatelů připojení k Internetu dělá. Veřejné ipv4 adresy s námi budou ještě mnoho let, budou ale určeny hlavně pro servery, které by bez nich nemohly fungovat, postupně pak budou vznikat sítě bez podpory ipv4. Ten se pak vytratí podobně, jako se vytratily jiné nepotřebné funkce na Intetnetu, tedy začnou vznikat sítě a servery jen s podporou ipv6, ipv4 už stejně nebude zapotřebí. Tento článek může fungovat jako časová schránka, pokud ho čtete až v budoucnosti, můžete sami posoudit, jak daleko jsem od Vaší skutečnosti.

Pokud Vás trápí to, že nemáte na svém počítači doma veřejnou IP adresu (kterou byste využívali např. k přímému propojení dvou počítačů na libovolných místech v Internetu) nebo chcete jen vyzkoušet, jak to bude s ipv6 fungovat, pak Vám určitě rozšíření o ipv6 doporučuji. Pokud vše nastavíte správně, budete mít doma to, co budou někteří zprostředkovatelé nabízet možná až za pár let, tedy neveřejný ipv4 a veřejný ipv6 Internet. Na to, že budete doma provozovat jen ipv6 síť dnes raději zapomeňte.

Jak jsem psal výše, největší problémem je chybějící podpora ipv6 ze strany výrobců hardware (tedy hlavně routerů, ta se ale postupně zlepšuje), tento problém můžete snadno vyřešit instalací alternativního firmware, např. OpenWrt. Chybějící podporu ze strany zprostředkovatelů pak můžete vyřešit zprovozněním tzv. tunelu, který Vaši domácí síť propojí s ipv6 Internetem cestou ipv4. Možností připojení do ipv6 je celá řada, mě se osvědčil tzv. „IPv6 in IPv4 tunnel“, přes něj dosahuji i ipv6 cca 95% rychlosti ipv4.

Získání přístupových údajů a parametrů ipv6 tunelu

Existuje několik tunnel brokerů, tedy poskytovatelů připojení k ipv6 protřednictvím tunelu. Pro nás připadají v úvahu tři:

  • Hurricane Electric sídlí na adrese http://tunnelbroker.net/, brány do sítí ipv6 nabízízí po celém světě. Pro nás je nejbližší brána umístěná v Praze.
  • Sixxs najdete adrese https://www.sixxs.net, brány do ipv6 má opět rozeseté po celém světě, naštěstí pro nás je dokonce jedna v Praze. Problém je v tom, že používají relativně časově náročný proces pro přidělování tunelů a podsítí. Tunel i síť získáte, bude to ale pár týdnů trvat.
  • Freenet6 najdete adrese http://www.gogo6.com/freenet6, nabízí relativně malý počet serverů, nejbližší je opět v Holandsku.

Mě se osvědčil Hurricane Electric, registrace na stránce http://tunnelbroker.net/ je jednoduchá, přidělování nových tunelů je rychlé, samozřejmě zdarma a bez jakýchkoliv omezení. Po přihlášení do uživatelské zóny zvolte Create Regular Tunnel, dojde k ověření, jestli je Vámi používaná ipv4 adresa dostupná na ping a pokud ano, tunel je okamžitě vytvořen. Na výběr při vytvoření tunelu máte samozřejmě možnost výběru přístupového uzlu, pro nás je nejbližší ten Holandský.

Po vytvoření tunelu získáte pro Vás potřebné údaje, a to:

  • Tunnel ID: tedy jedinečné číslo Vašeho tunelu
  • Server IPv4 Address: ipv4 adresu místa, ke kterému se budete připojovat
  • Server IPv6 Address: ipv6 adresu serverové části tunelu
  • Client IPv4 Address:: ipv4 odkud se připojujete, pokud se změní, jednoduše ji v uživatelském rozhraní změníte
  • Client IPv6 Address: ipv6 adresa Vaší části tunelu
  • Routed /64: ipv6 prefix Vám přidelené podsítě
  • Anycasted IPv6 Caching Nameserver: ipv6 adresa tunnel brokerem poskytovaného dns serveru sloužícího k překladu jmen

Postup instalace ipv6 na router s OpenWrt 12.09

Hurricane Electric v uživatelské zóně nabízí i postupy ke konfiguraci ipv6 na Vaše zařízení. Po přihlášení tedy přejděte na záložku Example Configurations a zde zvolte OpenWrt... je zde ale bohužel jen verzi 10.03.01, zvolíme tedy odlišný způsob konfigurace a to přímo pomocí zásahů do konfiguračních souborů OpenWrt. Postupujte tedy:

  • Spusťte si Putty, nastavte přihlášení k OpenWrt prostřednictvím protokolu SSH (tedy zabezpečený terminál):

Nastavení přihlášení přes SSH

  • Postupně zadávejte a odesílejte následující příkazy, s jejich pomocí do routeru nainstalujete podporu tunelu a další potřebné programy, včetně textového editoru pro úpravy konfiguračních souborů
opkg update
opkg install 6in4
opkg install luci-proto-6x4
opkg install radvd
opkg install wide-dhcpv6-server
opkg install nano
  • Nyní upravíte konfigurační soubor, který nese informace o nastavení sítě. Spusťte příkaz pro editaci
nano /etc/config/network
  • Do tohoto souboru přidejte síť wan6, tedy např za blok s označením wan přidejte blok nový:
config interface 'wan6'
   option proto '6in4'                         # typ tunelu je 6in4
   option peeraddr '216.66.84.46'              # v detailech tunelu: Server IPv4 Address
   option ip6addr '2001:470:ee18:70e::2/64'    # Client IPv6 Address
   option ip6prefix '2001:470:ee19:70e::/64'   # Routed /64
   option tunnelid '244554'                    # Tunnel ID
   option username 'v65336af6580fb92.43763289' # identifikace, je na záložce Example configurations pro OpenWRT
   option password 'VASEHESLO'                 # vaše tunnelbroker.net heslo
  • Přidejte blok pro lokální síť, na kterékoliv místo v tomto souboru přidejte blok:
config globals globals
   option ula_prefix fd00:db80::/48
  • ... ještě stále ve stejném souboru vyhledejte blok pro definici lan a do něj přidejte řádky:
config interface 'lan'
  ...
  option ip6assign '64'                        # délka prefixu Vaší sítě
  option ip6addr '2001:470:ee19:70e::1/64'     # podsíť a 1 na konci, 1. ip adresa
  • ... a ještě do bloku pro definici wan přidejte řádek:
config interface 'wan'
  ...
  option accept_ra '0'                         # zakáže automatickou ipv6 konfiguraci wan
  • Stiskněte kombinaci kláves Ctrl-O a potvrďte uložení Enterem, Ctrl-X ukončí editor.
  • Ještě musíme upravit firewall, tedy spusťte editaci konfiguračního souboru firewallu
nano /etc/config/firewall
  • Zde vyhledejte část definice zóny wan a jen přidejte Vaší novou wan6 síť, tedy do řádku option network 'wan' doplňte wan6 na option network 'wan wan6'
		
config zone
   option name 'wan'
   ...
   option network 'wan wan6'
  • Ve stejném souboru doplňte pravidlo pro protokol 41, který tunel používá. Tedy na konec souboru přidejte blok:
		
config rule
   option _name 'HE-IP6'
   option src 'wan'
   option proto '41'
   option target ACCEPT
  • Opět stiskněte kombinaci kláves Ctrl-O a potvrďte uložení, Ctrl-X ukončete editor.
  • Proveďte znovunatažení konfigurace sítě a firewallu:
		
/etc/init.d/network restart
/etc/init.d/firewall reload
  • ... a otestujte dostupnost ipv6 sítě:
ping6 -c 4 ipv6.google.com
  • Pokud Google neodpovídá, zkontrolujte, jestli jste někde neudělali překlep, pak restartuje router. Až bude ipv6 Google odpovídat, ukončete ping Ctrl-C a můžete pokračovat v konfiguraci sítě.
  • Nastavíme program s názvem radvd, ten má za úkol zařízením ve Vaší lokální síti oznamovat přítomnost ipv6 sítě a její adresu. Spusťte editaci konfiguračního souboru:
nano /etc/config/radvd
  • ... a soubor upravte takto:
config interface
   option interface        'lan'
   option AdvSendAdvert    1
   option AdvManagedFlag   0
   option AdvOtherConfigFlag 0
   list client             ''
   option MinRtrAdvInterval '3'
   option MaxRtrAdvInterval '10'
   option ignore           0

config prefix
   option interface        'lan'        
   list prefix             '2001:470:ee19:70e::/64' # adresa podsítě, tedy „Routed /64“
   option AdvOnLink        1
   option AdvAutonomous    1
   option AdvRouterAddr    0
   option ignore           0
   option AdvValidLifetime '7200'
   option AdvPreferredLifetime '7200'

config route
   option interface        'lan'
   list prefix             ''
   option ignore           1

config rdnss
   option interface        'lan'     
   list addr               ''
   option ignore           1

config dnssl
   option interface        'lan'
   list suffix             ''
   option ignore           1
  • Aktivujte spouštění radvd a spusťte ho:
/etc/init.d/radvd enable
/etc/init.d/radvd start

Hotovo! Podívejte se do vlastností sítě Vašeho počítače, rozhraní by mělo mít přidělenou ipv6 adresu z Vám přidělené podsítě. Váš počítač, mobil nebo tablet by měl načíst stránky:

yrno.cz

Nezapomeňte, že v ipv6 jsou vlastně všechna zařízení v Internetu, je tedy důležité mít i na nich dostatečné zabezpečení, měla by mít vlastní firewall.