Configurazione tunnel IPv6

edofullo · 20 giu 2020

Edit: alla fine ho fatto le cose "come andrebbero fatte"

Messo DHCPv6 in modalità stateless in modo che non dia l'indirizzo IP, il raspberry mi prende ora con SLAAC indirizzo basato sul suo mac.

Ho aggiunto al pihole la risoluzione per quei 2 host che mi serve accedere con'IP in modo da non dovermi ricordare l'IPv6 per intero tute le volte.

Aggiunto al mio dominio il record AAAA per la risoluzione del nome in IPv6 e aggiunto a nginx di ascoltare anche su IPv6; ora il mio sistema di domotica è raggiungibile in v6

Sistemato anche il firewall, ora è su reject tranne sul raspberry.

Il tutto per che cosa? Assolutamente per nulla, visto che tanto non ho IPv6 da nessun' altra parte, però è stato "divertente" ed ho imparato molte cose nuove

Prossimo passo: dare un IPv6 ai dispositivi che si connettono con OpenVPN

[cancellato] Credo per questioni di privacy address o simili.. boh, questo non lo so.. non ho mai provato

Era proprio per quello: un indirizzo (totalmente randomico) viene usato per navigare, mentre il PC si mette in ascolto sull'altro. Anche windows lo fa

Wireless LAN adapter Wi-Fi:
   Connection-specific DNS Suffix  . : homenet.local
   IPv6 Address. . . . . . . . . . . : 2001:470:xxxx:0:11ad:c920:b37f:4791
   Temporary IPv6 Address. . . . . . : 2001:470:xxxx:0:5c92:6ec5:cfa:83c0
   Link-local IPv6 Address . . . . . : fe80::11ad:c920:b37f:4791%18
   IPv4 Address. . . . . . . . . . . : 10.0.0.13
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : fe80::1213:31ff:fe6f:a276%18

Per ora funziona tutto alla perfezione, sto aspettando che mi blocchino netflix

PS: ora è tutto in /64 quindi teoricamente dovrei avere 2¹⁶ subnet disponibili

[cancellato] · 20 giu 2020

edofullo Mi stai dicendo che negli statici quel bit lo metto a zero ho risolto, vero?

No, che essendo forzatamente diverso da quelli assegnati regolarmente agli apparati fisici le chances di conflitto si riducono moltissimo... E poi cribbio... Son 47 bit, ne hai di combinazioni

edofullo Prossimo passo: dare un IPv6 ai dispositivi che si connettono con OpenVPN

A logica non dovrebbe essere un problema, però qui si devi giocoforza spezzare una parte del /48, perché non stai facendo un bridge TAP (vero? vero? ) e quindi devi ruotare per forza. Lato compatibilità software, temo sia divertente

edofullo ora è tutto in /64 quindi teoricamente dovrei avere 216 subnet disponibili

2¹⁶ + 1 perché puoi chiedere un /48 e un /64...

edofullo · 21 giu 2020

[cancellato] No, che essendo forzatamente diverso da quelli assegnati regolarmente agli apparati fisici le chances di conflitto si riducono moltissimo... E poi cribbio... Son 47 bit, ne hai di combinazioni

Ok grazie, alla fine ho risolto lasciando fare tutto a SLAAC, alla fine l'IP è come se fosse statico.
Ho aggiunto il record sul pihole e buonanotte

[cancellato] non stai facendo un bridge TAP (vero? vero? )

Ci avevo pensato tempo fa ma non ci ero riuscito
Quindi no, tunnel normale L3

Comunque penso di esserci riuscito ma ho dovuto bestemmiare un po' con il file config del server.
Non è così facile come c'è scritto sul sito.

Lascio qua sotto il file di config se qualcuno vuole fare la stessa cosa, evita un po' di bestemmie.

# MAIN SECTION
dev tun
proto udp6
port 1194
mode server

# CRYPTO
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/milkyway_8cdbb9e1-d27f-441b-a6e8-8e5e6774b54c.crt
key /etc/openvpn/easy-rsa/pki/private/milkyway_8cdbb9e1-d27f-441b-a6e8-8e5e6774b54c.key
dh none

# SERVER CONFIG
topology subnet
tls-server
ifconfig 10.0.8.1 255.255.255.0
ifconfig-pool 10.0.8.10 10.0.8.254
route-gateway 10.0.8.1

push "topology subnet"
push "route-gateway 10.0.8.1"
push "redirect-gateway def1 bypass-dhcp"

# IPv6 CONFIG
tun-ipv6
push tun-ipv6
ifconfig-ipv6 2001:470:xxxx:1::1/64 2001:470:xxxx:1::2
ifconfig-ipv6-pool 2001:470:xxxx:1::1000/64

push "redirect-gateway ipv6 def1 bypass-dhcp"

# CLIENT CONFIG
client-config-dir /etc/openvpn/ccd
route 192.168.10.0 255.255.255.0 10.0.8.2
push "dhcp-option DNS 10.0.0.250"
push "dhcp-option DNS 1.0.0.1"
push "route 192.168.10.0 255.255.255.0"
push "route 10.0.0.0 255.255.255.0"

push "route-ipv6 2001:470:xxxx::/48"
push "route-ipv6 2000::/3"

# OTHERS
client-to-client
keepalive 10 120
remote-cert-tls client
tls-version-min 1.2
tls-crypt /etc/openvpn/easy-rsa/pki/ta.key
cipher AES-256-CBC
auth SHA256
user nobody
group nogroup
persist-key
persist-tun
crl-verify /etc/openvpn/crl.pem
status /var/log/openvpn-status.log 20
status-version 3
syslog
verb 6

Assegna indirizzi sequenzialmente nella subnet 2001:470:xxxx:1::/64 a partire da :1000

Ovviamente l'interfaccia di Technicolor non permetteva di aggiungere delle route IPv6, però Luci si ed è stata semplice da aggiungere, spero solo che non si resetti quando spengo/riaccendo il modem.

Comunque per il momento funziona tutto: anche scaricando da siti IPv6 riesco a maxare la mia velocità di download, il ping è aumentato di 10-15 ms quindi direi che è accettabile, anche a giocare nessun problema.

[cancellato] · 21 giu 2020

edofullo Ci avevo pensato tempo fa ma non ci ero riuscito

Se non ti serve veicolare tutto il "rumore" L2, tun va benissimo. Alla fine al 99,9999% delle applicazioni basta una rete ruotata P2P.

edofullo maxare

Povero Zanichelli...

Mmatteocontrini · 21 giu 2020

edofullo Messo DHCPv6 in modalità stateless in modo che non dia l'indirizzo IP, il raspberry mi prende ora con SLAAC indirizzo basato sul suo mac.

Mi sono perso un pezzo, perché non ti piaceva la soluzione con DHCPv6?

edofullo · 21 giu 2020

matteocontrini perché non ti piaceva la soluzione con DHCPv6?

La ragione principale è Android

Con solo DHCPv6 gli Android non navigavano in v6

Con DHCPv6 + SLAAC i computer che supportano DHCPv6 mi prendevano 2 indirizzi IP di SLAAC + quello di DHCPv6 (+ link-local) e alcuni uscivano con quello preso da SLAAC mentre altri con quello preso da DHCP, un macello.

La ragione principale per cui mi piaceva DHCP era che potevo mettermi gli indirizzi corti, ma ho messo sul PiHole la risoluzione hostname -> IPv6 e uso quella.

Mmatteocontrini · 21 giu 2020

edofullo ci sarà un modo per disabilitare SLAAC o per dare la priorità all'indirizzo assegnato dal DHCP, se no che senso ha?

Almeno tu puoi scegliere, il Fastgate ho come l'impressione che il DHCPv6 neanche ce l'abbia ahah in più per sé stesso usa SLAAC EUI-64, quindi non si può neanche pingare il router senza andare a fare un copia incolla dell'indirizzo... (bastava che impostavano FE80::1 ed erano tutti contenti)

EDIT: DHCPv6 ce l'ha, ma li assegna completamente a caso. Well done

edofullo · 21 giu 2020

matteocontrini ci sarà un modo per disabilitare SLAAC

C'è, ma addio ad Android

matteocontrini per dare la priorità all'indirizzo assegnato dal DHCP, se no che senso ha?

Non lo so, ma il fatto che i device prendano entrambi gli indirizzi penso implichi che andrebbe settato per dispositivo, non proprio il massimo.

matteocontrini per sé stesso usa SLAAC EUI-64, quindi non si può neanche pingare il router senza andare a fare un copia incolla dell'indirizzo...

hahaha, io posso sceglierlo ma solo perchè è sbloccato.
Sarei curioso di vedere cosa succederebbe se venisse collegato a una vera Dual Stack con le impostazioni di fabbrica.

Penso si metta sul prefisso::1 di default

Pensa che senza l'accesso a Luci non puoi dire al firewall di permettere l'accesso dall'esterno ad un host (con IP pubblico...) quindi di fatto la LAN è bloccata e perde tutti i vantaggi di IPv6....

[cancellato] Se non ti serve veicolare tutto il "rumore" L2, tun va benissimo. Alla fine al 99,9999% delle applicazioni basta una rete ruotata P2P.

stemax97
All'inizio volevo farla per il discovery di Plex e DLNA per la TV ma poi ho lasciato perdere e fatto manualmente.

[cancellato] Povero Zanichelli...

Sstemax97 · 21 giu 2020

[cancellato] edofullo Ci avevo pensato tempo fa ma non ci ero riuscito

Se non ti serve veicolare tutto il "rumore" L2, tun va benissimo. Alla fine al 99,9999% delle applicazioni basta una rete ruotata P2P.

Aggiungo anche che OpenVPN tap non è supportato né da Android né da IOS.
Le uniche applicazioni che necessitano di un tunnel L2 sono quelle che sfruttano il discovery dei devices nella subnet. Ad esempio, ho dei condizionatori con il wifi che vengono visti solo se si è collegati alla stessa rete; usando la VPN verso casa (routed) non compaiono

Mmatteocontrini · 21 giu 2020

edofullo C'è, ma addio ad Android

Ah intendevo a livello di client. Ma di che dispositivi parli? Io su Windows vedo un solo IPv6 (global unicast), che però è random quindi in realtà non posso sapere se è SLAAC casuale o se è il DHCPv6 che me lo dà così, ma presumo la seconda opzione, quindi non penso di avere il problema che hai tu.

EDIT: è assegnato dal DHCP al 100%, c'è scritto in ipconfig

edofullo Sarei curioso di vedere cosa succederebbe se venisse collegato a una vera Dual Stack con le impostazioni di fabbrica.

Secondo me non gestisce la parte IPv6, perché è configurato per avere il tunnel

Mmatteocontrini · 21 giu 2020

matteocontrini per non aggiungere un altro edit che plot-twista l'intero messaggio, ne scrivo un altro ahah

Mi sono reso conto ora che anche io vedo un "IPv6 temporaneo" (sembra random), ed esco su Internet con quello effettivamente. Ma il DHCP a che serve allora?

edofullo · 21 giu 2020

matteocontrini Secondo me non gestisce la parte IPv6, perché è configurato per avere il tunnel

Intendo lo scolapasta, supporta IPv6 e nelle impostazioni della GUI della TIM c'è pure il bottone per attivarlo.
Ovviamente non funziona poi perchè TIM non lo da, però c'è

matteocontrini vedo un solo IPv6 (global unicast), che però è random quindi in realtà non posso sapere se è SLAAC casuale o se è il DHCPv6 che me lo dà così

Io ne ho 2, su Windows uno viene segnato come "temporaneo"

Comunque è proprio per la Privacy, Linux (KDE) permette di scegliere come gestire la cosa nelle impostazioni

Quando DHCP lo avevo in stateless+stateful mi dava 3 indirizzi.

Edit: pure android prende 2 indirizzi come linux. Uno segue il mac, l'altro è random

matteocontrini Ma il DHCP a che serve allora?

Sei sicuro sia davvero DHCP?
Se concide col Mac dovrebbe essere SLAAC

Mmatteocontrini · 21 giu 2020

edofullo Intendo lo scolapasta, supporta IPv6 e nelle impostazioni della GUI della TIM c'è pure il bottone per attivarlo.

Ah ok sorry

edofullo Comunque è proprio per la Privacy, Linux permette di scegliere come gestire la cosa nelle impostazioni

Ah. Mi sfugge il beneficio per la privacy al momento?

edofullo Sei sicuro sia davvero DHCP?

Sìsì ci sono informazioni sulla scadenza del lease.

Se fosse SLAAC EUI-64 ci sarebbe un FF:FE in mezzo al MAC (vengono aggiunti per espandere da 48 a 64 bit, oltre a flippare il settimo bit), ma non c'è

Mmatteocontrini · 21 giu 2020

matteocontrini ...probabilmente perché il Fastgate non ha firewall sull'IPv6 quindi per - ehm - sicurezza assegna indirizzi a caso

edofullo · 21 giu 2020

matteocontrini Mi sfugge il beneficio per la privacy al momento?

Per non permettere ai siti web di tracciare il singolo dispositivo, immagino.

https://www.internetsociety.org/resources/deploy360/2014/privacy-extensions-for-ipv6-slaac/

matteocontrini Sìsì ci sono informazioni sulla scadenza del lease.

Se fosse SLAAC EUI-64 ci sarebbe un FF:FE in mezzo al MAC (vengono aggiunti per espandere da 48 a 64 bit, oltre a flippare il settimo bit), ma non c'è

Ho guardato sul portatile e anche a me su Windows mi da 2 indirizzi "casuali"
Su linux invece uno è legato al MAC e uno no, strano.

Comunque il DHCP non l'ho disattivato completamente: l'ho messo in modalità stateless, qualsiasi cosa sia

matteocontrini probabilmente perché il Fastgare non ha firewall sull'IPv6

x_term · 21 giu 2020

matteocontrini Ma il DHCP a che serve allora?

Per far contenti gli amministratori di certe reti, dato che SLAAC è per definizione (e per loro concezione) l'anarchia in rete.

Mmatteocontrini · 21 giu 2020

edofullo Per non permettere ai siti web di tracciare il singolo dispositivo, immagino.

Ah se cambia spesso sì, ho visto ora la RFC. Quindi avrebbe senso impostarne uno statico a mano per accedere dall'esterno, mentre in uscita viene usato quello random che cambia da solo ogni tanto. Mentre quello del DHCP boh...

edofullo Comunque il DHCP non l'ho disattivato completamente: l'ho messo in modalità stateless, qualsiasi cosa sia

Non assegna indirizzi ma fornisce comunque qualche configurazione, non so di preciso neanch'io...

EDIT: non è vero, li assegna ma non memorizza l'associazione

x_term Per far contenti gli amministratori di certe reti, dato che SLAAC è per definizione (e per loro concezione) l'anarchia in rete.

Però se poi i dispositivi moderni usano SLAAC applicando le "privacy extensions" non serve poi a molto.

[cancellato] · 21 giu 2020

edofullo Ovviamente non funziona poi perchè TIM non lo da, però c'è

Anni e anni fa c'erano le credenziali PPPoE "sperimentali" aiiceadsl6/aliceadsl6 per averlo... non so se funzionano/se siano ancora in uso.

matteocontrini Ma il DHCP a che serve allora?

Se non altro per avere il subnet prefix

matteocontrini Mi sfugge il beneficio per la privacy al momento?

Avendo mediante SLAAC EUI-64 l'ultima parte dell'indirizzo derivata dal tuo macaddress, teoricamente è possibile tracciare che dispositivo usi (almeno il vendor, lo derivi dal MAC OUI) e da quali prefix ti colleghi visitando ad esempio lo stesso sito. Se generi il tutto random, queste informazioni non le hai.

stemax97 Le uniche applicazioni che necessitano di un tunnel L2 sono quelle che sfruttano il discovery dei devices nella subnet

Ma ormai tutto viene scoperto mediante mDNS/Bonjour, almeno in ottica consumer, ma comunque ha un parto di problemi anche se fai un bridge L2. Una volta trovate e memorizzate nelle app comunque dovrebbero essere raggiungibili senza problemi anche in una configurazione routed, altrimenti hanno implementato gli stack di rete a fido di segugio (e su chissà cos'altro hanno sorvolato anche...).

edofullo All'inizio volevo farla per il discovery di Plex e DLNA per la TV ma poi ho lasciato perdere e fatto manualmente.

Cercati Avahi o mDNS repeater.

x_term · 21 giu 2020

matteocontrini Però se poi i dispositivi moderni usano SLAAC applicando le "privacy extensions" non serve poi a molto.

Quella è stata una decisione di Google. Apple supporta DHCPv6 stateful senza problemi mi pare.

[cancellato] Anni e anni fa c'erano le credenziali PPPoE "sperimentali"

Ci sono anche ora, ma non va una ceppa.

[cancellato] Se non altro per avere il subnet prefix

Si può anche specificare DNSv6 diversi, altrimenti il dispositivo usa quello del DHCPv4 (che risolve in ogni caso le query senza problemi).

Mmatteocontrini · 21 giu 2020

[cancellato] Anni e anni fa c'erano le credenziali PPPoE "sperimentali" aiiceadsl6/aliceadsl6 per averlo... non so se funzionano/se siano ancora in uso.

Sì funziona ancora, ma male, dicono

https://assistenzatecnica.tim.it/at/portals/assistenzatecnica.portal?_nfpb=true&_pageLabel=InternetBook&radice=consumer_root&nodeId=/AT_REPOSITORY/876181

x_term Quella è stata una decisione di Google. Apple supporta DHCPv6 stateful senza problemi mi pare.

Secondo il link sopra l'uso dell'IP random è implementato da Windows, macOS, iOS, Android e alcune distribuzioni di Linux. Quindi tutti praticamente?