Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.


Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Majitelé routerů / Technická podpora / Blokování přístupu na IPv6 zvenku
- - Od Pavouk106 Dne 2014-04-23 08:54
Zdravíčko.

Doma mám veřejnou IPv4 a mám přidělený IPv6 tunel od HE. Ten jsem v Turrisu nastavil podle návodu pro OpenWRT (jak to píše HE na webu v záložce tunelu). Tím jsem spojil tunel, ale neměl jsem funkční vlastní rozsah na své straně. Po chvíli googlení jsem si našel i způsob jak předávat IPv6 adresy dál a teď už počítače za routerem (ve vnitřní síti) mají IPv6 adresy a fungují v pořádku. Nicméně jeden z počítačů je webserverem a DNSkem atd. atd. a já se na něj nedokážu dostat zvenčí - například přes http://www.subnetonline.com/pages/ipv6-network-tools/online-ipv6-ping.php

Tuším, že to bude nastavením firewallu, který bude požadavky chytat (z bezpečnostních důvodů), já bych ale potřeboval, aby alespoň na tu jednu IPv6 spojení zvenčí běželo ok. Nemáte někdo tip jak na to?

Firewall (pro IPv4) jsem nastavoval ručně v /etc/firewall.user tak by bylo dobré, pokud by to šlo touto cestou i pro IPv6. Pokud dobře chápu, půjde nejspíše jen o pravidlo FW, které zařídí směrování všeho na konkrétní vnitřní IPv6. Bohužel s IPtables se potkávám prvně a v kombinaci s IPv6 je to pro mě úplná neznámá...

Pro doplnění: Zenčí pingnu bezproblémů XXX::1 adresu, kterou má z přiděleného vnitřního rozsahu (ručně) přidělenou router. Ale další v síti nepingnu. Z routeru můžu pingovat jak vnější IPv6 (ipv6.google.com), tak vnitřní (LAN) počítače.

Předem díky za nasměrování/radu
Nadřazený - - Od Ondřej Caletka (>>>) Dne 2014-04-23 09:04
Především bych doporučil nekonfigurovat firewall ručně v /etc/firewall.user, zvlášť, když (jak sám tvrdíte) nemáte s IPtables dostatečné zkušenosti. OpenWRT obsahuje poměrně pokročilý firewall snadno konfigurovaný pomocí UCI.

V mém případě je nastaveno propouštění veškerého IPv6 provozu do vnitřní sítě, včetně přístupu na SSH routeru, v souboru /etc/config/firewall níže citovaném.

Aby se pravidla správně uplatnila, je potřeba mít v definici zóny wan obě logická rozhraní, jako wan, tak i wan6:
config zone
        option name             wan
        list   network          'wan'
        list   network          'wan6'

config forwarding
        option name             'IPv6 propoustet'
        option family           ipv6
        option src              wan
        option dest             lan

config rule
        option name             'SSH zvenku IPv6'
        option family           ipv6
        option src              wan
        option proto            tcp
        option dest_port        22
        option target           ACCEPT


config rule
        option name             'Proto-41 zvenku'
        option family           ipv4
        option src              wan
        option proto            41
        option target           ACCEPT
Nadřazený - - Od Pavouk106 Dne 2014-04-23 09:34
Já beru Turris zároveň jako zkušenost, proto jsem si IPv4 IPtables nastavoval ručně. Pokud dobře chápu, potřebuju "opsat" jen sekce 1, 2 a 4. Třetí je tu jen kvůli přístupu k SSH routeru. Jdu na to mrknout. Díky
Nadřazený - - Od Ondřej Caletka (>>>) Dne 2014-04-23 09:51
Poslední sekce taky není úplně nezbytná, nejspíš vám tunel funguje i bez ní. Pomůže jen v případě, kdy by se vaše strana tunelu na nějakou dobu odmlčela, pak by firewall blokoval tunelovaný IPv6 provoz zvenku.
Nadřazený - Od Pavouk106 Dne 2014-04-23 12:06
Díky za informace a poučení. Už mi to jede jak má. Tu poslední sekci zkusím vypustit, ale až budu doma u normálního PC (v práci jsem za velkým čínským firewallem).
Nahoru Téma Majitelé routerů / Technická podpora / Blokování přístupu na IPv6 zvenku

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill