IPv6 (6to4) и Ubuntu 16.04.1 Нужна помощь [Решено]

Доброго времени суток!
Давно я здесь не отписывался, а уж тем более не открывал новые темы. Но вот просьба одного знакомого, имеющего VPS на базе ubuntu 16.04.1, ввела меня недавно в тупик. Сам я никогда раньше не занимался настройкой ipv6 на серверах, но вот ему приспичило - попросил меня помочь, как более опытного.
Если кратко, то вот что мы имеем на сервере:

eth0 - интерфейс, которому присвоен белый IPv4, укажем его как xx.xx.xx.xx
настроил туннель по инструкции , получил адрес, укажем его как 2002:xxxx:xxxx::1/48
выхлоп iptable -L:

Развернуть/свернуть скрытый текст.

sudo iptables -L
Chain INPUT (policy ACCEPT)                                                                                                                                                                                          
target     prot opt source               destination         
ACCEPT     ipv6 --  anywhere             anywhere            
ACCEPT     ipv6 --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     ipv6 --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     ipv6 --  anywhere             anywhere

выхлоп sudo ip6tables -L:

Развернуть/свернуть скрытый текст.

sudo ip6tables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     ipv6-icmp    anywhere             anywhere             limit: avg 15/sec burst 5
DROP       ipv6-icmp    anywhere             anywhere            
ACCEPT     all      anywhere             anywhere            
ACCEPT     all      anywhere             anywhere            
ACCEPT     all      anywhere             anywhere             state RELATED,ESTABLISHED
REJECT     all      anywhere             anywhere             reject-with icmp6-port-unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all      anywhere             anywhere            
ACCEPT     ipv6-icmp    anywhere             anywhere             limit: avg 15/sec burst 5
DROP       ipv6-icmp    anywhere             anywhere            
ACCEPT     all      anywhere             anywhere            
ACCEPT     all      anywhere             anywhere             state RELATED,ESTABLISHED
REJECT     all      anywhere             anywhere             reject-with icmp6-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all      anywhere             anywhere

При данных настройках замечательно пингуются родные ресурсы по протоколу IPv6:

Развернуть/свернуть скрытый текст.

ping6 vk.com
PING vk.com(2a00:bdc0:2:18:1:0:213:17) 56 data bytes
64 bytes from 2a00:bdc0:2:18:1:0:213:17: icmp_seq=1 ttl=58 time=17.6 ms
64 bytes from 2a00:bdc0:2:18:1:0:213:17: icmp_seq=2 ttl=58 time=17.4 ms
64 bytes from 2a00:bdc0:2:18:1:0:213:17: icmp_seq=3 ttl=58 time=17.3 ms
64 bytes from 2a00:bdc0:2:18:1:0:213:17: icmp_seq=4 ttl=58 time=17.4 ms
^C
--- vk.com ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
rtt min/avg/max/mdev = 17.303/17.459/17.696/0.216 ms

ping6 yandex.ru
PING yandex.ru(yandex.ru) 56 data bytes
64 bytes from yandex.ru: icmp_seq=1 ttl=58 time=73.3 ms
64 bytes from yandex.ru: icmp_seq=2 ttl=58 time=73.9 ms
64 bytes from yandex.ru: icmp_seq=3 ttl=58 time=73.8 ms
64 bytes from yandex.ru: icmp_seq=4 ttl=58 time=72.9 ms
64 bytes from yandex.ru: icmp_seq=5 ttl=58 time=72.8 ms
64 bytes from yandex.ru: icmp_seq=6 ttl=58 time=73.7 ms
^C
--- yandex.ru ping statistics ---
6 packets transmitted, 6 received, 0% packet loss, time 5007ms
rtt min/avg/max/mdev = 72.847/73.447/73.996/0.456 ms

А вот наш волшебный никак не хочет:

Развернуть/свернуть скрытый текст.

ping6 google.ru
PING google.ru(lt-in-x5e.1e100.net) 56 data bytes
^C
--- google.ru ping statistics ---
6 packets transmitted, 0 received, 100% packet loss, time 5038ms

Хотя замечательно разрешает свой 6 протокол с DNS:

nslookup -query=AAAA google.com
Server:         8.8.8.8
Address:        8.8.8.8#53

Non-authoritative answer:
google.com      has AAAA address 2a00:1450:4010:c0a::66

Authoritative answers can be found from:

Ну черт бы с ним, однако, не проходят пинги 6 версии до настроенного мной сервера, имя которого тоже успешно разрешается на адрес ipv6 (тот самый 2002:xxxx:xxxx::1). Начал копать дальше, и тут, о ужас:

[103551.107337] sit: Src spoofed 192.88.99.1/2002:yyyy:yyyy:0:mmmm:mmmm:mmmm:mmmm -> xx.xx.xx.xx/2002:xxxx:xxxx::1
[103552.116314] sit: Src spoofed 192.88.99.1/2002:yyyy:yyyy:0:mmmm:mmmm:mmmm:mmmm -> xx.xx.xx.xx/2002:xxxx:xxxx::1
[103553.123976] sit: Src spoofed 192.88.99.1/2002:yyyy:yyyy:0:mmmm:mmmm:mmmm:mmmm -> xx.xx.xx.xx/2002:xxxx:xxxx::1
[103554.132976] sit: Src spoofed 192.88.99.1/2002:yyyy:yyyy:0:mmmm:mmmm:mmmm:mmmm -> xx.xx.xx.xx/2002:xxxx:xxxx::1
[103555.139641] sit: Src spoofed 192.88.99.1/2002:yyyy:yyyy:0:mmmm:mmmm:mmmm:mmmm -> xx.xx.xx.xx/2002:xxxx:xxxx::1
[103556.148026] sit: Src spoofed 192.88.99.1/2002:yyyy:yyyy:0:mmmm:mmmm:mmmm:mmmm -> xx.xx.xx.xx/2002:xxxx:xxxx::1

Т.е., я так понимаю, что серверу нифига не интересны подмененные адреса?
И как мне с этим бороться?
Где я совершил ошибку?

P.S. Про туннельных ~~крыс~~ брокеров я знаю, но нужно именно без них.

RA9OAJ - 20 Сентябрь, 2016 - 16:48

Кажется, я понял, что хочет ядро.
Оно проверяет на соответствие ipv4 отправителя и ipv6 отправителя (отбросив 2002: префикс, взяв 4 следующие байта получаем ipv4 хоста отправителя).
В нашем случае пакеты приходят с шлюза 192.88.99.1, но содержат инкапсулированный ipv6 пакет с адресом источника 2002:yyyy:yyyy:0:mmmm:mmmm:mmmm:mmmm, а здесь эти 4 байта после префикса не соответствуют адресу шлюза, т.к. там указан адрес моего десктопа.
Я пока не придумал, как с эти бороться, но нашел упоминания о патче в ядро...

ответить

RA9OAJ - 26 Сентябрь, 2016 - 05:00

Разобрался. На самом деле сейчас все плохо с 6to4, не все релеи на пути пакетов из 4 интернета в 6 интернет работают.
В общем отказался в пользу 6in4 через туннельного брокера.

Отправить комментарий

Формат ввода

Доступны HTML теги: <h1> <h2> <h3> <h4> <h5> <h6> <a> <img> <em> <u> <hr> <strong> <b> <s> <cite> <q> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br> <p> <table> <tr> <td>
Строки и параграфы переносятся автоматически.
Используйте <code>...</code> для вставки кода в сообщения
Используйте [collapse] и [/collapse] для сворачиваемого текстового блока. [collapse collapsed] или [collapsed] для изначально свернутого блока.
Для вставки видео используйте [video:URL]

Подробнее о форматировании

Код: *

Введите цифры

Leave this field blank:

IPv6 (6to4) и Ubuntu 16.04.1 Нужна помощь [Решено]

Отправить комментарий

Вход в систему

Сейчас на сайте