• Skąd: Czersk
  • Zarejestrowany: 2017-08-20
  • Posty: 21

Temat: Porty niedostępne przez IPv6 na openwrt (tunnelbroker)

Witam

Dotychczas z racji iż korzystałem z starego routera na gargoyle 1.6.2.2 tunel IPv6 miałem zestawione bezpośrednio na lapku, wszystko działało dodatkowo owy lapek robił jako server dostępowy dla IPv6.

Jako iz w końcu ogarnąłem nowy router przyszła pora na rzerzucenie tunelu na openwrt, i ogólnie wszystko działa wydaje się ok, telefony otrzymują Adres IP SLAAC, ustawiając stały adres IP na komputerze również wszystko działa, routing OK pakiety przechodzą, pingi z zewnątrz również OK, router oraz np komputer odpowiada na ping czy traceroute z zewnątrz.

Problem pojawia się z dostępem do jakiegoś portu przez IPv6, wszystkie porty są po prostu zablokowane, skanery portów zwracają błąd typu "connection reset" czy coś takiego.

Co muszę dodać do mojej konfiguracji aby ruch przychodzący IPv6 nie był blokowany przez router ?

konfiguracja:

network:

config interface 'loopback'
    option device 'lo'
    option proto 'static'
    option ipaddr '127.0.0.1'
    option netmask '255.0.0.0'

config globals 'globals'

config device
    option name 'br-lan'
    option type 'bridge'
    list ports 'eth1.1'

config interface 'lan'
    option device 'br-lan'
    option proto 'static'
    option netmask '255.255.255.0'
    option ipaddr '192.168.1.1'
    option delegate '0'
    option ip6ifaceid '::123'
    option ip6assign '64'

config interface 'wan'
    option device 'eth0.2'
    option proto 'static'
    option ipaddr '213.25.67.15'
    option netmask '255.255.255.255'
    option gateway '213.25.67.1'
    list dns '1.1.1.1'
    list dns '1.0.0.1'
    option delegate '0'

config interface 'wan6'
    option proto '6in4'
    option mtu '1480'
    option peerdns '0'
    list dns '2606:4700:4700::1111'
    list dns '2606:4700:4700::1001'
    option peeraddr '217.30.10.106'
    list ip6prefix '2a06:a003:9025::/64'

config switch
    option name 'switch0'
    option reset '1'
    option enable_vlan '1'

config switch_vlan
    option device 'switch0'
    option vlan '1'
    option ports '2 3 4 5 0t'

config switch_vlan
    option device 'switch0'
    option vlan '2'
    option ports '1 6t'

config route
    option interface 'wan'
    option target '0.0.0.0/0'
    option gateway '213.25.67.1'

config route
    option interface 'wan'
    option target '213.25.67.0/24'

dhcp:

config dnsmasq
    option domainneeded '1'
    option localise_queries '1'
    option rebind_protection '1'
    option rebind_localhost '1'
    option local '/lan/'
    option domain 'lan'
    option expandhosts '1'
    option authoritative '1'
    option readethers '1'
    option leasefile '/tmp/dhcp.leases'
    option resolvfile '/tmp/resolv.conf.d/resolv.conf.auto'
    option localservice '1'
    option ednspacket_max '1232'
    option confdir '/tmp/dnsmasq.d'
    option sequential_ip '1'
    option cachesize '1500'

config dhcp 'lan'
    option interface 'lan'
    option dhcpv4 'server'
    option limit '25'
    option leasetime '30d'
    option start '8'
    option dhcpv6 'server'
    option ra 'server'
    option ra_default '2'
    list ra_flags 'managed-config'
    list ra_flags 'other-config'
    option ra_lifetime '9000'

config dhcp 'wan'
    option interface 'wan'
    option ignore '1'
    option start '100'
    option limit '150'
    option leasetime '12h'

config odhcpd 'odhcpd'
    option maindhcp '0'
    option leasefile '/tmp/hosts/odhcpd'
    option leasetrigger '/usr/sbin/odhcpd-update'
    option loglevel '4'

config dhcp 'wan6'
    option interface 'wan6'
    option ignore '1'

2 Odpowiedź przez mar_w

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Porty niedostępne przez IPv6 na openwrt (tunnelbroker)

Czy na pewno dobrze działa Ci ta sieć?
Ideologicznie jest parę kontrowersji...
1. Skoro masz config switcha na vlan 1 (4 porty - 2,3,4,5) i vlan 2 (1 port - 1) to oczekiwana konfiguracja interfejsów powinna wyglądać eth0.1 i eth0.2 a u Ciebie w device br-lan jest... eth1.1
Czasem port wan jest poza switchem jako eth1 , ale żeby strefa lan....

2. Skoro w interfejsie "wan" definiujesz gateway to po co dodatkowo sekcja route z domyślną bramą która jest taka sama jak w sekcji wan?
A może maska adresu IP na wanie jest "niekompatybilna" i musiałeś jakoś ratować sytuację?
...

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

3 Odpowiedź przez kamil445

  • Skąd: Czersk
  • Zarejestrowany: 2017-08-20
  • Posty: 21

Odp: Porty niedostępne przez IPv6 na openwrt (tunnelbroker)

Nie zmieniałem ustawień vlan, wszystko tam jest domyślnie, IPv4 działa OK, IPv6 również poza portami ale to już ogarnąłem smile

Wystarczyło dodać taką regułę do firewall

ci add firewall rule
uci set firewall.@rule[-1].name="Forward-IPv6"
uci set firewall.@rule[-1].src="wan"
uci set firewall.@rule[-1].dest="lan"
uci set firewall.@rule[-1].dest_ip="::2/-64"
uci set firewall.@rule[-1].family="ipv6"
uci set firewall.@rule[-1].proto="tcp udp"
uci set firewall.@rule[-1].target="ACCEPT"

to odblokowało porty tylko dla jednego IPv6 więc zmieniłem z 

uci set firewall.@rule[-1].dest_ip="::2/-64"

na

uci set firewall.@rule[-1].dest_ip="::/-64"

i każdy IPv6 ma odblokowane porty, co chciałem uzyskać, nie wiem czy to jest zrobione "zgodnie ze sztuką" jeżeli takowa istnieje, ale działa git big_smile