Вы находитесь здесь: version6.ru » Провайдеры с IPv6 » IPv6 от провайдера Дом.ru » IPv6 от Дом.ru (ЭР-Телеком) на сервере Ubuntu/Debian
Различия
Здесь показаны различия между выбранной ревизией и текущей версией данной страницы.
isp:domru:ubuntu-server-howto [2016-09-02 10:10 UTC] vazhnov Первая версия, надо проверить |
isp:domru:ubuntu-server-howto [2019-10-06 17:00 UTC] (текущий) rm |
||
---|---|---|---|
Строка 2: | Строка 2: | ||
Теория: используется PPPoE с IPv4, поверх него можно воспользоваться протоколом DHCPv6-PD для получения IPv6 prefix delegation. | Теория: используется PPPoE с IPv4, поверх него можно воспользоваться протоколом DHCPv6-PD для получения IPv6 prefix delegation. | ||
+ | |||
+ | :!: Внимание! Если вы настроите IPv6 без настройки межсетевого экрана, то предоставите полный доступ к ресурсам сервера. Если сервер выполняет роль роутера, то и доступ ко всем ресурсам локальной сети. | ||
===== PPPoE ===== | ===== PPPoE ===== | ||
Строка 12: | Строка 14: | ||
</code> | </code> | ||
- | А потом просто проверить получившиеся настройки. | + | [[https://domru.ru/service/knowledgebase/article/174|Здесь]] официальная инструкция от ЭР-Телекома, с картинками. |
+ | |||
+ | Потом поправить получившиеся настройки (обычно необходимо добавить одну из опций — ''ipv6 ,'' или ''+ipv6''): | ||
Пример: | Пример: | ||
<file text /etc/ppp/peers/dsl-provider> | <file text /etc/ppp/peers/dsl-provider> | ||
+ | +ipv6 | ||
noipdefault | noipdefault | ||
defaultroute | defaultroute | ||
Строка 22: | Строка 27: | ||
noauth | noauth | ||
persist | persist | ||
+ | maxfail 0 | ||
plugin rp-pppoe.so eth1 | plugin rp-pppoe.so eth1 | ||
user "v1234567" | user "v1234567" | ||
</file> | </file> | ||
- | От опций ''ipv6 ,'' и ''+ipv6'', рекомендуемых на некоторых форумах, никакой пользы нет, т.к. непосредственно по PPPoE домру не раздаёт IPv6. | + | Для сервера, желательно указать опцию ''maxfail 0'', чтобы в случае проблем у провайдера, pppd пытался подключиться вечно, а не 10 раз, как это настроено по умолчанию. |
+ | Пример системных настроек сетевых интерфейсов (тут обычно править ничего не нужно): | ||
<file text /etc/network/interfaces> | <file text /etc/network/interfaces> | ||
+ | … | ||
auto dsl-provider | auto dsl-provider | ||
iface dsl-provider inet ppp | iface dsl-provider inet ppp | ||
Строка 34: | Строка 42: | ||
provider dsl-provider | provider dsl-provider | ||
</file> | </file> | ||
+ | |||
+ | ===== Межсетевой экран ===== | ||
+ | |||
+ | ==== ip6tables ==== | ||
+ | |||
+ | Разрешаем любые исходящие соединения, а также входящие icmpv6 и tcp на 80-й (http) и 22 порт (ssh): | ||
+ | |||
+ | <file shell /etc/ppp/ipv6-up.d/10-ip6tables> | ||
+ | #!/bin/sh | ||
+ | |||
+ | # Default value (if unset): | ||
+ | IFNAME=${IFNAME:-ppp0} | ||
+ | |||
+ | ip6tables -F | ||
+ | ip6tables -X | ||
+ | ip6tables -P FORWARD DROP | ||
+ | # Accept DHCPv6 from WAN | ||
+ | ip6tables -A INPUT -i $IFNAME -p udp -s fe80::/10 --sport 547 --dport 546 -j ACCEPT | ||
+ | ip6tables -A INPUT -p icmpv6 -j ACCEPT | ||
+ | ip6tables -A INPUT -m state --state INVALID -j DROP | ||
+ | ip6tables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT | ||
+ | ip6tables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT | ||
+ | ip6tables -A INPUT -i $IFNAME -m state --state ESTABLISHED,RELATED -j ACCEPT | ||
+ | ip6tables -A INPUT -i $IFNAME -j REJECT | ||
+ | ip6tables -A OUTPUT -o $IFNAME -j ACCEPT | ||
+ | </file> | ||
+ | |||
+ | ==== shorewall6 ==== | ||
+ | Раздел ещё не дописан. | ||
===== DHCPv6-PD ===== | ===== DHCPv6-PD ===== | ||
- | Получение IPv6 можно настроить с помощью любого из этих демонов: | + | Получение IPv6 адреса по DHCPv6-PD можно настроить с помощью любого из этих демонов: |
- | * wide-dhcpv6-client | + | |
- | * dhcpcd | + | |
* dhcpcd5 | * dhcpcd5 | ||
+ | * wide-dhcpv6-client | ||
+ | * dibbler-client | ||
+ | |||
+ | ==== dhcpcd ==== | ||
+ | |||
+ | Получить DHCPv6-PD можно с помощью пакета dhcpcd5. | ||
+ | Установка: | ||
+ | <code> | ||
+ | sudo apt-get update | ||
+ | sudo apt-get install dhcpcd5 | ||
+ | </code> | ||
+ | |||
+ | Конфигурация: | ||
+ | <file text /etc/dhcpcd.conf> | ||
+ | allowinterfaces ppp0 eth0 | ||
+ | duid | ||
+ | ipv6only | ||
+ | noipv6rs | ||
+ | interface ppp0 | ||
+ | ia_pd 1/::/64 eth0/0/64 | ||
+ | </file> | ||
+ | |||
+ | При остановке (или обрыве) PPPoE, dhcpcd5 сам удалит IPv6 адрес с eth0, а при переподключении сам получит новый IPv6 адрес. А вот о маршруте по умолчанию надо позаботиться самим: | ||
+ | |||
+ | <file shell /etc/ppp/ipv6-up.d/20-route6> | ||
+ | #!/bin/sh | ||
+ | ip -6 route add default dev $IFNAME | ||
+ | </file> | ||
==== wide-dhcpv6-client ==== | ==== wide-dhcpv6-client ==== | ||
- | Установить пакет wide-dhcpv6-client: | + | Если не устраивает dhcpcd5, можно установить пакет wide-dhcpv6-client (но имейте в виду, что проект не развивается с 2008 года: [[https://sourceforge.net/p/wide-dhcpv6/git/ci/master/tree/|git репозиторий]]). |
+ | |||
+ | Вначале убедитесь, что PPPoE соединение установлено, иначе установка будет завершена с ошибкой. | ||
+ | |||
+ | Установка: | ||
<code> | <code> | ||
sudo apt-get update | sudo apt-get update | ||
sudo apt-get install wide-dhcpv6-client | sudo apt-get install wide-dhcpv6-client | ||
</code> | </code> | ||
+ | |||
+ | На вопрос «Интерфейсы, на которые клиент DHCPv6 должен отправлять запросы» ответить ppp0. | ||
<file text /etc/wide-dhcpv6/dhcp6c.conf> | <file text /etc/wide-dhcpv6/dhcp6c.conf> | ||
Строка 63: | Строка 132: | ||
</file> | </file> | ||
- | ==== dhcpcd ==== | + | активируем автозапуск: |
+ | <file shell /etc/default/wide-dhcpv6-client> | ||
+ | INTERFACES="ppp0" | ||
+ | </file> | ||
- | Если не устраивает wide-dhcpv6-client, можно то же самое сделать с помощью пакета dhcpcd. | + | Т.к. в случае остановки PPPoE надо удалить IPv6 адрес с eth0, но wide-dhcpv6-client почему то не делает этого сам, поэтому вобьём небольшой костыль: |
+ | <file shell /etc/ppp/ipv6-down.d/20-wide-client-stop> | ||
+ | #!/bin/sh | ||
+ | service wide-dhcpv6-client stop | ||
+ | </file> | ||
- | Данная конфигурация ещё не проверена: | + | и к нему второй костыль: |
- | <file text /etc/dhcpcd.conf> | + | <file shell /etc/ppp/ipv6-up.d/20-wide-client-start> |
- | allowinterfaces ppp0 eth0 | + | #!/bin/sh |
- | duid | + | service wide-dhcpv6-client start |
- | ipv6only | + | |
- | noipv6rs | + | |
- | interface ppp0 | + | |
- | ia_pd 1 eth0 | + | |
</file> | </file> | ||
+ | |||
+ | делаем файлы исполняемыми: | ||
+ | <code> | ||
+ | sudo chmod +x /etc/ppp/ipv6-down.d/20-wide-client-stop /etc/ppp/ipv6-up.d/20-wide-client-start | ||
+ | </code> | ||
+ | |||
+ | и запускаем: | ||
+ | <code> | ||
+ | sudo service wide-dhcpv6-client start | ||
+ | </code> | ||
+ | |||
+ | проверяем: | ||
+ | <code> | ||
+ | ip -6 addr show eth0 | ||
+ | ping6 2600:: | ||
+ | </code> | ||
===== Раздача IPv6 в локальную сеть ===== | ===== Раздача IPv6 в локальную сеть ===== | ||
+ | |||
+ | В дополнение ко всему написанному выше, надо сделать ещё три пункта: | ||
+ | * Нужно раздать ip-адреса, | ||
+ | * настроить межсетевой экран, | ||
+ | * разрешить проброс трафика между интерфейсами. | ||
+ | |||
+ | ==== Раздача IP-адресов ==== | ||
Раздачу IPv6 можно организовать с помощью radvd или dnsmasq. | Раздачу IPv6 можно организовать с помощью radvd или dnsmasq. | ||
+ | |||
+ | === radvd === | ||
+ | |||
+ | Установка: | ||
+ | <code> | ||
+ | sudo apt-get update | ||
+ | sudo apt-get install radvd | ||
+ | </code> | ||
+ | |||
+ | Настройка: | ||
+ | <file text /etc/radvd.conf> | ||
+ | interface eth0 | ||
+ | { | ||
+ | AdvSendAdvert on; | ||
+ | MaxRtrAdvInterval 60; | ||
+ | |||
+ | prefix ::/64 | ||
+ | { | ||
+ | AdvValidLifetime 600; | ||
+ | AdvPreferredLifetime 120; | ||
+ | }; | ||
+ | }; | ||
+ | </file> | ||
+ | |||
+ | Указание префикса в виде ''::/64'' включает автоматическое его определение из адресов, имеющихся на интерфейсе. При этом в некоторых версиях ''radvd'' возможно появление в логах сообщения "invalid all-zeros prefix in /etc/radvd.conf", однако его вывод является ошибочным (позже это было [[https://github.com/reubenhwk/radvd/commit/b37baa1137d0bd5b9cceb2e447550f1c0a105ac6|исправлено]]), и даже с таким сообщением всё должно [[https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=891324|работать нормально]]. | ||
+ | |||
+ | === dnsmasq === | ||
+ | |||
Раздел ещё не дописан. | Раздел ещё не дописан. | ||
+ | ==== Межсетевой экран ==== | ||
- | ===== Межсетевой экран ===== | + | Межсетевой экран будет отличаться от предыдущего варианта, где не надо было пробрасывать трафик и защищать локальную сеть. |
- | Раздел ещё не написан. | + | === ip6tables === |
+ | |||
+ | В этом примере разрешаем: | ||
+ | * любые исходящие соединения, в том числе из локальной сети; | ||
+ | * любые входящие icmpv6, в том числе в локальную сеть; | ||
+ | * любые входящие на 80-й порт tcp (http), в том числе в локальную сеть; | ||
+ | * входящие на сервер (но не в локальную сеть) tcp на 22-й порт (ssh). | ||
+ | |||
+ | <file shell /etc/ppp/ipv6-up.d/10-ip6tables> | ||
+ | #!/bin/sh | ||
+ | |||
+ | # Default value (if unset): | ||
+ | IFNAME=${IFNAME:-ppp0} | ||
+ | |||
+ | ip6tables -F | ||
+ | ip6tables -X | ||
+ | ip6tables -P FORWARD DROP | ||
+ | # Accept DHCPv6 from WAN | ||
+ | ip6tables -A INPUT -i $IFNAME -p udp -s fe80::/10 --sport 547 --dport 546 -j ACCEPT | ||
+ | ip6tables -A INPUT -p icmpv6 -j ACCEPT | ||
+ | ip6tables -A INPUT -m state --state INVALID -j DROP | ||
+ | ip6tables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT | ||
+ | ip6tables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT | ||
+ | ip6tables -A INPUT -i $IFNAME -m state --state ESTABLISHED,RELATED -j ACCEPT | ||
+ | ip6tables -A INPUT -i $IFNAME -j REJECT | ||
+ | ip6tables -A OUTPUT -o $IFNAME -j ACCEPT | ||
+ | ip6tables -A FORWARD -p icmpv6 -j ACCEPT | ||
+ | ip6tables -A FORWARD -i eth0 -o $IFNAME -j ACCEPT | ||
+ | ip6tables -A FORWARD -i $IFNAME -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT | ||
+ | ip6tables -A FORWARD -i $IFNAME -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT | ||
+ | ip6tables -A FORWARD -m state --state INVALID -j DROP | ||
+ | ip6tables -A FORWARD -j REJECT | ||
+ | </file> | ||
+ | |||
+ | === shorewall6 === | ||
+ | Раздел ещё не дописан. | ||
+ | |||
+ | ==== Проброс трафика ==== | ||
+ | |||
+ | Чтобы разрешить трафик между интерфейсами (т.е., чтобы из локальной сети можно было получить доступ в Интернет по IPv6): | ||
+ | |||
+ | <file ini /etc/sysctl.d/60-ipv6-forwarding.conf> | ||
+ | net.ipv6.conf.all.forwarding=1 | ||
+ | net.ipv6.conf.default.forwarding=1 | ||
+ | net.ipv6.conf.ppp0.accept_ra=2 | ||
+ | </file> | ||
+ | |||
+ | Применяем: | ||
+ | <code> | ||
+ | sudo sysctl -p /etc/sysctl.d/60-ipv6-forwarding.conf | ||
+ | </code> | ||
+ | |||
+ | ===== Известные проблемы ===== | ||
+ | |||
+ | * Иногда при подключении по PPPoE не работает DHCPv6, попробуйте перезапустить PPPoE: | ||
+ | <code> | ||
+ | sudo poff dsl-provider | ||
+ | sudo pon dsl-provider | ||
+ | </code> | ||
+ | * dhcpcd5 (по крайней мере версии 6.0.5, из Ubuntu 14.04) иногда может падать: | ||
+ | <code> | ||
+ | Sep 27 22:55:24 ubuntuhost dhcpcd[2802]: ppp0: REPLY6 received from fe80::7e20:64ff:fe84:2765 | ||
+ | Sep 27 22:55:24 ubuntuhost kernel: [84643.202100] show_signal_msg: 48 callbacks suppressed | ||
+ | Sep 27 22:55:24 ubuntuhost kernel: [84643.202112] dhcpcd[2802]: segfault at 454c456c ip 08060531 sp bfb0af50 error 4 in dhcpcd5[8048000+26000] | ||
+ | </code> | ||
+ | * а radvd при этом продолжит раздавать адресацию, которой уже нет (bugreport: [[https://github.com/reubenhwk/radvd/issues/53|radvd doesn't announce prefix added at runtime]]). | ||
+ | * При использовании dhcpcd5 (по крайней мере версии 6.0.5, из Ubuntu 14.04) на роутере с двумя сетевыми интерфейсами, в случае если интерфейс, на котором прописывается IPv6 адрес, переходит в состояние down (например выключили коммутатор за роутером), то IPv6 адрес удаляется и сервер остаётся без IPv6. После поднятия интерфейса адрес не восстанавливается. Такой проблемы нет с wide-dhcpv6-client, благодаря скриптам /etc/network/if-down.d/wide-dhcpv6-client и /etc/network/if-up.d/wide-dhcpv6-client. |
isp/domru/ubuntu-server-howto.1472811054.txt.gz · Последние изменения: 2016-09-02 10:10 UTC От vazhnov