Im ersten Teil dieser Anleitungsserie haben wir dafür gesorgt, dass unsere Tunnel auch nach einem Wechsel der IP's von unserem Internetzugang weiter kommunizieren können.
Nun Richten wir den Tunnel für die IPv6 Adressen von tunnelbroker.net ein und beschränken uns hierbei auf ein /64er Netz.
Vorgehensweise
Als erstes legen wir den Tunnel an, weisen den Interfaces IPv6 Adressen aus unserem zugewiesenen /64er Netz zu und legen einen DHCP Server an. Desweiteren müssen wir dann noch zusätzlich einige Firewall Regeln hinzufügen, damit alles funktioniert.
Anders als in den anderen Anleitungen, werden wir die vorwiegend über die Konsole des RouterOS arbeiten, dies verkürzt den Aufwand ein wenig und wir können die Befehle z.B. in einem Texteditort vorbereiten.
Da unser Netzwerk an einem Internetzugang mit dynamischen IP's hängt, müssen wir bei allen Tunneln als "Local Adress" die IP 0.0.0.0 eingeben.
In meinem Beispiel habe ich auf meinem RouterBOARD eine Bridge für eth7 und eth8 eingerichtet, an denen die Server angeschlossen sind. Dies wird bei Euch eher nicht der Fall sein, daher ersetzt den Namen der Brücke "svrnet" durch den Namen des Interfaces, welches Ihr für Eure Server nutzt.
Der Tunnel bekommt in meinem Fall den Namen "tunbro1". Ich habe alle Angaben in den Befehlen blau markiert, die Ihr auf Eure Umgebung anpassen müsst.
Dann fangen wir mal an
Wir verbinden uns mit der Winbox oder via SSH zu unserem Router. Bei der Winbox wählen wir im linken Menü den Punkt "New Terminal".
Als erstes legen wir den 6in4 Tunnel an. Wichtig ist, dass Ihr beim Parameter "remote-address" die Adresse aus dem Tunnelbroker.net Control Panel mit der Bezeichnung "Server IPv4 Address" eintragt. Diese Adresse variiert zwischen den Tunneln und ist abhängig davon, wo der Tunnelendpunkt eingerichtet wurde. Die MTU ist auf 1452 gesetzt, da wir sonst Probleme mit Fragmentierungen der Datenpakete bekommen können. (Bitte auch im Control Panel unter "Advanced" einstellen.)
/interface 6to4 add comment="TunnelBroker.net Tunnel" local-address=0.0.0.0 mtu=1452 name=tunbro1 remote-address=x.x.x.x
Dem Tunnelinterface müssen wir die im Control Panel von Tunnelbroker genannte "Client IPv6 Address" zuweisen, damit die Kommunikation mit dem Tunnel möglich ist.
/ipv6 address add address=2001:470:xxx:xxxx::2/64 interface=tunbro1 disabled=noNun weisen wir dem LAN Port bzw. der Bridge, worauf die Server angeschlossen sind, IPv6 Adressen aus unteren "Routed /64" zu. Bitte verwechselt dies nicht mit dem Netz der "Client IPv6 Address", da meistens nur ein einzelnes Zeichen unterschiedlich ist und dadurch die komplette Konfiguration sonst nicht funktioniert. Die IP mit "::feed" ist dabei nur Beispielhaft und kann bei von Euch natürlich geändert werden.
/ipv6 address add address=2001:470:bbb:bbbb::1/64 interface=tunbro1 /ipv6 address add address=2001:470:bbb:bbbb::feed/64 interface=svrnet
Der DHCP Server muss auf dem Interface eingerichtet werden, an dem der oder die Server hängen. Als Gateway geben wir die im Control Panel genannte "Server IPv6 Address" an.
/ipv6 dhcp-server add address-pool=pool-tunbro1-64 interface=svrnet name=dhcpv6-svrnet /ipv6 dhcp-server pool add name=-tunbro1-64 prefix=2001:470:xx:xxxx::/64 /ipv6 dhcp-server option add code=3 name=option3 value=2001:470:xx:xxxx::1 /ipv6 dhcp-server option set dhcpv6-svrnet option=option3
Damit die Kommunikation korrekt funktioniert, benötigen wir noch ein paar Regeln für die Firewall:
/ipv6 firewall filter add action=accept chain=input comment="Allow IPv6 ICMP" protocol=icmpv6 /ipv6 firewall filter add action=accept chain=input comment="Allow IPv6 Established,Related" connection-state=established,related /ipv6 firewall filter add action=accept chain=input comment="Allow IPv6" connection-state=new in-interface=tunbro1 /ipv6 firewall filter add action=accept chain=forward comment="Allow IPv6 Established,Related" connection-state=established,related /ipv6 firewall filter add action=accept chain=forward comment="Allow IPv6" connection-state=new in-interface=tunbro1 /ipv6 firewall filter add action=accept chain=input comment="Allow DHCPv6" protocol=udp dst-port=546 /ipv6 firewall filter add action=accept chain=forward comment="Allow DHCPv6" protocol=udp dst-port=546
Die Firewall Regeln bewirken, dass zum einen ICMP Abfragen möglich sind und der IPv6 Traffic weitergeleitet wird. Zusätzlich wird auch noch der Port 546 freigegeben, damit DHCP für IPv6 funktioniert.
Fertig!
Wenn Ihr alles korrekt konfiguriert habt, ist IPv6 via Tunnelbroker.net aktiv und alle Geräte an dem Netzwerkport für die Server bekommen eine IPv6 Adresse zugewiesen.
Es ist aber auch möglich eine feste IPv6 Adresse aus dem /64 Netz zuzuweisen. Das Gateway ist dabei auch die im Control Panel genannte "Server IPv6 Address".
Reverse DNS
Um reverse DNS für Eure IPv6 Adressen zu verwenden, müsst Ihr im Control Panel von Tunnelbroker.net auf der Seite "Tunnel Details" runterscrollen zum Punkt "rDNS Delegations" und klickt dort auf den Textlink "Delegate to dns.he.net" und wartet bis dies gespeichert ist.
Danach könnt Ihr Euch unter dns.he.net mit Euren Tunnelbroker Zugangsdaten einloggen und den FreeDNS Service von he.net nutzen. Eure Delegierten IPv6 Präfixe findet Ihr dann bereits dort in dem Control Panel und könnt die reverse DNS setzen.