6in4 Проброс входящего трафика через 6in4 туннель до локальных устройств

[cyrmax]

Здравствуйте.
Получил IPv6 подсеть от туннельного брокера, включил IPv6 компонент в интерфейсе роутера.
Задача минимум выполнена: все устройства в локальной сети получают уникальные ipv6 адреса, могут ходить в интернет по IPv6, нареканий нет.

Но теперь встала другая проблема.
За роутером стоит домашний псевдосервер (обычный компьютер с линуксом, без монитора и клавиатуры). На компьютере крутятся несколько сервисов, к которым нужно подключаться из внешнего мира.
Как будто бы IPv6 должен позволять делать это без проброса портов, так как адреса уникальные для каждого устройства.
Однако, даже пинговать сервер по его глобальному ipv6 адресу не получается. Также и не получается подключаться по ssh, http, https и так далее.

Результатом долгого гугления стали две попытки что-то сделать из командной строки роутера:
1. Добавить правило для ipv6, чтобы трафик на выбранном порту пропускался до выбранного устройства
ipv6 static icmpv6 <mac>
ipv6 static tcpudp <mac> <port>

2. После того, как первый вариант не сработал, была идея временно вообще отключить защиту, чтобы как минимум проверить, проходят ли пакеты без неё
no ipv6 firewall.

Как можно понять, результата первое решение не дало, а на второе роутер ругнулся, что команды firewall не существует.

Собственно, вопрос: можно ли реализовать задуманное и если да, то как это сделать?

Keenetic OS 4.0.7 и Keenetic OS 4.1.0 (обновился до предварительной версии в надежде на улучшение ситуации с IPv6).

Заранее спасибо!
 

[slomblobov]

Команда ipv6 firewall давно удалена, в остальном всё правильно. Приложите селфтест к скрытому сообщению, посмотрим настройки и сгенерированные правила firewall.

[cyrmax]

Я с удовольствием поделюсь self-testом, но я если честно даже не понимаю до конца для какого интерфейса делать эти правила. Есть интерфейс, в который подключен кабель от провайдера. Есть PPPoE0, так как провайдер именно через PPPoE авторизует меня. Есть интерфейс Home, он же Bridge0, который по сути представляет собой домашний сегмент сети. И есть TunnelSixInFour0, который собственно и является туннелем для ipv6.

Какой интерфейс мне указывать в ipv6 static? Для простоты пробовал с протоколом icmpv6, чтобы пинги проходили. Указывал TunnelSixInFour0 - ошибок нет, но пинги до сервера за роутером не идут. Указывал также Home, PPPoE0 - но пинги тоже не идут. Сейчас очистил все правила на всякий случай. Могу повторить эксперимент ещё раз и предоставить self-test. Только не совсем понял, что значит "скрытое сообщение". Я новичок на форуме и с функционалом не знаком. К тому же я незрячий, пользуюсь скринридером, а с ним есть некоторые проблемы на сайте, некоторые элементы он не обнаруживает корректно, и я могу пропускать даже важные чекбоксы и текстовые поля  Но я попробую. Заранее спасибо

[slomblobov]

ipv6 static указывать для TunnelSixInFour0. А через PPPoE0 ходит только ipv4 трафик (ipv6 в упакованном/инкапсулированном в ipv4 формате).

[cyrmax]

Я вроде бы отправил сообщение скрытое с self-testом и подробностями, но сейчас почему-то его не вижу. Если оно не опубликовалось, скажите, пожалуйста, и я что-нибудь придумаю.

[krass]

5 минут назад, cyrmax сказал:

Я вроде бы отправил сообщение скрытое с self-testом и подробностями, но сейчас почему-то его не вижу. Если оно не опубликовалось, скажите, пожалуйста, и я что-нибудь придумаю.

Не стоит переживать.
Если вы сделали согласно инструкции https://forum.keenetic.ru/announcement/4-как-правильно-добавить-self-test-и-прочую-отладку-в-тему/
то проблем быть не должно.

[slomblobov]

По селфу видно, что хост home-server не имеет никаких правил форвардинга в файерволе т.к. роутеру не удалось выявить ни одного ipv6 адреса (show ip neighbour).

[cyrmax]

Добрый день!

Всем спасибо за помощь и подсказки.

Проблема решилась следующим образом:

Так как сервер за роутером не обнаруживался роутером по ipv6 в show ipv6 neighbour, возникло предположение посмотреть в сторону правильности работы dhcpv6.

В моей конфигурации сервер пытался получить статически IP на основе своего mac, то есть в /etc/network/interfaces было написано примерно
iface eno1 inet6 static

  address ........

gateway fe80::2

dns-nameservers ........

 

Поменял на iface eno1 inet6 auto, удалил адрес и гейтвей, перезапустил службу networking, и роутер начал обнаруживать сервер в ip neighbor.

После этого правила с mac-адресом сервера и интерфейсом TunnelSixInFour0 начали работать как надо.

К примеру для проброса порта 1234 по tcp/udp сработала команда

ipv6 static tcpudp TunnelSixInFour0 <macaddr> 1234

 

Как выяснилось проброс диапазона портов тоже работает, допустим для диапазона от 30000 до 40000 по udp делается так

ipv6 static udp TunnelSixInFour0 <device_mac> 30000 through 40000

 

Всем спасибо!