Proxmox и 6to4... как?

[proxmox 0]

Вечер добрый.

Есть такая задачка.

Есть сервер с proxmox. Есть один белый ipv4.

Суть идеи:

- поднять на сервере 6to4  и получить ipv6 сеть /48

- раздать виртуалкам ipv6

 

Вопроса 2:

1) смогут ли машины ipv4 из вне достукиваться до таких виртуалок?

2) если да, то как это сделать в рамках с Proxmox?

[mr.Scamp 43]

Доброй ночи.

 

Поднять можно.

После настройки тоннеля вешаете на бриджи с виртуалками подсети по /64, и вперед.

Но это будет не очень продуктивно.

Во-первых, дефолтный рилей 192.88.99.1 может находиться далеко от вас, и быть перегруженным (как большинство публичных рилеев), кроме того, никто не будет гарантировать его доступности.

Советую посмотреть в сторону туннелброкеров, например tb.netassist.ua, tunnelbroker.net. Они работают намного предсказуемее, причем первый находится в Украине, и значит пинг и скорость будут отличными.

[mr.Scamp 43]

Для доступности машинок снаружи по IPv4 им необходимо будет выдать IPv4-адреса.

IPv6-адреса буду доступны только для тех клиентов, у которых этот протокол настроен и работает.

Клиенты, у которых его нет, к IPv6-адресам не достукаются.

6to4 работает только у счастливых обладателей публичных IPv4-адресов.

Teredo, который умеет работать через нат, уже неактуален и насколько мне известно, Microsoft потушила дефолтные для 7й винды рилеи.

 

Т.е. назначение виртуалкам IPv6-адресов из 6to4 не сделает их доступными для тех, у кого этих IPv6-адресов нет.

[tkapluk 926]

 

 

Суть идеи: - поднять на сервере 6to4  и получить ipv6 сеть /48 - раздать виртуалкам ipv6

 

Суть идеи понятна, не понятно зачем это нужно. Какая практическая польза? 

 

В голову приходи только создание суперсидера, который будет быстрее начинать раздавать торрренты. Но если учитывать то что написал mr.Scamp о тередо... вся польза сводится на нет.

 

ЗЫ: Какой толк сейчас от Тередо? Протокол то до сих пор работает:

Туннельный адаптер Подключение по локальной сети* 3:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Microsoft Teredo Tunneling Adapter
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv6-адрес. . . . . . . . . . . . : 2001:0:9d38:90d7:34c2:e35:9204:fa35(Основной)
   Локальный IPv6-адрес канала . . . : fe80::34c2:e35:9204:fa35%2(Основной)
   Основной шлюз. . . . . . . . . : ::
   IAID DHCPv6 . . . . . . . . . . . : 134217728
   DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-1D-42-F8-0F-C8-60-00-6A-9C-39
   NetBios через TCP/IP. . . . . . . . : Отключен

но шлюза теперь нет. 

Гоняют обновления "торрентом" по огромной локальной подсети? 

[proxmox 0]

Доброй ночи.

 

Поднять можно.

После настройки тоннеля вешаете на бриджи с виртуалками подсети по /64, и вперед.

Но это будет не очень продуктивно.

Во-первых, дефолтный рилей 192.88.99.1 может находиться далеко от вас, и быть перегруженным (как большинство публичных рилеев), кроме того, никто не будет гарантировать его доступности.

Советую посмотреть в сторону туннелброкеров, например tb.netassist.ua, tunnelbroker.net. Они работают намного предсказуемее, причем первый находится в Украине, и значит пинг и скорость будут отличными.

пинг 4мс, 4-5 хопов до дефолт релея

Разве бесплатные тунельные брокеры способны сгенерировать хорошую скорость и низкий пинг?

 

 

 

Т.е. назначение виртуалкам IPv6-адресов из 6to4 не сделает их доступными для тех, у кого этих IPv6-адресов нет.

 

хреново и тупо

по умолчанию на ПК поддержка протокола в6 включена, отправляя пакет на ИП 6to4 клиентская машина знает что это за ип, знает за каким ипом в4 он находится и знает через какой гейтвей пакет слать, знает что этот пакет нужно инкапсулировать в ипв4 

То есть в теории нет никаких технических ограничений чтобы переслать пакет с машины с Ipv4 на ipv6 6to4

Поэтому имхо и странно что не взлетит ;(

 

 

 

Суть идеи: - поднять на сервере 6to4  и получить ipv6 сеть /48 - раздать виртуалкам ipv6

 

 

 

Суть идеи простая. Имея лишь один честный ип на сервер получать прямой доступ к сотне виртуалок без проброса портов.

Надежда была в том что 6to4 поднятый на аплинке сервера будет преобразовывать пакеты в обе стороны.

Эффект целесообразен только если клиентские машины без ipv6 адреса смогут до таких виртуалок достукиваться.

Потому как пока ПК с ipv6 маловато будет...

Edited 2015-08-27 14:10:51 by proxmox

[pashaumka 35]

а просто префиксы / ипы не пробовали раздавать?

Edited 2015-08-27 14:40:38 by pashaumka

[proxmox 0]

 

 

а просто префиксы / ипы не пробовали раздавать?

 

а можно пояснить суть идеи?

[tkapluk 926]

 

 

Имея лишь один честный ип на сервер получать прямой доступ к сотне виртуалок без проброса портов.

 

Так не бывает. 

точнее бывает в частных случаях. Например, сайты разбираются по именами виртуальных хостов. 

[proxmox 0]

 

Имея лишь один честный ип на сервер получать прямой доступ к сотне виртуалок без проброса портов.

 

Так не бывает. 

точнее бывает в частных случаях. Например, сайты разбираются по именами виртуальных хостов. 

 

а по подробней?

 

можно ли например поднять нат, раздать на виртуалки серые адреса, поднять поддомены по количеству виртуалок и как-то настроить проброс...

Ну вот например пингую я vm1.server.com а пакеты автоматом через нат пробрасываются на виртуалку 1.

 

в http запросах там все понятно, а как быть с остальными протоколами? Такой финт никак нельзя придумать?

[tkapluk 926]

 

 

Имея лишь один честный ип на сервер получать прямой доступ к сотне виртуалок без проброса портов.

 

Так не бывает. 

точнее бывает в частных случаях. Например, сайты разбираются по именами виртуальных хостов. 

 

а по подробней?

 

можно ли например поднять нат, раздать на виртуалки серые адреса, поднять поддомены по количеству виртуалок и как-то настроить проброс...

Ну вот например пингую я vm1.server.com а пакеты автоматом через нат пробрасываются на виртуалку 1.

 

в http запросах там все понятно, а как быть с остальными протоколами? Такой финт никак нельзя придумать?

 

Нельзя так как в этих пакетах нет инфы к какому именно хосту обращаются, только ip адрес.

[mr.Scamp 43]

>пинг 4мс, 4-5 хопов до дефолт релея

далеко не всем так повезло

>Разве бесплатные тунельные брокеры способны сгенерировать хорошую скорость и низкий пинг?

стараются. по крайней мере, они могут управлять их загруженностью.

 

>хреново и тупо

>по умолчанию на ПК поддержка протокола в6 включена, отправляя пакет на ИП 6to4 клиентская машина знает что это за ип, знает за каким ипом в4 он находится и знает через какой гейтвей >пакет слать, знает что этот пакет нужно инкапсулировать в ипв4 

>То есть в теории нет никаких технических ограничений чтобы переслать пакет с машины с Ipv4 на ipv6 6to4

>Поэтому имхо и странно что не взлетит ;(

не взлетит, если машина за NAT-ом. для 6to4 нужен белый ип на интерфейсе.

 

Поставьте на хосте nginx/varnish/etc, настройте обратный прокси для нужных сабдоменов.

[mt6561 63]

Я как оператор (одного из) украинского 6to4 релея могу сказать, что увы надежность всего решения крайне низкая. Ситуации, когда из-за кривого релея не видно полмира - сплошь и рядом, практически постоянно.

Вторая проблема - при смене внешнего IPv4 весь диапазон IPv6 поменяется, соответственно, надо будет все перенастраивать и домены перерегистрировать. В туннельных брокерах это не так - сетка закрепляется за логином на постоянной основе.

 

Вообще странный вопрос. Сейчас есть много кто из операторов, которые выдадут IPv6 связность шнурком бесплатно или за смешные деньги.

 

А как альтернативу IPv6 обеспечить доступность множества серверов извне при одном айпи могу предложить tor hidden service Будет работать с любыми NATами как у сервера, так и у клиента.

[pashaumka 35]

 

а просто префиксы / ипы не пробовали раздавать?

 

а можно пояснить суть идеи?

 

 

используем accel-ppp  

 

через  PPPoE отдаем ipv6

 

скрин тут http://oi61.tinypic.com/6e2a9w.jpg

 

 

umka@umka-desktop:~$ mtr --report ipv6-test.com -6

Start: Fri Aug 28 15:53:43 2015

HOST: umka-desktop                Loss%   Snt   Last   Avg  Best  Wrst StDev

  1.|-- 2001:67c:21f0:440c:e5be:f  0.0%    10    0.8   0.8   0.8   0.9   0.0

  2.|-- bgp.localka.net            0.0%    10    0.5   0.4   0.4   0.5   0.0

  3.|-- 2a02:2518:0:a3:0:5:2191:1  0.0%    10   10.4  13.3  10.2  39.9   9.3

  4.|-- 2a02:2518:1:c:2044::2      0.0%    10   36.9  38.6  36.9  53.8   5.3

  5.|-- ???                       100.0    10    0.0   0.0   0.0   0.0   0.0

  6.|-- 2001:41d0::245             0.0%    10   46.9  46.9  46.6  47.9   0.3

  7.|-- 2001:41d0::b1c             0.0%    10   47.1  68.6  46.9 199.6  50.1

  8.|-- agaric.t0x.net             0.0%    10   46.9  46.8  46.7  47.1   0.0

umka@umka-desktop:~$

 

 

скажу ещё, что tp-link841 v9 на openwrt 14.07 ПОЛНОЦЕННО принимает подключение по ipv6 и делегирует префикс

Edited 2015-08-28 13:02:19 by pashaumka

[proxmox 0]

Ok. Всем спасибо за советы.
Давайте упростим задачу.
Как сделать так чтобы виртуалки были доступны в сети ipv6 через туннельного брокера? Например того же tb.netassist.ua
Настраивать каждую виртуалку как бы глупо.
Хотелось бы поднять на самом proxmox туннель и присваивать виртуалкам ип адреса с самого сервера. Например, тем же DHCPv6, например.

 

Сейчас на виртуалки серые адреса раздаются isc-dhcp-server, хотелось бы не сильно отступать от концепции назначения.

 

Может кто-то поделиться опытом? Не сильно хочется испытывать на рабочем сервере удачу.

[mr.Scamp 43]

Вручную настраивать не обязательно.

Свежий ISC DHCP Server умеет IPv6, нужно создание еще одного конфига для dhcpd6.