proxmox Posted August 26, 2015 Posted August 26, 2015 Вечер добрый. Есть такая задачка. Есть сервер с proxmox. Есть один белый ipv4. Суть идеи: - поднять на сервере 6to4 и получить ipv6 сеть /48 - раздать виртуалкам ipv6 Вопроса 2: 1) смогут ли машины ipv4 из вне достукиваться до таких виртуалок? 2) если да, то как это сделать в рамках с Proxmox?
mr.Scamp Posted August 26, 2015 Posted August 26, 2015 Доброй ночи. Поднять можно. После настройки тоннеля вешаете на бриджи с виртуалками подсети по /64, и вперед. Но это будет не очень продуктивно. Во-первых, дефолтный рилей 192.88.99.1 может находиться далеко от вас, и быть перегруженным (как большинство публичных рилеев), кроме того, никто не будет гарантировать его доступности. Советую посмотреть в сторону туннелброкеров, например tb.netassist.ua, tunnelbroker.net. Они работают намного предсказуемее, причем первый находится в Украине, и значит пинг и скорость будут отличными.
mr.Scamp Posted August 26, 2015 Posted August 26, 2015 Для доступности машинок снаружи по IPv4 им необходимо будет выдать IPv4-адреса. IPv6-адреса буду доступны только для тех клиентов, у которых этот протокол настроен и работает. Клиенты, у которых его нет, к IPv6-адресам не достукаются. 6to4 работает только у счастливых обладателей публичных IPv4-адресов. Teredo, который умеет работать через нат, уже неактуален и насколько мне известно, Microsoft потушила дефолтные для 7й винды рилеи. Т.е. назначение виртуалкам IPv6-адресов из 6to4 не сделает их доступными для тех, у кого этих IPv6-адресов нет.
tkapluk Posted August 27, 2015 Posted August 27, 2015 Суть идеи: - поднять на сервере 6to4 и получить ipv6 сеть /48 - раздать виртуалкам ipv6 Суть идеи понятна, не понятно зачем это нужно. Какая практическая польза? В голову приходи только создание суперсидера, который будет быстрее начинать раздавать торрренты. Но если учитывать то что написал mr.Scamp о тередо... вся польза сводится на нет. ЗЫ: Какой толк сейчас от Тередо? Протокол то до сих пор работает: Туннельный адаптер Подключение по локальной сети* 3: DNS-суффикс подключения . . . . . : Описание. . . . . . . . . . . . . : Microsoft Teredo Tunneling Adapter Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP включен. . . . . . . . . . . : Нет Автонастройка включена. . . . . . : Да IPv6-адрес. . . . . . . . . . . . : 2001:0:9d38:90d7:34c2:e35:9204:fa35(Основной) Локальный IPv6-адрес канала . . . : fe80::34c2:e35:9204:fa35%2(Основной) Основной шлюз. . . . . . . . . : :: IAID DHCPv6 . . . . . . . . . . . : 134217728 DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-1D-42-F8-0F-C8-60-00-6A-9C-39 NetBios через TCP/IP. . . . . . . . : Отключен но шлюза теперь нет. Гоняют обновления "торрентом" по огромной локальной подсети?
proxmox Posted August 27, 2015 Author Posted August 27, 2015 (edited) Доброй ночи. Поднять можно. После настройки тоннеля вешаете на бриджи с виртуалками подсети по /64, и вперед. Но это будет не очень продуктивно. Во-первых, дефолтный рилей 192.88.99.1 может находиться далеко от вас, и быть перегруженным (как большинство публичных рилеев), кроме того, никто не будет гарантировать его доступности. Советую посмотреть в сторону туннелброкеров, например tb.netassist.ua, tunnelbroker.net. Они работают намного предсказуемее, причем первый находится в Украине, и значит пинг и скорость будут отличными. пинг 4мс, 4-5 хопов до дефолт релея Разве бесплатные тунельные брокеры способны сгенерировать хорошую скорость и низкий пинг? Т.е. назначение виртуалкам IPv6-адресов из 6to4 не сделает их доступными для тех, у кого этих IPv6-адресов нет. хреново и тупо по умолчанию на ПК поддержка протокола в6 включена, отправляя пакет на ИП 6to4 клиентская машина знает что это за ип, знает за каким ипом в4 он находится и знает через какой гейтвей пакет слать, знает что этот пакет нужно инкапсулировать в ипв4 То есть в теории нет никаких технических ограничений чтобы переслать пакет с машины с Ipv4 на ipv6 6to4 Поэтому имхо и странно что не взлетит ;( Суть идеи: - поднять на сервере 6to4 и получить ipv6 сеть /48 - раздать виртуалкам ipv6 Суть идеи простая. Имея лишь один честный ип на сервер получать прямой доступ к сотне виртуалок без проброса портов. Надежда была в том что 6to4 поднятый на аплинке сервера будет преобразовывать пакеты в обе стороны. Эффект целесообразен только если клиентские машины без ipv6 адреса смогут до таких виртуалок достукиваться. Потому как пока ПК с ipv6 маловато будет... Edited August 27, 2015 by proxmox
pashaumka Posted August 27, 2015 Posted August 27, 2015 (edited) а просто префиксы / ипы не пробовали раздавать? Edited August 27, 2015 by pashaumka
proxmox Posted August 27, 2015 Author Posted August 27, 2015 а просто префиксы / ипы не пробовали раздавать? а можно пояснить суть идеи?
tkapluk Posted August 27, 2015 Posted August 27, 2015 Имея лишь один честный ип на сервер получать прямой доступ к сотне виртуалок без проброса портов. Так не бывает. точнее бывает в частных случаях. Например, сайты разбираются по именами виртуальных хостов.
proxmox Posted August 27, 2015 Author Posted August 27, 2015 Имея лишь один честный ип на сервер получать прямой доступ к сотне виртуалок без проброса портов. Так не бывает. точнее бывает в частных случаях. Например, сайты разбираются по именами виртуальных хостов. а по подробней? можно ли например поднять нат, раздать на виртуалки серые адреса, поднять поддомены по количеству виртуалок и как-то настроить проброс... Ну вот например пингую я vm1.server.com а пакеты автоматом через нат пробрасываются на виртуалку 1. в http запросах там все понятно, а как быть с остальными протоколами? Такой финт никак нельзя придумать?
tkapluk Posted August 28, 2015 Posted August 28, 2015 Имея лишь один честный ип на сервер получать прямой доступ к сотне виртуалок без проброса портов. Так не бывает. точнее бывает в частных случаях. Например, сайты разбираются по именами виртуальных хостов. а по подробней? можно ли например поднять нат, раздать на виртуалки серые адреса, поднять поддомены по количеству виртуалок и как-то настроить проброс... Ну вот например пингую я vm1.server.com а пакеты автоматом через нат пробрасываются на виртуалку 1. в http запросах там все понятно, а как быть с остальными протоколами? Такой финт никак нельзя придумать? Нельзя так как в этих пакетах нет инфы к какому именно хосту обращаются, только ip адрес.
mr.Scamp Posted August 28, 2015 Posted August 28, 2015 >пинг 4мс, 4-5 хопов до дефолт релея далеко не всем так повезло >Разве бесплатные тунельные брокеры способны сгенерировать хорошую скорость и низкий пинг? стараются. по крайней мере, они могут управлять их загруженностью. >хреново и тупо >по умолчанию на ПК поддержка протокола в6 включена, отправляя пакет на ИП 6to4 клиентская машина знает что это за ип, знает за каким ипом в4 он находится и знает через какой гейтвей >пакет слать, знает что этот пакет нужно инкапсулировать в ипв4 >То есть в теории нет никаких технических ограничений чтобы переслать пакет с машины с Ipv4 на ipv6 6to4 >Поэтому имхо и странно что не взлетит ;( не взлетит, если машина за NAT-ом. для 6to4 нужен белый ип на интерфейсе. Поставьте на хосте nginx/varnish/etc, настройте обратный прокси для нужных сабдоменов.
mt6561 Posted August 28, 2015 Posted August 28, 2015 Я как оператор (одного из) украинского 6to4 релея могу сказать, что увы надежность всего решения крайне низкая. Ситуации, когда из-за кривого релея не видно полмира - сплошь и рядом, практически постоянно. Вторая проблема - при смене внешнего IPv4 весь диапазон IPv6 поменяется, соответственно, надо будет все перенастраивать и домены перерегистрировать. В туннельных брокерах это не так - сетка закрепляется за логином на постоянной основе. Вообще странный вопрос. Сейчас есть много кто из операторов, которые выдадут IPv6 связность шнурком бесплатно или за смешные деньги. А как альтернативу IPv6 обеспечить доступность множества серверов извне при одном айпи могу предложить tor hidden service Будет работать с любыми NATами как у сервера, так и у клиента.
pashaumka Posted August 28, 2015 Posted August 28, 2015 (edited) а просто префиксы / ипы не пробовали раздавать? а можно пояснить суть идеи? используем accel-ppp через PPPoE отдаем ipv6 скрин тут http://oi61.tinypic.com/6e2a9w.jpg umka@umka-desktop:~$ mtr --report ipv6-test.com -6 Start: Fri Aug 28 15:53:43 2015 HOST: umka-desktop Loss% Snt Last Avg Best Wrst StDev 1.|-- 2001:67c:21f0:440c:e5be:f 0.0% 10 0.8 0.8 0.8 0.9 0.0 2.|-- bgp.localka.net 0.0% 10 0.5 0.4 0.4 0.5 0.0 3.|-- 2a02:2518:0:a3:0:5:2191:1 0.0% 10 10.4 13.3 10.2 39.9 9.3 4.|-- 2a02:2518:1:c:2044::2 0.0% 10 36.9 38.6 36.9 53.8 5.3 5.|-- ??? 100.0 10 0.0 0.0 0.0 0.0 0.0 6.|-- 2001:41d0::245 0.0% 10 46.9 46.9 46.6 47.9 0.3 7.|-- 2001:41d0::b1c 0.0% 10 47.1 68.6 46.9 199.6 50.1 8.|-- agaric.t0x.net 0.0% 10 46.9 46.8 46.7 47.1 0.0 umka@umka-desktop:~$ скажу ещё, что tp-link841 v9 на openwrt 14.07 ПОЛНОЦЕННО принимает подключение по ipv6 и делегирует префикс Edited August 28, 2015 by pashaumka
proxmox Posted August 29, 2015 Author Posted August 29, 2015 Ok. Всем спасибо за советы.Давайте упростим задачу.Как сделать так чтобы виртуалки были доступны в сети ipv6 через туннельного брокера? Например того же tb.netassist.uaНастраивать каждую виртуалку как бы глупо.Хотелось бы поднять на самом proxmox туннель и присваивать виртуалкам ип адреса с самого сервера. Например, тем же DHCPv6, например. Сейчас на виртуалки серые адреса раздаются isc-dhcp-server, хотелось бы не сильно отступать от концепции назначения. Может кто-то поделиться опытом? Не сильно хочется испытывать на рабочем сервере удачу.
mr.Scamp Posted August 30, 2015 Posted August 30, 2015 Вручную настраивать не обязательно. Свежий ISC DHCP Server умеет IPv6, нужно создание еще одного конфига для dhcpd6.
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now