IPv6 tunely pomocí OpenVPN

Podobné dokumenty
OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

IPv6 v OpenWRT. Ondřej Caletka. 5. října Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

WireGuard. nová a jednoduchá linuxová VPN. Petr Krčmář. 3. listopadu 2018

BCOP aneb jak správně nasazovat

Dual-stack jako řešení přechodu?

Josef Hajas.

IPv6 na OpenWRT. 6. června Ondřej Caletka (CESNET, z.s.p.o.) IPv6 na OpenWRT 6. června / 17

Ochrana soukromí v DNS

OpenVPN a dynamické směrování

OpenVPN. Ondřej Caletka.

Jak se měří Internet

Triky s OpenSSH. 4. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Jak se měří Internet

DoS útoky v síti CESNET2

Implementace protokolu IPv6

Rozvoj IPv6 v České republice. Daniel Suchý NIX.CZ, z.s.p.o.

GRE tunel APLIKA ˇ CNÍ P ˇ RÍRU ˇ CKA

Stav IPv4 a IPv6 v České Republice

Semestrální projekt do předmětu SPS

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

1. Směrovače směrového protokolu směrovací tabulku 1.1 TTL

Počítačové sítě 1 Přednáška č.5

IPv4/IPv6. Ing. Michal Gust, ICZ a. s.

Možnosti IPv6 NAT. Lukáš Krupčík, Martin Hruška KRU0052, HRU0079. Konfigurace... 3 Statické NAT-PT Ověření zapojení... 7

Uživatelský modul. Modem Bonding

Jak funguje SH Síť. Ondřej Caletka

VLSM Statické směrování

NAS 323 NAS jako VPN Server

Co znamená IPv6 pro podnikovou informatiku.

Bezpečnější pošta aneb DANE for SMTP

Falšování DNS s RPZ i bez

Demo: Multipath TCP. 5. října 2013

VLSM Statické směrování

Implementace protokolu IPv6 v síti VŠE a PASNET. Ing. Miroslav Matuška Ing. Luboš Pavlíček

Ondřej Caletka. 23. května 2014

Nasazení IPv6 v podnikových sítích a ve státní správě

ové služby a IPv6

Průmyslová komunikace přes mobilní telefonní sítě. Michal Kahánek

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Technologie počítačových sítí - LS 2016/2017. Případová studie příklady syntaktických konstruktů Cisco IOS pro jednotlivé části případové studie.

Bezpečnost vzdáleného přístupu. Jan Kubr

Stránka, doména, URL, adresa

Analýza protokolů rodiny TCP/IP, NAT

WrapSix aneb nebojme se NAT64. Michal Zima.

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

DNSSEC na vlastní doméně snadno a rychle

KAPITOLA 10. Nasazení protokolu IPv6 v sítích VPN pro vzdálený přístup

Dodávka UTM zařízení FIREWALL zadávací dokumentace

Podsíťování. Počítačové sítě. 7. cvičení

Útoky na DNS. Ondřej Caletka. 9. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Co musíte vědět o šifrování

Ondřej Caletka. 2. března 2014

Ondřej Caletka. 5. listopadu 2013

Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava

STRUČNÝ NÁVOD K POUŽITÍ

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

TheGreenBow IPSec VPN klient

Praktikum Směrování Linux

Technologie počítačových sítí - ZS 2015/2016 Kombinované studium

Počítačové sítě I LS 2004/2005 Návrh a konstrukce sítě zadání

Konfigurace sítě s WLAN controllerem

Něco málo o mně. Radek

Ochrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí. Simac Technik ČR, a.s.

Přehled služeb CMS. Centrální místo služeb (CMS)

Historie a současnost IPv6. Pavel Satrapa Pavel.Satrapa@tul.cz

VPN - Virtual private networks

Bezpečnější pošta díky DANE

IPv6 na serveru Co by měl administrátor znát... Stanislav Petr

Desktop systémy Microsoft Windows

Radek Zajíc, Seminář IPv6,

Co musíte vědět o šifrování

Osobní firewall s iptables

Cloud Slovník pojmů. J. Vrzal, verze 0.9

BIRD Internet Routing Daemon

Vývoj a fungování peeringu v IXP. Petr Jiran - NIX.CZ CTO CSNOG

Y36PSI IPv6. Jan Kubr - 7_IPv6 Jan Kubr 1/29

Správa linuxového serveru: DNS a DHCP server dnsmasq

Bezpečnost sítí

Routování na Mikrotiku

Analýza síťového provozu. Ing. Dominik Breitenbacher Mgr. Radim Janča

XMW3 / IW3 Sítě 1. Štefan Pataky, Martin Poisel YOUR LOGO

Site - Zapich. Varianta 1

Směrovací démon BIRD. CZ.NIC z. s. p. o. Ondřej Filip / IT10

Hra skončila? CZ.NIC z. s. p. o. / Ondřej Filip IT12

Bezpečná VLAN v NIX.CZ. Ing. Tomáš Hála ACTIVE 24, s.r.o.

Protokoly: IP, ARP, RARP, ICMP, IGMP, OSPF

Představení Kerio Control

Počítačová síť TUONET a její služby

Abychom se v IPv6 adresách lépe orientovali, rozdělíme si je dle způsobu adresování do několika skupin:

vpsfree.cz: linuxový server u neziskovky

Cloud Computing pro státní správu v praxi. Martin Vondrouš - Software602, a.s. Pavel Kovář - T-Systems Czech Republic a.s.

Popis zapojení jednotlivých provozních režimů WELL WRC7000N WiFi GW/AP/klient/repeater/switch, 300 Mb/s, R-SMA

Jak se měří síťové toky? A k čemu to je? Martin Žádník

Seminář pro správce univerzitních sí4

Radek Zajíc, Seminář IPv6,

Ondřej Caletka. 13. března 2014

Ladislav Pešička KIV FAV ZČU Plzeň

Stručný průvodce instalací

Popis zapojení jednotlivých provozních režimů WELL WRC3500_V2 WiFi GW/AP/klient/repeater/switch, 54 Mb/s, R-SMA

Konfigurace WDS režimu u produktů bezdrátových AP a routerů Tenda

Transkript:

IPv6 tunely pomocí OpenVPN Ondřej Caletka 8. října 2017 Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko. Ondřej Caletka (CESNET, z. s. p. o., vpsfree.cz) IPv6 tunely pomocí OpenVPN 8. října 2017 1 / 34

Potřebuje Internet IPv6? podle představ z 90. let: nepochybně ano podle současné reality: \ / už pět let jsme bez IPv4 adres úspěšné služby se přizpůsobily distribuované CDN sítě snižují atraktivitu globálního tranzitu bez potřeby globální komunikace není třeba globální adresace Ondřej Caletka (CESNET, z. s. p. o., vpsfree.cz) IPv6 tunely pomocí OpenVPN 8. října 2017 2 / 34

Zdroj: Indiegogo Ondřej Caletka (CESNET, z. s. p. o., vpsfree.cz) IPv6 tunely pomocí OpenVPN 8. října 2017 3 / 34

Zdroj: Amazon Ondřej Caletka (CESNET, z. s. p. o., vpsfree.cz) IPv6 tunely pomocí OpenVPN 8. října 2017 4 / 34

Garadget Hodnocení zákazníka na Amazon.com Junk - DO NOT WASTE YOUR MONEY - iphone app is a piece of junk, crashes constantly Reakce výrobce The abusive language here and in your negative Amazon review, submitted minutes after experiencing a technical difficulty, only demonstrates your poor impulse control At this time your only option is return Garadget to Amazon for refund. Your unit ID 2f0036 will be denied server connection. Zdroj: Business Insider Ondřej Caletka (CESNET, z. s. p. o., vpsfree.cz) IPv6 tunely pomocí OpenVPN 8. října 2017 5 / 34

Přizpůsobený internet v garáži máme internet v mobilu máme internet přesto nelze z mobilu garáž ovládat místo zařízení musíme koupit balík zařízení a služby jak spolehlivě a dlouho bude fungovat služba, kterou neplatíme? co, až se provozovatel služby rozhodne dělat něco jiného? co když se mu přestane líbit náš tón v diskuzích? Ondřej Caletka (CESNET, z. s. p. o., vpsfree.cz) IPv6 tunely pomocí OpenVPN 8. října 2017 6 / 34

NAT jako bezpečnostní prvek Zdroj: Wired Ondřej Caletka (CESNET, z. s. p. o., vpsfree.cz) IPv6 tunely pomocí OpenVPN 8. října 2017 7 / 34

IPv6 jako lepší internet připojená zařízení komunikují přímo cloudová služba je možnost, nikoli povinnost výrobci nespoléhají, že bezpečnost bude zastoupena nedokonalostí přístupové sítě Ondřej Caletka (CESNET, z. s. p. o., vpsfree.cz) IPv6 tunely pomocí OpenVPN 8. října 2017 8 / 34

Stav IPv6 u českých ISP bez velkých problémů v datacentrech s problémy pro firemní zákazníky téměř nemožné pro rezidentní zákazníky nasazeno u xdsl přípojek dobře u T-Mobile špatně u O2 vůbec u ostatních pilotní provoz v síti UPC bez možnosti vypnout router v modemu bez možnosti rozdělit síť žádné plány u mobilních sítí chcete-li IPv6 jako v Polsku, odstěhujte se do Polska v USA n 10 milionů iphonů zcela bez IPv4 Ondřej Caletka (CESNET, z. s. p. o., vpsfree.cz) IPv6 tunely pomocí OpenVPN 8. října 2017 9 / 34

Tunelování IPv6 uvnitř IPv4 služba přístupu k Internetu poskytovaná přes internet automatické a manuální tunely 6to4 Teredo tunnelbroker.net SixXS Ondřej Caletka (CESNET, z. s. p. o., vpsfree.cz) IPv6 tunely pomocí OpenVPN 8. října 2017 10 / 34

Automatické tunely 6to4 jednoduchý a bezestavový potřebuje veřejnou IPv4 adresu problém anonymních bran chyby implementací ve Windows Teredo extrémně komplikovaný nepotřebuje veřejnou IPv4 adresu problém anonymních bran extrémně nespolehlivý Ondřej Caletka (CESNET, z. s. p. o., vpsfree.cz) IPv6 tunely pomocí OpenVPN 8. října 2017 11 / 34

6to4 Ondřej Caletka (CESNET, z. s. p. o., vpsfree.cz) IPv6 tunely pomocí OpenVPN 8. října 2017 12 / 34

Konfigurované tunely existovaly před IPv6 mají pevně definované konce stabilní cesta dat spolehlivost určená jen koncovými body mnoho technologií IPv6-in-IPv4 (proto-41, sit) IPv6-in-UDP-in-IPv4 (AYIYA) IPSec Wireguard L2TP PPP-over-X OpenVPN Ondřej Caletka (CESNET, z. s. p. o., vpsfree.cz) IPv6 tunely pomocí OpenVPN 8. října 2017 13 / 34

O službě SixXS již od roku 2000 odrazový můstek pro rozjezd nového protokolu desítky tunelovacích serverů možnost získat IPv6 i bez veřejné IPv4 adresy statický tunel V6V4 V6V4 s heartbeatem V6UDPV4 tunel vypnuto 6. 6. 2017 začalo být kontraproduktivní nativní konektivity je dostatek Ondřej Caletka (CESNET, z. s. p. o., vpsfree.cz) IPv6 tunely pomocí OpenVPN 8. října 2017 14 / 34

Pohřbeno se SixXS protokol TIC pro komunikaci s tunnel brokerem protokol AYIYA pro tunelování IPv6-over-UDP-over-IPv4 klient aiccu (open source) registrační systém (propriertární) server sixxsd (propriertární) tunelování V6V4, V6UDPV4 a heartbeat tunel v jednom procesu směrování v userspace, vysoký výkon Ondřej Caletka (CESNET, z. s. p. o., vpsfree.cz) IPv6 tunely pomocí OpenVPN 8. října 2017 15 / 34

Návykovost IPv6 IPv6 používám od roku 2009 2 lokality nativně, 3 tunelem HE.net, kde je veřejná IPv4 adresa (1 lokalita) SixXS, kde není (2 lokality) od 6. 6. 2017 offline Ondřej Caletka (CESNET, z. s. p. o., vpsfree.cz) IPv6 tunely pomocí OpenVPN 8. října 2017 16 / 34

Postavíme si vlastní tunel Ondřej Caletka (CESNET, z. s. p. o., vpsfree.cz) IPv6 tunely pomocí OpenVPN 8. října 2017 17 / 34

Co budeme potřebovat dostatek IPv6 adres minimálně /64 na jeden tunel + spojovačku IPv4 adresu nějaký software Ondřej Caletka (CESNET, z. s. p. o., vpsfree.cz) IPv6 tunely pomocí OpenVPN 8. října 2017 18 / 34

Kde získat adresy běžná nabídka VPS hostingů: nejvýše /64 na VPS navíc bez možnosti naroutovat podrozsah delegování adres podléhá pravidlům registrace Pravidla registrace v RIPE regionu držitel příslušné adresy musí být registrován v RIPE Whois databázi adresy mohou být alokované, nebo přiřazené jednou přiřazené adresy nejde pod-přiřadit Ondřej Caletka (CESNET, z. s. p. o., vpsfree.cz) IPv6 tunely pomocí OpenVPN 8. října 2017 19 / 34

Alokace vs. přiřazení (assignment) alokace adres slouží k agregaci adresního prostoru alokované adresy jsou stále volné je možné vytvářet subalokace není možné je používat bez přiřazení přiřazení znamená obsazení daného prostředku konkrétním účelem typicky zákazníkovi nesmí být používány jiným subjektem nelze dělat sub-přířazení maximální velikost /48 na end site Ondřej Caletka (CESNET, z. s. p. o., vpsfree.cz) IPv6 tunely pomocí OpenVPN 8. října 2017 20 / 34

Jak přiřazovat adresy (a nezbláznit se z toho) IPv4 IPv6 použití CGN výjimky z pravidel pro broadband pools a PtP spoje možnost agregovaného přiřazení, typicky pro broadband pools povinná evidence počtu použitých adres Ondřej Caletka (CESNET, z. s. p. o., vpsfree.cz) IPv6 tunely pomocí OpenVPN 8. října 2017 21 / 34

Příklad přiřazení rozsahu adres inet6num: netname: status: 2001:718:e::/48 CESNET-6BLUEBOX ASSIGNED Příklad agregovaného záznamu inet6num: 2a03:3b40:200::/39 netname: VPSFREE-IPV6-TUNNELS status: AGGREGATED-BY-LIR assignment-size:48 Ondřej Caletka (CESNET, z. s. p. o., vpsfree.cz) IPv6 tunely pomocí OpenVPN 8. října 2017 22 / 34

Adresní plán celkem k dispozici 512 /48 první /48 vyhrazena pro koncové body tunelů další přiřazujeme v rastru /44 prostor pro růst každého přídělu Ondřej Caletka (CESNET, z. s. p. o., vpsfree.cz) IPv6 tunely pomocí OpenVPN 8. října 2017 23 / 34

Ping-pong $ ping 2a03:3b40:300::300 PING 2a03:3b40:300::300(2a03:3b40:300::300) 56 data bytes From 2a01:430:0:fe0b::2 icmp_seq=1 Time exceeded: Hop limit From 2a01:430:0:fe0b::2 icmp_seq=2 Time exceeded: Hop limit Eliminace ping-pongu iface lo inet loopback up ip -6 route add unreachable 2a03:3b40:200::/39 Ondřej Caletka (CESNET, z. s. p. o., vpsfree.cz) IPv6 tunely pomocí OpenVPN 8. října 2017 24 / 34

OpenVPN univerzální tunelovací nástroj režim TUN point-to-multipoint bezproblémový průchod NATy, minimální problémy s MTU autentizace X.509 certifikáty možnost vypnout šifrování a autentizaci provozu hlavně kvůli výkonu a latenci Ondřej Caletka (CESNET, z. s. p. o., vpsfree.cz) IPv6 tunely pomocí OpenVPN 8. října 2017 25 / 34

Vydávání certifikátů samostatná certifikační autorita easyrsa3 generování privátního klíče i certifikátu na serveru platnost certifikátu 1 rok TODO: upozornění na konec platnosti motivace 1 ročně kontaktovat ISP volba unique_subject = no pro snadné obnovování certifikátů generování konfiguračního souboru klienta možnost poslání žádosti o certifikát Ondřej Caletka (CESNET, z. s. p. o., vpsfree.cz) IPv6 tunely pomocí OpenVPN 8. října 2017 26 / 34

Konfigurace OpenVPN serveru mode server dev tun0 ifconfig 169.254.200.200 255.255.255.255 ifconfig-ipv6 2a03:3b40:200::200/64 2a03:3b40:200::200 route-ipv6 2a03:3b40:200::/40 client-config-dir /home/ansible/data/ccd ccd-exclusive auth none cipher none ncp-ciphers AES-256-GCM:AES-256-CBC Ondřej Caletka (CESNET, z. s. p. o., vpsfree.cz) IPv6 tunely pomocí OpenVPN 8. října 2017 27 / 34

Soubor s konfigurací pro daného klienta iroute-ipv6 2a03:3b40:200::210/128 iroute-ipv6 2a03:3b40:210::/48 Konfigurace OpenVPN klienta client remote ipv6tun01.vpsfree.cz 1194 remote-cert-tls server auth none cipher none ncp-disable Ondřej Caletka (CESNET, z. s. p. o., vpsfree.cz) IPv6 tunely pomocí OpenVPN 8. října 2017 28 / 34

První zkušenosti funguje dle očekávání vestavěné filtrování BCP38 v OpenVPN snadná integrace s OpenWRT/LEDE vysoké paměťové nároky (problém 4/32) nízká dosažitelná rychlost (150 Mbps) Ondřej Caletka (CESNET, z. s. p. o., vpsfree.cz) IPv6 tunely pomocí OpenVPN 8. října 2017 29 / 34

Integrace s OpenWRT/LEDE/TurrisOS /etc/config/network config interface 'ipv6tun' option ifname 'tunipv6' option proto 'static' option ip6addr '2a03:3b40:200::2xx/64' option ip6gw '2a03:3b40:200::200' option ip6prefix '2a03:3b40:2xx::/48' Ondřej Caletka (CESNET, z. s. p. o., vpsfree.cz) IPv6 tunely pomocí OpenVPN 8. října 2017 30 / 34

Reverzní DNS skrytý master server přímo na tunelovacím serveru přenos na veřejné servery spolku ručně spravovaná zóna možno automatizovat v budoucnu Ondřej Caletka (CESNET, z. s. p. o., vpsfree.cz) IPv6 tunely pomocí OpenVPN 8. října 2017 31 / 34

Jak se zapojit zejména pro lidi bez veřejné IPv4 adresy nutné rozumné koncové zařízení (OpenWRT/Linux) vhodná ochota aktivně řešit problémy, zejm. v beta verzi kontaktní adresa: ipv6tun@vpsfree.cz Ondřej Caletka (CESNET, z. s. p. o., vpsfree.cz) IPv6 tunely pomocí OpenVPN 8. října 2017 32 / 34

Další rozvoj ideálně útlum testování jiných tunelovacích protokolů (např. Wireguard) podpora pro V6V4 tunely vestavěná v Linuxu minimální overhead neperzistentní konfigurace přemlouvání ISP, aby pohli s IPv6 ¾úspěch s A-net Liberec Ondřej Caletka (CESNET, z. s. p. o., vpsfree.cz) IPv6 tunely pomocí OpenVPN 8. října 2017 33 / 34

Děkuji za pozornost Ondřej Caletka Ondrej.Caletka@cesnet.cz https://ondřej.caletka.cz Ondřej Caletka (CESNET, z. s. p. o., vpsfree.cz) IPv6 tunely pomocí OpenVPN 8. října 2017 34 / 34

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář