Perguntas[ipv6](server)

Hoje eu ganhei um novo roteador. Infelizmente, só vou ter o DS-lite de agora em diante. O DS extra custa muito mais para uso privado.

Tenho 3 Webservers publicamente acessíveis: Jellyfin, Nextcloud e Home Assistant. Todos eles se conectam via NPM.

Como o DuckDNS não funciona com IPv6, tentei mudar para DynV6. Criei uma zona e consegui atualizar o IPv6, bem como a entrada AAAA correta.

Posso alcançar o NPM exatamente com esse nome de zona "xxx.dynv6.net". Se eu abrir esse site, serei reconectado de acordo com o "Site Padrão" (O que mostrar quando o Nginx for atingido por um Host desconhecido). Isso é o esperado, porque eu só uso subdomínios.

Os subdomínios configurados para essa zona no NPM não funcionarão: jf.xxx.dynv6.net; nc.xxx.dynv6.net e ha.xxx.dynv6.net

Se eu abrir [::(Ipv6 do Jellyfin)]:8096 então funciona.

Não vou me preocupar com SSL até que isso funcione.

Alguém pode me ajudar? Eu já incomodei o Copilot até a morte :D

Quando crio um túnel 6 em 4 (por exemplo, em HE ), recebo vários endereços e máscaras:

IPv6 Tunnel Endpoints:
Server IPv4 Address: 216.66.80.162
Server IPv6 Address: 2001:470:70:625::1/64
Client IPv4 Address: [redacted]
Client IPv6 Address: 2001:470:70:625::2/64
Routed IPv6 Prefixes:
Routed /64: 2001:470:71:625::/64
Routed /48: 2001:470:6297::/48

Na minha mente, eles me alocam uma sub-rede /64 denotada como roteada /64 . Todo o tráfego que deveria ir para lá atingirá seus servidores e será tunelado para mim ( Endereço IPv4 do Cliente ) via IPv4. E para enviar pacotes IPv6, tudo o que preciso saber é o Endereço IPv4 do Servidor , e eu simplesmente os encapsulo e os envio para lá, reivindicando meu endereço IPv6 como Endereço IPv6 do Cliente . O que eu não entendo é:

1. Por que o Client IPv6 Address não está em Routed /64 ? Como as respostas são roteadas de volta para mim se meu IP não está associado ao meu túnel?
2. Depois de configurar tudo seguindo o guia do meu roteador , os dispositivos na rede começaram a obter endereços em Routed /48 . Qual é o propósito do Client IPv6 Address então?
3. O guia não solicitou o endereço IPv6 do servidor . Qual é a sua finalidade?

Tenho tentado configurar meu servidor NTP para IPv4 e IPv6. O IPv4 está funcionando bem, assim como outros serviços TCP e UDP configurados no IPv6, mas não consigo fazer com que meu servidor NTP responda às consultas IPv6 e não entendo o porquê.

O servidor NTP é ntpsec 1.2.2 (fornecido com Ubuntu 24.04), configurações:

driftfile /var/lib/ntpsec/ntp.drift
leapfile /usr/share/zoneinfo/leap-seconds.list
tos maxclock 11
tos minclock 4 minsane 3
interface listen (my LAN ipv4 address)
interface listen 2a01:0261:0e4a:cb::2
pool ntp.t-2.net
pool 3.ubuntu.pool.ntp.org
restrict -4 default kod nomodify nopeer noquery limited
restrict -6 default kod nomodify nopeer noquery limited
restrict 127.0.0.1
restrict ::1

Netstat mostra escutando curinga IPv6:

# netstat -tunpl | grep ntp
udp        0      0 (my lan ip):123         0.0.0.0:*                           54219/ntpd          
udp        0      0 127.0.0.1:123           0.0.0.0:*                           54219/ntpd          
udp        0      0 0.0.0.0:123             0.0.0.0:*                           54219/ntpd          
udp6       0      0 ::1:123                 :::*                                54219/ntpd          
udp6       0      0 :::123                  :::*                                54219/ntpd          

ntpdate (por trás do roteador) mostra a transmissão de dados:

# ntpdate -d -6 2a01:261:e4a:cb00::2
 3 Jun 21:24:32 ntpdate[11496]: ntpdate [email protected] (1)
Looking for host 2a01:261:e4a:cb00::2 and service ntp
2a01:261:e4a:cb00::2 reversed to m2.lan
host found : m2.lan
transmit(2a01:261:e4a:cb00::2)
transmit(2a01:261:e4a:cb00::2)
transmit(2a01:261:e4a:cb00::2)
transmit(2a01:261:e4a:cb00::2)
2a01:261:e4a:cb00::2: Server dropped: no data

tcpdump mostra os dados recebidos, mas nenhuma resposta:

# tcpdump -i enp42s0 udp port 123 and ip6
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on enp42s0, link-type EN10MB (Ethernet), snapshot length 262144 bytes
19:24:32.801627 IP6 2a01:261:e4a:cb00:lanipv6.51439 > m2.lan.ntp: NTPv4, Client, length 48
19:24:34.801528 IP6 2a01:261:e4a:cb00:lanipv6.51439 > m2.lan.ntp: NTPv4, Client, length 48
19:24:36.801207 IP6 2a01:261:e4a:cb00:lanipv6.51439 > m2.lan.ntp: NTPv4, Client, length 48
19:24:38.801200 IP6 2a01:261:e4a:cb00:lanipv6.51439 > m2.lan.ntp: NTPv4, Client, length 48

A rede IPv6 é configurada usando DHCP e, como mencionado, outros serviços como DNS funcionam bem tanto em TCP quanto em UDP, então presumo que o roteamento esteja configurado corretamente.

Onde está o problema?

Estou tentando ativar o suporte IPv6 no Ubuntu 20.04 sem sucesso

a maioria dos recursos que encontro online envolvem adicionar as seguintes linhas ao /etc/sysctl.conf

net.ipv6.conf.all.disable_ipv6 = 0
net.ipv6.conf.default.disable_ipv6 = 0
net.ipv6.conf.lo.disable_ipv6 = 0

o que eu fiz, sem nenhum efeito

ou editando /etc/network/interfaces mas este arquivo não existe no meu sistema e acontece que tenho /etc/netplan/50-cloud-init.yaml que conheço como netplan e cloud-init. mas quando abri o /etc/netplan/50-cloud-init.yaml ele diz que o arquivo foi gerado e qualquer modificação será substituída.

agora como devo habilitá-lo IPv6? Não preciso de um endereço IPv6, mas estou tentando instalar o BigBlueButton 2.7, que requer suporte IPv6

A Host Europe atribuiu a uma VM que acabei de alugar deles um endereço IP terminando em zeros ( 2xxx:xxxx:xxxx:xxxx::/128).

Afirmei isso como possíveis problemas de interoperabilidade, já que endereços com os últimos 64 bits, todos zeros, são normalmente endereços anycast para o roteador de sub-rede, e temo que outros nós possam tratá-lo de maneira especial.

O suporte deles diz: “É apenas sintaticamente um endereço anycast de sub-rede, mas você pode usá-lo sem problemas porque usamos um tamanho de sub-rede /128”. (tradução minha)

Estou apenas semi-convencido. Existe algo que permite que um nó lide especialmente com endereços desse tipo, ou posso realmente usá-lo como um endereço normal?

Eu estava lendo sobre a estrutura do endereço IPv6 e ela tem duas partes, uma para a rede (parte da rede/ID da rede) e outra para o host (ID da interface/parte do nó), algo como o IPv4, independentemente da diferença de tamanho.

A maioria das referências afirma que o endereço é dividido em 64 bits para a rede (prefixo /64) e 64 bits para o Host, e podemos usar os últimos 16 bits da parte da rede para sub-redes.

Então, esta é uma regra no IPv6 que o endereço é sempre dividido ao meio? e se quisermos criar uma sub-rede do endereço, o ISP forneceria um endereço com /48 bits de prefixo, deixando apenas os últimos 16 bits da parte da rede para sub-rede? ou apenas um caminho recomendado a seguir?

Cumprimentos

Achei que o ipv6 resolvesse os problemas de endereço. Eu estava sob a suposição (obviamente falsa?) De que obteria um endereço ipv6 atribuído à minha máquina em casa e poderia usá-lo se (meu ISP oferece suporte a ipv6).

Por que ip -6 addressmostra apenas um endereço de link local na minha caixa?

2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
    inet6 fe80::<address>/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever

Meu roteador (através de seu dhcp) pode atribuir um para mim? Ou isso é algo que devo solicitar ao ISP?

Basicamente, quero registrar um endereço DNS com esse registro AAAA e endereço ipv6.

então eu sei que um intervalo IPv6 /64 tem 18.446.744.073.709.551.616 endereços, mas me disseram que a maioria desses IPs só pode ser usada para ips locais na LAN.

Quantos endereços IP ipv6 públicos utilizáveis ​​existem em um /64? Obrigado.

Estou executando um servidor web (nginx 1.21.6) em um sistema Debian 11 com nftables 0.9.8. Minha configuração nftables é:

table inet filter {
chain input {
  type filter hook input priority filter; policy drop;
            ip saddr @spamhaus4 counter packets 0 bytes 0 drop
            ip6 saddr @spamhaus6 counter packets 0 bytes 0 drop
            meta l4proto tcp meta nfproto ipv4 ip saddr @abused counter packets 0 bytes 0 drop
            ip daddr 46.38.148.0-46.38.151.255 drop
            iif "lo" log group 2 accept
            iif != "lo" ip daddr 127.0.0.0/8 counter packets 0 bytes 0 drop comment "drop connections to loopback not coming from loopback"
            iif != "lo" ip6 daddr ::1 counter packets 0 bytes 0 drop comment "drop connections to loopback not coming from loopback"
            ct state established,related log group 2 accept
            ct state invalid counter packets 47 bytes 2572 drop
            tcp dport { 25, 80, 143, 443, 587, 2772, 9980, 45907 } log group 2 accept
            ip protocol icmp icmp type { echo-reply, destination-unreachable, echo-request, router-advertisement, router-solicitation, time-exceeded, parameter-problem } log group 2 accept
            ip6 nexthdr ipv6-icmp icmpv6 type { destination-unreachable, packet-too-big, time-exceeded, parameter-problem, echo-request, echo-reply, nd-router-solicit, nd-router-advert, nd-neighbor-solicit, nd-neighbor-advert, ind-neighbor-solicit, ind-neighbor-advert } log group 2 accept
            ip6 nexthdr ipv6-icmp log group 2 accept
            counter packets 2686 bytes 421604 drop
    }

    chain IPSinput {
            type filter hook input priority filter + 10; policy drop;
            counter packets 88448 bytes 15799025 queue num 0-3 bypass,fanout
    }

    chain forward {
            type filter hook forward priority filter; policy drop;
    }

    chain output {
            type filter hook output priority filter; policy accept;
    }

    chain IPSoutput {
            type filter hook output priority filter + 10; policy drop;
            counter packets 76196 bytes 201278628 queue num 0-3 bypass,fanout
    }
   }

O firewall nftables funciona bem.

No entanto, meus servidores nginx não são acessíveis via IPv6. Eu usei diferentes ferramentas de verificação de IPv6 (por exemplo, https://ipv6-test.com/validate.php ) e também Qualys ssltest não pode acessar o servidor via IPv6, mas o IPv4 está funcionando bem. Eu incluí a diretiva listen [::]:80;(resp. listen [::]:443;em cada um dos meus servidores nginx. E netstat -anlp |grep nginxdá

tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      48846/nginx: master
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      48846/nginx: master
tcp        0      0 192.168.42.98:443       93.104.163.178:39001    VERBUNDEN   48847/nginx: worker
tcp        0      0 192.168.42.98:443       93.104.163.178:39368    VERBUNDEN   48847/nginx: worker
tcp        0      0 192.168.42.98:443       93.104.163.178:43086    VERBUNDEN   48847/nginx: worker
tcp6       0      0 :::80                   :::*                    LISTEN      48846/nginx: master
tcp6       0      0 :::443                  :::*                    LISTEN      48846/nginx: master
unix  3      [ ]         STREAM     VERBUNDEN     160451   48846/nginx: master
unix  3      [ ]         STREAM     VERBUNDEN     160453   48846/nginx: master
unix  3      [ ]         STREAM     VERBUNDEN     160450   48846/nginx: master
unix  3      [ ]         STREAM     VERBUNDEN     160448   48846/nginx: master
unix  3      [ ]         STREAM     VERBUNDEN     160452   48846/nginx: master
unix  3      [ ]         STREAM     VERBUNDEN     160446   48846/nginx: master
unix  3      [ ]         STREAM     VERBUNDEN     160449   48846/nginx: master

No meu roteador, ativei o IPv6 também.

Alguém tem alguma ideia de onde possa estar o problema?

Eu tenho VPS digamos VPS X que não tem IPv4 mas só tem IPv6.

e

Eu tenho VPS digamos VPS Y que não tem IPv6 mas só tem IPv4.

Como o IPv4 ainda é comumente usado hoje, alguns dispositivos não conseguem acessar o IPv6.

Eu quero usar a placa de rede VPS Y como IPv4 para VPS X, pois o VPS X não possui IPv4.

Eu quero que a porta UDP no VPS Y esteja ouvindo a conexão de entrada da Internet e encaminhe o datagrama UDP para a porta UDP no VPS X.

Eu posso conseguir isso usando o SSH Forwarding com executar este comando no VPS X.

SSH -NR 19132:localhost:19133 server

Eu posso conectar o SSH do VPS X ao VPS Y. Mas o VPS Y não pode se conectar ao VPS X.

Infelizmente, o encaminhamento SSH só funciona para a porta TCP. Enquanto eu quero o encaminhamento de porta UDP porque o servidor de base do minecraft está usando o UDP.