Мгтс как включить ipv6
Перейти к содержимому

Мгтс как включить ipv6

  • автор:

Как настроить IPv6?

Подключил IPv6(МГТС) и теперь у меня возникло несколько вопросов.
1. Когда я захожу на https://ipv6-test.com/, он показывает тот же IP, что и ipconfig, значит ли это что для доступа к компьютеру не нужно пробрасывать порты на роутере? Является ли этот ip белым?
2. Роутер имеет другой IPv6, но на том сайте он не виден, почему?
3. Я запустил apache и открыл порты в firewall в windows, однако снаружи порт по-прежнему закрыт. Почему?

  • Вопрос задан более трёх лет назад
  • 930 просмотров

Комментировать

Решения вопроса 1

martin74ua

Руслан Федосеев @martin74ua Куратор тега Компьютерные сети

Linux administrator

1. Да, не нужно. Это маршрутизируемый адрес. В IPv6 нет понятия серые адреса (если на очень простом уровне)
2. А что он забыл на том сайте? Роутер просто маршрутизирует ваш трафик, нет понятия NAT
3. А апач слушает на v6 адресах?

Ответ написан более трёх лет назад

Нравится 2 10 комментариев

IPv6 от МГТС

По состоянию на апрель-2018 абоненты в основном сообщают что IPv6 работает, однако у некоторых имеются и проблемы (IPv6 выдаётся, но трафик не ходит).

Абонентские терминалы

Работоспособность IPv6 зависит от абонентского терминала. Есть информация, что:

работает (и автоматически активируется новым абонентам) при использовании Sercomm;
на ZTE по умолчанию не работает, можно настроить, но только до первой перезагрузки терминала;

2020-02: абонент сообщает, что на ZTE F660 IPv6 оказался включён по-умолчанию и без дополнительных настроек.

по-умолчанию отключено, но можно включить на Huawei.

Конфликт со статичным IPv4

Абоненты обнаружили, что IPv6 не работает, если подключён статичный IPv4. Позже этому появилось официальное подтверждение и стала известна причина.

Файрвол

Сообщают, что по IPv6 заблокирован входящий порт 22 ( SSH ); однако в официально сообщаемый компанией список он не входит:

На текущий момент осуществляется фильтрация только входящего трафика по следующим протоколам и портам: Протокол Порты Комментарии TCP 25 Предотвращение спам-активности (SMTP open relays) (Anti-spam protection (SMTP open relays) TCP 135-139, 445 Обеспечение безопасности Windows-систем (Ensuring Windows systems security) TCP 21, 23, 69, 80, 8080, 254, 255, 161 Защита абонентского оборудования (CPE protection) UDP 135-139 Обеспечение безопасности Windows-систем (Ensuring Windows systems security) UDP 69, 161 Защита абонентского оборудования (CPE protection)

Настройка маршрутизации в сети с неподконтрольным роутером

Я ненавижу рекламу, но постоянно на нее покупаюсь. Увидел в подъезде объявление МГТС — GPON 500 мегабит за 500 рублей в месяц, настоящий IP, IPv6. Из минусов — всего лишь необходимость сверлить стену и вешать в квартире чужой роутер. Думаю надо брать — разберемся как-нибудь. (На самом деле нет, но об этом позже). Гигабитный роутер с WiFi 802.11ас (5ГГц), но без возможности модификации прошивки, установки софта и с минимальными возможностями настройки через веб-интерфейс. Задача — настроить VPN с другой сетью и прозрачное для клиентов использование ресурсов из луковой сети (The Onion Router aka TOR) с использованием своего сервера в локальной сети.

Думаю данная статья не потянет на полноценное руководство. Слишком разные возможности и потребности у людей — разное железо. Скорее некоторый указатель пути по которому можно пойти. Например для сервера можно использовать популярную малину. Возможно даже с pi-hole. Я, например, поставил недорогой x86 сервер с распаянным на материнской плате процессором, поставил ubuntu и использую его, в том числе как файловый, home assistant, веб и сервер приложений.

В общем я хотел, чтобы была возможность использовать WiFi интерфейсы роутера, а также, чтобы клиенты локальной сети получили прозрачный доступ к некоторым ресурсам через vpn или tor без дополнительной настройки на стороне клиента. И не хотелось понапрасну пропускать весь трафик через сторонний сервер — хотелось, чтобы обычный интернет трафик шел напрямую на роутер, а специальный (tor, vpn) обрабатывался сервером. Решил, что отключу на маршрутизаторе DHCP и DNS server, поставлю DHCP на свой сервер, который будет анонсировать правильные маршруты по DHCP и на котором будет крутиться dns, vpn и tor daemon. С vpn все понятно — если другая локальная сеть имеет другие адреса, то достаточно просто настроить маршрутизацию. Для прозрачного доступа к ресурсам через луковый маршрутизатор решил использовать связку dnsmasq + tor.VirtualAddrNetwork + tor.DNS. Настраиваем dnsmasq для предопределенных доменов из списка, чтобы для их разрешения он использовал tor. После этого домены из луковой сети будут иметь специфичные адреса из специального выделенного диапазона частных адресов и можно использовать обычные правила маршрутизации для перенаправления этого трафика в tor.TransPort с использованием правил iptables. Для соединения локальных сетей по vpn использовал wireguard. В другой локалке стоит обычный роутер пока с прошивкой padavan + entware.

Ключевые параметры моей конфигурации:

  • Локальная сеть — 192.168.2.0/24. У роутера статический белый IP
  • Другая локальная сеть (доступ к которой получаем через vpn) — 192.168.3.0/24
  • Роутер — 192.168.2.1
  • Сервер ubuntu — 192.168.2.4, имя ethernet интерфейс — enp1s0
  • tor
    • private network (VirtualAddrNetwork) — 10.254.0.0/16
    • dns server (DNSPort) — 127.0.0.1:9053
    • transparent proxy address (TransPort) — 0.0.0.0:9040
    • сервер wireguard address — 10.253.1.2
    • android клиент — 10.253.1.10
    • vpn сервер другой локалки — 10.253.1.3

    Сервер

    Мой сервер — обычный x86 с Ubuntu 20.04 LTS.

    Установливаем пакеты ( apt install ):

    • iptables-persistent — сохранение и восстановление правил iptables
    • tor
    • dnsmasq — DNS + DHCP сервер
    • dnscrypt-proxy — DoH DNS клиент
    • systemd + netplan.io — были установлены по умолчанию и используются для настройки сетевого интерфейса
    • wireguard — vpn

    Настраиваем статический сетевой интерфейс — /etc/netplan/eth0-static.yaml и запускаем netplan apply для применения изменений.

    Для включения маршрутизации установливаем параметры ядра:

    sysctl -w net.ipv4.ip_forward=1
    sysctl -w net.ipv6.conf.all.forwarding=1

    и правим файл /etc/sysctl.conf для сохранения изменений после перезагрузки.

    Настроиваем iptables — для таблицы filter установливаем default policy ACCEPT для цепочек INPUT и FORWARD — /etc/iptables/rules.v4. И перезагружаем правила netfilter-persistent start или iptables-restore < /etc/iptables/rules.v4 .

    Настройки dnsmasq

    В /etc/default/dnsmasq добавляем опцию для игнорирования файлов с расширением *.i.

    Локальные устройства прописываем в /etc/dnsmasq.d/src/lan_hosts.csv.i для задания фиксированных IP адресов.

    Домены для доступа к которым будем использовать tor прописываем в /etc/dnsmasq.d/src/dns_tor_domains.txt.i

    Для анонса маршрутов используется DHCP опция classless-static-route и microsoft-classless-static-route — 249 (на всякий случай). В принципе можно было бы попробовать и не отключать DHCP сервер на роутере, а просто анонсировать дополнительные маршруты. Проблема возникла на телефоне Android Xiaomi Mi 9T. Он не использовал маршруты с DHCP, использовал только один маршрут по умолчанию. Не уверен, что на всех андроидах есть такая проблема. Пришлось для андроидов сделать специальные настройки и перенаправлять весь трафик от андроид клиентов на сервер.

    Специальные настройки для android — нет маршрутов, сервер используется в качестве основного маршрутизатора.

    Для примения настроек запускаем `dnsmasq_reconfig.sh` — более подробно описано в разделе «Обновление конфигурации».

    Настройки tor

    • Порт для socks5 proxy — SocksPort
    • Запрещаем выходные ноды в некоторых странах — ExcludeExitNodes
    • Порт для transparent proxy — TransPort
    • Порт DNS — DNSPort
    • Частный диапазон адресов из которых будут назначаться IP для серверов к которым мы будем ходить через tor — VirtualAddrNetwork

    Список доменов которые мы будем резолвить через tor и которые будут иметь адреса из нашего частного диапазона (см. VirtualAddrNetwork) — AutomapHostsSuffixes — настраивается скриптом dnsmasq_reconfig.sh и сохраняется в файл /etc/tor/hosts_suffixes.cfg.

    DoH

    DNS over HTTPS — это протокол для выполнения разрешения DNS по протоколу HTTPS. Для меня целью его использование является защита от подмены DNS провайдером.

    Для реализации используем dnscrypt-proxy. Для установки выполняем apt install dnscrypt-proxy .

    Примечание: я немного изменил способ запуска dnscrypt-proxy потому что мне показалось, что он у меня не работал. В настройках по умолчанию он запускается через systemd.socket — то есть порт слушает systemd и запускает dnscrypt-proxy когда нужно. Я изменил конфигурацию. В моей конфигурации я запускаю dnscrypt-proxy напрямую. Порт слушает dnscrypt-proxy. Не думаю что это нужно. Для смены порта в конфигурации по умолчанию — когда dnscrypt активируется через systemd.socket надо выполнить systemctl edit dnscrypt-proxy.socket и установить

    Обновление конфигурации

    Добавляем домен на который хотим ходить через tor в файл /etc/dnsmasq.d/src/dns_tor_domains.txt.i

    Добавляем статический адрес устройства локальной сети в файл /etc/dnsmasq.d/src/lan_hosts.csv.i

    Запускаем скрипт dnsmasq_reconfig.sh, который сгеренрирует файлы настройки для dnsmasq (/etc/dnsmasq.d/ lan_hosts.cfg.i, resolv.conf.i), tor (/etc/tor/hosts_suffixes.cfg) и все перезапустит для обновления конфигурации.

    Cброс DNS кэша

    Допустим вы зашли на сайт напрямую, но посмотрели и решили, что стоит зайти через tor. Просто обновить конфигурацию недостаточно — происходить кэширование DNS адресов в разных местах. Поэтому после обновления конфигурации кэши надо сбросить.

    На клиенте с линуксом с systemd-resolve запускаем sudo systemd-resolve —flush-caches .

    На клиенте с windows запускаем ipconfig /flushdns в командной строке с правами администратора.

    В google chrome открываем страничку chrome://net-internals/#dns и сбрасываем кэш браузера.

    Настройка Wireguard VPN

    Про настройку wireguard я написал в отдельной статье.

    Плач Ярославны

    Ну и напоследок напишу почему всё это оказалось ненужным

    Во-первых в какой-то момент МГТС отобрала настоящий IP и посадила всех за NAT. Почему-то в этот момент отвалился корпоративный VPN и в службе поддержки порекомендовали подключить выделенный IP.

    Во-вторых после подключения выделенного IP перестал работать IPv6. Служба поддержки сообщила, что МГТС в принципе никогда и не поддерживал IPv6. Ну то есть IPv6 как-бы работает, но его работу не гарантируют. На форумах есть объяснение на эту тему — типа выделяют статический IP, но IPv6 статический выделить не могут и чтобы никого не смущать при подключении статического IP тупо обрубают v6.

    Повысили тариф на 100 рубей, но это меньшее из зол, даже не в счет.

    В-третьих тех поддержка МГТС ужасна. Сначала у меня был роутер sercomm rv6699 — вроде все более-менее работало. И это был не самый плохой вариант — там был telnet и доступ к iptables. Говорят его даже можно перепрошить. Был косяк — к внешнему IP адресу нельзя было достучаться из локальной сети по http и https — но это решалось удалениеми двух правил iptables. Но потом я решил назначить фиксированный канал сети WiFi 5ГГц. Канал не назначился — начал прыгать, я обратился в техподдержку и мне заменили роутер на ZTE ZXHN F680. И это оказалось полным концом. Он не пробрасывал DHCP пакеты из локальной сети в WiFi. Мою схему я использовать уже не мог. Техподдержкой был послан с заключением «в конфигурации по умолчанию странички грузятся, все остальное не наши проблемы». Думал может попробую использовать DNS от роутера, но там совсем шлак. Максимум можно настроить — 10 статических адресов в локальной сети. Статические и динамические адреса должны быть в одном диапазоне. В общем WiFi роутера не используется.

    В-четрвертых у МГТС есть полный доступ к вашему роутеру. А иметь третье лицо, а вернее даже целую компанию в своей локальной сети — это как-то даже негигиенично.

    Вывод — можно и МГТС, но отключать WiFi и переводить роутер в режим моста (не факт, что это можно сделать, не факт, что это не слетит после неотключаемого автообновления, не факт, что это не запретят).

    Говорят, что роутер Sercomm RV6699 v4 можно перепрошить. Хотел попробовать, но не могу — у меня этого роутера больше нет — мне его заменили на ZTE ZXHN F680.

    Еще говорят, что можно купить коробочку мене чем за 1.5 тыс. рублей и она будет работать бриджом — думаю это хороший вариант.

    Добываем IPv6 из МГТС с ZTE F660 и Keenetic

    Проблема с конечным количеством IPv4 адресов нахлынула на человечество в начале текущего тысячелетия. Бурное развитие компьютеризации, множество гаджетов и проникновение интернета во все дома и квартиры привели к тому, что для большинства домашних и корпоративных пользователей использование глобальной сети превратилось из обоюдного обмена в одностороннее скачивание. Причина тому исчерпание свободных IPv4 адресов глобального сегмента. Без «белого» или «публичного» IP-адреса ваш компьютер не будет доступен извне. Выйти в сеть и открыть страничку с сайта он сможет, а вот подключиться к нему из другого города без посредника уже никак. И все потому, что провайдер выдаст не белый (и пушистый) адрес, а «серый». Работать с которым можно только в «пользовательском» режиме. Ни тебе свой собственный web-сервер установить, ни игровой сервер запустить. Тоска в общем.

    Однако, мудреные мужи долго думали и еще в прошлом веке выдали на гора спецификацию следующего поколения глобальной сети. Имя ей IPv6. Если не углубляться в подробности, то в новой версии IP разработчики упростили маршрутизацию пакетов по сетевой инфраструктуре, с другой стороны в адресное пространство заложили такое неимоверное количество адресов, что на каждого жителя земли их приходится несколько миллионов.

    Благодаря такому космическому количеству доступных адресов, автоматически сама-собой, отпала необходимость в применении «серых» адресов (NAT). Соответственно, любой компьютер, смартфон, планшет или телевизор, подключенные в действующую сеть IPv6 могут быть доступны из любой точки земного шара. Разумеется, со стороны провайдера и всего оборудования до абонента и конечного устройства должно поддерживать IPv6, протокол должен включен на всех устройствах.

    Несмотря на то, что спецификация IPv6 появилась более 20 лет тому назад, официально ее запустили в работу только в 2012 году. К запуску должны были подготовиться не только провайдеры, но и производители оборудования, изготовители операционных систем. И если с оборудованием и системами все более-менее наладилось очень скоро, то провайдеры старались и оттягивали внедрение IPv6 как только могли. И вот, на дворе всего лишь XXI-век, 2019 год и крупнейший провайдер Москвы МГТС соизволил включить поддержку протокола IPv6. Свершилось! В мгновенье ока миллионы устройств получили возможность для нормального, двустороннего общения с себе же подобными и без всяких посредников.

    Хорошо это или нет? С одной стороны наличие нормального IPv6 сетевого подключения развязывает руки. Уже нет необходимости использовать какие-то промежуточные сервисы, чтобы попасть в словю локальную сеть с другого континента. С другой же. С другой есть и проблема. Если раньше ваша персоналка находилась за NAT и к ней никто не мог подключиться из интернет и никто не мог ее взломать через многочисленные уязвимости годами не обновляемой Windows. То с подключением по IPv6 «постучаться» в ваш компьютер может кто угодно. Если конечно сможет вычислить ваш IPv6-адрес, что очень маловероятно. Да и содержать в актуальном состоянии, устанавливать обновления, не открывать лишние порты, следить за встроенным в операционную систему брандмауэром, не лишне не только при наличии IPv6, но и вообще всегда.

    В общем, наличие работающего IPv6 это и потенциальная угроза и великое благо. Чем оно обернется для каждого конкретного пользователя зависит от него самого, но а мы рассмотрим то, как же получить заветное прямое подключение к IPv6 у МГТС.

    ZTE F660

    Оптика влила свежую кровь в сегмент широкополосного доступа. Упрощенная и удешевленная инфраструктура, помехоустойчевые и дешевые сети, огромные скорости подключения. Вот, что такое оптика. Когда я подключил свою дачу в 50 км от центра города к волоконно оптической сети я с удивлением обнаружил, что Latency с моего рабочего компьютера в офисе напротив Кремля до моего роутера на даче составляет всего 3 мс. И это с учетом маршрутизации по самому офисному центру, по центрам обмена и тому подобному. О таких сетевых задержках в своей городской квартире я мог только мечтать. До сервера провайдера у меня сигнал ходил в пять раз дольше, а тут от точки и до точки

    МГТС задумала модернизацию своей сети давно. Компания упорно строила волоконно оптической кольцо по всему городу, постепенно заменяла старые АТС на новые цифровые и попутно сдавала высвобождающиеся площади в зданиях АТС (что и не удивительно, оборудование занимавшее ранее целое здание, нынче умещается на столе). Так оптика, вместе с проводной IP-телефонией пришла и к частному городскому потребителю. На волне ажиотажа замены «меди» на «волокно» всем в добровольно-принудительном порядке установили оптический модемы

    Так у меня дома появился оптический модем ZTE F660. Он не только мог раздавать телефонию, но и обладал способностью подключать мои устройства к интернет. Конечно, у ZTE есть куча недостатков, и добровольно я бы такой себе даже и покупать не стал. Но абонентам МГТС оборудование устанавливалось бесплатно. Ну а чего можно ожидать от бесплатного оборудования? И косяки есть, были и будут. Никто особо прошивку для данного аппарата не обновляет, проблемы возникшие при установки так и остались спустя годы. Именно по этой причине в довесок к F660 был докуплен нормальный Keenetic Ultra, который и заведует по сей день всей моей домашней сетевой инфраструктурой.

    Итак, что же нужно, чтобы включить IPv6 на ZTE F660? Попробуем разобраться:

    1. Войти в модем под учетной записью администратора. Это либо тот самый mgts с соответствующим паролем, либо вам нужно запросить доступ администратора у технической поддержки МГТС.

    zte f660 вход mgts

    2. Перейти в группу настроек Network — Wan — Wan connection

    zte f660 настройка ipv6 мгтс мтс

    3. Выбираем то Connection name на котором в модеме используется подключение к интернет (альтернатива подключение для IP-телефонии).

    4. В группе IP Version выбираем двойной стек IPv4/v6. В группе IPv6 выбираем Auto Mode и DHCPv6.

    5. Жмем Modify, модем подключается и собственно с этого момента он должен будет получить префикс целой сети и раздавать IPv6 адреса всем подключенным к нему устройствам.

    6. На всякий случай можем проверить, есть ли подключение по IPv6 после перезагрузки. Для проверки заходим на F660 в Status — Netrowk Interface — WAN Connection где и можем созерцать примерно следующую картину:

    zte f660 ipv6 check up проверка IPv6 модем роутер МГТС МТС

    Собственно тут нас интересует только GUA и DNS после нее. Если видим кучку циферок, то все подключено. Не лишней будет и строка IPv6 Online Duration. Если там уже что-то есть, соответственно IPv6 подключено.

    В качестве дополнительной проверки можно попробовать сделать ping какого-либо IPv6 адреса прямо с модема. В F660 осуществить проверку можно через Administration — Disagnosis — Ping diagnosis. В качестве проверяемого адреса имеет смысл использовать ipv6.google.com. Он работает точно и в сети постоянно.

    Если раздачей сети в вашей локалке занимается только F660 то на этом можно и остановиться. Но у меня все сложнее. F660 только добывает интернет из МГТС, а раздачей занимается Keenetic Ultra работающий в режиме роутера с дополнительной сетевой трансляцией адресов, что означает, что для всех внутренних устройств Keenetic Ultra единственный роутер в сети, со всеми вытекающими.

    Keenetic Ultra

    Установку дополнительного роутера в сети после ZTE мера вынужденная. F660 управляется провайдером и возможности пользователя, даже с доступом администратора весьма ограничены. А если хочется чего-то большего, например, AC-протокол для Wi-Fi или же VPN для подключения к офисной сети, то тут с F660 вообще ловить нечего. Железка устаревает, ни о какой гибкости с ней речи даже и не идет.

    Поэтому выбор справедливо пал на Keenetic. С его помощью удалось даже избавиться от всех повторителей в городской квартире (Beam Forming в действии), а заодно получить множество прочих вкусностей.

    И вот, в ненастный весенний денек, я с удивлением обнаруживаю, что МГТС в одностороннем порядке перевел меня с 60 МБит подключения на 150 МБит, а заодно при включении двойного стека IPv4/v6 на F660 мой Keenetic научился пинговать ipv6.google.com. Чему я оказался особенно рад.

    Вообще, для того, чтобы Keenetic мог работать с IPv6 необходимо ему данную компоненту включить. В режиме по-умолчанию она не скачана и неактивна.

    Далее пойдет все немного сложнее. Необходимо включить «сквозной режим для пакетов IPv6». По умолчанию в прошивке Keenetic этот режим отключен. Включить его можно двумя способами:

    1. Через командную строку (CLI).
    2. Через аналог командной строки но на web-интерфейсе.

    Включается сквозной режим двумя командами:

    ipv6 pass through ISP Home system configuration save

    Первая строка включает режим «моста» для протокола IPv6 между интерфейсом ISP (то, что мы получаем от провайдера, собственно от F660) и интерфейсом Home (наша локальная сеть), вторая сохраняет изменения.

    Для подключения в командную строку Keenetic потребуется приложение Telnet (оно может быть в поставке вашей операционной системы, а если нет, то можно воспользоваться PuTTY). Далее, после подключения и ввода логина/пароля последовательно вводятся обе строки.

    Либо, если прошивка вашего Keenetic достаточно свежая, то все операции можно проделать и в браузере. Для этого нужно после аутентификации на роутере перейти на адрес ip-адрес_роутера/a

    keenetic ultra основное Parse rest self-test web-cli cli web

    Можно поступить еще одним способом, немного проще чем cli. Для этого со страницы настроек Keenetic скачиваем start-up config, в текстовом редакторе добавляем только одну строчку:

    ipv6 pass through ISP Home

    в самую последнюю секцию файла (секции разделяются знаками !) и закачиваем файл обратно в Keenetic. n

    Что в итоге?

    По результатам работы IPv6 от МГТС могу с уверенностью сказать, что оно работает. Причем очень не плохо:

    IPv6 speed vs IPv4 speed

    Сравнение скорости работы IPv4 и IPv6 на примере удаленного сервера.

    Как видно, скорость работы IPv6 из Москвы во Францию выше аж в три с лишним раза. Собственно так сказывается его оптимизация и некоторые другие технические моменты.

    PS. При помощи pass through F660 при помощи RA выдает адреса из полученной подсети всему оборудованию в локальной сети за Keenetic. Соответственно маршрутизацией IPv6 занимается так же F660.

    Опубликовано 08.03.2019 автором kvv213 в следующих категориях:
    Soft железо статья

    Похожие публикации:
    1. Как зеркально отобразить картинку
    2. Как скопировать таблицу из интернета в ворд без изменений
    3. Какой файловый менеджер лучше для андроид на русском языке
    4. Что такое дифференциальное давление

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *