Hi,
also irgendwie stehe ich auf dem Schlauch.
Ich hab ein OpenBSD 5.3 als Access-Router mit Kernel-PPPoE für Telekom DSL16000, einen Sixxs-Tunnel mit einem öffentlichen IPv6-Segment und noch ein bissel Kleinzeug rundrum.
Nach ein bissel IPv6-Test (also das Setzen der sysctl-Variablen und Aktivierung von route6d und rtadvd) hab ich festgestellt, daß aller ausgehender Verkehr über den Tunnel läuft, sofern ein AAAA-Eintrag für den öffentlichen Server zur Verfügung steht - was nicht wirklich gewollt ist. Der Tunnel ist zum Testen (solang noch kein natives IPv6 bei den Providern ausgerollt ist), nicht für Alltagsnutzung.
Nun wollte ich NAT64 und DNS64 installieren. Flugs gemacht, unbound-1.4.20 als DNS, Patches für den DNS64-Flavour, ein wenig Sourcecode-Studium, compiliert und den undokumentierten Config-Eintrag dns64-synthall gesetzt (damit der unbound grundsätzlich eine NAT64-Adresse auf AAAA-Anfragen zurückgibt). Funktioniert auch einwandfrei.
Das Problem liegt in PF. Ich bekomm die NAT64 nicht zum Spielen. In meiner pf.conf steht:
pass in log on rl0 inet6 from any to 64:ff9b::/96 af-to inet from 192.168.242.251
Ohne den Eintrag in der pf.conf versucht er Router, die Pakete über den Tunnel zu routen. Das ist nachvollziehbar. Mit dem Eintrag verenden die Pakete im Router. Ersetze ich den Eintrag mit der IP des pppoe0, also der öffentlichen Adresse vond er Telekom verenden die Pakete ebenfalls im Router.
Irgendwo muß ich einen Denkfehler haben oder betriebsblind sein. Leider ist NAT64 extrem schlecht dokumentiert, die meisten gegoogelten Dokumentationen beziehen sich noch auf die alten Patches von Ecdysis. Teilweise wirft pf Syntax-Fehler auf entsprechende Beispiele. Hat jemand Hinweise oder ein funktionierendes Setup für NAT64 mit pf?
CU
also irgendwie stehe ich auf dem Schlauch.
Ich hab ein OpenBSD 5.3 als Access-Router mit Kernel-PPPoE für Telekom DSL16000, einen Sixxs-Tunnel mit einem öffentlichen IPv6-Segment und noch ein bissel Kleinzeug rundrum.
Nach ein bissel IPv6-Test (also das Setzen der sysctl-Variablen und Aktivierung von route6d und rtadvd) hab ich festgestellt, daß aller ausgehender Verkehr über den Tunnel läuft, sofern ein AAAA-Eintrag für den öffentlichen Server zur Verfügung steht - was nicht wirklich gewollt ist. Der Tunnel ist zum Testen (solang noch kein natives IPv6 bei den Providern ausgerollt ist), nicht für Alltagsnutzung.
Nun wollte ich NAT64 und DNS64 installieren. Flugs gemacht, unbound-1.4.20 als DNS, Patches für den DNS64-Flavour, ein wenig Sourcecode-Studium, compiliert und den undokumentierten Config-Eintrag dns64-synthall gesetzt (damit der unbound grundsätzlich eine NAT64-Adresse auf AAAA-Anfragen zurückgibt). Funktioniert auch einwandfrei.
Das Problem liegt in PF. Ich bekomm die NAT64 nicht zum Spielen. In meiner pf.conf steht:
pass in log on rl0 inet6 from any to 64:ff9b::/96 af-to inet from 192.168.242.251
Ohne den Eintrag in der pf.conf versucht er Router, die Pakete über den Tunnel zu routen. Das ist nachvollziehbar. Mit dem Eintrag verenden die Pakete im Router. Ersetze ich den Eintrag mit der IP des pppoe0, also der öffentlichen Adresse vond er Telekom verenden die Pakete ebenfalls im Router.
Irgendwo muß ich einen Denkfehler haben oder betriebsblind sein. Leider ist NAT64 extrem schlecht dokumentiert, die meisten gegoogelten Dokumentationen beziehen sich noch auf die alten Patches von Ecdysis. Teilweise wirft pf Syntax-Fehler auf entsprechende Beispiele. Hat jemand Hinweise oder ein funktionierendes Setup für NAT64 mit pf?
CU