kazcor
Reigstreed Usre
Morgen,
ich hab spontan beschlossen meinem externen Router/Firewall (Speedtouch) den AP zu klauen und das ganze direkt auf meinem internen Server zu fahren. Da ich vor einiger Zeit mit IPv6 über IPv4 (via Tunnel über OpenVPN) rumgespielt habe, der geeignete Zeitpunkt, alles nativ auf IPv6 umzustellen.
Ich hab also serverseitig eine Atheros eingebaut, den AP aufgesetzt, den rtadvd (subnet via Sixxs) umgestellt auf das AP interface (statt den OpenVPN tunnel), clientseitig die WPA Einstellungen angepasst, einen Testlauf gemacht und siehe da: ich kann den Server schon mal als IPv6 host anpingen und die Verbindung steht.
Was mich jetzt irgendwie wurmt, ist, dass der rtadvd scheinbar nicht so wirklich bereit ist, auf dem entsprechenden interface zu lauschen, bzw. mein Client nicht in der Lage ist, sein Subnetz abzuholen. Habe es händisch via rtsol probiert, bekomme aber nichts zugewiesen - hat vorher auf dem tunnel-interface (tap0) problemlos funktioniert - jetzt über WLAN (ath0) nicht mehr PF sollte nicht das Problem sein, da temporär alles auf dem Interface zugelassen ist.
Hat jemand irgendwelche Ideen oder Erfahrungen in der Hinsicht?
Weitere Fragen:
- Ich würde dann wieder OpenVPN fahren. IPsec bietet sich wahrscheinlich an, aber da besteht für mich die Frage, in wie weit das Einbinden eines Windows-Clients dann problematisch sein könnte. Unterstützt Windows überhaupt schon IPsec via native IPv6?
- Doofe Frage (da bestimmt irgendwo beschrieben), aber wenn ich dann den eigentlichen Router irgendwann wegschmeiße (dient dann nur noch zur Einwahl) und mir stattdessen ein ext. DSL-Modem zulege - wird das arg kompliziert? Die Konfiguration läuft ja dann über den Server, wobei ich z.B. IPv4 DNS server und gateway setzen lasse. Vom internen Netz kommt gleichzeitig alles via IPv6 rein und ich kann alles was wirklich IPv6 ist über den Sixxs tunnel rausschleusen - sowie irgendwie den IPv4 traffic via faithd/totd übersetzen lassen, bevor er rausgeht? Aber woran erkenne ich den IPv4 traffic denn überhaupt, also wie ist das mapping? Oder brauche ich das gar nicht, da mein IPv6 "provider" das übernimmt? Gibt es da dann arge Performance Einbußen oder gar Einschränkungen, z.B. bei großen Datensätzen (ftp/bittorrent)?
- Aktuell ist so eine Konfiguration natürlich mehr als bedenklich, also ext. router = int. server. Ich stelle mich jedoch schon mal mental auf 8.0 um, bei welcher es doch kein Problem sein sollte den AP in einem eigenen Jail mit eigenem Regelsatz und den int. server auch in einem extra Jail laufen zu lassen? Selbsredend wärs auch dann nicht "sicher", aber für den normalen Heimwerker mit 1em Server ohne arg sensitive Daten doch ein guter Kompromiss.
Thnx
kaz
ich hab spontan beschlossen meinem externen Router/Firewall (Speedtouch) den AP zu klauen und das ganze direkt auf meinem internen Server zu fahren. Da ich vor einiger Zeit mit IPv6 über IPv4 (via Tunnel über OpenVPN) rumgespielt habe, der geeignete Zeitpunkt, alles nativ auf IPv6 umzustellen.
Ich hab also serverseitig eine Atheros eingebaut, den AP aufgesetzt, den rtadvd (subnet via Sixxs) umgestellt auf das AP interface (statt den OpenVPN tunnel), clientseitig die WPA Einstellungen angepasst, einen Testlauf gemacht und siehe da: ich kann den Server schon mal als IPv6 host anpingen und die Verbindung steht.
Was mich jetzt irgendwie wurmt, ist, dass der rtadvd scheinbar nicht so wirklich bereit ist, auf dem entsprechenden interface zu lauschen, bzw. mein Client nicht in der Lage ist, sein Subnetz abzuholen. Habe es händisch via rtsol probiert, bekomme aber nichts zugewiesen - hat vorher auf dem tunnel-interface (tap0) problemlos funktioniert - jetzt über WLAN (ath0) nicht mehr PF sollte nicht das Problem sein, da temporär alles auf dem Interface zugelassen ist.
Hat jemand irgendwelche Ideen oder Erfahrungen in der Hinsicht?
Weitere Fragen:
- Ich würde dann wieder OpenVPN fahren. IPsec bietet sich wahrscheinlich an, aber da besteht für mich die Frage, in wie weit das Einbinden eines Windows-Clients dann problematisch sein könnte. Unterstützt Windows überhaupt schon IPsec via native IPv6?
- Doofe Frage (da bestimmt irgendwo beschrieben), aber wenn ich dann den eigentlichen Router irgendwann wegschmeiße (dient dann nur noch zur Einwahl) und mir stattdessen ein ext. DSL-Modem zulege - wird das arg kompliziert? Die Konfiguration läuft ja dann über den Server, wobei ich z.B. IPv4 DNS server und gateway setzen lasse. Vom internen Netz kommt gleichzeitig alles via IPv6 rein und ich kann alles was wirklich IPv6 ist über den Sixxs tunnel rausschleusen - sowie irgendwie den IPv4 traffic via faithd/totd übersetzen lassen, bevor er rausgeht? Aber woran erkenne ich den IPv4 traffic denn überhaupt, also wie ist das mapping? Oder brauche ich das gar nicht, da mein IPv6 "provider" das übernimmt? Gibt es da dann arge Performance Einbußen oder gar Einschränkungen, z.B. bei großen Datensätzen (ftp/bittorrent)?
- Aktuell ist so eine Konfiguration natürlich mehr als bedenklich, also ext. router = int. server. Ich stelle mich jedoch schon mal mental auf 8.0 um, bei welcher es doch kein Problem sein sollte den AP in einem eigenen Jail mit eigenem Regelsatz und den int. server auch in einem extra Jail laufen zu lassen? Selbsredend wärs auch dann nicht "sicher", aber für den normalen Heimwerker mit 1em Server ohne arg sensitive Daten doch ein guter Kompromiss.
Thnx
kaz