Примерная задача
Домашний / мобильный провайдер не дает IPv6, а хочется.
Примерное решение
Организуем себе VDS с OpenVPN-сервером. Если он будет находится за пределами России, то приятным бонусом к решению приложится доступ на всякие крамольные ресурсы наподобие cisco.com, redhat.com, docker.io и иже с ними.
Настраиваем OpenVPN на сервере "как обычно
(
Read more... )
Comments 7
инженеры IETF решили поменять механизм работы GetAddrInfo в ULA-сетях
а можно детали?
у меня сейчас сделано так: в домашней локалке ipv6-сеть от провайдера (домру), если трафик отправляется в туннель, то snat до подсетки в fc00::/7, а на месте уже делается snat до адреса, выданного хостингом (двойной nat, чтобы не зависеть от адреса vps, ну и упростить роутинг на vps).
не нравится в этой схеме только то, что если домру падает, то ipv4 у меня переходит на резервный канал, а ipv6 пропадает. благо, ipv6 сегодня блажь, всё в таком случае просто работает через ipv4.
P.S. вообще никак не могу я вжиться в эту парадигму «адресов может быть много», ну я могу отдавать radvd'ом 100500 реальных подсетей в локалку, а что дальше? как мне сказать телефону, что на facebook и dell надо ходить с этого адреса, а на госуслуги - вот с этого?
то ли я что-то не понимаю, то ли работает оно лишь для вырожденных случаев.
Reply
Если на интерфейсе хоста-клиента одновременно присутствуют IPv4 и ULA, то при коннекте пофиг куда по доменному имени всегда будет использоваться IPv4, даже если в ответ на DNS запрос вернулись A и AAAA.
> а ipv6 пропадает
Вместо двойного SNAT раздай на клиенты в домашней сети адреса из диапазона "2001:db8::/32" и делай один NAT "там", один NAT "тут" на адреса одного и другого провайдера.
> как мне сказать телефону
Никак. Технически можно было бы спускать клиентам статические маршруты (DST Routes) по DHCPv6, но есть проблема: Android до сих пор (2024й год, ага) не умеет в DHCPv6...
Если речь идет только про HTTP(s), то теоретически можно попробовать спускать клиентам PAC-файлы (на какие адреса через какую проксю ходить). Или просто "одну на всех" проксю сделать, которая уже будет решать куда кого по SNI Hostname.
Reply
А ещё можно обойтись без VPS и OpenVPN, подключив бесплатный шлюз тередо от Hurricane Electric. Собственно, у меня доступ к забугорью именно так и сделан. Гугл, правда, считает, что я в Нидерландах, но это и хорошо.
Reply
Reply
Reply
У мну популярный протокол входа в офисы товарищ жёлто-чёрный в ростове забанил нафиг. Вначале tcp, потом udp. При этом ssh работает.
Такие дела. автоматический дпи с нейтронной сетью, похоже. Ибо мой трафик мизер и никакой ручной мониторинг его не выявил бы, кмк.
Reply
Reply
Leave a comment