[О блоге] [наверх] [пред] [2022-03-24 20:50:12+03:00] [884f5eb6a88411f947a0d6c3fecd37c612a51654]
Темы: [bsd][ipv6]

Частично переезжаю на ipv6.ip4market.ru туннельного брокера

http://ipv6.ip4market.ru/
https://version6.ru/ip4market
Ибо пока я ещё завишу от зарубежного Hurricane Electric (HE) для доступа
в IPv6 мира. Наверняка отрежут, так что лучше уже сейчас искать ему
замену. На VPS-ке есть /64 сеть, но... я с ходу даже не уверен всё ли я
понимаю как проделать "проброс" IPv6 сети с виртуалки домой
(4d3de035a26c771ad691b157cdaece5f1460ade1), да и я уже использую /48
сети от Hurricane Electric и раздаю /64 на разные задачи, что жутко
удобно.

Туннельный брокер от IP4Market выглядит приятно: без вопросов сразу дают
/48. В отличии от HE всё находится в этом одном пространстве, так что, в
общем то, нужно знать только один префикс. При регистрации телефон можно
не указывать, но пришлось использовать сторонний броузер чтобы пройти
сраную Google Captcha.

Но вот PTR записи не дают менять. Благо что они нужны только для
исходящего почтового сервера, который у меня на VPS. IPsec (ESP)
работает, порты ниже 1024 тоже, но кроме 25-го. Так что пока это всё ещё
не полноценная замена для меня HE. Впрочем, один единственный порт можно
и прокинуть с VPS-ки как нибудь.

Если с моей стороны никаких пакетов не идёт (ping), то секунд через
десять я становлюсь недоступным для окружающего мира. Heartbeat из
ping-ов считаю не страшным костылём, ладно уж.

Так как от HE ещё рано отказываться, ибо жду ответа по поводу 25-го
порта от IP4Market (может его можно там включить), то у меня появилось
фактически два WAN-а: два туннеля до IPv6 мира. И с такой ситуацией на
практике я сталкиваюсь впервые. Знаю что самые низкоквалифицированные
админы сталкиваются в SOHO с тем, что есть два WAN-а и знают как с этим
жить. Я же очень смутно понимаю как сделать так, чтобы ответный IP
пакета уходил туда же откуда пришёл.

В памяти есть слова типа source-based routing, policy-based routing, но
это просто слова, без какой-либо практики. Куча статей как это сделать в
FreeBSD имеется, но большая часть из них предлагает использовать PF
firewall для этого. Чего мне очень не хотелось бы, ибо почти всю жизнь с
ipfw. Но также в моей памяти есть слова типа FIB-ов, setfib-ов.

И именно ими я и осилил распределение трафика. Никогда прежде даже ради
интереса не трогал всё это. Оказалось проще чем ожидал. Собственно, если
перед командами дописывать setfib X, то будет использоваться другая
таблица маршрутизации. Но мне не хочется запускать по два демона для
двух слушающих IP (например), а хочется чтобы всё зависело от трафика.
    ipfw add setfib X ip from XXX to any
    ipfw add setfib X ip from any to XXX
делает всё что нужно. Не знаю нужно ли симметрично эти два правила
иметь, но просто на всякий случай добавил.

Профит в любом случае уже есть: существенно меньшие roundtrip-ы, ибо
располагается это всё в Москве.

    [оставить комментарий]