Difference between revisions of "OpenWRT: IPv6"
Jump to navigation
Jump to search
Onnowpurbo (talk | contribs) (New page: Native IPv6 access For this, you need to obtain an IPv6 address from your ISP. Technically this could be a /128 prefix (exactly one IPv6 address), but according to rfc6177 this should be ...) |
Onnowpurbo (talk | contribs) |
||
| (55 intermediate revisions by the same user not shown) | |||
| Line 1: | Line 1: | ||
| − | + | Sumber: http://wiki.openwrt.org/doc/uci/network6 | |
| − | |||
| − | + | ==Barrier Breaker dan versi selanjutnya== | |
| − | + | * Native IPv6-support dengan DHCPv6, RA & DHCPv6-Server dan IPv6-firewall dapat di instalasi dan di konfigurasi secara default. | |
| + | * Teknologi transisi seperti 6in4, 6rd, 6to4 atau ds-lite dapat di instalasi menggunakan package dengan nama yang sama. | ||
| + | * Dukungan WebUI dilakukan dengan instalasi package luci-proto-ipv6. | ||
| − | + | ==Implementasi== | |
| − | |||
| − | + | Fitur | |
| − | |||
| − | |||
| − | + | * Penanganan Prefix | |
| + | ** Manajemen prefix, address dan route dari sambungan upstream dan local ULA-prefix | ||
| + | ** Manajemen prefix dari unreachable-routes, prefix deprecation (RFC 7084) dan prefix class | ||
| + | ** Distribusi prefix ke downstream interface (termasuk size, ID dan class hints) | ||
| + | ** Kebijakan routing yang berbasis Source agar secara benar menangani interface multiple uplink, ingress policy filtering (RFC 7084) | ||
| − | + | * Konfigurasi Native IPv6 | |
| + | ** Automatic bootstrap dari SLAAC, stateless DHCPv6, stateful DHCPv6, DHCPv6-PD dan kombinasi lainnya | ||
| + | ** Penanganan preferred dan valid address dan prefix lifetimes | ||
| + | ** Duplicate address dan pendeteksian Link-MTU | ||
| + | ** DHCPv6 Extension: Reconfigure, Information-Refresh, SOL_MAX_RT=3600 | ||
| + | ** DHCPv6 Extension: RDNSS, DNS Search Domain, NTP, SIP, ds-lite, prefix exclusion (experimental) | ||
| − | + | * IPv6 teknologi transisi | |
| + | ** Setup dan manajemen dari IPv6-in-IPv4 tunnel (6rd, 6to4, 6in4) | ||
| + | ** Setup dan manajemen dari IPv4-in-IPv6 tunnel (ds-lite, lw4o6, map-e) | ||
| + | ** Setup dan manajemen dari IPv4-to-IPv6 translation (map-t, 464xlat CLAT) [sejak Chaos Calmer] | ||
| + | ** Automatic setup dari tunnel dari DHCP dan DHCPv6 [sejak Chaos Calmer] | ||
| − | + | * Konfigurasi Downstream IPv6 | |
| + | ** Dukungan Server untuk Router Advertisement, DHCPv6 (stateless dan stateful) dan DHCPv6-PD | ||
| + | ** Deteksi Automatis untuk announced prefixes, delegated prefixes, default routes dan MTU | ||
| + | ** Ubah deteksi untuk prefix dan route untuk men-trigger pengiriman ulang dari RA dan DHCPv6-Reconfigure | ||
| + | ** Deteksi dari client hostname dan export sebagai augmented hosts-file | ||
| + | ** Dukungan untuk RA & DHCPv6-relaying dan NDP-proxying untuk, misalnya, dukungan uplink tanpa prefix delegation | ||
| − | + | ==Compliance== | |
| − | + | OpenWRT berusaha untuk mengikuti RFC 7084 jika dimungkinkan. Walaupun complience belum di verifikasi secara penuh. | |
| − | + | Persyaratan dari RFC 7084 saat ini di ketahui belum terpenuhi.RFC 7084 WAA-5 (SHOULD-requirement): NTP-Server yang di-request dan di-received saat ini tidak di process atau digunakan. | |
| − | + | ==Konfigurasi Upstream WAN-Interface== | |
| − | + | Pada bagian ini akan di terangkan cara konfigurasi sambungan IPv6 ke ISP atau ke upstream router. Perlu di catat bahwa sebagian besar mekanisme tunneling seperti 6in4, 6rd dan 6to4 tidak dapat beroperasi dibelakang NAT-router. | |
| − | + | ===Sambungan Native IPv6=== | |
| − | |||
| − | + | Untuk sebuah uplink dengan sambungan native IPv6 kita dapat menggunakan contoh konfigurasi berikut. Konfigurasi ini dapat bekerja untuk uplink yang mendukung DHCPv6 dengan Prefix Delegation dan juga yang tidak mendukung DHCPv6-PD maupun DHCPv6 sama sekali (hanya SLAAC). | |
| − | /etc/config/network | + | /etc/config/network |
| − | config interface | + | |
| + | config interface wan | ||
| + | option ipv6 1 # hanya dibutuhkan untuk protocol yang berbasis PPP | ||
| + | ... | ||
| + | |||
| + | config interface wan6 | ||
| + | option ifname eth1 # gunakan nama ifname yang sama dengan di wan-section atau "@wan" | ||
| + | option proto dhcpv6 | ||
| + | |||
| + | config interface lan | ||
| + | option proto static | ||
| + | option ip6assign 60 | ||
| + | ... | ||
| − | + | package odhcp6c harus di instalasi untuk bisa menggunakan dhcpv6. | |
| − | |||
| − | + | ===Sambungan IPv6 Statik=== | |
| − | + | Konfigurasi statik untuk IPv6 uplink juga di dukung. Berikut adalah contoh caranya, | |
| − | |||
| − | + | vi /etc/config/network | |
| + | |||
| + | config interface wan | ||
| + | option ifname eth1 | ||
| + | option proto static | ||
| + | option ip6addr 2001:db80::2/64 # Address kita | ||
| + | option ip6gw 2001:db80::1 # Address Gateway | ||
| + | option ip6prefix 2001:db80:1::/48 # Prefix address untuk di distribusikan ke downstream interface | ||
| + | option dns 2001:db80::1 # DNS server | ||
| + | |||
| + | config interface lan | ||
| + | option proto static | ||
| + | option ip6assign 60 | ||
| + | ... | ||
| − | + | ===6in4 tunnel (HEnet tunnelbroker, sixxs static tunnel, ...)=== | |
| − | |||
| − | |||
| − | |||
| − | + | 6in4 tunnel biasanya diberikan oleh external tunnel provider seperti HE.net atau Sixxs. Kita dapat menggunakan contoh konfigurasi berikut sebagai dasar: | |
| − | + | /etc/config/network: | |
| + | |||
| + | config 'interface' 'wan6' | ||
| + | option 'proto' '6in4' | ||
| + | option 'mtu' '1424' # IPv6 tunnel MTU (optional) | ||
| + | option 'peeraddr' '62.12.34.56' # IPv4 tunnel endpoint | ||
| + | option 'ip6addr' '2001:DB8:2222:EFGH::2/64' # IPv6 tunnel | ||
| + | option 'ip6prefix' '2001:DB8:1234:ABCD::/64' # Prefix yang di routed | ||
| + | # opsi konfigurasi di bawah hanya untuk HEnet tunnel. abaikan untuk tunnel yang lain. | ||
| + | option tunnelid '123456' # HE.net tunnel id | ||
| + | option username 'username' # HE.net username, bukan User ID. | ||
| + | option password 'password' # HE.net password jika tidak menggunakan updatekey untuk tunnel | ||
| + | option updatekey 'updatekey' # HE.net updatekey pengganti password | ||
| + | |||
| + | config 'interface' 'lan' | ||
| + | option 'proto' 'static' | ||
| + | option ip6assign 60 | ||
| + | ... | ||
| − | |||
| − | + | Jika kita memilih nama tunnel-interface bukan 'wan6' maka pastikan untuk menambahkan nama interface ke network-option dari firewall-zone 'wan' di /etc/config/firewall. | |
| − | |||
| − | + | Package 6in4 harus di install untuk menggunakan 6in4-tunnel. | |
| − | |||
| − | : | + | Catatan: HE.net mengalokasikan sebuah "updatekey" secara default untuk tunnel baru sejak Februari 2014.Jika kita menggunakan updatekey, kita perlu menggunakannya bukan password. Dukungan untuk opsi ini mulai di lakukan dalam OpenWRT trunk dari revisi r39646. Tunnel lama tanpa updatekey akan tetap dapat berjalan menggunakan password. |
| − | |||
| − | + | ===6rd tunnel (Dukungan untuk Transisi ISP IPv6)=== | |
| − | + | 6rd adalah sebuah mekanisme tunnel berbasis pada 6to4. Tidak seperti mekanisme tunneling lain, 6rd biasanya di berikan oleh ISP itu sendiri. Nilai dari tunnel biasanya di peroleh dengan DHCPv4 request untuk WAN interface. | |
| − | + | Sejak OpenWRT Chaos Calmer dan selanjutnya, konfigurasi ini biasanya auto-detecte sehingga konfigurasi manual biasanya tidak dibutuhkan. Cukup instalasi package 6rd dan rebooting biasanya sudah cukup. | |
| − | |||
| − | + | /etc/config/network: | |
| + | |||
| + | config interface 'wan' | ||
| + | option ifname 'eth0.2' | ||
| + | option proto 'dhcp' | ||
| + | |||
| + | # The following two lines are only needed in Barrier Breaker | ||
| + | option iface6rd wan_6rd | ||
| + | option zone6rd wan | ||
| − | + | Untuk 6rd via DHCP, pertama kali kita perlu men-cek jika parameter memang dikirim. Buat /etc/udhcpc.user dengan content berikut: | |
| − | |||
| − | + | #!/bin/sh | |
| − | + | env >> /tmp/udhcpc.log | |
| − | + | Reboot router dan cek log file, apakah ada kalimat kira-kira seperti berikut: | |
| − | |||
| − | + | ip6rd=16 40 2001:0838:ad00:0000:0000:0000:0000:0000 77.174.0.2 | |
| − | + | Jika kalimat tersebut tidak ada, kita perlu memperoleh nilai yang benar untuk peeraddr, ip6prefix, ip6prefixlen dan ip4prefixlen dari ISP kita. Nilai ip6rd di atas atau nilai yang kita peroleh dari ISP, dapat di tulis (hardcode) ke 6RD tunnel. Buang atau di-comment kalimat iface6rd dari wan section. | |
| − | + | /etc/config/network | |
| − | + | config interface 'wan6' | |
| + | option proto '6rd' | ||
| + | option peeraddr '77.174.0.2' | ||
| + | option ip6prefix '2001:838:ad00::' | ||
| + | option ip6prefixlen '40' | ||
| + | option ip4prefixlen '16' | ||
| − | + | Di Chaos Calmer dan Barrier Breaker default /etc/config/network akan bekerja setelah kita menginstalasi package 6rd. dhcpv6 akan di abaikan jika tidak berhasil. | |
| − | + | Jika kita memilih nama tunnel-interface bukan 'wan6' maka pastikan bahwa nama interface tersebut masuk ke network-option di firewall-zone 'wan' di /etc/config/firewall. | |
| − | + | Package 6rd harus di instalasi untuk menggunakan 6rd-tunnel. | |
| − | |||
| − | |||
| − | + | ===6to4 tunnel=== | |
| − | + | 6to4 adalah mekanisme IPv6 tunneling yang paling sederhana, yang menggantungkan diri pada gateway yang tersedia secara publik. | |
| − | + | /etc/config/network: | |
| − | + | ||
| − | + | config 'interface' 'wan6' | |
| − | + | option 'proto' '6to4' | |
| + | |||
| + | config 'interface' 'lan' | ||
| + | option 'proto' 'static' | ||
| + | option ip6assign 60 | ||
| + | ... | ||
| − | + | Jika kita memilih nama tunnel-interface bukan 'wan6' pastikan bahwa nama interface tersebut masuk ke network-option di firewall-zone 'wan' di /etc/config/firewall. | |
| − | 6to4 | + | Package 6to4 harus di instalasi untuk menggunakan 6to4-tunnel. |
| − | + | ===Dual-Stack Lite tunnel (ds-lite IPv4 in IPv6)=== | |
| − | + | ds-lite adalah sebuah mekanisme transisi yang digunakan oleh ISP untuk mendukung IPv4-connectivity di atas sambungan native IPv6. | |
| − | + | Di Chaos Calmer dan versi selanjutnya, konfigurasi ds-lite biasanya auto-detect sehingga konfigurasi manual tidak diperlukan. Cukup dengan menginstalasi package ds-lite dan reboot biasanya sudah cukup. | |
| − | + | /etc/config/network: | |
| + | |||
| + | config 'interface' 'wan6' | ||
| + | option 'ifname' 'eth1' | ||
| + | option 'proto' 'dhcpv6' | ||
| + | |||
| + | config 'interface' 'wan' | ||
| + | option 'proto' 'dslite' | ||
| + | option 'peeraddr' '2001:db80::1' # ISP DS-Lite AFTR | ||
| − | + | Jika kita memilih nama tunnel-interface bukan 'wan6' pastikan bahwa nama interface tersebut masuk ke network-option di firewall-zone 'wan' di /etc/config/firewall. | |
| − | + | Package ds-lite harus di instalasi untuk menggunakan ds-lite-tunnel. | |
| − | + | ==Konfigurasi Downstream LAN-Interface== | |
| − | + | OpenWRT menyediakan mekanisme delegasi prefix local yang flexible. Ini dapat di aktifkan untuk masing-masing LAN-interface dengan 3 parameter yang masing-masing optional: | |
| − | |||
| − | + | * ip6assign: Prefix size digunakan untuk assigned prefix ke interface (contoh, 64 akan assign /64-prefixes) | |
| + | * ip6hint: Subprefix ID yang akan digunakan jika ada (contoh, 1234 dengan ip6assign 64 akan assign prefix :1234::/64) | ||
| + | * ip6class: Filter untuk prefix class yang dapat di terima di interface (contoh, wan6 hanya akan assign prefix dengan kelas "wan6" tapi tidak untuk, misalnya, "local") | ||
| − | + | Setting ip6assign dan / atau ip6hint akan di abaikan jika subprefix yang di inginkan tidak bisa di assign. Dalam hal ini, OpenWrt akan pertama kali berusaha untuk mencoba assign sebuah prefix dengan panjang yang sama, tapi berbeda subprefix-ID. Jika ini gagal maka panjang prefix akan di kurangi sampai assignment sesuai dengan yang di inginkan. Jika ip6hint tidak di set maka ID sembarang akan di pilih. Setting ip6assign-parameter ke nilai < 64 akan membuat e DHCPv6-server untuk memberikan /64 pertama via DHCPv6-Prefix Delegation ke downstream router di Interface. Jika ip6hint tidak cocok dengan ip6assign yang diberikan dia akan membulatkan ke bawah ke nilai yang paling mungkin. | |
| − | + | Jika ip6class tidak di set maka semua prefix class akan di terima pada interface ini. Default class untuk sebuah prefix adalah interface-name (seperti "wan6") atau "local" untuk ULA-prefix. Ini dapat digunakan untuk memilih upstream interface dari mana subprefix akan di assigned. Untuk prefix yang diterima dari metoda dynamic-configuration seperti DHCPv6 sangat mungkin prefix-class tidak sama dengan source-interface tapi, misalnya, merupakan potongan dari nilai class prefix yang diberikan ISP. | |
| − | |||
| − | + | /etc/config/network | |
| − | config | + | |
| + | config globals globals | ||
| + | option ula_prefix fd00:db80::/48 | ||
| + | |||
| + | config interface wan6 | ||
| + | option proto static | ||
| + | option ip6prefix 2001:db80::/56 | ||
| + | ... | ||
| + | |||
| + | config interface lan | ||
| + | option proto static | ||
| + | option ip6assign 60 | ||
| + | option ip6hint 10 | ||
| + | ... | ||
| + | |||
| + | config interface guest | ||
| + | option proto static | ||
| + | option ip6assign 64 | ||
| + | option ip6hint abcd | ||
| + | list ip6class wan6 | ||
| + | ... | ||
| − | + | Hasil dari konfigurasi di atas adalah: | |
| − | |||
| − | + | * LAN interface akan diberikan prefix 2001:db80:0:10::/60 dan fd00:db80:0:10::/60. | |
| + | * DHCPv6-server dapat memberikan ke dua prefixes kecuali 2001:db80:0:10::/64 dan fd00:db80:0:10::/64 ke downstream router di LAN via DHCPv6-PD. | ||
| + | * guest interface hanya akan di assinged prefix 2001:db80:0:abcd::/64 karena class filter. | ||
| − | + | ==Router Advertisement & DHCPv6== | |
| − | |||
| − | + | OpenWRT dapat memberikan RA & DHCPv6 server dan relay. Secara default SLAAC, stateless dan stateful DHCPv6 di enable di sebuah interface. Jika ada prefix yang besarnya /64 atau lebih besar maka address yang akan di berikan dari masing-masing prefix. Jika semua prefix di sebuah interface mempunyai besar lebih dari /64 maka DHCPv6-Prefix Delegation akan diaktifkan untuk downstream-router. Jika sebuah default route ada, router akan advertise dirinya sebagai default router pada interface. | |
| − | + | OpenWRT juga mampu mendetek jika tidak ada prefix yang tersedia dari upstream interface dan dapat switch ke mode relay secara automatis untuk meng-extend konfigurasi dari upstream interface ke downstream interface. Hal ini sangat bermanfaat untuk meletakan OpenWRT dibelakang IPv6-router yang tidak memberikan prefix via DHCPv6-PD. | |
| − | + | Contoh bagian konfigurasi untuk SLAAC + DHCPv6 server mode (/etc/config/dhcp) | |
| − | + | config dhcp lan | |
| + | option dhcpv6 server | ||
| + | option ra server | ||
| − | + | Contoh bagian konfigurasi untuk SLAAC saja (/etc/config/dhcp) | |
| − | |||
| − | + | config dhcp lan | |
| + | option dhcpv6 disabled | ||
| + | option ra server | ||
| − | + | Contoh bagian konfigurasi untuk relay (/etc/config/dhcp) | |
| − | |||
| − | |||
| − | + | config dhcp wan6 | |
| + | option dhcpv6 relay | ||
| + | option ra relay | ||
| + | option ndp relay | ||
| + | option master 1 | ||
| + | |||
| + | config dhcp lan | ||
| + | option dhcpv6 relay | ||
| + | option ra relay | ||
| + | option ndp relay | ||
| − | + | Package odhcpd harus di instalasi untuk dapat memberikan layanan ini. | |
| − | |||
| − | + | ==Routing Mangement== | |
| − | + | OpenWRT menggunakan source-address dan source-interface sebagai dasar untuk policy-routing system. Teknik ini dibutuhkan agar dapat secara benar menangani berbagai uplink interface. Setiap delegated prefix akan ditambahkan dengan unreachable route untuk menghindari IPv6-routing loops. | |
| − | + | Untuk menentukan status dari route, kita dapat melihat informasi yang diberikan oleh ifstatus. | |
| − | |||
| − | + | Contoh (ifstatus wan6): | |
| − | + | ... | |
| − | + | "ipv6-address": [ | |
| + | { | ||
| + | "address": "2001:db80::a00:27ff:fe67:cd9c", | ||
| + | "mask": 64, | ||
| + | "preferred": 1681, | ||
| + | "valid": 7081 | ||
| + | } | ||
| + | ], | ||
| + | "ipv6-prefix": [ | ||
| + | { | ||
| + | "address": "2001:db80:0:100::", | ||
| + | "mask": 56, | ||
| + | "preferred": 86282, | ||
| + | "valid": 86282, | ||
| + | "class": "wan6", | ||
| + | "assigned": { | ||
| + | "lan": { | ||
| + | "address": "2001:db80:0:110::", | ||
| + | "mask": 60 | ||
| + | } | ||
| + | } | ||
| + | } | ||
| + | ], | ||
| + | "route": [ | ||
| + | { | ||
| + | "target": "2001:db80::", | ||
| + | "mask": 48, | ||
| + | "nexthop": "fe80::800:27ff:fe00:0", | ||
| + | "metric": 1024, | ||
| + | "valid": 7081 | ||
| + | }, | ||
| + | { | ||
| + | "target": "::", | ||
| + | "mask": 0, | ||
| + | "nexthop": "fe80::800:27ff:fe00:0", | ||
| + | "metric": 1024, | ||
| + | "valid": 7081 | ||
| + | } | ||
| + | ], | ||
| + | ... | ||
| − | + | Interpretasinya adalah: | |
| − | |||
| − | + | * Pada interface ada 2 route yang diberikan: 2001:db80::/48 dengan default-route via router fe80::800:27ff:fe00:0. | |
| + | * route ini hanya dapat digunakan oleh traffic yang dibuat secara lokal dan traffic dengan source-address yang benar, yaitu dari local address atau dari address yang diberikan oleh delegated prefix. | ||
| − | + | OpenWRT menambahkan IPv6-route (seperti default routes) ke routing-table yang spesifik dan tidak ke main-table oleh karenanya mereka tidak akan terlihat secara default. Kita dapat menggunakan perintah ip -6 untuk melihat semua kebijakan routing yang ada. | |
| − | + | ==Migrasi dari Attitude Adjustment 12.09 atau sebelumnya== | |
| − | + | ===IPv6 Forwarding=== | |
| − | /etc/ | + | Untuk memastikan IPv6 forwarding bekerja dengan benar, cek /etc/sysctl.conf berisi entri berikut: |
| − | |||
| − | + | net.ipv6.conf.default.forwarding=1 | |
| + | net.ipv6.conf.all.forwarding=1 | ||
| − | + | ===Konfigurasi Downstream untuk LAN-Interface=== | |
| − | + | Sangat tidak di sarankan untuk menggunakan ip6addr untuk menset address / prefix di downstream interface (seperti lan) karena ini akan mudah menyebabkan konflik dengan local address delegation. Hal ini juga mungkin akan menyebabkan hasil yang tidak di inginkan atau rusak karena source-based policy-routing yang digunakan di IPv6-stack. | |
| − | + | Mohon menggunakan opsi baru ip6assign dan ip6hint . | |
| − | |||
| − | + | Contoh: kita ingin prefix yang didelegasikan 2001:db80:1234::/48 dan kita ingin LAN interface kita mempunyai subprefix 2001:db80:1234:5678::/64 kita dapat menggunakan konfigurasi berikut: | |
| − | |||
| − | + | config 'interface' 'lan' | |
| + | option 'proto' 'static' | ||
| + | option 'ip6assign' '64' | ||
| + | option 'ip6hint' '5678' | ||
| + | ... | ||
| − | + | Jika router dapat ping6 ke internet, tapi mesin di lan memperoleh error "Destination unreachable: Unknown code 5" atau "Source address failed ingress/egress policy" maka opsi ip6assign tidak ada di lan interface anda. | |
| − | + | ===Router Advertisement & DHCPv6=== | |
| − | + | Penggunaan radvd saat ini menjadi keharusan. Layanan 6relayd digunakan untuk Router Advertisement dan DHCPv6 dan mengambil address dari interface secara automatis. | |
| − | |||
| − | + | ===Upstream Configuration for WAN-Interfaces=== | |
| − | |||
| − | + | ====Perubahan Generik==== | |
| − | + | Router Advertisement tidak akan di terima secara defauly oleh karenanya OpenWRT tidak akan mengkonfigurasi diri sendiri dengan route default dan / atau address. Jika opsi interface accept_ra dan send_rs sudah dibuang. Kita harus menambahkan sebuah interface dengan proto dhcpv6 - juga untuk menerima RA saja. | |
| − | |||
| − | + | ====6in4 tunnel dan sambungan Statik IPv6==== | |
| − | + | Saat ini perlu untuk menambah routed-prefix kita (misalnya routed /48 dari tunnel kita) sebagai opsi ip6prefix ke tunnel/static-interface di /etc/config/network. Jika kita membuang opsi ini lan-client tidak akan bisa mencapai Internet. | |
| − | config | ||
| − | + | Contoh: | |
| − | |||
| − | + | config 'interface' 'wan6' | |
| − | + | option 'proto' '6in4' | |
| + | option 'peeraddr' '62.12.34.56 | ||
| + | option 'ip6addr' '2001:DB8:2222:EFGH::2/64' | ||
| + | option 'ip6prefix' '2001:DB8:1234:ABCD::/64' # <- routed prefix kita | ||
| + | ... | ||
| − | + | ====6rd dan 6to4 tunnel==== | |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| + | Public address prefix kita akan di hitung secara automatis dan akan dikirim ke network subsystem (netifd). Kita perlu mengikuti saran untuk konfigurasi lan-interface. | ||
==Referensi== | ==Referensi== | ||
| − | * http://wiki.openwrt.org/doc/ | + | * http://wiki.openwrt.org/doc/uci/network6 |
Latest revision as of 09:27, 13 July 2015
Sumber: http://wiki.openwrt.org/doc/uci/network6
Barrier Breaker dan versi selanjutnya
- Native IPv6-support dengan DHCPv6, RA & DHCPv6-Server dan IPv6-firewall dapat di instalasi dan di konfigurasi secara default.
- Teknologi transisi seperti 6in4, 6rd, 6to4 atau ds-lite dapat di instalasi menggunakan package dengan nama yang sama.
- Dukungan WebUI dilakukan dengan instalasi package luci-proto-ipv6.
Implementasi
Fitur
- Penanganan Prefix
- Manajemen prefix, address dan route dari sambungan upstream dan local ULA-prefix
- Manajemen prefix dari unreachable-routes, prefix deprecation (RFC 7084) dan prefix class
- Distribusi prefix ke downstream interface (termasuk size, ID dan class hints)
- Kebijakan routing yang berbasis Source agar secara benar menangani interface multiple uplink, ingress policy filtering (RFC 7084)
- Konfigurasi Native IPv6
- Automatic bootstrap dari SLAAC, stateless DHCPv6, stateful DHCPv6, DHCPv6-PD dan kombinasi lainnya
- Penanganan preferred dan valid address dan prefix lifetimes
- Duplicate address dan pendeteksian Link-MTU
- DHCPv6 Extension: Reconfigure, Information-Refresh, SOL_MAX_RT=3600
- DHCPv6 Extension: RDNSS, DNS Search Domain, NTP, SIP, ds-lite, prefix exclusion (experimental)
- IPv6 teknologi transisi
- Setup dan manajemen dari IPv6-in-IPv4 tunnel (6rd, 6to4, 6in4)
- Setup dan manajemen dari IPv4-in-IPv6 tunnel (ds-lite, lw4o6, map-e)
- Setup dan manajemen dari IPv4-to-IPv6 translation (map-t, 464xlat CLAT) [sejak Chaos Calmer]
- Automatic setup dari tunnel dari DHCP dan DHCPv6 [sejak Chaos Calmer]
- Konfigurasi Downstream IPv6
- Dukungan Server untuk Router Advertisement, DHCPv6 (stateless dan stateful) dan DHCPv6-PD
- Deteksi Automatis untuk announced prefixes, delegated prefixes, default routes dan MTU
- Ubah deteksi untuk prefix dan route untuk men-trigger pengiriman ulang dari RA dan DHCPv6-Reconfigure
- Deteksi dari client hostname dan export sebagai augmented hosts-file
- Dukungan untuk RA & DHCPv6-relaying dan NDP-proxying untuk, misalnya, dukungan uplink tanpa prefix delegation
Compliance
OpenWRT berusaha untuk mengikuti RFC 7084 jika dimungkinkan. Walaupun complience belum di verifikasi secara penuh.
Persyaratan dari RFC 7084 saat ini di ketahui belum terpenuhi.RFC 7084 WAA-5 (SHOULD-requirement): NTP-Server yang di-request dan di-received saat ini tidak di process atau digunakan.
Konfigurasi Upstream WAN-Interface
Pada bagian ini akan di terangkan cara konfigurasi sambungan IPv6 ke ISP atau ke upstream router. Perlu di catat bahwa sebagian besar mekanisme tunneling seperti 6in4, 6rd dan 6to4 tidak dapat beroperasi dibelakang NAT-router.
Sambungan Native IPv6
Untuk sebuah uplink dengan sambungan native IPv6 kita dapat menggunakan contoh konfigurasi berikut. Konfigurasi ini dapat bekerja untuk uplink yang mendukung DHCPv6 dengan Prefix Delegation dan juga yang tidak mendukung DHCPv6-PD maupun DHCPv6 sama sekali (hanya SLAAC).
/etc/config/network
config interface wan
option ipv6 1 # hanya dibutuhkan untuk protocol yang berbasis PPP
...
config interface wan6
option ifname eth1 # gunakan nama ifname yang sama dengan di wan-section atau "@wan"
option proto dhcpv6
config interface lan
option proto static
option ip6assign 60
...
package odhcp6c harus di instalasi untuk bisa menggunakan dhcpv6.
Sambungan IPv6 Statik
Konfigurasi statik untuk IPv6 uplink juga di dukung. Berikut adalah contoh caranya,
vi /etc/config/network
config interface wan
option ifname eth1
option proto static
option ip6addr 2001:db80::2/64 # Address kita
option ip6gw 2001:db80::1 # Address Gateway
option ip6prefix 2001:db80:1::/48 # Prefix address untuk di distribusikan ke downstream interface
option dns 2001:db80::1 # DNS server
config interface lan
option proto static
option ip6assign 60
...
6in4 tunnel (HEnet tunnelbroker, sixxs static tunnel, ...)
6in4 tunnel biasanya diberikan oleh external tunnel provider seperti HE.net atau Sixxs. Kita dapat menggunakan contoh konfigurasi berikut sebagai dasar:
/etc/config/network:
config 'interface' 'wan6'
option 'proto' '6in4'
option 'mtu' '1424' # IPv6 tunnel MTU (optional)
option 'peeraddr' '62.12.34.56' # IPv4 tunnel endpoint
option 'ip6addr' '2001:DB8:2222:EFGH::2/64' # IPv6 tunnel
option 'ip6prefix' '2001:DB8:1234:ABCD::/64' # Prefix yang di routed
# opsi konfigurasi di bawah hanya untuk HEnet tunnel. abaikan untuk tunnel yang lain.
option tunnelid '123456' # HE.net tunnel id
option username 'username' # HE.net username, bukan User ID.
option password 'password' # HE.net password jika tidak menggunakan updatekey untuk tunnel
option updatekey 'updatekey' # HE.net updatekey pengganti password
config 'interface' 'lan'
option 'proto' 'static'
option ip6assign 60
...
Jika kita memilih nama tunnel-interface bukan 'wan6' maka pastikan untuk menambahkan nama interface ke network-option dari firewall-zone 'wan' di /etc/config/firewall.
Package 6in4 harus di install untuk menggunakan 6in4-tunnel.
Catatan: HE.net mengalokasikan sebuah "updatekey" secara default untuk tunnel baru sejak Februari 2014.Jika kita menggunakan updatekey, kita perlu menggunakannya bukan password. Dukungan untuk opsi ini mulai di lakukan dalam OpenWRT trunk dari revisi r39646. Tunnel lama tanpa updatekey akan tetap dapat berjalan menggunakan password.
6rd tunnel (Dukungan untuk Transisi ISP IPv6)
6rd adalah sebuah mekanisme tunnel berbasis pada 6to4. Tidak seperti mekanisme tunneling lain, 6rd biasanya di berikan oleh ISP itu sendiri. Nilai dari tunnel biasanya di peroleh dengan DHCPv4 request untuk WAN interface.
Sejak OpenWRT Chaos Calmer dan selanjutnya, konfigurasi ini biasanya auto-detecte sehingga konfigurasi manual biasanya tidak dibutuhkan. Cukup instalasi package 6rd dan rebooting biasanya sudah cukup.
/etc/config/network:
config interface 'wan'
option ifname 'eth0.2'
option proto 'dhcp'
# The following two lines are only needed in Barrier Breaker
option iface6rd wan_6rd
option zone6rd wan
Untuk 6rd via DHCP, pertama kali kita perlu men-cek jika parameter memang dikirim. Buat /etc/udhcpc.user dengan content berikut:
#!/bin/sh env >> /tmp/udhcpc.log
Reboot router dan cek log file, apakah ada kalimat kira-kira seperti berikut:
ip6rd=16 40 2001:0838:ad00:0000:0000:0000:0000:0000 77.174.0.2
Jika kalimat tersebut tidak ada, kita perlu memperoleh nilai yang benar untuk peeraddr, ip6prefix, ip6prefixlen dan ip4prefixlen dari ISP kita. Nilai ip6rd di atas atau nilai yang kita peroleh dari ISP, dapat di tulis (hardcode) ke 6RD tunnel. Buang atau di-comment kalimat iface6rd dari wan section.
/etc/config/network
config interface 'wan6'
option proto '6rd'
option peeraddr '77.174.0.2'
option ip6prefix '2001:838:ad00::'
option ip6prefixlen '40'
option ip4prefixlen '16'
Di Chaos Calmer dan Barrier Breaker default /etc/config/network akan bekerja setelah kita menginstalasi package 6rd. dhcpv6 akan di abaikan jika tidak berhasil.
Jika kita memilih nama tunnel-interface bukan 'wan6' maka pastikan bahwa nama interface tersebut masuk ke network-option di firewall-zone 'wan' di /etc/config/firewall.
Package 6rd harus di instalasi untuk menggunakan 6rd-tunnel.
6to4 tunnel
6to4 adalah mekanisme IPv6 tunneling yang paling sederhana, yang menggantungkan diri pada gateway yang tersedia secara publik.
/etc/config/network:
config 'interface' 'wan6'
option 'proto' '6to4'
config 'interface' 'lan'
option 'proto' 'static'
option ip6assign 60
...
Jika kita memilih nama tunnel-interface bukan 'wan6' pastikan bahwa nama interface tersebut masuk ke network-option di firewall-zone 'wan' di /etc/config/firewall.
Package 6to4 harus di instalasi untuk menggunakan 6to4-tunnel.
Dual-Stack Lite tunnel (ds-lite IPv4 in IPv6)
ds-lite adalah sebuah mekanisme transisi yang digunakan oleh ISP untuk mendukung IPv4-connectivity di atas sambungan native IPv6.
Di Chaos Calmer dan versi selanjutnya, konfigurasi ds-lite biasanya auto-detect sehingga konfigurasi manual tidak diperlukan. Cukup dengan menginstalasi package ds-lite dan reboot biasanya sudah cukup.
/etc/config/network:
config 'interface' 'wan6'
option 'ifname' 'eth1'
option 'proto' 'dhcpv6'
config 'interface' 'wan'
option 'proto' 'dslite'
option 'peeraddr' '2001:db80::1' # ISP DS-Lite AFTR
Jika kita memilih nama tunnel-interface bukan 'wan6' pastikan bahwa nama interface tersebut masuk ke network-option di firewall-zone 'wan' di /etc/config/firewall.
Package ds-lite harus di instalasi untuk menggunakan ds-lite-tunnel.
Konfigurasi Downstream LAN-Interface
OpenWRT menyediakan mekanisme delegasi prefix local yang flexible. Ini dapat di aktifkan untuk masing-masing LAN-interface dengan 3 parameter yang masing-masing optional:
- ip6assign: Prefix size digunakan untuk assigned prefix ke interface (contoh, 64 akan assign /64-prefixes)
- ip6hint: Subprefix ID yang akan digunakan jika ada (contoh, 1234 dengan ip6assign 64 akan assign prefix :1234::/64)
- ip6class: Filter untuk prefix class yang dapat di terima di interface (contoh, wan6 hanya akan assign prefix dengan kelas "wan6" tapi tidak untuk, misalnya, "local")
Setting ip6assign dan / atau ip6hint akan di abaikan jika subprefix yang di inginkan tidak bisa di assign. Dalam hal ini, OpenWrt akan pertama kali berusaha untuk mencoba assign sebuah prefix dengan panjang yang sama, tapi berbeda subprefix-ID. Jika ini gagal maka panjang prefix akan di kurangi sampai assignment sesuai dengan yang di inginkan. Jika ip6hint tidak di set maka ID sembarang akan di pilih. Setting ip6assign-parameter ke nilai < 64 akan membuat e DHCPv6-server untuk memberikan /64 pertama via DHCPv6-Prefix Delegation ke downstream router di Interface. Jika ip6hint tidak cocok dengan ip6assign yang diberikan dia akan membulatkan ke bawah ke nilai yang paling mungkin.
Jika ip6class tidak di set maka semua prefix class akan di terima pada interface ini. Default class untuk sebuah prefix adalah interface-name (seperti "wan6") atau "local" untuk ULA-prefix. Ini dapat digunakan untuk memilih upstream interface dari mana subprefix akan di assigned. Untuk prefix yang diterima dari metoda dynamic-configuration seperti DHCPv6 sangat mungkin prefix-class tidak sama dengan source-interface tapi, misalnya, merupakan potongan dari nilai class prefix yang diberikan ISP.
/etc/config/network
config globals globals
option ula_prefix fd00:db80::/48
config interface wan6
option proto static
option ip6prefix 2001:db80::/56
...
config interface lan
option proto static
option ip6assign 60
option ip6hint 10
...
config interface guest
option proto static
option ip6assign 64
option ip6hint abcd
list ip6class wan6
...
Hasil dari konfigurasi di atas adalah:
- LAN interface akan diberikan prefix 2001:db80:0:10::/60 dan fd00:db80:0:10::/60.
- DHCPv6-server dapat memberikan ke dua prefixes kecuali 2001:db80:0:10::/64 dan fd00:db80:0:10::/64 ke downstream router di LAN via DHCPv6-PD.
- guest interface hanya akan di assinged prefix 2001:db80:0:abcd::/64 karena class filter.
Router Advertisement & DHCPv6
OpenWRT dapat memberikan RA & DHCPv6 server dan relay. Secara default SLAAC, stateless dan stateful DHCPv6 di enable di sebuah interface. Jika ada prefix yang besarnya /64 atau lebih besar maka address yang akan di berikan dari masing-masing prefix. Jika semua prefix di sebuah interface mempunyai besar lebih dari /64 maka DHCPv6-Prefix Delegation akan diaktifkan untuk downstream-router. Jika sebuah default route ada, router akan advertise dirinya sebagai default router pada interface.
OpenWRT juga mampu mendetek jika tidak ada prefix yang tersedia dari upstream interface dan dapat switch ke mode relay secara automatis untuk meng-extend konfigurasi dari upstream interface ke downstream interface. Hal ini sangat bermanfaat untuk meletakan OpenWRT dibelakang IPv6-router yang tidak memberikan prefix via DHCPv6-PD.
Contoh bagian konfigurasi untuk SLAAC + DHCPv6 server mode (/etc/config/dhcp)
config dhcp lan
option dhcpv6 server
option ra server
Contoh bagian konfigurasi untuk SLAAC saja (/etc/config/dhcp)
config dhcp lan
option dhcpv6 disabled
option ra server
Contoh bagian konfigurasi untuk relay (/etc/config/dhcp)
config dhcp wan6
option dhcpv6 relay
option ra relay
option ndp relay
option master 1
config dhcp lan
option dhcpv6 relay
option ra relay
option ndp relay
Package odhcpd harus di instalasi untuk dapat memberikan layanan ini.
Routing Mangement
OpenWRT menggunakan source-address dan source-interface sebagai dasar untuk policy-routing system. Teknik ini dibutuhkan agar dapat secara benar menangani berbagai uplink interface. Setiap delegated prefix akan ditambahkan dengan unreachable route untuk menghindari IPv6-routing loops.
Untuk menentukan status dari route, kita dapat melihat informasi yang diberikan oleh ifstatus.
Contoh (ifstatus wan6):
...
"ipv6-address": [
{
"address": "2001:db80::a00:27ff:fe67:cd9c",
"mask": 64,
"preferred": 1681,
"valid": 7081
}
],
"ipv6-prefix": [
{
"address": "2001:db80:0:100::",
"mask": 56,
"preferred": 86282,
"valid": 86282,
"class": "wan6",
"assigned": {
"lan": {
"address": "2001:db80:0:110::",
"mask": 60
}
}
}
],
"route": [
{
"target": "2001:db80::",
"mask": 48,
"nexthop": "fe80::800:27ff:fe00:0",
"metric": 1024,
"valid": 7081
},
{
"target": "::",
"mask": 0,
"nexthop": "fe80::800:27ff:fe00:0",
"metric": 1024,
"valid": 7081
}
],
...
Interpretasinya adalah:
- Pada interface ada 2 route yang diberikan: 2001:db80::/48 dengan default-route via router fe80::800:27ff:fe00:0.
- route ini hanya dapat digunakan oleh traffic yang dibuat secara lokal dan traffic dengan source-address yang benar, yaitu dari local address atau dari address yang diberikan oleh delegated prefix.
OpenWRT menambahkan IPv6-route (seperti default routes) ke routing-table yang spesifik dan tidak ke main-table oleh karenanya mereka tidak akan terlihat secara default. Kita dapat menggunakan perintah ip -6 untuk melihat semua kebijakan routing yang ada.
Migrasi dari Attitude Adjustment 12.09 atau sebelumnya
IPv6 Forwarding
Untuk memastikan IPv6 forwarding bekerja dengan benar, cek /etc/sysctl.conf berisi entri berikut:
net.ipv6.conf.default.forwarding=1 net.ipv6.conf.all.forwarding=1
Konfigurasi Downstream untuk LAN-Interface
Sangat tidak di sarankan untuk menggunakan ip6addr untuk menset address / prefix di downstream interface (seperti lan) karena ini akan mudah menyebabkan konflik dengan local address delegation. Hal ini juga mungkin akan menyebabkan hasil yang tidak di inginkan atau rusak karena source-based policy-routing yang digunakan di IPv6-stack.
Mohon menggunakan opsi baru ip6assign dan ip6hint .
Contoh: kita ingin prefix yang didelegasikan 2001:db80:1234::/48 dan kita ingin LAN interface kita mempunyai subprefix 2001:db80:1234:5678::/64 kita dapat menggunakan konfigurasi berikut:
config 'interface' 'lan'
option 'proto' 'static'
option 'ip6assign' '64'
option 'ip6hint' '5678'
...
Jika router dapat ping6 ke internet, tapi mesin di lan memperoleh error "Destination unreachable: Unknown code 5" atau "Source address failed ingress/egress policy" maka opsi ip6assign tidak ada di lan interface anda.
Router Advertisement & DHCPv6
Penggunaan radvd saat ini menjadi keharusan. Layanan 6relayd digunakan untuk Router Advertisement dan DHCPv6 dan mengambil address dari interface secara automatis.
Upstream Configuration for WAN-Interfaces
Perubahan Generik
Router Advertisement tidak akan di terima secara defauly oleh karenanya OpenWRT tidak akan mengkonfigurasi diri sendiri dengan route default dan / atau address. Jika opsi interface accept_ra dan send_rs sudah dibuang. Kita harus menambahkan sebuah interface dengan proto dhcpv6 - juga untuk menerima RA saja.
6in4 tunnel dan sambungan Statik IPv6
Saat ini perlu untuk menambah routed-prefix kita (misalnya routed /48 dari tunnel kita) sebagai opsi ip6prefix ke tunnel/static-interface di /etc/config/network. Jika kita membuang opsi ini lan-client tidak akan bisa mencapai Internet.
Contoh:
config 'interface' 'wan6'
option 'proto' '6in4'
option 'peeraddr' '62.12.34.56
option 'ip6addr' '2001:DB8:2222:EFGH::2/64'
option 'ip6prefix' '2001:DB8:1234:ABCD::/64' # <- routed prefix kita
...
6rd dan 6to4 tunnel
Public address prefix kita akan di hitung secara automatis dan akan dikirim ke network subsystem (netifd). Kita perlu mengikuti saran untuk konfigurasi lan-interface.