Kuusitunneli.fi - ilmainen suomalainen IPv6-tunnelipalvelu

[tapsa]

Kuusitunnelissa vikaa ?

 

[kryptonian]

Kuusitunnelissa vikaa ?

Nurin se ainakin on/oli.

 

[tapsa]

Sivusto up mutta ipv6 ei toimi ja update sanoo ´nohost´

 

[olkitu]

Kuusitunnelissa vikaa ?

Oli vikaa ja nyt korjattu.

 

[Pakana]

Voiko tuota kuusitunnelia käyttää "välityspalvelimena" kahden ipv4 osoitteen välillä?

Mulla ja serkulla sama pikkuoperaattori, joka on estänyt kaiken liikenteen asiakkaidensa ip osoitteiden välillä. siellä serkun kellarissa on nyt yksi rasperry pi, johon mä saan teamviewerillä etäyhteyden, mutta mun pitäisi saada jokin ssh tunneli tjsp kehteltyä, jolla mä saisin päivitettyä Siemens Logo laitteen softan. Tuonne raspiin mä en pysty sitä Siemensin softaa asentamaan.

 

[mikajh]

<offtopic> Modet voi siirtää jonnekin aivan muualle

yksi rasperry pi, johon mä saan teamviewerillä etäyhteyden, mutta mun pitäisi saada jokin ssh tunneli tjsp kehteltyä, jolla mä saisin päivitettyä Siemens Logo laitteen softan. Tuonne raspiin mä en pysty sitä Siemensin softaa asentamaan

Vastaus kysymykseen: ei.
En kyllä käsitä miten joku uusi ssh-tunneli auttaisi, kun nyt pääset lokaalisti RPi:n terminaaliin ja web-browseriin. Jos ne eivät riitä Logon kanssa (koska väärä arkkitehtuuri - arm32/64), niin serkun pitää asentaa Teamviewer PC:hin Logon kanssa samaan verkkoon (jos on)
</offtopic>

 

[Pakana]

<offtopic> Modet voi siirtää jonnekin aivan muualle
Vastaus kysymykseen: ei.
En kyllä käsitä miten joku uusi ssh-tunneli auttaisi, kun nyt pääset lokaalisti RPi:n terminaaliin ja web-browseriin. Jos ne eivät riitä Logon kanssa (koska väärä arkkitehtuuri - arm32/64), niin serkun pitää asentaa Teamviewer PC:hin Logon kanssa samaan verkkoon (jos on)
</offtopic>

No eihän tämä offtopikkia ole. Ei sovellu siis tuohon käyttöön.

offtopikkia on se että serkun PC:n saisi asennettua tuon logo soft comfortin mun pitäisi mennä asennusmedian kanssa sinne serkulle, joka nyt vähän vesittää koko homman idean.

 

[burmanm]

Voiko tuota kuusitunnelia käyttää "välityspalvelimena" kahden ipv4 osoitteen välillä?

Niin siis, kuusitunneli ei toki ole mikään välityspalvelin, mutta luonnollisesti käyttäen kuusitunnelia saat rakennettua teille IPv6-yhteydet (joita ei siis ole estetty kuten tuo pikkuoperaattorinne muuten on estänyt). Eli sen jälkeen voit käyttää mitä tahansa protokollaa toki teidän kahden koneiden välillä, aivan kuin yhteys olisi normaalisti auki.

Mutta liikennöinti ei siis tapahdu IPv4:n kautta tuossa tapauksessa, vaan IPv6-osoitteiden. Jos joku softista ei osaa IPv6:sta, niin sitten tarvitset väliin jonkun IPv4<->IPv6 muunnoksen (tai hyppypalvelimen etc). Mutta jos tuo RPi näkyy IPv6:n kautta, niin sehän voi sellaisena palvelimena toimia hyvin.

 

[jessenic]

No eihän tämä offtopikkia ole. Ei sovellu siis tuohon käyttöön.

offtopikkia on se että serkun PC:n saisi asennettua tuon logo soft comfortin mun pitäisi mennä asennusmedian kanssa sinne serkulle, joka nyt vähän vesittää koko homman idean.

Nyt kun päästiin offtopicciin, niin voit CD:ltä ottaa sen logosoftin zippiin ja lähettää kaverille.

 

[jukk]

Tunneli ei enää toimi eilisillasta lähtien. Toimiiko muilla?

Status:
<pre>
Tunnel xxx not found

Update:
nohost - Tunnel xxx not found

Kuusitunnelin webbisivu toimii normaalisti. IP-osoitteet jaetaan normaalisti tunnelista, mutta liikenne ei vain mene läpi.

 

[erksam]

Tunneli ei enää toimi eilisillasta lähtien. Toimiiko muilla?

Täällä sama vika, eilisestä lähtien toimimaton. Paluupaketteja ei kuulu.

 

[olkitu]

Kappas kehveliä nyt korjattu ja liikenne taas toimii. Siellä tunnelit menneet alas kaikki kun ollut joku katko.

 

[ztec]

Juuh, noin varttia vaille kahdeksan tuli ilmoitukset valvonnasta että tipahti, aikaleima:
2021-08-12 07:45:57 (UTC)

 

[jukk]

Joo, nyt toimii taas. Kiitokset operaattorille! (Palvelun hintaan nähden vasteaika ei ole huono)

 

[olkitu]

Oho tänäänkin ongelmia - mitäköhän tapahtuu kun oli muitakin pudonnut linjoilta eli bootti käynyt. Noh nyt taas toimii tämä.

 

[kryptonian]

Oho tänäänkin ongelmia - mitäköhän tapahtuu kun oli muitakin pudonnut linjoilta eli bootti käynyt. Noh nyt taas toimii tämä.

Missäs monitorointi?

 

[olkitu]

Missäs monitorointi?

Mikäs se semmoinen on - Tähän palveluun ei ole tehty mitään muutoksia siitä asti kun käyttöön otettu - paitsi tehty käyttöjärjestelmäpäivityksiä muutama.

Kuvittelin aikoinaan että pari vuotta tämä hengissä on enintään ja nyt mennään vielä varmaan pari vuotta...

 

[kryptonian]

@olkitu Voisitko mahdollisesti vähän kertoa miten oot tuon palvelun teknisesti toteuttanut?

Onko se PHP:ta vai jotain muuta?

 

[olkitu]

@olkitu Voisitko mahdollisesti vähän kertoa miten oot tuon palvelun teknisesti toteuttanut?

Onko se PHP:ta vai jotain muuta?

PHP:tä ja shell scriptejä - semmoinen tämä on.

 

[olkitu]

Johan nyt... Ei oo kyllä kuusitunnelissa vaan palveluntarjoajan puolella jotakin hassua.

 

[olkitu]

Let's Encryptin aikaisemmin käyttämä DST Root CA X3 vanheni noin tunti sitten ja tästä seurauksena huomasin että itselläni hajosi myös kuusitunnelin päivitys koska reitittimessäni sattumalta on OpenSSL 1.0.2 joka suosii ei luotettua chain:iä varmentamiseen, lisää: Old Let’s Encrypt Root Certificate Expiration and OpenSSL 1.0.2 - OpenSSL Blog

Tästä syystä pudotan tuon legacy Android laitteille chainin jotta päätelaitteet jatkaa toimintaa normaalisti. Kuitenkin jos ei toimi, varmistakaa että teillä löytyy ISR Root X1 reititimessä. Pitäisi olla kaikkialla 2017 jälkeen päivitetyissä. Jos ei ole niin sen saa täältä: Chain of Trust - Let's Encrypt

 

[olkitu]

Mahdollinen salasanavuoto Mikrotikin dynaamisen IP-osoitteen päivitysohjeessa mahdollinen palvelimen varmenteen varmennuksen puutteellisuuden takia. Voi koskea myös muitakin laitteita tai uusilla laitteilla ei ole edes palvelimen varmennetta.

RouterOS ei varmenna oletuksena palvelimen varmennetta ja tällöin sallii MITM eli välimieshyökkäyuksen. Tässä tilanteessa salasana on mahdollisesti voinut vuotaa ulkopuolisille. Pidän tätä kyllä epätodennäköisenä mutta mahdollisena toki. Tästä syystä on aina oltava palvelussa kuin palvelussa oma salasana . Korostetaan tässä että kuusitunneli palveluun ei ole murtauduttu.

Eli mikäli löytyy Mikrotik RouterOS ja haluaa käyttää fetch -toimintoa päivittämään dynaamisen IP-osoitteen palveluun niin ohjeistusta sivulle on päivitetty niin että sertifikaatti pitää varmentaa. Kuusitunneli käyttää io-tech.fi tavoin Let's Encryptin varmenteita eli ISRG Root X1 tarvitaan. Sen saa ladattua Let's Encryptin omilta sivuilta: Chain of Trust - Let's Encrypt . Winboxista -> Settings -> Certificates -> Import voi importata tämän sitten.

Tässä muokattu koodi jonka testasin toimivaksi ja varmentaa jatkossa palvelimen varmenteen oikein

/tool fetch user=XXXX password=XXXX mode=https address=kuusitunneli.fi host=kuusitunneli.fi src-path="/nic/update\?hostname=X" dst-path=/ check-certificate=yes

Nyt pitäisi toimia päivitys suojatusti.

PS: Mikäli käytät esim dy.fi DynDNS-palvelua Mikrotikillä niin todennäköisesti vastaava kannattaa tehdä.

 

[Ikx_1]

PFSensellä ei onnistu, kun luon OPT2 interfacen niin sen jälkeen LAN puolella ei pysty laittamaan Static IPv6 osoittetta samaan kuin mitä OPT2:sessa muka jo on. OPT2 sivulla ei voi valita osoitettaan ollenkaan, vaan muutokset tehdään GIF interface sivulla..

Miten tästä eteenpäin?

 

[olkitu]

PFSensellä ei onnistu, kun luon OPT2 interfacen niin sen jälkeen LAN puolella ei pysty laittamaan Static IPv6 osoittetta samaan kuin mitä OPT2:sessa muka jo on. OPT2 sivulla ei voi valita osoitettaan ollenkaan, vaan muutokset tehdään GIF interface sivulla..


Miten tästä eteenpäin?

LAN puolelle on erikseen oma subnet mitä voit käyttää ja sen prefix on /64. Tarkistappas kuusitunneli.fi hallintasivulta LAN-verkon osoite-avaruus.

 

[Ikx_1]

LAN puolelle on erikseen oma subnet mitä voit käyttää ja sen prefix on /64. Tarkistappas kuusitunneli.fi hallintasivulta LAN-verkon osoite-avaruus.

Hei, koetin siis asetussivulta kopioida tuon LAN osoitteen, mutta siitä tuo herja syntyy, kun menee kuulemma tunnelin paikallisen osoitteen kanssa samaan. Kyllä kuusitunnelin sivulla lukeekin sama IPv6 osoite LAN kohtaan kuin GIF Tunnel Local addressina on.

 

[kryptonian]

Hei, koetin siis asetussivulta kopioida tuon LAN osoitteen, mutta siitä tuo herja syntyy, kun menee kuulemma tunnelin paikallisen osoitteen kanssa samaan. Kyllä kuusitunnelin sivulla lukeekin sama IPv6 osoite LAN kohtaan kuin GIF Tunnel Local addressina on.

LAN osoite on /64, miksi kuvakaappauksessa lukee /54?

 

[Ikx_1]

LAN osoite on /64, miksi kuvakaappauksessa lukee /54?

Vaihdoin senkin /64 mutta sama ilmoitus muuten.

 

[kryptonian]

Niiden ei pitäisi overlapata.

 

[Ikx_1]

GIF asetussivu.
LAN Puolella on ainoastaan Static IPv6 osoite ja se ei käy samaksi mikä on kuusitunnelin asetussivulla ohjeistettu.

 

[kryptonian]

Hmm, jooh selvästi ainakin fsense ohjeiden mukaan oot tehny mitkä saa kuusitunnelin sivulta. :thinking:

 

[olkitu]

GIF asetussivu.
LAN Puolella on ainoastaan Static IPv6 osoite ja se ei käy samaksi mikä on kuusitunnelin asetussivulla ohjeistettu.

Kyllä tämä on ihan oikein GIF konfiguraationa.

Sitten LAN puolelle asetat "Reititetty IPv6-verkon osoite".

 

[Ikx_1]

En oikein ymmärrä mikä tässäkään ei toimi. Olen yrittänyt myös tosiaan 2:een päättyvää osoitetta mutta se ei käy. Sama virheilmoitus tulee.

 

[olkitu]

En oikein ymmärrä mikä tässäkään ei toimi. Olen yrittänyt myös tosiaan 2:een päättyvää osoitetta mutta se ei käy. Sama virheilmoitus tulee.

Et voi laittaa tähän samasta aliverkosta vaan käytät reititettyä IPv6 verkkoa joka on 8XXX::/64 loppuinen tyyliin

 

[Ikx_1]

Anteeksi jo tähän väliin, oma IPv6 käsitykseni on jotenkin tosi hankala enkä tunnu välillä käsittävän ollenkaan miten kaikki toimii.. Olisiko tarkoitus siis "keksiä" oma IPv6 osoite LAN puolelle? Voisinko laittaa vaikka PFSenselle osoitteeksi 0192:0168:4443::1 ? Sen jälkeen laittaa DHCP6 palvelimen päälle ja jakaa osoitteita vaikka alueelta 0192:0168:4443::10 - 0192:0168:4443::2000 ?
Kokeilinkin itseasiassa tätä jo. PFSense tuntuu pääsevän kyllä Ping testien perusteella IPv6 verkkoon, ja DHCP6 palvelin jakaa kyllä osoitteita myös clienteille mutteivät pääse IPv6 nettiin..
Ja tosiaan pahoittelut vielä tästä ymmärtämättömyydestä. Saa toki mulle rautalangasta vääntää mitä en käsitä mutta..

 

[olkitu]

Anteeksi jo tähän väliin, oma IPv6 käsitykseni on jotenkin tosi hankala enkä tunnu välillä käsittävän ollenkaan miten kaikki toimii.. Olisiko tarkoitus siis "keksiä" oma IPv6 osoite LAN puolelle? Voisinko laittaa vaikka PFSenselle osoitteeksi 0192:0168:4443::1 ? Sen jälkeen laittaa DHCP6 palvelimen päälle ja jakaa osoitteita vaikka alueelta 0192:0168:4443::10 - 0192:0168:4443::2000 ?
Kokeilinkin itseasiassa tätä jo. PFSense tuntuu pääsevän kyllä Ping testien perusteella IPv6 verkkoon, ja DHCP6 palvelin jakaa kyllä osoitteita myös clienteille mutteivät pääse IPv6 nettiin..
Ja tosiaan pahoittelut vielä tästä ymmärtämättömyydestä. Saa toki mulle rautalangasta vääntää mitä en käsitä mutta..

Noh niin nyt alkaa käymään järkeen... kuusitunneli.fi sivulla onpas paha virhe Pfsense ohjeessa - tämä on nyt korjattu. Ihmettelinkin miksi näin mutta siinäpä syy miksi et saanut konfiguroitua pfsenseä oikein.

 

[mikajh]

Olisiko tarkoitus siis "keksiä" oma IPv6 osoite LAN puolelle?

On, kunhan katsot omista Kuusitunnelin asetuksista sen prefiksin ja lisäät sen perään omavalintaisen 64-bittisen interface-osan, tässä esim. ::1 :

Asiakkaan IPv6-osoite
2a0b:dbc1:0002:0xyz::2

Palvelimen IPv6-osoite
2a0b:dbc1:0002:0xyz::1

Reititetty IPv6-verkko     Prefix
2a0b:dbc1:0002:8xyz::    64

=> esimerkki LAN v6-osoite: 2a0b:dbc1:0002:8xyz::1

 

[mikajh]

kuusitunneli.fi sivulla onpas paha virhe Pfsense ohjeessa - tämä on nyt korjattu

Tässä pfSense-asetusohjeessa
7. Määritä LAN-liitäntään sinun IPv6-osoitteesi 2a0b:dbc1:0002:8xyz:: ja prefixinä 64

pitäisi vaihtaa vielä "prefixinä 64"
-> "prefixin pituus 64"

 

[olkitu]

On, kunhan katsot omista Kuusitunnelin asetuksista sen prefiksin ja lisäät sen perään omavalintaisen 64-bittisen interface-osan, tässä esim. ::1 :

Asiakkaan IPv6-osoite
2a0b:dbc1:0002:0xyz::2

Palvelimen IPv6-osoite
2a0b:dbc1:0002:0xyz::1

Reititetty IPv6-verkko     Prefix
2a0b:dbc1:0002:8xyz::    64

=> esimerkki LAN v6-osoite: 2a0b:dbc1:0002:8xyz::1

tarviikohan koska :: on hyväksyttävä = 0 mutta saa laittaa minkä tahansa mitä haluaa käyttää toki

 

[Ikx_1]

Juu no nyt lähti pelaamaan. Kävin Kuusitunnelin ohjeissa niin asetukset meni heittämällä läpi.
Isot kiitokset avustaneille! =)

 

[kryptonian]

Löytyykö täältä edelleen ihmisiä ketkä kaipais Kuusitunnelista isompaa prefixiä?

 

[ztec]

Löytyykö täältä edelleen ihmisiä ketkä kaipais Kuusitunnelista isompaa prefixiä?

Mulla ois periaatteessa käyttöä, riittäs vaikka /58 subnetti ihan hyvin. Tosin mähän oisin voinut wörk-a-roundata tuon aikaisemminkin. Kun mulla on kerran kasa IPv4:ia käytettävissä. Niin ottaa /64 per IPv4, niin saa kasattua isompia rangeja. Haha. - Mut ei taida riittää henkinen energia riittää, on aikalailla säätämiskiintiö täynnä taas. Toki jos sellainen on tarjolla, vois pitää mielessä ja sitten kun tunnelbroker.net / he.net on ihan totaalisesti hajalla, niin vois vaihtaa.

 

[kryptonian]

Mulla ois periaatteessa käyttöä, riittäs vaikka /58 subnetti ihan hyvin. Tosin mähän oisin voinut wörk-a-roundata tuon aikaisemminkin. Kun mulla on kerran kasa IPv4:ia käytettävissä. Niin ottaa /64 per IPv4, niin saa kasattua isompia rangeja. Haha. - Mut ei taida riittää henkinen energia riittää, on aikalailla säätämiskiintiö täynnä taas. Toki jos sellainen on tarjolla, vois pitää mielessä ja sitten kun tunnelbroker.net / he.net on ihan totaalisesti hajalla, niin vois vaihtaa.

Nyt pitäis olla mahdollista generoida /56 subnetti, huomoitavaa että ohjeet ei reflectoi sitä, mutta se linkki verkko on /64 ja reitetty on /56.

 

[ztec]

Näköjään on tipahtanut ~15:15 tänään yhteydet Kuusitunnelin kautta.

 

[olkitu]

Näköjään on tipahtanut ~15:15 tänään yhteydet Kuusitunnelin kautta.

Niinpäs onkin ja nyt koko pannukin tipahtanut verkosta. Selvitelläänpäs mikäs vikana.

 

[olkitu]

Noh niin jokohan toimisi...

EDIT: Osa reiteistä toimii eli odotetaanpas BGP päivitys kaikkialle että alkaisi toimia.

Toimii: CloudFlare, Google jne...

Ei toimi DNA,Telia

Luultavasti alkaa toimia 1 päivän kuluttua kun tuolta päivittyy reititystaulut kaikkialle.

 

[ztec]

Ei toimi muuten vieläkään kaikki reitit? Mulla on koneita jotka käyttää tunnelbroker.net:iä ja koneita jotka käyttää kuusitunneli.fi:tä , ja noi ei nää toisiaan, vaikka kulkee bitti kyläl kaikkialle muualle. No route to host tulee vaan kivasti. Mutta molempien tunneleiden kautta toimii liikenne mm. Telialle ja Googlelle. Nyt kun listasin jo kasan kaikkia palveluntarjoajia niin mainittakoon Route48 :: IPv6 Tunnel Broker joka tarjoaa VPN salatut yhteydet + toimii NAT:in takaa.

 

[tigeli]

Ei toimi muuten vieläkään kaikki reitit? Mulla on koneita jotka käyttää tunnelbroker.net:iä ja koneita jotka käyttää kuusitunneli.fi:tä , ja noi ei nää toisiaan, vaikka kulkee bitti kyläl kaikkialle muualle. No route to host tulee vaan kivasti. Mutta molempien tunneleiden kautta toimii liikenne mm. Telialle ja Googlelle. Nyt kun listasin jo kasan kaikkia palveluntarjoajia niin mainittakoon Route48 :: IPv6 Tunnel Broker joka tarjoaa VPN salatut yhteydet + toimii NAT:in takaa.

Juu ei toimi, paketit kyllä tulee muualta kuusitunnelin kautta yhdistettyyn endpointtiin (eli kuusitunnelin ipv6 prefix kyllä näkyy maailmalle ihan ok). Ongelma on ettei paketit löydä perille kuusitunnelin puolelta, eli ongelma on tod. näköisesti kuusitunnelin operaattorilla joka on hukannut reitit jonnekin.

 

[olkitu]

Juu ei toimi kaikki reitit... Ollut kiireitä alkuviikolla jospa pitäisi alkaa jotakin tekemään tämän eteen miten edetään.

Route48 voisi olla vaihtoehto on isompi ryhmä softaa kehittämässä ja näyttää toimivalta. Näissä sitten on vaan se väärinkäytöriski olemassa miten ne hoidetaan. Kuusitunneli on tästä syystä juuri rajattu Suomeen aika tarkasti jotta voidaan väärinkäytökset hoitaa aika helposti.

 

[Kuudennusmies]

Onko Kuusitunneliin suunnitteilla WireGuard-tukea?

 

[olkitu]

Onko Kuusitunneliin suunnitteilla WireGuard-tukea?

Ei ole suunnitteilla eikä tulossa. Ei ole tavoitetta kehittää enempää nykyistä palvelua. Lisäksi laitteistomme on tällä hetkellä sen verran vanhaa ettei se toimisi Wireguardin kanssa kovinkaan hyvin.

Tätä varten on esimerkiksi route48.org-palvelu joka näyttää paljon paremmalta että ei lähdetä kilpailemaan. Yksi harkinnassa olisi liittyä tähän palveluun ja saada Suomeen oma node.