Tayga NAT64 Anleitung

Einführung

Reine IPv6-Netzwerke sind in der Planung, Konfiguration, Wartung und Fehlerbehebung weniger komplex als Dual-Stack-Netzwerke. Aber viele Dienste im Internet sind immer noch IPv4-only. NAT64 bewahrt den Zugang zu diesen Diensten, indem es eine IPv6-zu-IPv4-Übersetzung durchführt. Die derzeit für den Schulrouter Plus verfügbare NAT64-Implementierung ist das Tayga-Plugin.

Diese Anleitung konzentriert sich auf die Bereitstellung von IPv6-only-LANs mit Zugang zu IPv4-only-Diensten. Dies ist jedoch nicht der einzige Anwendungsfall für NAT64.

Voraussetzungen

Der Schulrouter Plus sollte mit einem funktionierenden Dual-Stack-Internetzugang und mindestens einem IPv6-only-LAN konfiguriert werden.

Installieren und Konfigurieren von Tayga

Gehen Sie zu System ‣ Firmware ‣ Erweiterungen und installieren Sie das Plugin os-tayga. Gehen Sie dann zu Dienste ‣ Tayga.

Markieren Sie Enable und konfigurieren Sie alle Präfixe und Adressen:

IPv6 Präfix:

Das IPv6-Präfix, das Tayga zur Übersetzung von IPv4-Adressen verwendet. Sie können das standardmäßige bekannte Präfix 64:ff9b::/96 oder ein unbenutztes /96 aus dem GUA-Präfix Ihrer Website verwenden. Wenn Sie das bekannte Präfix 64:ff9b::/96 verwenden, verhindert Tayga, dass IPv6-Hosts IPv4-Hosts mit privaten (RFC1918) Adressen kontaktieren können. Dies ist nicht relevant, wenn NAT64 für den Zugriff auf IPv4-Dienste im Internet verwendet wird. Wenn jedoch der Zugriff auf lokale Dienste mit privaten IPv4-Adressen erforderlich ist, muss ein GUA /96-Präfix verwendet werden. Obwohl technisch möglich, wird die Verwendung eines ULA-Präfixes für NAT64 nicht empfohlen. Dies kann zu Problemen mit bestimmten Hosts führen, insbesondere mit solchen, die 464XLAT unterstützen.

IPv4-Pool:

Die virtuellen IPv4-Adressen, die Tayga auf LAN-IPv6-Adressen abbildet. Kann auf dem Standardwert belassen werden, es sei denn, dies überschneidet sich mit bestehenden Subnetzen in Ihrem Netzwerk. Muss ausreichend groß sein, damit alle Geräte in Ihrem IPv6-only LAN(s) hineinpassen.

Tayga ist ein Hop im Pfad, daher benötigt er eigene IP-Adressen für ICMP:

IPv4-Adresse:

Wird in Traceroutes von der IPv4-Seite zur IPv6-Seite angezeigt. Kann auf dem Standardwert belassen werden, sofern Sie den „IPv4 Pool“ nicht geändert haben. Sollte sich im Subnetz „IPv4 Pool“ befinden.

IPv6-Adresse:

Wird in Traceroutes von der IPv6-Seite zur IPv4-Seite angezeigt. Kann leer gelassen werden, wenn der IPv6 Prefix eine GUA oder die IPv4 Adresse eine nicht-RFC1918 Adresse ist. Tayga generiert dann automatisch die IPv6-Adresse, indem es die IPv4-Adresse auf das IPv6-Präfix abbildet. Wenn zum Beispiel der IPv6 Prefix 2001:db8:64:64::/96 und die IPv4 Adresse 192.168.255.1 verwendet werden, wird Taygas IPv6 Adresse 2001:db8:64:64::192.168.255.1 (2001:db8:64:64::c0a8:ff01) sein. Tayga kann seine IPv6-Adresse nicht automatisch generieren, wenn der standardmäßig bekannte IPv6-Präfix 64:ff9b::/96 und eine private (RFC1918) IPv4-Adresse verwendet werden. In diesem Fall müssen Sie manuell eine unbenutzte Adresse aus dem GUA- oder ULA-Präfix Ihrer Site angeben.

Tayga verhält sich wie ein externes Gerät, das über eine Punkt-zu-Punkt-Schnittstelle mit dem Schulrouter Plus verbunden ist. Diese Schnittstelle benötigt IP-Adressen für ICMP:

IPv4 NAT64 Schnittstellenadresse:	Kann auf dem Standardwert belassen werden, sofern dies nicht mit Ihrem Netzwerk in Konflikt steht. Darf sich nicht im Subnetz IPv4 Pool befinden. Der Einfachheit halber können Sie eine Adresse einer anderen Schulrouter Plus-Schnittstelle wiederverwenden.
IPv6 NAT64 Schnittstellenadresse:	Darf nicht im IPv6 Prefix Subnetz liegen. Der Einfachheit halber können Sie eine Adresse einer anderen Schulrouter Plus-Schnittstelle wiederverwenden. Der Standardwert darf nicht verwendet werden, da 2001:db8::/32 ein dokumentationspflichtiges Präfix ist.

Speichern. Tayga sollte nun ausgeführt werden.

Hinzufügen von Firewall-Regeln

Tayga verwendet eine Tunnelschnittstelle für den Paketaustausch mit dem System. Es sind Regeln erforderlich, um zu verhindern, dass die Firewall diese Pakete blockiert. Zusätzlich ist eine ausgehende NAT-Regel für den IPv4-Internetzugang erforderlich.

Gehen Sie zu Firewall ‣ Regeln ‣ Tayga, fügen Sie eine neue Regel hinzu, setzen Sie die TCP/IP Version auf IPv4+IPv6, lassen Sie alle anderen Einstellungen auf ihren Standardwerten und speichern Sie.

Wenn Sie gerade Tayga aktiviert haben und Firewall ‣ Regeln ‣ Tayga nicht finden können, gehen Sie zu Schnittstellen ‣ Zuweisungen, klicken Sie auf Speichern und laden Sie die Seite neu.

Gehen Sie zu Firewall ‣ Einstellungen ‣ Normalisierung, fügen Sie eine neue Regel hinzu, setzen Sie das Interface auf Tayga, lassen Sie alle anderen Einstellungen auf ihren Standardwerten und speichern Sie.

Diese Regel ist für die korrekte Behandlung von fragmentierten Paketen erforderlich.

Gehen Sie auf Firewall ‣ NAT ‣ Ausgehend, fügen Sie eine neue Regel hinzu, setzen Sie Quelladresse auf Einzelner Host oder Netzwerk, geben Sie Ihren Tayga IPv4 Pool ein, lassen Sie alle anderen Einstellungen auf ihren Standardwerten und speichern Sie.

Wenden Sie die Firewall-Änderungen an. NAT64 sollte nun voll funktionsfähig sein.

DNS64 konfigurieren

In den meisten Szenarien erfordert NAT64 auch DNS64. Wenn Sie den DNS-Resolver des Schulrouter Plus Unbound DNS verwenden, können Sie DNS64 aktivieren, indem Sie auf Dienste ‣ Unbound DNS ‣ Allgemein gehen und ein Häkchen bei Enable DNS64 Support setzen. Wenn Sie nicht das Standardpräfix 64:ff9b::/96 verwenden, müssen Sie dort auch Ihr /96-Präfix eintragen.

Sie können auch jeden anderen DNS64-fähigen DNS-Server verwenden. Wenn Sie das Standardpräfix 64:ff9b::/96 verwenden, ist auch die Nutzung eines Dienstes wie Google’s Public DNS64 <https://developers.google.com/speed/public-dns/docs/dns64> möglich.

Testen

Sie können einen Dienst wie https://internet.nl/connection/ verwenden, um zu überprüfen, ob Geräte in Ihrem reinen IPv6-LAN über IPv6- und IP4-Internetzugang verfügen.