Вступление
Если у вас:
Имеется маршрутизатор Mikrotik,
Белый IP адрес, любезно предоставленный Вашим провайдером,
Есть желание смотреть Youtube на нормальной скорости,
Присутствую амбициозные планы на модернизацию домашней сети,
то приступим к борьбе за свободу скорости.
Целью статьи является:
рассказать о создании и настройке IPv6 туннеля,
продемонстрировать настройку на сайте IPv6 брокера
показать настройку маршрутизатора (проброс пула в локальную сеть, настройку брандмауэра, DNS)
продемонстрировать работоспособность IPv6 подключения.
Поехали.
Выбираем брокера и заводим аккаунт
Не так давно я провёл время за изучением официального руководства Mikrotik, где наткнулся на создание IPv6 инкапсуляции. Там же был предложен туннельный брокек IPv6 Hurricane Electric.
Примечание
В интернете можно найти и других IPv6 брокеров. Не тестировал, поэтому пока ничего сказать не готов.
Готовый на эксперименты, я перешёл на сайт и попытался зарегистрироваться. Первая проблема. которая меня ждала, что указанный мною почтовый домен не поддерживается (предположительно поле проверяется на такие слова как gmail, yandex, mail)
Перепробовал несколько доменов и пришёл к тому, что проще использовать адрес на домене etlgr.me. Для этого нужен бот в Telegram etlgr_bot, где создаём новый ящик или используем ящик, созданный по умолчанию.
После регистрации и подтверждения электронного адреса переходим на сайт, где нажимаем: Create Regular Tunnel. Указываем Ваш IP адрес, выбираем туннельный сервер по вкусу:
Если возникает ошибка: IP is not ICMP pingable
Необходимо в Firewall маршрутизатора выше запрещающих правил категории input создать разрешающее правило:
/ip firewall filter
add action=accept chain=input protocol=icmp src-address=66.220.2.74
Затем в окне браузера появятся конфигурации туннеля. Здесь Routed IPv6 Prefixes - это адреса, которые будут прокинуты в локальную сеть.
Для удобства конфигурирования маршрутизатора можно использовать вкладку Example Configurations. Там выбрать Mikrotik. Затем скопировать и вставить код для конфигурирования в терминал маршрутизатора:
Не забываем правильно выставить MTU (ещё одна проблема)
Переходим на вкладку Advanced и ползунком выставляем рекомендуемое значение для Вашего типа подключения. Если не работает, уменьшить.
Хочу обратить внимание на то, что в стандартной конфигурации для маршрутизатора предлагается MTU 1280, а на сервере настроено 1480.
Рекомендую как на маршрутизаторе для созданного интерфейса sit1, так и на сайте указать одинаковое значение MTU, чтобы не было проблем со скоростью и стабильностью подключения.
Настройки локального интерфейса на маршрутизаторе
В IPv6 адресация выполняется следующим образом: адрес условно бьётся на две части:
первую часть выдаёт провайдер
вторая часть генерируется на конечном устройстве на основе MAC:
Например, в адресе 2000:aaaa:aaaa:aaaa:ffff:ffff:ffff:ffff часть 2000:aaaa:aaaa:aaaa выдана провайдером, вторая часть: ffff:ffff:ffff:ffff определена устройством.
На маршрутизаторе необходимо для локального интерфейса определить ранее выданную нам подсеть. Выбираем IPv6 → Adresses. Вставляем скопированный с сайта IPv6 префикс. Выбираем интерфейс. Установлен чекбокс: Advertise. Применяем настройки.
Чтобы не наступать на мои грабли
необходимо выбрать подсеть, выделенную именно в блоке Routed IPv6 Prefixes
Необходимо проверить и подправить настройки IPv6 → ND (Neighbor Discovery). Здесь можно либо создать отдельное правило для локального интерфейса, либо использовать по умолчанию, заправив по вкусу.
Сюда добавляем DNS Serers либо Google (2001:4860:4860::8888), либо локального интерфейса (в нашем примере 2001:470:1f08:1e8::2 интерфейса sit1)
В IP → DNS и добавляем один или несколько IPv6 DNS, если мы хотим использовать в качестве DNS сервера наш маршрутизатор.
Примеры DNS
Ниже представлены примеры DNS адресов.
Google DNS 2001:4860:4860::8888, 2001:4860:4860::8844
ddddddddddddddddddddddddddddddddddddddddddddddHurricane Electric 2001:470:20::2
Можно поискать в интернете публичные IPv6 адреса.
Изюминка на тортике: IPv6 → Settings.
Disable IPv6 отключаем, IPv6 Forwarding включаем, как на изображении. И сохраняем. После чего основная миссия выполнена.
А если я не хочу светить IP адреса своих устройств?
В таком случае в локальную сеть можно выдавать произвольный пул /64 локальных IP адресов из подсети fc00::/7 (адреса fc00:: - fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff)
В Winbox переходим к IPv6 → Adresses. Нажимая плюс, добавляем новую запись, в которой выбираем произвольный пул для локального интерфейса. Например, пул fc00:aaaa:bbbb:cccc::/64 для интерфейса vlan11_guest.
Не забываем о маскараде (подмене локального IP адреса на глобальный). Переходим в IPv6 → Firewall → NAT. Создаём запись как на снимке экрана. В качестве Src. Address указываем: fc00::/7 (вся локальная сеть). Dst. Address: 2000::/3 (весь внешний интернет). Это универсальное правило позволит подменять запросы только с интерфейсов, которым назначены локальные IP адреса.
Через терминал
/ipv6 firewall nat
add action=masquerade chain=srcnat dst-address=2000::/3 out-interface-list=WAN src-address=fc00::/7Проверка
Для тестирования можно использовать специализированные сайты. Здесь лишь пример сайтов:
Не забываем о безопасности
Так как все устройства получают внешний IPv6 адрес (можно убедиться, выполнив проверку с каждого устройства по отдельности), их (включая маршрутизатор) следует оградить от внешнего мира:
/ipv6 firewall filter
add action=accept chain=input connection-state=established,related,untracked
add action=drop chain=input connection-state=invalid
add action=drop chain=input in-interface-list=!LAN
add action=accept chain=forward connection-state=established,related,untracked
add action=drop chain=forward connection-state=invalid
add action=accept chain=forward in-interface-list=LAN out-interface-list=WAN
add action=accept chain=forward in-interface-list=!WAN protocol=icmpv6
add action=drop chain=forwardЗдесь подразумевается, что интерфейс sit1 я уже добавил в существующий interface list WAN. А локальный интерфейс находится в список интерфейсов LAN.
Заключение
Был рассмотрен один из вариантов борьбы с ограничением скорости Youtube, а именно процесс создания 6in4 туннеля. Практика показала, что скорость загрузки видео осталась на высоком уровне как с телефона, так и с компьютера.
В будущей статье постараюсь рассказать, как делал проброс IPv6 пула на другой маршрутизатор через Wireguard, через EoIP-туннель, а также проброс и настройку Wireguard клиентов на компьютере, смартфоне, через которые маршрутизируется IPv6 трафик.
Комментарии (40)
keinohrhasen_pitersky
20.08.2024 19:15+2Необычно, когда тестировщик ВКонтакте пишет, как хакнуть правила РКН)
barl0g
20.08.2024 19:15+1А можно как-то настроить, чтобы по ipv6 туннелю шёл трафик только до youtube?
Nazar_Kam Автор
20.08.2024 19:15Как-то не ставил перед собой такой задачи изначально. Гипотетически можно, если DNS будет отдавать IPv6 адреса YouTube и IPv4 адреса остального интернета.
Ещё можно попробовать вместо глобального маршрута 2000::/3 прописать более узкие маршруты в сеть YouTube... В теории, устройство при недоступности сайта по IPv6 может перейти по IPv4. Но я не проверял...
Vdm_ro
20.08.2024 19:15+8Было: Ютуб без рекламы, но блокируется, остальное все отлично работает
Стало: Весь трафик через сомнительный маршрутизатор с необходимостью согласовывать стык IPv4 и IPv6, падение скорости для неютуб трафика, постоянная разгадка капчи, реклама поскольку прокся закордонная, необходимость специфического гемора с микротиком(а его настройка без опыта - без 100г не разберешься), все это висит на какой то левой почте через телеграмм, без гарантий, что владелец этого телеграма не перенастроит весь ваш трафик через свою проксю(откуда приходило письмо он знает, а значит восстановление пароля на ящик к которому он имеет доступ - минутное дело), может что еще, особо не вчитывался....
В общем как рабочий вариант - спасибо, но не надо, как пример работы с микротиком и освещение граблей при использовании IPv6 прокси - спасибо, учту...
Kilmez
20.08.2024 19:15+1все это висит на какой то левой почте через телеграмм
Есть же сайты для регистраций с временной почтой на 10 минут что бы не светить основной почтовый ящик. Сейчас проверил почту выданную на 10minutemail.net в tunnelbroker.net - пока не блокирует.
Vdm_ro
20.08.2024 19:15дело не в блокировке же... смотрите, гипотетическая ситуация:
1 вы берете временную почту для регистрации кабинета, который используется для проксирования всего вашего трафика
2 замечательный, добрый, отзывчивый студент - владелец этого сервиса, не специалист в безопасности, ведет логи приходящих писем и ответов в чате, что бы иметь возможность быстро решить проблемы в случае поломки
3 его таки ломают и злоумышленник получает пары соответствий:
адрес сервиса приславшего письмо о регистрации(и скорее всего еще логин, а то и пароль в открытом виде) - имя ящика, который был использован для регистрации
4 сбрасывает пароль в личном кабинете через отправку на ящик письма для восстановления пароля
5 заворачивает ваш трафик к себе на сервер
6 бинго...
Если сервис держит не добрый студент, а меркантильный злоумышленник - цепочка получается гораздо короче.
mltk
20.08.2024 19:15+5Это не то, чтобы схема по ускорению Youtube. Это стандартный способ получения ipv6 через туннельного брокера. Лет 20 назад это уже работало. Такой способ получения ipv6 имеет свои плюсы и минусы. Если у вас ipv6-фобия, то это точно не для вас.
Теперь по пунктам:
Падение сокрости -- ну вы измерьте, тогда будете говорить. У меня весь канал утилизируется. Во-многом это зависит от провайдера. В торрентах и прочих p2p вы получете дополнительные пиры -- ещё больше скорости.
Насчёт сомнительности брокера -- почитайте кто такие Hurricane Electric (спойлер: это мировой магистральный провайдер, они менее сомнительны, чем ваш провайдер)
Микротик тут вообще особо не причём. 6in4 туннель можно сделать и на Keenetic, OpenWRT, DD-WRT, Tomato, Padavan и на многих стандартных прошивках роутеров.
Почту можете брать не из телеграмм-бота, а другую нормальную на домене, который не популярен у спамеров. (Впрочем, лет за 15 у меня ни разу не было, чтоб he.net чего-то хотели от меня по почте -- она использовалась только 1 раз для регистрации аккаунта)
Vdm_ro
20.08.2024 19:15у меня нет фобии к IPv6, на мой взгляд он переусложнен для домашних условий, так же как микротик переусложнен в роли домашнего роутера.
Заголовок статьи: "IPv6 или противостояние занижению скорости Youtube" определил сторону, с которой я воспринимаю эту статью, и с этой стороны все эти телодвижения добавляют геморроя и точек отказа и посредственно решают проблему из заголовка.
he.net могут быть суперклассными чуваками, но озвученный подход с регистрацией через чужую, данную вам на 15 мин почту аккаунта, который будет иметь полный доступ к вашему трафику - для меня крайне сомнительный вариант, особенно в том ключе, что эта статья предназначена для неразбирающихся и обещает им решить проблему с Ютубом.
Andrusha
20.08.2024 19:15Ну это всё же Хабр, а не Пикабу, и предполагается, что прочитавший всё же немного разбирается в каких-то базовых вещах. У неразбирающегося вряд ли стоит микротик, а если и стоит, то настраивавший родственник или знакомый вряд ли оставил ему пароль пользователя с full-правами.
Кстати, глянул сейчас на форму регистрации - на gmail.com ругается, а на googlemail.com - нет, так что можно обойтись и без одноразовых ящиков.
13werwolf13
20.08.2024 19:15а если выбрать вместо хуррикана (не верю что советую что-то кроме хуррикана) какого нибудь российского брокера (список можно подсмотреть например тут) то не будет проблем со всяким "вумным" хламом типо яндекс станции и телевизоров с кинопоиском и ютубчик всё так же будет шустро работать (а ещё за торренты никто подсеть не отберёт).
алсо
на mikrotik и openwrt настраиваю без проблем уже давно людям (а так же на всяких кинетиках и asus'ах), а вот у себя дома решил перейти на systemd-networkd, он и сеть на роутере настраивает, и впн поднимает и он же ip раздаёт и принимает 6in4. только вот почему-то не могу победить раздачу ipv6 в локалку. уже два дня бьюсь, сам роутер с ipv6 работает, а вот в локалку адреса не адвертайзит, хотя вроде бы как всё по мануалам верно... устроил блин себе развлечение.Vdm_ro
20.08.2024 19:15А выше озвученный, классный, международного класса, "лучше чем мой провайдер"(с) отбирает подсеть по причине: "потому, что ты пользовался торрентами!"?
ZlobniyShurik
20.08.2024 19:15+1Сижу на HE лет 15. Торрентами пользуюсь, но без фанатизма. Пока ничего не отобрали :)
Kilmez
20.08.2024 19:15на mikrotik и openwrt настраиваю без проблем уже давно людям (а так же на всяких кинетиках и asus'ах)
Инструкцию как настраиваете openwrt на всяких asus'ах (конкретно ASUS RT-AX53U) сможете дать? Спасибо.
dj_raphael
20.08.2024 19:15Не помогло, точнее помогло, на компах и телефонах ютюб заработал, а на телеке нет.
EngineTech
20.08.2024 19:15КиноПоиск и прочие сервисы тындекса с DRM шарахаются ipv6 от he и отказываются работать, намекая на отключение vpn. То есть и в отпуске получишь шиш, а не кинчик. Но тут можно передать привет нетфликсу с подобной схемой.
PeterZha
20.08.2024 19:15+1И не только с DRM, консоль Яндекс Облака тоже через ipv6 от HE открываться не желает, я так понимаю это битва безопасников с реальностью.
haga777
20.08.2024 19:15А если Ростелеком даёт мне ipv6 то это тоже никак не поможет ?
Например, если сделать VPN ipv6 to ipv6 до впс сервера?
LF69ssop
20.08.2024 19:15Напоминаю что если адрес предоставленный провайдером белый но не статический то после смены вся эта ipv6 поломается. Придется опять настраивать. И в случае Hurricane Electric будут нюансы не позволяющие это сделать сразу.
PeterZha
Только приготовьтесь капчи разгадывать от гугла по поводу и без; в частности, в инкогнито капча будет всегда, а в обычном как фишка ляжет у Корпорации Добра. Очень любят бесплатные большие блоки v6 от Hurricane Electric разные поисковые оптимизаторы, чтоб им в ресторане вместо меню предлагали сборник статей об истории происхождения блюд и их ингридиентов..
Andrusha
Ага, причём проблема появилась достаточно давно, и вариантов «очистить» свой блок адресов я так и не нашёл. В итоге попробовал поиск от startpage.com, да так на нём и остался - выдача практически та же самая, даже местами лучше.
Вообще, забавно конечно, если вспомнить, как Google в своё время агитировал переходить на IPv6.
PeterZha
Я больше скажу, мне прилетала на мой блок прямая абуза от Корпорации Добра, там все прекрасно - просто целиком блок /48, даже не конкретный адрес, и дата/время. А у меня суриката :) и в ней все хорошо.
Так вот насколько я понял из изучения конкретно этой абузы, Гугл возмутила довольно длинная часовая сессия поиска с мобилки в инкогнито режиме, он мне начал показывать капчу, а я этого не понял, тк капча отрисовывалась где-то справа и просто перезагружал страницу.
На абузу я даже ответил что все ок, петух повержен, но там кмк почту никто не читает вообще, им виднее как лучше и все такое.
slonopotamus
Подключите в hurricane electric /48 префикс. Через какое-то время (в моем случае это заняло где-то неделю) гугл поймёт что вы отдельная сеть и успокоится с капчами. Примерно за это же время он поймёт что вы таки в РФ и вам не надо показывать рекламу на ютубе:)
PeterZha
С /48 уже давно та же петрушка с капчей, у меня в разных местах разные/48 от HE и капчи везде есть, варьирует только интенсивность их появления во времени.
czz
У меня даже не HE, а сеть /48, выданная российским датацентром. И та же фигня, капча всегда.
Гугл явно не любит диапазоны, выданные не домашними провайдерами.
Vegos
Да, действительно проблема. Вот думаю, как на Микротике настроить принудительно домен Google com пускать только по IPv6.
mltk
Проблема с капчей гугла действительно есть, но можно от неё избавиться практически полностью, если заставить клиентов ходить на google.com по ipv4.
Сделать это можно, например, прописав в DNS-сервере Микротика CNAME google.com на ipv4.google.com:
Ещё вам понадобится отключить DoH (DNS-over-HTTPS) в браузерах, чтобы они резолвили google.com не самостоятельно, а пользовались данными от роутера.
Так же может быть полезно заблокировать ipv6 Яндекса, чтобы всякие Кинопоиски и Алисы работали нормально, а не думали, что вы за границей.
PeterZha
И в итоге приходим к нормальному финальному решению весь отечественный трафик слать напрямую, а остальное через VPN, потому что иначе все вышеописанное довольно быстро превращается в труднодиагностируемый бардак, к сожалению..
barl0g
Можете немного более развёрнуто о том как это сделать (на Микротике)? Потому как этот вариант мне тоже представляется самым лучшим в эпоху взаимных блокировок.
mltk
Через BGP. Списки российских сетей удобно получать через сервисы antifilter.download и antifilter.network
Andrusha
У меня вот так. Статический IP, VPN - L2TP IPsec. Значения, указанные капсом, сменить на свои.
Список наполнял вручную (/ip firewall address-list add list=rkn comment="antirkn: manual" address=habr.com). В /ip firewall nat и /ip firewall filter нужно будет отключить стандартное правило, заменив на указанные два.
Если есть советы по оптимизации, то готов выслушать :)
TimsTims
Скрытый текст
https://antifilter.network/bgp