MostraRevisions

IPv6 en cualquier lugar con tinc

Ya hace tiempo describí cómo usar 6to4 para proporcionar una conexión IPv6 estable a una máquina dotada de una dirección pública IPv4 fija, un procedimiento realmente simple (al menos en su configuración básica) que nos permite acceder a una nueva Internet donde hay abundancia de direcciones y todos pueden ofrecer sus propios servicios.

No obstante, el procedimiento es prácticamente una entelequia porque si la máquina dispone de una dirección pública IPv4 fija ya es capaz de ofrecer servicios en Internet. En cambio, ¿qué hay de los ordenadores que tenemos en casa tras un dispositivo que hace NAT (y por lo tanto tienen direcciones privadas), o de aquellos que llevamos con nosotros (y por lo tanto tienen direcciones variables)?

En este artículo describo cómo usar tinc para extender la conectividad IPv6 de una máquina con una red IPv6 propia (nativa o 6to4) a ordenadores domésticos y móviles, de forma que éstos tengan direcciones públicamente accesibles de esta red con independencia de su ubicación.

Topología de la red

Tinc es software libre destinado a construir redes privadas virtuales (VPN) que se diferencia de otros productos de VPN en que hace muy sencilla la configuración de redes de topología distribuida sin necesitar nodos centrales para el encaminamiento o la autenticación. Cada nodo tinc define su propia subred y el sistema se encarga de intercambiar las rutas y claves necesarias para que la comunicación tenga lugar de forma directa (si es posible) y segura entre nodos que no se conocen explícitamente.

Asumiremos que tenemos un nodo al que llamaremos pasarela con una dirección pública IPv4 fija y una red IPv6 propia. Para seguir con el ejemplo del artículo anterior, éstas serán 1.2.3.4 y su red 6to4 respectiva 2002:0102:0304::/48 (pero podría ser cualquier otra red IPv6 pública). También asumiremos que el resto de nodos no tienen conexión a la Internet IPv6 ni una dirección IPv4 pública y fija.

Configuraremos tinc para que cada nodo de la red dé acceso a su propia subred 2002:0102:0304:N::/64 (con N = 0 para la pasarela). Los nodos se conectarán a la pasarela, que se encargará así de conectar entre ellas a todas las subredes y de dar acceso a la Internet IPv6 a los nodos que escojan la red tinc como ruta por defecto.

Redes IPv4 y IPv6.

Observad cómo cada nodo tendrá la misma dirección en la red tinc y en la red local a la que dará acceso, cosa que conseguimos usando dos máscaras de red diferentes. En este sentido, el manual es una combinación de este ejemplo y este artículo.

Configuración de la pasarela

Para configurar una pasarela con Debian o similar, en primer lugar instalaremos en ella el paquete tinc. A continuación crearemos el directorio /etc/tinc/inet6 que contendrá los ficheros de configuración de nuestra red, que aquí llamaremos inet6 (tinc puede gestionar varias de ellas al mismo tiempo).

Ahora crearemos el fichero de configuración del servidor tinc para este nodo, /etc/tinc/inet6/tinc.conf:

AddressFamily = ipv4
BindToAddress = gateway.example.net 655
Name = gateway

La única opción realmente necesaria es Name, que aquí establece a gateway el nombre único de este nodo en la red tinc. La opción AddressFamily hace que tinc sólo use conexiones IPv4, cosa razonable para proporcionar IPv6 sobre él. La opción BindToAddress fija la dirección y puerto (TCP y UDP, 655 por defecto) donde escuchará tinc, y puede ser útil si la pasarela tiene múltiples direcciones IPv4 o si vamos a gestionar más de una red con tinc, ya que cada una necesita un puerto diferente.

Para que dos nodos tinc se puedan conectar de forma segura deben conocer con anterioridad sus respectivos nombres y claves públicas, así como las subredes a las que dan acceso. Si un nodo quiere conectar con otro, necesitará saber también la dirección y puerto donde escucha el servidor tinc de éste. Cada nodo define todos estos parámetros en un fichero de configuración de la estación que debe ser copiado a los nodos con los que se quiera conectar.

A continuación crearemos el fichero de configuración de la estación para la pasarela, /etc/tinc/inet6/hosts/gateway. Será necesario crear primero el subdirectorio hosts y es importante que usemos para el fichero el nombre indicado anteriormente en Name.

Address = gateway.example.net 655
Subnet = 2002:0102:0304:0000:0:0:0:0/64
Subnet = 0:0:0:0:0:0:0:0/0

Naturalmente los valores de Address son los indicados más arriba. La subred anunciada es 2002:0102:0304:0000::/64 (tinc no admite notación compacta) como muestra el diagrama así como ::/0, es decir, toda la Internet IPv6.

Completaremos el fichero con la clave pública del nodo, que generaremos ejecutando tincd -n inet6 -K y aceptando las respuestas por defecto. Esto añadirá al final del fichero un bloque BEGIN/END RSA PUBLIC KEY.

Tinc no añade automáticamente ninguna dirección ni ruta a la estación, sino que delega en una serie de scripts para la configuración de la red. En nuestro caso, suponiendo que la pasarela ya tiene configuradas las interfaces y rutas IPv6, crearemos los siguientes scripts /etc/tinc/inet6/tinc-up

#!/bin/sh
ip -6 link set "$INTERFACE" up mtu 1400
ip -6 addr add 2002:0102:0304:0000::1/48 dev "$INTERFACE"

y /etc/tinc/inet6/tinc-down

#!/bin/sh
ip -6 addr del 2002:0102:0304:0000::1/48 dev "$INTERFACE"
ip -6 link set "$INTERFACE" down

que se ejecutarán al iniciar y detener la red inet6 de tinc (no olvidéis hacerlos ejecutables con chmod a+rx SCRIPT). Observad cómo se limita el tamaño máximo (MTU) del datagrama IPv6 a 1400 bytes: tenemos en cuenta la sobrecarga introducida por 6to4 (en nuestro caso) o tinc para reducir la probabilidad de encontrarnos con problemas durante el proceso de descubrimiento de la MTU entre dos estaciones IPv6. El valor más seguro (y un poco menos eficiente) es 1280. Leed este artículo para más información.

Finalmente añadiremos inet6 al fichero /etc/tinc/nets.boot que lista las redes a iniciar automáticamente con el script de arranque de tinc y la pondremos en marcha ejecutando invoke-rc.d tinc restart. Esto completa la configuración del propio tinc.

Si la pasarela tiene configurado un cortafuego aún necesitaremos unos retoques. Dado que recibirá conexiones de otros nodos tinc es importante abrir en el cortafuego los puertos TCP y UDP indicados arriba con las reglas equivalentes a los comandos siguientes:

# iptables -A INPUT -p udp -m udp --dport 655 -j ACCEPT
# iptables -A INPUT -p tcp -m tcp --dport 655 -j ACCEPT

La pasarela también encaminará tráfico IPv6, así que deberemos permitir en el cortafuego el reenvío IPv6 con la regla equivalente a:

# ip6tables -P FORWARD ACCEPT

Y también deberemos habilitar el reenvío IPv6 en el núcleo vía sysctl, por ejemplo:

# cat > /etc/sysctl.d/local-forwarding.conf << EOF
net.ipv6.conf.all.forwarding=1
EOF
# sysctl -p /etc/sysctl.d/local-forwarding.conf

Configuración del resto de nodos

Como he comentado antes tinc es un sistema distribuido y por lo tanto no hay servidores y clientes, sólo nodos que se conectan entre ellos. En nuestro caso los nodos sin direcciones IPv4 públicas y fijas iniciarán las conexiones hacia el nodo pasarela. Pero como veremos las configuraciones son prácticamente las mismas.

Instalaremos el paquete tinc y crearemos el directorio /etc/tinc/inet6. En el fichero de configuración del servidor /etc/tinc/inet6/tinc.conf escribiremos:

AddressFamily = ipv4
BindToAddress = * 655
Name = my_pc
ConnectTo = gateway

Como este nodo iniciará las conexiones con otros (y no a la inversa) no importa la dirección donde escuchará tinc (por eso el *). No obstante, como cada red de tinc necesita un puerto diferente no está de más hacerlo explícito, y en nuestro caso lo usaremos más adelante. Lo más importante aquí vuelve a ser el nombre de este nodo (my_pc) y también las apariciones de opciones ConnectTo que indican por su nombre hacia qué nodos se iniciaran conexiones.

Crearemos el fichero de configuración de la estación /etc/tinc/inet6/hosts/my_pc con las subredes a las que este nodo dará acceso

Subnet = 2002:0102:0304:0004:0:0:0:0/64

e invocaremos tincd -n inet6 -K para crear las claves del nodo. Por cierto, si sólo queremos dar acceso a esta estación podemos usar una máscara /128, p.e. 2002:0102:0304:0004:0:0:0:1/128.

Como conectaremos con el nodo pasarela, deberemos copiar a su directorio hosts el fichero de estación de este nodo, y también copiar al directorio hosts de este nodo el fichero de estación de la pasarela. Compartir los ficheros de estación puede ser el paso más molesto de montar una red tinc, y si hay muchos nodos con una topología de conexiones compleja lo más sencillo es distribuir todos los ficheros de estación de la red juntos (p.e. usando algún sistema distribuido de control de versiones), cosa que también puede ayudar a escoger nuevos nombres y subredes únicos.

Los scripts de configuración de red sólo difieren de los de la pasarela (además de en la dirección asignada, naturalmente) en que añaden una ruta por defecto a la Internet IPv6 vía la red tinc. Así /etc/tinc/inet6/tinc-up:

#!/bin/sh
ip -6 link set "$INTERFACE" up mtu 1400
ip -6 addr add 2002:0102:0304:0004::1/48 dev "$INTERFACE"
ip -6 route add default dev "$INTERFACE"

y /etc/tinc/inet6/tinc-down:

#!/bin/sh
ip -6 route del default dev "$INTERFACE"
ip -6 addr del 2002:0102:0304:0004::1/48 dev "$INTERFACE"
ip -6 link set "$INTERFACE" down

Observad cómo no se indica la dirección del encaminador por defecto, sólo la interfaz por donde enviar los paquetes. Al recibir un paquete, tinc se encarga de encontrar el nodo que da acceso a la subred de destino adecuada (y recordemos que el nodo pasarela anuncia la subred ::/0).

Después de habilitar con chmod la ejecución de los scripts, añadiremos inet6 a /etc/tinc/nets.boot y reiniciaremos tinc con invoke-rc.d tinc restart. A los pocos segundos deberíamos ser capaces de hacer ping a la pasarela:

$ ping6 2002:0102:0304:0000::1
PING 2002:0102:0304:0000::1(2002:102:304::1) 56 data bytes
64 bytes from 2002:102:304::1: icmp_seq=1 ttl=64 time=141 ms
64 bytes from 2002:102:304::1: icmp_seq=2 ttl=64 time=141 ms
64 bytes from 2002:102:304::1: icmp_seq=3 ttl=64 time=142 ms
64 bytes from 2002:102:304::1: icmp_seq=4 ttl=64 time=142 ms

--- 2002:102:304::1 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
rtt min/avg/max/mdev = 141.617/142.174/142.737/0.505 ms

Si hay algún problema, revisad /var/log/daemon.log. Si funciona, podéis probar vuestra conectividad con el resto de la Internet IPv6 visitando ipv6-test.com o test-ipv6.com (:D), o SubnetOnline.com a quien podéis indicar vuestra dirección para que le haga ping. Recordad pues que vuestro ordenador estará públicamente accesible vía IPv6, así que más os vale preparar una buena configuración de cortafuego. Y hablando de cortafuego, si vais a dar acceso a más ordenadores en vuestra red IPv6 local, recordad habilitar el reenvío IPv6 en el cortafuego y en el núcleo como se indica anteriormente.

Conexión directa en la red local

Si miráis el diagrama de la red veréis que my_laptop se encuentra en la misma red local que my_pc. Aún así, como no son accesibles desde Internet, si quieren comunicarse entre ellos vía la red IPv6 el tráfico deberá pasar forzosamente por gateway, cosa no muy eficiente. Tinc 1.0.17 o superior permite buscar nodos conocidos en la red local, evitando saltos innecesarios mientras se mantiene la seguridad de los datos. Esto puede ser interesante en redes locales WiFi sin cifrado.

Para habilitar esta búsqueda añadiremos al fichero tinc.conf del nodo la opción LocalDiscovery = yes. Esto hará que tinc difunda por la red local paquetes UDP dirigidos al puerto configurado en el mismo fichero (por esto conviene fijar en él el valor del puerto), lo que significa que este mecanismo sólo funcionará si todos los nodos de la red local usan el mismo puerto.

Por supuesto será necesario que los nodos contactados tengan este puerto abierto en el cortafuego y que los nodos a conectar tengan los ficheros de estación de los otros. De nuevo lo más cómodo es que todos los nodos tengan los ficheros de estación de todos los nodos de la red.