IPv6 (Русский)
В Arch Linux протокол IPv6 включён по умолчанию.
Contents
Обнаружение соседей
Пинг по адресу многоадресной рассылки ff02::1
заставит все хосты в локальной сети ответить. При этом нужно указать сетевой интерфейс:
$ ping ff02::1%eth0
После этого список "соседей" по локальной сети можно вывести командой
$ ip -6 neigh
Аналогично, если сделать пинг по адресу ff02::2
, то ответят только маршрутизаторы локальной сети.
Если добавить опцию -I ваш-глобальный-ipv6
в пинг-запрос, хосты локальной сети ответят с использованием глобальных адресов. В этом случае сетевой интерфейс можно не указывать:
$ ping -I 2001:4f8:fff6::21 ff02::1
Автоконфигурация узла (SLAAC)
Простейший способ получения IPv6-адреса в уже настроенной сети — автоконфигурация узла (SLAAC, Stateless address autoconfiguration). При этом адрес автоматически вычисляется на основании объявленного маршрутизатором префикса сети. Никакие дальнейшие настройки или использование специализированного ПО вроде DHCP-клиента не требуются.
Клиент
Если вы используете netctl, то нужно только добавить одну строку в файл настроек вашей проводной или беспроводной сети.
IP6=stateless
Если вы используете NetworkManager, то он автоматически включит использование IPv6-адресов, если таковые объявлены в сети.
Нужно также заметить, что для нормальной работы автоконфигурации должны быть разрешены пакеты ICMP для IPv6. Поэтому необходимо добавить разрешения для пакетов ipv6-icmp
в настройки межсетевого экрана. Если вы используете брандмауэр на основе iptables, то добавьте следующее правило:
-A INPUT -p ipv6-icmp -j ACCEPT
Если вы используете другой интерфейс межсетевого экрана (ufw, shorewall и т.д.), то инструкции по разрешению пакетов ipv6-icmp
нужно искать в документации.
Если вы выбрали сетевой менеджер, который не поддерживает разрешение DNS с бесконтекстным (stateless) IPv6 (например, netctl), то для этох целей можно воспользоваться демоном rdnssd(8) из пакета ndisc6.
Шлюз
Чтобы соответствующим образом работать с адресами IPv6 клиентских устройств вашей сети, нужно настроить демон объявлений (advertisement daemon). Для этой задачи используется входящий в официальные репозитории пакет radvd. Настройка radvd довольно проста. Добавьте следующие строки в файл /etc/radvd.conf
, заменив LAN
на название вашего сетевого интерфейса:
interface LAN { AdvSendAdvert on; MinRtrAdvInterval 3; MaxRtrAdvInterval 10; prefix ::/64 { AdvOnLink on; AdvAutonomous on; AdvRouterAddr on; }; };
Такая настройка скажет клиентам выбрать адреса из объявленного блока /64
. Обратите внимание, что эта настройка объявляет все доступные префиксы, привязанные к сетевому интерфейсу. Если вы хотите указать конкретные префиксы, то замените ::/64
на необходимый, например, 2001:DB8::/64
. Блок настроек prefix
нужно повторить для каждого указанного префикса.
Чтобы объявить DNS-сервера клиентам вашей локальной сети, можно использовать предлагаемую протоколом обнаружения соседей функциональность RDNSS. Например, добавьте следующие строки к файлу /etc/radvd.conf
, чтобы объявить DNSv6-сервер Google:
RDNSS 2001:4860:4860::8888 2001:4860:4860::8844 { };
Шлюз должен также разрешать трафик ipv6-icmp
во всех основных цепочках межсетевого экрана. Для брэндмауэра/iptables добавьте правила:
-A INPUT -p ipv6-icmp -j ACCEPT -A OUTPUT -p ipv6-icmp -j ACCEPT -A FORWARD -p ipv6-icmp -j ACCEPT
Для других интерфейсов межсетевого экрана выполните аналогичные настройки и в конце не забудьте включить radvd.service
.
Privacy Extensions
Когда устройство-клиент получает адрес посредством SLAAC, его IPv6-адрес вычисляется на основании префикса сети и MAC-адреса сетевого интерфейса. Это может иметь определённые последствия с точки зрения безопасности, поскольку MAC-адрес компьютера теперь можно узнать по IPv6-адресу. Для решения этой проблемы был разработан стандарт IPv6 Privacy Extensions (RFC 4941). В соответствии с ним ядро видоизменяет исходный адрес, генерируя вместо него временный. Такой подход используется, когда необходимо скрыть настоящий адрес при подключении к удалённому серверу.
Чтобы включить Privacy Extensions, добавьте в файл /etc/sysctl.d/40-ipv6.conf
следующие строки:
# Enable IPv6 Privacy Extensions net.ipv6.conf.all.use_tempaddr = 2 net.ipv6.conf.default.use_tempaddr = 2 net.ipv6.conf.nic0.use_tempaddr = 2 ... net.ipv6.conf.nicN.use_tempaddr = 2
Здесь nic0
...nicN
— названия сетевых интерфейсов. В статье Настройка сети#Обнаружение сетевых интерфейсов описано, как узнать имена сетевых интерфейсов на вашей машине. Параметры all.use_tempaddr
и default.use_tempaddr
не будут применены к сетевым интерфейсам, которые уже определены в системе на момент выполнения файла настроек sysctl.
После перезагрузки Privacy Extensions будут включены.
dhcpcd
Начиная с версии 6.4.0 в dhcpcd добавлена опция slaac private
, которая включает функцию присвоения стабильных приватных адресов вместо адресов, основанных на MAC-адресе интерфейса, в соответствии RFC 7217. Дополнительная настройка не требуется, если, конечно, вы не хотите изменять адрес IPv6 при каждом новом подключении к сети. Если назначить опцию slaac hwaddr
, то адреса будут назначаться исходя из MAC-адреса интерфейса.
NetworkManager
NetworkManager не учитывает указанные в файле /etc/sysctl.d/40-ipv6.conf
настройки. Убедиться в этом можно выполнив $ ip -6 addr show имя_интерфейса
после перезагрузки: отобразится только обычный адрес, не временный.
Чтобы включить IPv6 Privacy Extensions по умолчанию, добавьте следующие строки в файл /etc/NetworkManager/NetworkManager.conf
:
[connection] ipv6.ip6-privacy=2
Чтобы включить IPv6 Privacy Extensions для отдельных соединений под управлением NetworkManager, отредактируйте соответствующий нужному соединения файл в каталоге /etc/NetworkManager/system-connections/
, добавив к разделу [ipv6]
пару ключ-значение ip6-privacy=2
:
[ipv6] method=auto ip6-privacy=2
systemd-networkd
Systemd-networkd тоже не учитывает настройки net.ipv6.conf.xxx.use_tempaddr
в файле /etc/sysctl.d/40-ipv6.conf
, если оцпия IPv6PrivacyExtensions
в файле .network
не установлена в значение kernel
.
Тем не менее, учитываются некоторые другие опции:
net.ipv6.conf.xxx.temp_prefered_lft net.ipv6.conf.xxx.temp_valid_lft
См. также systemd-networkd и systemd.network(5).
connman
Добавьте следующую строку в файл службы (например, /var/lib/connman/название_службы/settings
):
IPv6.privacy=preferred
Подробнее смотрите ConnMan.
Постоянный приватный адрес
Другой полезной возможностью являются описанные в RFC 7217 постоянные приватные IP-адреса (stable private addresses). Эта технология позволяет назначать интерфейсам постоянные адреса, для вычисления которых вместо MAC-адреса устройства используется специально сгенерированный ключ.
Чтобы заставить ядро сгенерировать ключ (например, для интерфейса wlan0
), нужно назначить параметр ядра:
sysctl net.ipv6.conf.wlan0.addr_gen_mode=3
Выключив/включив интерфейс и выполнив ip addr show dev wlan0
вы увидите пункт stable-privacy
рядом с каждым адресом IPv6. Ядро должно было создать 128-битный ключ для генерирования адресов этого интерфейса. Чтобы увидеть сам ключ, выполните команду sysctl net.ipv6.conf.wlan0.stable_secret
. Чтобы ключ сохранялся после перезагрузок и был постоянным, нужно добавить в файл /etc/sysctl.d/40-ipv6.conf
следующие строки:
# Enable IPv6 stable privacy mode net.ipv6.conf.wlan0.stable_secret = <ключ> net.ipv6.conf.wlan0.addr_gen_mode = 2
NetworkManager
Описанные выше настройки не работают для NetworkManager, но он использует постоянные приватные адреса по умолчанию.
Статический адрес
Иногда использование статического адреса может быть применено в качестве одной из мер обеспечения безопасности. Например, если ваш локальный маршрутизатор использует обнаружение соседей (Neighbor Discovery) или radvd (RFC 2461), вашему интерфейсу будет автоматически присвоен адрес, который содержит часть MAC-адреса сетевого интерфейса (используя SLAAC). Это может быть не слишком хорошо для безопасности, так как позволяет без труда отслеживать систему даже если часть IPv6-адреса сменилась.
Чтобы присвоить статический IP-адрес при помощи netctl, используйте шаблон профиля /etc/netctl/examples/ethernet-static
. Следующие строки особенно важны:
# For IPv6 static address configuration IP6=static Address6=('1234:5678:9abc:def::1/64' '1234:3456::123/96') Routes6=('abcd::1234') Gateway6='1234:0:123::abcd'
IPv6 и PPPoE
Стандартный инструмент для PPPoE, pppd
, позволяет использовать IPv6 в PPPoE, если это поддерживается вашим провайдером и модемом. Добавьте одну строку в файл /etc/ppp/options
:
+ipv6
Если вы используете netctl для PPPoE, тогда вместо этого добавьте следующую строку в файл настроек netctl:
PPPoEIP6=yes
Делегирование префикса (DHCPv6-PD)
Делегирование префикса (prefix delegation) — широко распространённая технология развёртывания IPv6, используемая многими интернет-провайдерами. Представляет собой метод назначения сетевого префикса пользователю (например, локальной сети). Маршрутизатор может быть настроен на привязку разных сетевых префиксов к различным подсетям. Провайдер выдаёт префикс с помощью DHCPv6 (обычно это префикс /56
или /64
), а dhcp-клиент присваивает префиксы локальным сетям. В случае простого шлюза с двумя интерфейсами клиент обычно получает адрес через WAN-интерфейс (или псевдоинтерфейс вроде ppp) и на его основании присваивает IPv6-префикс интерфейсу локальной сети.
Клиент DHCPv6 принимает входящие соединения на UDP-порт 546. Чтобы настроить доступ к этому порту в межсетевом экране nftables, в файле /etc/nftables.conf
добавьте следующее правило в цепочку input:
table inet filter { chain input { udp dport dhcpv6-client accept ... } ... }
dibbler
Dibbler — портируемый клиент и сервер DHCPv6, который может использоваться для делегирования префикса. Установите его с пакетом dibblerAUR.
Если вы используете dibbler
, отредактируйте файл /etc/dibbler/client.conf
:
log-mode short log-level 7 # use the interface connected to your WAN iface "WAN" { ia pd }
dhcpcd
dhcpcd помимо поддержки dhcp для IPv4 также предлагает полноценную реализацию протокола DHCPv6 (включая DHCPv6-PD). Если вы используете dhcpcd
, отредактируйте файл /etc/dhcpcd.conf
. Скорее всего, вы уже используете dhcpcd для IPv4, поэтому просто обновите существующую конфигурацию.
duid noipv6rs waitip 6 # Uncomment this line if you are running dhcpcd for IPv6 only. #ipv6only # use the interface connected to WAN interface WAN ipv6rs iaid 1 # use the interface connected to your LAN ia_pd 1 LAN #ia_pd 1/::/64 LAN/0/64
Эта конфигурация запросит префикс у WAN-интерфейса (WAN
) и делегирует его внутреннему интерфейсу (LAN
). Если вдруг с диапазоном /64
возникнут проблемы, то нужно использовать вторую инструкцию ia_pd
, которая в примере выше закомментирована. Кроме того, приведённая конфигурация также отключит вызовы маршрутизатора (router solicitation) для всех интерфейсов, кроме WAN.
WIDE-DHCPv6
WIDE-DHCPv6 — свободная реализация протокола DHCP для IPv6 (DHCPv6), первоначально разработанная проектом KAME. Установите его с пакетом wide-dhcpv6AUR.
Если вы используете wide-dhcpv6
, отредактируйте файл /etc/wide-dhcpv6/dhcp6c.conf
, заменив WAN
и LAN
названиями соответвующих интерфейсов:
# use the interface connected to your WAN interface WAN { send ia-pd 0; }; id-assoc pd 0 { # use the interface connected to your LAN prefix-interface LAN { sla-id 1; sla-len 8; }; };
Клиент wide-dhcpv6 можно запустить/включить с помощью файла юнита systemd dhcp6c@interface.service
, где interface
— название интерфейса в файле настроек, т.е. например для интерфейса "WAN" используйте dhcp6c@WAN.service
.
systemd-networkd
/etc/systemd/network/lan.network
[Network] IPv6PrefixDelegation=dhcpv6 IPv6DuplicateAddressDetection=1 IPv6PrivacyExtensions=no
/etc/systemd/network/wan.network
[Network] DHCP=ipv6 IPForward=ipv6 IPv6AcceptRA=yes IPv6DuplicateAddressDetection=1 IPv6PrivacyExtensions=kernel
Другие клиенты
dhclient также может запрашивать сетевой префикс, но для присваивания этого префикса или его части нужно использовать специальный скрипт. Пример программы: https://github.com/jaymzh/v6-gw-scripts/blob/master/dhclient-ipv6.
Отключение IPv6
Отключение функциональности
Добавление опции ipv6.disable=1
в параметрах ядра отключает весь стек IPv6, что в большинстве случаев помогает добиться желаемого результата. Смотрите статью Kernel parameters для получения дополнительной информации.
Добавив вместо этого ipv6.disable_ipv6=1
, вы оставите стек IPv6 работающим, но адреса IPv6 не будут присваиваться сетевым интерфейсам.
Также вы можете отключить присвоение адреса IPv6 конкретным сетевым интерфейсам, добавив следующие строки в файл настроек sysctl /etc/sysctl.d/40-ipv6.conf
:
# Disable IPv6 net.ipv6.conf.all.disable_ipv6 = 1 net.ipv6.conf.nic0.disable_ipv6 = 1 ... net.ipv6.conf.nicN.disable_ipv6 = 1
Перезапустите юнит systemd-sysctl.service
, чтобы изменения вступили в силу.
Необходимо перечислить здесь все сетевые интерфейсы, для которых требуется отключение IPv6, так как опция all.disable_ipv6
не будет применена к сетевым интерфейсам, которые уже включены на момент выполнения инструкций из файла настроек.
Другие программы
Отключение IPv6 в ядре не предотвращает другие программы от попытки использования версии IPv6. В большинстве случаев это не приводит к проблемам, однако, если они все-таки появляются, вам остается лишь искать в man-страницах или на просторах сети способ отключить эту функциональность.
dhcpcd
Например, dhcpcd будет продолжать пытаться запрашивать настройки сети у маршрутизаторов IPv6 (т.н. Router solicitation). Чтобы отключить это, добавьте следующие строки в файл /etc/dhcpcd.conf
:
noipv6rs noipv6
NetworkManager
Чтобы отключить IPv6 в NetworkManager, вызовите контекстное меню значка статуса сети и перейдите в Edit Connections > Wired > Network name > Edit > IPv6 Settings > Method, затем выберите Method как Ignore/Disabled.
ntpd
Чтобы определить, как systemd должен запускать службу ntpd, необходимо внести изменения в файл ntpd.service
.
Это создаст drop-in сниппет, который будет запускаться вместо стандартного ntpd.service
. Флаг -4
отключает использование IPv6 демоном ntp. Поместите следующее в drop-in сниппет:
[Service] ExecStart= ExecStart=/usr/bin/ntpd -4 -g -u ntp:ntp
Здесь сначала очищается значение ExecStart
, а затем устанавливается новая команда.
systemd-networkd
networkd позволяет отключить IPv6 для отдельного интерфейса. Когда в разделе [Network]
сетевого юнита указан параметр LinkLocalAddressing=ipv4
или LinkLocalAddressing=no
, networkd не будет настраивать IPv6 на соответствующих сетевых интерфейсах.
Следует однако отметить, что даже при использовании указанных выше опций networkd всё еще будет ожидать получения "объявлений маршрутизатора" (router advertisements, RA), если IPv6 не был отключён глобально для всей системы. Если трафик IPv6 не будет доходить до интерфейса (например, из-за настроек sysctl или ip6tables), то интерфейс останется в состоянии настройки и потенциально может стать причиной превышения времени ожидания (timeout) для служб, требующих полной настройки сети. Чтобы этого избежать, добавьте опцию IPv6AcceptRA=no
в раздел [Network]
.
Использование IPv4 вместо IPv6
Раскомментируйте следующую строку в файле /etc/gai.conf
:
# # For sites which prefer IPv4 connections change the last line to # precedence ::ffff:0:0/96 100
Смотрите также
- IPv6 — документация на kernel.org
- IPv6 temporary addresses — временные адреса и расширения приватности
- IPv6 prefixes — о типах префиксов
- net.ipv6 options — настройка параметров ядра