IPv6 против "серых" IP МГТС, Роскомнадзора и корпоративных FireWall.

С переходом на GPON от МГТС, обнаружил, что не смотря на открытые порты и настроенный DDNC совершенно не могу достучаться до домашнего сервера. Пляски с бубном и чтение форумов открыли страшную правду о скаредном провайдере. Оказывается, с декабря 2012 года МГТС вешает на каждый внешний динамический IP целую подсеть клиентов. Мои запросы просто терялись в этой толпе. На вопрос: "Что за нафиг?" поддержка нагло предложила купить более дорогой тариф или выделенный IP адрес.


Первая мысль была поднять тунель VPN или IPsec, но оставался вопрос: "Куда его пробрасывать?" На счастье, подвернулось более изящное и технологичное решение. В отличие от сознания чиновников, прогресс не стоит на месте. Производители оборудования уже добрый десяток лет подключают поддержку IPv6 в своё оборудование. Инфраструктура сети вашего провайдера, включая коммутаторы последней мили, должна поддерживать этот протокол.

IPv6 реально крут. Для него не существует NAT, он ничего не знает об ограничениях своего предшественника, ему плевать на блокировки Роскомнадзора и прочие смешные глупости за народные деньги. От провайдера мне достался коммутатор Sercomm RV6699 с прошивкой sc3.3.42 и спасибо дневникам Arni, он показал мне путь к светлому.

Если коротко, то:

1. Настройка - LAN  и ставим IPv6 Включить.
2. Сервисы - Безопасность - Firewall - Основные параметры снимаем Блокировать ICMP PING на WAN
3. Ребутим коммутатор и наслаждаемся появлением IPv6 на главной странице. 
4. Отправляемся на SubnetOnline и запускаем ping.

Осталось получить DyDNC по новому IPv6 адресу. В этом нам поможет сервис dynv6.com процедура отлично описана в  Инструкции по использованию сервиса dynv6.com. Идея аналогична, описанной ранее, работе с FreeDNC. Сервис генерит ключ и предоставляет строчку для обращения через браузер, wget или cron. При каждом обращении, он определяет адрес сервера и привязывает к нему динамическое имя.

приветственную страницу apache  и свои сайты я увидел сразу, а вот с Deluge Web Ui пришлось попотеть. Последний представляется как //localhost:8112 и задача была представит его через веб-сервис apache2. Следование инструкции на подсайте выдавало ошибку при перегрузке сервера. Проблема оказалась в параметре RequestHeader set X-Deluge-Base. 

В результате, успешная последовательность действий такова:

1. Активируем модули

sudo a2enmod proxy
sudo a2enmod proxy_html
sudo a2enmod proxy_http
sudo a2enmod headers

2. Создаем файл /etc/apache2/conf-available/deluge.conf и вписывам в него

ProxyPass /deluge http://localhost:8112/

    ProxyPassReverse /
    ProxyPassReverseCookiePath / /deluge              
    Order allow,deny
    Allow from all

3. Делаем символическую ссылку /etc/apache2/conf-enabled/deluge.conf 

4. В файле /home/arkadi/.config/deluge/web.conf меняем значение

  "base": "/",

на

  "base": "/deluge/",

Просмотреть IPv6 страничку из сетей не поддерживающих этот протокол поможет прокси шлюз IPv6 Proxy.


Как показала практика, МГТС способен терять даже IPv6 адреса. Выданный провайдером адрес живет не дольше недели, затем теряет адресацию. Требуется нажать в интерфейсе коммутатора кнопочки "Сбросить" и ""Обновить" для получения нового адреса.

Удаленно, это можно сделать с помощью внешнего облачного сервиса типа Сhrome Remote Desktop.
 

Ещё по теме:

Обход блокировок через IPv6 под OS Windows.