Protokol 41: Tunelování IPv6 v IPv4 (6in4, 6to4, 6rd)

Protokol 41: vysvětlení tunelování IPv6 přes IPv4 (6in4, 6to4, 6rd) — jak funguje, výhody, konfigurace a podpora u poskytovatelů internetu.

Autor: Leandro Alegsa

Protokol 41 je komunikační protokol, který vkládá pakety internetového protokolu verze 6 (IPv6) do paketů internetového protokolu verze 4 (IPv4). Obvykle se používá k tomu, aby počítač nebo směrovač, který má pouze adresu IPv4, mohl získat adresu IPv6 (nebo třeba více než jednu adresu, aby sloužil více počítačům). Většina poskytovatelů tunelů IPv6 podporuje protokol 41, včetně společností Hurricane Electric a SixXS. 6to4, 6rd a 6in4 jsou různé způsoby použití protokolu 41. Protokol 41 nepoužívá protokoly TCP ani UDP (ačkoli pakety IPv6 uvnitř mohou přenášet provoz TCP a UDP). Nelze jej zaměňovat s portem TCP nebo UDP číslo 41.

Co je to „IPv6 v IPv4“ (encapsulace)

Protokol 41 realizuje tzv. tunelování tím, že vloží celý IPv6 paket do těla IPv4 paketu. Do hlavičky vnějšího IPv4 paketu se zapíše číslo protokolu 41 (IP protocol = 41), což přijímajícímu zařízení říká, že payload je IPv6 paket. Vnější IPv4 hlavička obsahuje zdrojovou a cílovou IPv4 adresu tunelu; po odstranění (decapsulation) vnitřního IPv6 paketu může být tento paket normálně směrován v IPv6 síti.

Hlavní varianty používání

  • 6in4 (statický 6in4, tzv. 6in4 tunnel) – klient ví přesnou IPv4 adresu koncového tunelového serveru a nastaví statický tunel (např. tunnel broker jako Hurricane Electric). Obvykle vyžaduje, aby zařízení nebo NAT propojilo protokol 41 na vnitřní stroj.
  • 6to4 – automatický mechanismus, který vkládá IPv4 adresu do IPv6 prefixu 2002::/16. Byl navržen jako přechodné řešení, ale v praxi byl často nespolehlivý a jeho použití se dnes obecně nedoporučuje.
  • 6rd – varianta provozovaná poskytovateli Internetu pro rychlé nasazení IPv6 v jejich zákaznických sítích; používá princip tunelování v protokolu 41, ale s adresací a směrováním řízeným ISP (odlišné od 6to4).

Praktické vlastnosti a omezení

  • Protokolové číslo, ne port: IP protokol 41 je část IP hlavičky (číslo protokolu), nikoli TCP/UDP port. Je tedy nesprávné myslet si, že jde o port 41.
  • NAT a traversal: Tunelování protokolem 41 se standardně špatně kombinuje s NATem, protože NAT mapuje porty, nikoli IP protokoly. Některé domácí routery však umožňují přesměrování/proxy pro protocol 41 (tzv. „proto-41 passthrough“). Pokud je klient za NATem, je často nutné povolit 6in4 tunel na routeru nebo použít jiné techniky (např. tunely přes UDP jako OpenVPN nebo Teredo/AYIYA).
  • MTU a fragmentace: Vnější IPv4 hlavička snižuje dostupné MTU pro vnitřní IPv6 paket (běžná ethernet MTU 1500 → efektivní MTU ~1480 pro 6in4). Je třeba ošetřit PMTUD nebo manuálně nastavit menší MTU, jinak dochází k fragmentaci a problémům s některými typy provozu.
  • Bezpečnost a filtrování: Jelikož jde o „tunel“, může protokol 41 obcházet některá síťová pravidla – proto někteří poskytovatelé či správci sítí blokují protokol 41 na okraji. Naopak pokud tunel nasadíte, je vhodné omezit přístup jen na známé endpointy a nastavit firewall tak, aby kontroloval provoz.

Nastavení a podpora

  • Linux: kernel podporuje SIT/6in4 (modul sit), běžné nástroje jsou ip nebo iproute2 (např. ip tunnel add ... mode sit, nebo konfigurace přes síťové skripty). Mnoho návodů pro tunnel brokery (Hurricane Electric) uvádí přesné příkazy.
  • Windows: podporuje tvorbu 6in4 tunelů (historicky přes netsh nebo grafické nástroje), ale konkrétní postup se liší verzí Windows.
  • Routery: některé firmwarové distribuce (OpenWrt, DD-WRT, Tomato) a komerční routery podporují 6in4/6rd a mají přímou integraci pro tunnel brokery.
  • Poskytovatelé: Tunnel brokeři (např. Hurricane Electric) poskytují konfigurace a návody. Pozn.: služba SixXS byla v minulosti populární, ale provoz této služby byl ukončen; proto vyhledejte aktuálnější poskytovatele.

Kdy použít protokol 41

  • Chcete-li získat IPv6 konektivitu tam, kde poskytovatel nemá nativní IPv6, a máte kontrolu nad routerem nebo veřejnou IPv4 adresu.
  • Pokud potřebujete stabilní, nízké zpoždění a jednoduché tunelování, 6in4 k tomu může posloužit lépe než automatické metody jako 6to4.
  • Pokud je klient za NAT bez možnosti protokolu 41, volte alternativy (tunnel přes UDP, Teredo, nebo komerční VPN s IPv6).

Tipy pro provoz

  • Povolte na firewallu IP protokol 41 (ne port 41), ale omezte zdroje/cíle jen na autorizované endpointy.
  • Nastavte správně MTU a otestujte připojení (ping s nastavenou velikostí a DF flagem). Sledujte fragmentaci a výkon.
  • Preferujte nativní IPv6 od ISP, pokud je dostupné; tunely jsou dobré dočasné nebo specializované řešení.
  • Upozornění: 6to4 bývá nespolehlivý kvůli smíšenému provozu a změnám v síťové infrastruktuře; 6rd a statické 6in4 jsou obecně robustnější, pokud je správně nasazené prostředí.

Pro více technických podrobností vyhledejte dokumentaci vašeho operačního systému nebo poskytovatele tunelů, případně RFC a návody od provozovatelů tunnel brokerů.

6to4

6to4 je speciální použití protokolu 41. Adresa 6to4 začíná číslicemi 2002, za nimiž následuje adresa IPv4 směrovače. Adresa 6to4 může vypadat takto: 2002:CB00:71FF:0:fe64:3486:d398:3346

 

Související stránky

  • Tunelování Teredo
 


Vyhledávání
AlegsaOnline.com - 2020 / 2025 - License CC3