使用 zerotier 搭建自己的 IPv6 网络

前言

2019年11月27日,通过欧洲网络协调中心(RIPE NCC)的邮件确认,全球所有43亿个 IPv4 地址已全部分配完毕。事实上,IPv4 地址的数量是非常有限的,算起来全球60多亿人每个人平均不到1个。由于 IP 地址是由国际上的几大网络协调中心统一进行分配,必须由单位向所在区域的网络协调中心提出申请,并每年缴纳一定的费用。这笔费用对于单位来说算不了什么,对于个人来说就比较高。因此,在每个国家基本上是由国家网络中心进行国内的 IP 地址分配,分配的单位一般是政府、国家机构、高校、基础通信服务商、数据中心或企业等。我们通常家用的宽带主要是由中国移动、中国联通、中国电信三大基础通信服务商提供的。近年来也有由广播电视提供的家用宽带。在学校、国家科技机构单位,一般使用的是教育网、教育科技网,也有很多学校采用的基础通信服务商提供的商用网络。不管是学校,还是家里,基础通信服务商为了节约 IP 地址的使用,在进行基础通信网络搭建的时候,大部分采用了内部局域网共享一个公网 IP 地址代理上网的方式。现有家用使用的宽带网络基本上无法获取到公网 IPv4 地址,只能获得一个以100开头的通信专用的局域网地址。

随着中国 IPv6 的不断部署推进,家用宽带大部分也拥有了 IPv6 地址。相比 IPv4 地址来说,IPv6 地址的数量则非常庞大,全世界人口人均分配几十个都绰绰有余。因此,IPv6 地址在使用上比 IPv4 地址就显得非常大度。通常来说,基础通信服务商会直接分配给每一个家用账户一个/64段的 IPv6 地址段。

个人所知中国移动宽带只有在使用了中国移动的专用路由器光纤接入后会分配 IPv6 地址。

由于考虑到分配的 IPv6 地址直接就是公网 IP 地址,如果知道设备的 IPv6 地址,即可通过IPv6 网络直接进入设备,这对于一般没有安全意识的家用用户来说不是一件好事,所以基础通信服务商一般会在两三天内重新分配 IPv6 地址段,以此确保家用用户不可能长时间拥有同一个 IPv6 地址。

IPv6 地址的 DHCP 几乎没有强制性,通常来说如果知道网络段号,可以自定义 IPv6 地址的后面位数。 比如被分配到的 IPv6 段是 2409:470:88:80::/64,则用户可以设置自己的 IPv6 地址静态为 2409:470:88:80::8/64。 这样一来安全性会变得更低。

但对于喜欢“搞事情”的小伙伴来说,这就有很大的限制了。如果有内网的服务器想要暴露在公网,或者想要使用 IPv6 进行管理,就需要有静态公网可达的地址来提供服务。想要实现这一目标,有很多方法来实现。

  • 方法一:使用 FRP、Ngrok 等技术,通过公网服务器的端口代理来实现管理和对外服务。
  • 方法二:使用拥有公网 IP 的服务器。
  • 方法三:使用 zerotier 来进行 SDN 组网,并构建 IPv6 网络来对外提供访问。

这里,就来尝试使用方法三来实现管理和对外服务。

Read more

群晖通过cloud sync创建阿里云盘同步

前天刚刚注册了阿里云盘,寻思着这么好用的云盘为什么群晖就没有接口呢,后来看到gxnas大佬的帖子茅塞顿开,根据zxbu大佬提供的docker镜像,可以通过阿里云盘接口创建一个webdav连接,然后在使用群晖cloud sync里面的webdav方式进行连接,这样就可以做到cloud sync同步阿里云盘了;

Read more

IPv6 Only VPS连接CloudFlare WARP为服务器添加IPv4网络

免费的Euserv IPv6 Only VPS虽可用DNS64+NAT64间接访问IPv4网址,但是无法访问IPv4的IP且速度比较慢。最新黑科技是OpenVZ或LXC虚拟化类型的 IPv6 Only VPS可以通过WireGuard-Go连接CloudFlare WARP为服务器添加IPv4网络环境。

WARP是CloudFlare提供的一项基于WireGuard的网络流量安全及加速服务,能够让你通过连接到CloudFlare的边缘节点实现隐私保护及链路优化。

其连接入口为双栈(IPv4/IPv6均可),且连接后能够获取到由CF提供基于NAT的IPv4和IPv6地址,因此我们的单栈服务器可以尝试连接到WARP来获取额外的网络连通性支持。这样我们就可以让仅具有IPv6的服务器访问IPv4,也能让仅具有IPv4的服务器获得IPv6的访问能力。

WARP 对外访问网络的 IP 被很多网站视为真实用户,即所谓的 “原生” IP,可以解除某些网站基于 IP 的封锁限制:

  • 解锁 Netflix 非自制剧
  • 跳过 Google 验证码
  • 解除 Google 学术访问限制
  • 解除 YouTube Premium 定位漂移和地区限制

 

下面我们以免费德国EUserv IPv6 only VPS   Debian 10系统来演示配置CloudFlare WARP方法。

Read more

从 Debian 10 升级到 Debian 11 教程

从 Debian 10 升级到 Debian 11 教程

Debian 11 (bullseye) 经过两年的等待终于正式发布稳定版本了,带来了很多更新的内核,更新的软件包以及其他新特性,具体可以从这里了解

这里我在一台 VPS 上详细演示一下如何使用 apt 或者 apt-get 命令安全的将 Debian 10 (buster) 升级到 Debian 11 (bullseye)。如果你需要通过 CD-ROM/DVD-ROM、U 盘或者硬盘安装,可以参考官方的安装手册

如果你想从 Debian 9 或者更旧的版本升级到 Debian 11,请先根据文档,升级到最新的 Debian 10 后再继续操作。

以下所有操作需要以 sudo 权限用户或者 root 用户执行。完整的安装指南可以参考官方的发行手册

Read more

PVE 的 LXC 開機自動掛載 SMB (用fstab)

== PVE 設定 == vi /etc/apparmor.d/lxc/lxc-default allow mount fstype=cifs, # 修改 PVE 設定檔,允許 lxc 掛載 cifs vi  /etc/apparmor.d/lxc/lxc-default-cgns allow mount fstype=cifs, # 修改 PVE 設定檔,允許 lxc 掛載 cifs /etc/init.d/apparmor reload # 重新載入 PVE 的設定檔 == LXC 設定 == echo “username=user” > /root/.cifs echo “password=pwd” > /root/.cifs # 寫入驗證檔案 (SMB(cifs) 連線的帳號密碼) apt -y install cifs-utils # 安裝 cifs 套件,安裝完才能由 fstab 掛載 vi … Read more

利用 iptables 实现 Proxmox VE 下虚拟机的 NAT 端口转发 – 完美追逐者.

一台物理机托管到机房,国内一般也就给 1 个 v4 公网 IP。所有业务都将通过使用不同端口的方式来复用这个 IP,那么就有以下两种方案:

1)把所有业务放在同一个系统内跑。显然,这种把鸡蛋放在同一个笼子里的方案不够优雅,即便使用容器等虚拟化技术进行隔离,系统内核也始终是共享的,非常不灵活。

2)使用内核级的虚拟化技术(例如 KVM)。这种方式更加灵活,可以充分发挥物理机的优势(托管到机房的服务器一般都具有海量 CPU 核心和内存),各个业务间的隔离也更加彻底。但这也将大大增加网络的复杂度,配置起来有些棘手。

我采用的就是方案 2,并且采用下文将要介绍的方式(iptables NAT 端口转发)来优雅地解决网络配置问题。

Read more