Como usar um tunnel broker IPv6 de forma simples e rápida

Esta semana recebi uma mensagem no LinkedIn de uma pessoa que estava tentando acessar o blog mas sempre caia numa página de erro gerada pela CloudFlare.

O Blog fica hospedado na minha casa (em uma VM rodando em um dos 5 servidores que tenho na garagem). Para melhorar o desempenho e a segurança, eu uso os serviços de CDN (Content Delivery Network) da CloudFlare (aliás, eis um assunto interessante para um post futuro: CDNs). Assim, quando você pinga o endereço blog.ccna.com.br, o endereço IP retornado é o da CloudFlare, e não o meu aqui de casa.

Existe uma série de vantagens (e talvez algumas desvantagens) em utilizar um CDN como a CloudFlare. Uma delas é o suporte à IPv6.

Desde que eu comecei a trabalhar com redes (20 anos atrás?) que a adoção do protocolo IPv6 é discutido. Estamos em 2020 e ainda existem operadoras que não se mexeram. E não é só no Brasil, não… a Vodafone UK (o provedor que uso aqui em casa) também está nesta lista. Até hoje, usuários banda larga da Vodafone UK não recebem IPv6 – apenas IPv4. Eu, particularmente, acho isso um absurdo. E, pior: Como eu hospedo a maioria dos meus websites (como e blog), não ter a opção IPv6 significa que pessoas que navegam em redes IPv6 nativas não teriam acesso ao blog, por exemplo. E isso – claro – não é aceitável. Especialmente em 2020! Colocar meus serviços atrás de uma CDN como a CloudFlare resolve este problema. Um usuário, ao tentar o acesso ao blog, envia sua solicitação à CloudFlare, que faz a terminação IPv6. Depois a CloudFlare se conecta ao meu servidor usando IPv4 e, no caminho de volta, envia a resposta ao usuário via IPv6. Típico processo de um proxy. E o melhor: A CDN adiciona o endereço IP original do usuário no cabeçalho da requisição HTTP, o que me permite ver, nos logs, quem está acessando (ou tentando detonar) meus serviços – mesmo o meu servidor estando configurado apenas com IPv4 (veja abaixo um exemplo).

Bom, voltando ao começo… quando recebi a mensagem no LinkedIn informando problemas ao acessar o blog, comecei o processo básico de troubleshooting pelo início: Análise do endereço IP de origem. De posse do endereço IP eu consigo ver se ele está em alguma blacklist que eu tenho, o país de origem do IP (eu bloqueio algumas regiões, como China e Rússia, por exemplo) e se o IP é v4 ou v6.

Eis que o endereço era v6 – e não apenas isso, a pessoa estava na Hungria – um dos países que estavam na minha lista de restrição. Assim, para testar, removi a restrição da Hungria, mas ele seguiu sem acesso. Eu desconfiava que o problema poderia ser com IPv6, mas como testar se, aqui em casa, eu apenas tenho acesso IPv4?

Entra em cena o tunnel broker IPv6 da Hurricane Electric. Ele é 100% FREE e super fácil de configurar. O 1o passo é criar uma conta no serviço. Uma vez criada a conta, você pode criar seu túnel. E existem várias opções de endpoint… no meu caso, o ideal seria um túnel v6 terminando na Hungria, assim eu poderia validar o acesso sem muita dúvida:

Uma vez criado o túnel, a própria Hurricane Electric provê alguns templates de configuração para ativar o túnel criado em diferentes sistemas:

No meu caso, escolhi Ubuntu pois eu posso criar uma VM e deixar ela rodando tempo integral com IPv6 configurado, assim, quando eu quiser testar algo relacionado a IPv6, acesso ela e pronto. Mas tem templates para Cisco, Windows, OSX, etc.

NOTA: Um detalhe que descobri na marra: O IP “local” (na figura acima, 10.20.30.40) deve ser o endereço IPv4 da máquina onde a configuração esta sendo feita (no meu caso, 10.20.30.40 seria o IP do meu Ubuntu). Sim, mesmo que seja um IP privado! Se você não alterar isso (o template do HE pega o IP público), o túnel não vai funcionar (pelo menos para mim não funcionou). 

Uma adicionadas as configurações no meu Linux, percebam que o acesso IPv6 ocorre automaticamente (se o domínio tiver uma entrada DNS AAAA) – o que, no caso, a CloudFlare automaticamente adiciona.

Parti então para o teste de acesso usando o Mozilla e, em paralelo, acompanhei os hits usando o painel de controle que tenho no blog:

Ou seja, consegui verificar que o problema não estava no filtro do país e nem no acesso v6. Como a pessoa me retornou depois dizendo que acessando de outra operadora ele teve êxito, eu assumi que o problema era relacionado ao provedor… e case closed 😉

Mas fica aqui a dica para quem quiser ativar IPv6 via túnel, para acessar algum conteúdo disponível apenas neste formato, para estudo ou apenas por diversão 🙂

Abraço!

Marco



Comente usando o Facebook!

Deixe uma resposta