Jump to content
  • 13

IPv6 в OpenVPN и WireGuard


Vladislav Kravchenko
 Share

Question

8 answers to this question

Recommended Posts

  • 0
10 часов назад, Le ecureuil сказал:

Сперва IPv6 в целом нужно в системе сделать "out of the box". А так да, планируется.

А когда примерно ожидается обновление VPN-ов?

Поясню за интерес. IPv6 бегает у меня уже везде и с каждым днем его все больше и больше. Даже браузеры уже предпочитают IPv6 если он есть, работает куда быстрее традиционного способа. Но, вся эта история всевозможных блокировок не дает нормально работать. Одни блокируют сайты от своих граждан, другие блокируют от других и т.п. Нормально вопрос можно решить пусканием маршрутов к некоторым сайтам/адресам через тоннель, соответственно нужна маршрутизация. А в условиях, когда VPN-ы на кинетиках не умеют IPv6 через себя пропускать, их ценность существенно снижается, т.к. маршруты IPv6 в туннели на кинетике не завернуть. 

Получается, что либо что-то мутить на клиентских машинах, что не совсем гуд, либо ставить еще один сервер и использовать его как VPN точку входа и маршрутизировать все на него. Что опять же не совсем красиво и менее надежно.

  • Upvote 4
Link to comment
Share on other sites

  • 0

Ладно полноценная поддержка. Была бы хотя бы возможность прописать ipv6-адреса в список разрешённых для Wireguard. Даже в telnet там сейчас

Quote

(config)> interface Wireguard0 wireguard peer Oo85...2D0= allow-ips

 Usage template:
        allow-ips {address} {mask}

Хотя мне всё же удалось подружить ужа с ежом обернув IPv6 трафик 6in4 и пропустив через Wireguard. Но это костыль. И не имея нормального tcpdump не на одной из сторон, было действительно непросто всё это подружить.

Link to comment
Share on other sites

  • 0
15 часов назад, None 7 сказал:

Хотя мне всё же удалось подружить ужа с ежом обернув IPv6 трафик 6in4 и пропустив через Wireguard.

Как вам это удалось? Подскажите пожалуйста!;) Имею настроенный 6in4 и Wireguard,тоже хотелось бы получать IPv6 по wireguard .

Edited by vlad
Link to comment
Share on other sites

  • 0
1 minute ago, vlad said:

Как вам это удалось? Подскажите пожалуйста!;)

Quote

interface Wireguard0
    description Wireguard0
    security-level private
    ip address 10.0.1.2 255.255.255.0
    ip mtu 1324
    ip global 16383
    ip tcp adjust-mss pmtu
    wireguard listen-port 6894
    wireguard peer Oo85C7lO7wU+3xt7XKop5W5zr82+oT10275xl03e2D0=
        endpoint xxx.xxx.xxx.xxx:41194
        keepalive-interval 30
        allow-ips 0.0.0.0 0.0.0.0
    !
    up
!

interface TunnelSixInFour0
    description 6in4OracleTunnel
    ip mtu 1304
    ip remote 10.0.1.1
    ipv6 address 2001:db8:dead:beaf::5
    ipv6 prefix 2001:db8:1111:1111::/64
    ipv6 force-default
    up
!

Безопасности никакой и сервер может пинговать роутер по IPv4 и не только. Возможно security-level private не обязателен, но тогда инструментов диагностики не останется.

На сервер все стандартные правила брандмауэра отломаны и для v4 и для v6 ибо мешало. Конфиг сервера, что то вроде:

Quote

ip tunnel add v6he mode sit remote 216.66.84.46 local any # интерфейс брокера
ip tunnel add v6home mode sit remote 10.0.1.2 local 10.0.1.1 # интерфейс, который будет ходить через wireguard
ip link set v6home up
ip link set v6he up
ip link set sit0 up

ip route add 2002::/16 dev sit0 metric 256 #6to4
ip addr add 2001:db8:dead:beaf::2/126 dev v6he
ip route add ::/0 dev v6he metric 1024

ip link add dev wg0 type wireguard
ip addr add dev wg0 10.0.1.1/24
ip addr add 2001:db8:dead:beaf::4/127 dev wg0

wg set wg0 listen-port 41194 private-key /etc/wireguard/privatekey peer Ow/7tehRvScbeSm6duT0MdSgUOp2vzmo2LH+KqCRfx4= allowed-ips 10.0.1.0/24
ip link set up dev wg0

ip addr add 2001:db8:dead:beaf::4/127 dev v6home # такую наглость как использование сети, которая на меня не делегирована можно позволить себе только с брокерами
#на нормальном подключении нужно будет думать, что делать с link-local адресами в traceroute6
ip route add 2001:db8:1111:1111::/64 dev v6home via ::10.0.1.2 metric 256 # /48 я не запрашивал

sysctl -w net.ipv6.conf.all.forwarding=1

Но я не гарантирую, что конфиг полностью рабочий, мне пришлось долго воевать с ним постоянно подправляя.

  • Upvote 1
Link to comment
Share on other sites

  • 0
3 hours ago, None 7 said:

ip addr add 2001:db8:dead:beaf::4/127 dev wg0

Накосячил всё таки. Это строчка явно лишняя; осталась со времён экспериментов.

  • Upvote 1
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...