Jump to content
  • 21

IPv6 в OpenVPN и WireGuard


Vladislav Kravchenko

Question

12 answers to this question

Recommended Posts

  • 0

Ладно полноценная поддержка. Была бы хотя бы возможность прописать ipv6-адреса в список разрешённых для Wireguard. Даже в telnet там сейчас

Quote

(config)> interface Wireguard0 wireguard peer Oo85...2D0= allow-ips

 Usage template:
        allow-ips {address} {mask}

Хотя мне всё же удалось подружить ужа с ежом обернув IPv6 трафик 6in4 и пропустив через Wireguard. Но это костыль. И не имея нормального tcpdump не на одной из сторон, было действительно непросто всё это подружить.

Link to comment
Share on other sites

  • 0
15 часов назад, None 7 сказал:

Хотя мне всё же удалось подружить ужа с ежом обернув IPv6 трафик 6in4 и пропустив через Wireguard.

Как вам это удалось? Подскажите пожалуйста!;) Имею настроенный 6in4 и Wireguard,тоже хотелось бы получать IPv6 по wireguard .

Edited by vlad
Link to comment
Share on other sites

  • 0
1 minute ago, vlad said:

Как вам это удалось? Подскажите пожалуйста!;)

Quote

interface Wireguard0
    description Wireguard0
    security-level private
    ip address 10.0.1.2 255.255.255.0
    ip mtu 1324
    ip global 16383
    ip tcp adjust-mss pmtu
    wireguard listen-port 6894
    wireguard peer Oo85C7lO7wU+3xt7XKop5W5zr82+oT10275xl03e2D0=
        endpoint xxx.xxx.xxx.xxx:41194
        keepalive-interval 30
        allow-ips 0.0.0.0 0.0.0.0
    !
    up
!

interface TunnelSixInFour0
    description 6in4OracleTunnel
    ip mtu 1304
    ip remote 10.0.1.1
    ipv6 address 2001:db8:dead:beaf::5
    ipv6 prefix 2001:db8:1111:1111::/64
    ipv6 force-default
    up
!

Безопасности никакой и сервер может пинговать роутер по IPv4 и не только. Возможно security-level private не обязателен, но тогда инструментов диагностики не останется.

На сервер все стандартные правила брандмауэра отломаны и для v4 и для v6 ибо мешало. Конфиг сервера, что то вроде:

Quote

ip tunnel add v6he mode sit remote 216.66.84.46 local any # интерфейс брокера
ip tunnel add v6home mode sit remote 10.0.1.2 local 10.0.1.1 # интерфейс, который будет ходить через wireguard
ip link set v6home up
ip link set v6he up
ip link set sit0 up

ip route add 2002::/16 dev sit0 metric 256 #6to4
ip addr add 2001:db8:dead:beaf::2/126 dev v6he
ip route add ::/0 dev v6he metric 1024

ip link add dev wg0 type wireguard
ip addr add dev wg0 10.0.1.1/24
ip addr add 2001:db8:dead:beaf::4/127 dev wg0

wg set wg0 listen-port 41194 private-key /etc/wireguard/privatekey peer Ow/7tehRvScbeSm6duT0MdSgUOp2vzmo2LH+KqCRfx4= allowed-ips 10.0.1.0/24
ip link set up dev wg0

ip addr add 2001:db8:dead:beaf::4/127 dev v6home # такую наглость как использование сети, которая на меня не делегирована можно позволить себе только с брокерами
#на нормальном подключении нужно будет думать, что делать с link-local адресами в traceroute6
ip route add 2001:db8:1111:1111::/64 dev v6home via ::10.0.1.2 metric 256 # /48 я не запрашивал

sysctl -w net.ipv6.conf.all.forwarding=1

Но я не гарантирую, что конфиг полностью рабочий, мне пришлось долго воевать с ним постоянно подправляя.

  • Upvote 2
Link to comment
Share on other sites

  • 0
3 hours ago, None 7 said:

ip addr add 2001:db8:dead:beaf::4/127 dev wg0

Накосячил всё таки. Это строчка явно лишняя; осталась со времён экспериментов.

  • Upvote 1
Link to comment
Share on other sites

  • 0

UP.

Тоже жду поддержку V6 в модулях VPN.

С удивлением обнаружил, что не могу роутить v6 через WireGuard, приплыли.
Так же хотелось бы и NetFlow что бы умел собирать с ipv6.

  • Upvote 2
Link to comment
Share on other sites

  • 0
1 час назад, Frowz сказал:

UP!

Очень необходимо

А что не работает? Все бегает по ipv6 и wireguard. Нативно еще ждём. Думаю и по openvpn проблем не будет.

Link to comment
Share on other sites

  • 0
В 20.07.2022 в 21:35, avn сказал:

А что не работает? Все бегает по ipv6 и wireguard. Нативно еще ждём. Думаю и по openvpn проблем не будет.

Там бегает только ipv4.

И вот ответ техподдержки:

 

Скрытый текст

изображение_2022-08-06_203141237.png

 

Edited by Frowz
Link to comment
Share on other sites

  • 0
12 часа назад, Frowz сказал:

Там бегает только ipv4.

И вот ответ техподдержки:

 

  Скрыть содержимое

изображение_2022-08-06_203141237.png

 

У меня ipv6 бегает по wireguard без проблем по Warp и своему впс. А Вас видно в поиске забанили. Штатно еще не бегает, но может. Технически уже все есть, только нету возможности штатно это настроить. 

Edited by avn
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...