-
Posts
3 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by None 7
-
-
1 minute ago, vlad said:
Как вам это удалось? Подскажите пожалуйста!;)
Quoteinterface Wireguard0
description Wireguard0
security-level private
ip address 10.0.1.2 255.255.255.0
ip mtu 1324
ip global 16383
ip tcp adjust-mss pmtu
wireguard listen-port 6894
wireguard peer Oo85C7lO7wU+3xt7XKop5W5zr82+oT10275xl03e2D0=
endpoint xxx.xxx.xxx.xxx:41194
keepalive-interval 30
allow-ips 0.0.0.0 0.0.0.0
!
up
!interface TunnelSixInFour0
description 6in4OracleTunnel
ip mtu 1304
ip remote 10.0.1.1
ipv6 address 2001:db8:dead:beaf::5
ipv6 prefix 2001:db8:1111:1111::/64
ipv6 force-default
up
!Безопасности никакой и сервер может пинговать роутер по IPv4 и не только. Возможно security-level private не обязателен, но тогда инструментов диагностики не останется.
На сервер все стандартные правила брандмауэра отломаны и для v4 и для v6 ибо мешало. Конфиг сервера, что то вроде:
Quoteip tunnel add v6he mode sit remote 216.66.84.46 local any # интерфейс брокера
ip tunnel add v6home mode sit remote 10.0.1.2 local 10.0.1.1 # интерфейс, который будет ходить через wireguard
ip link set v6home up
ip link set v6he up
ip link set sit0 upip route add 2002::/16 dev sit0 metric 256 #6to4
ip addr add 2001:db8:dead:beaf::2/126 dev v6he
ip route add ::/0 dev v6he metric 1024ip link add dev wg0 type wireguard
ip addr add dev wg0 10.0.1.1/24
ip addr add 2001:db8:dead:beaf::4/127 dev wg0wg set wg0 listen-port 41194 private-key /etc/wireguard/privatekey peer Ow/7tehRvScbeSm6duT0MdSgUOp2vzmo2LH+KqCRfx4= allowed-ips 10.0.1.0/24
ip link set up dev wg0ip addr add 2001:db8:dead:beaf::4/127 dev v6home # такую наглость как использование сети, которая на меня не делегирована можно позволить себе только с брокерами
#на нормальном подключении нужно будет думать, что делать с link-local адресами в traceroute6
ip route add 2001:db8:1111:1111::/64 dev v6home via ::10.0.1.2 metric 256 # /48 я не запрашивалsysctl -w net.ipv6.conf.all.forwarding=1
Но я не гарантирую, что конфиг полностью рабочий, мне пришлось долго воевать с ним постоянно подправляя.
- 2
-
Ладно полноценная поддержка. Была бы хотя бы возможность прописать ipv6-адреса в список разрешённых для Wireguard. Даже в telnet там сейчас
Quote(config)> interface Wireguard0 wireguard peer Oo85...2D0= allow-ips
Usage template:
allow-ips {address} {mask}Хотя мне всё же удалось подружить ужа с ежом обернув IPv6 трафик 6in4 и пропустив через Wireguard. Но это костыль. И не имея нормального tcpdump не на одной из сторон, было действительно непросто всё это подружить.
IPv6 в OpenVPN и WireGuard
in Развитие
Posted
Накосячил всё таки. Это строчка явно лишняя; осталась со времён экспериментов.