[IPv6 в OpenVPN и WireGuard]

3 hours ago, None 7 said:

ip addr add 2001:db8:dead:beaf::4/127 dev wg0

Накосячил всё таки. Это строчка явно лишняя; осталась со времён экспериментов.

[IPv6 в OpenVPN и WireGuard]

1 minute ago, vlad said:

Как вам это удалось? Подскажите пожалуйста!;)

Quote

interface Wireguard0
    description Wireguard0
    security-level private
    ip address 10.0.1.2 255.255.255.0
    ip mtu 1324
    ip global 16383
    ip tcp adjust-mss pmtu
    wireguard listen-port 6894
    wireguard peer Oo85C7lO7wU+3xt7XKop5W5zr82+oT10275xl03e2D0=
        endpoint xxx.xxx.xxx.xxx:41194
        keepalive-interval 30
        allow-ips 0.0.0.0 0.0.0.0
    !
    up
!

interface TunnelSixInFour0
    description 6in4OracleTunnel
    ip mtu 1304
    ip remote 10.0.1.1
    ipv6 address 2001:db8:dead:beaf::5
    ipv6 prefix 2001:db8:1111:1111::/64
    ipv6 force-default
    up
!

Безопасности никакой и сервер может пинговать роутер по IPv4 и не только. Возможно security-level private не обязателен, но тогда инструментов диагностики не останется.

На сервер все стандартные правила брандмауэра отломаны и для v4 и для v6 ибо мешало. Конфиг сервера, что то вроде:

Quote

ip tunnel add v6he mode sit remote 216.66.84.46 local any # интерфейс брокера
ip tunnel add v6home mode sit remote 10.0.1.2 local 10.0.1.1 # интерфейс, который будет ходить через wireguard
ip link set v6home up
ip link set v6he up
ip link set sit0 up

ip route add 2002::/16 dev sit0 metric 256 #6to4
ip addr add 2001:db8:dead:beaf::2/126 dev v6he
ip route add ::/0 dev v6he metric 1024

ip link add dev wg0 type wireguard
ip addr add dev wg0 10.0.1.1/24
ip addr add 2001:db8:dead:beaf::4/127 dev wg0

wg set wg0 listen-port 41194 private-key /etc/wireguard/privatekey peer Ow/7tehRvScbeSm6duT0MdSgUOp2vzmo2LH+KqCRfx4= allowed-ips 10.0.1.0/24
ip link set up dev wg0

ip addr add 2001:db8:dead:beaf::4/127 dev v6home # такую наглость как использование сети, которая на меня не делегирована можно позволить себе только с брокерами
#на нормальном подключении нужно будет думать, что делать с link-local адресами в traceroute6
ip route add 2001:db8:1111:1111::/64 dev v6home via ::10.0.1.2 metric 256 # /48 я не запрашивал

sysctl -w net.ipv6.conf.all.forwarding=1

Но я не гарантирую, что конфиг полностью рабочий, мне пришлось долго воевать с ним постоянно подправляя.

[IPv6 в OpenVPN и WireGuard]

Ладно полноценная поддержка. Была бы хотя бы возможность прописать ipv6-адреса в список разрешённых для Wireguard. Даже в telnet там сейчас

Quote

(config)> interface Wireguard0 wireguard peer Oo85...2D0= allow-ips

 Usage template:
        allow-ips {address} {mask}

Хотя мне всё же удалось подружить ужа с ежом обернув IPv6 трафик 6in4 и пропустив через Wireguard. Но это костыль. И не имея нормального tcpdump не на одной из сторон, было действительно непросто всё это подружить.